Für alle Kunden, welche aktuell von einem abgelaufenen Root-Cross-Signing-Zertifikat von Let’s Encrypt – einem der beliebtesten SSL/TLS-Zertifikatsaussteller weltweit – betroffen sind, steht nun ein Hotfix zur Verfügung.

Wer ist wie betroffen?

3CX hat  mit Hilfe des beliebten Projekts certbot – welches häufig auf Webservern verwendet wird – die Zertifikatskette konfiguriert, um Let’s Encrypt-Zertifikate zu beziehen und zu konfigurieren. Obwohl dies für Chrome, Firefox sowie neuere Android- und iOS-Geräte gut funktioniert, traten in einigen Fällen bei IoT-Geräten wie IP-Telefonen Kompatibilitätsprobleme auf.

Die Lösung besteht darin, das letzte Zertifikat der Kette aus der Konfiguration zu entfernen. Dies kann jedoch zu Kompatibilitätsproblemen mit älteren Android-Geräten führen, insbesondere mit 7.1.1 oder älteren Versionen.

3CX aktualisiert die Zertifikate automatisch alle 90 Tage. Das bedeutet, dass Sie möglicherweise bereits über die aktualisierte Zertifikatskette verfügen. Ist dies nicht der Fall, kann es zu den folgenden Einschränkungen kommen:

  • Ihr IP-Telefon lässt sich nicht (neu) einrichten.
  • Ihr IP-Telefon lädt keine Telefonbucheinträge oder das Firmenlogo.
  • Ihr  IP-Telefon kann nicht als Hotdesk auf eine neue Nebenstelle wechseln.

Beachten Sie, dass IP-Telefone mit der neuesten Firmware-Version ausgestattet sein müssen, um mit der neuen Zertifikatskette von Let’s Encrypt kompatibel zu sein. In Vorbereitung hierauf haben wir uns bereits Mitte des Jahres mit allen von uns unterstützten Anbietern in Verbindung gesetzt, um das neue Zertifikat für aktiv unterstützte Geräte einzubinden. Sollten Sie bisher nicht auf die neueste Firmware aktualisiert haben, dann müssen Sie die Firmware Ihres Geräts möglicherweise manuell aktualisieren. Eine Liste aller Firmware-Dateien finden Sie hier.

Es ist erwähnenswert, dass Anrufe, der BLF-Betrieb oder die TLS-Verbindung zu SIP-Trunk-Anbietern zu keinem Zeitpunkt von dieser Zertifikatsänderung betroffen waren.

Für wen besteht Handlungsbedarf?

  1. Wenn Sie ein Hosting durch 3CX nutzen, dann sind bereits alle erforderlichen Schritte bereits unternommen.
  2. Wenn Sie keine IP-Telefone verwenden oder keine der oben genannten Einschränkungen haben, besteht auch für Sie kein Handlungsbedarf. (Innerhalb der nächsten 90 Tage wird Ihr System die Zertifikate automatisch mit der neuen Zertifikatskette aktualisieren.)
  3. Sollten Sie benutzerdefinierte Domains nutzen, müssen Sie mögliche Auswirkungen prüfen und selbst eine Lösung finden, die für Ihr System geeignet ist.
  4. Wenn Sie oder Ihre Kunden derzeit mit einer der oben genannten Einschränkungen konfrontiert sind, dann installieren Sie den im Folgenden aufgeführten Hotfix. Diese Lösung gilt jedoch nur für von 3CX bereitgestellte FQDNs und Zertifikate.

Hotfix für V16 und V18

Hotfix V16 und V18

Dieser Hotfix ist nur für Kunden mit 3CX V16 und V18 verfügbar. So installieren Sie den Hotfix:

  • Klicken Sie in der 3CX-Verwaltungskonsole auf “Updates”
  • Wählen Sie “3CX FQDN Let’s Encrypt Hotfix”.

Alternativ kann dieser Hotfix auch automatisch ausgelöst werden, wenn die Funktion “Automatisches Update” aktiviert ist.