Мы выпустили исправление для клиентов, на которых повлияла проблема с устаревшим сертификатом перекрестного подписания Let’s Encrypt. Cross-signing certificate by Let’s Encrypt – один из наиболее популярных на сегодня глобальных SSL/TLS  сертификатов.

Описание проблемы

3CX устанавливает цепочку сертификатов используя популярный проект certbot, который широко применяется для получения и настройки сертификатов Let’s Encrypt на веб-серверах. Эта технология хорошо работает для браузеров Chrome и Firefox, новых устройств Android и iOS, но может вызывать проблемы совместимости у IoT-устройств, таких как IP-телефоны.

Чтобы решить проблему, необходимо удалить из конфигурации последний сертификат в цепочке. Однако это может вызвать проблемы совместимости со старыми устройствами Andrid (7.1.1 и старше).

3CX автоматически обновляет сертификаты каждые 90 дней. Поэтому, возможно у вас уже установлена актуальная цепочка сертификатов. Если это не так, могут возникать следующие проблемы:

  • Не работает автонастройка телефонов.
  • Телефон не загружает телефонную книгу и логотип компании.
  • Телефон не работает в посменном режиме (переключение между пользователями).

Обратите внимание, что на IP-телефонах должна быть установлена последняя прошивка, включающая новую цепочку сертификатов Let’s Encrypt. Еще летом мы связались с производителями всех поддерживаемых телефонов, чтобы они включили в прошивки новый сертификат для всех актуальных устройств. Если вы до сих пор не обновили прошивки, возможно это придется сделать вручную. Список актуальных прошивок доступен здесь.

Стоит отметить, что проблема с сертификатом не влияет на, собственно, звонки, работу BLF-индикаторов и TLS- подключения SIP-транков.

Необходимые действия

  1. Если ваша система размещена на “Хостинге 3CX”, ничего делать не нужно.
  2. Если вы не используете IP-телефоны и не столкнулись с вышеперечисленными проблемами, никаких действий предпринимать не нужно – в течение 90 дней ваша система автоматически обновит цепочку сертификатов.
  3. Если вы используете собственный FQDN сервера, оцените возможные сложности и примените подходящее в вашем случае решение.
  4. Если вы или ваши клиенты все-таки столкнулись с вышеуказанными ограничениями, установите данное исправление (Hotfix). Обратите внимание, что хотфикс предназначен только для FQDN и сертификатов от 3CX.

Установка исправления Let’s Encrypt для V16 и V18

Установка исправления Let's Encrypt для V16 и V18

Исправление доступно только для пользователей 3CX V16 и V18. Для его установки:

  • В интерфейсе управления 3CX перейдите в раздел “Updates”.
  • Выберите “3CX FQDN Let’s Encrypt Hotfix”.

Исправление также может быть установлено автоматически, если в системе включено автообновление.