Direct Routing Root CA
Microsoft muss rechtzeitig vor Ablauf der RootCA 2025 neue Zertifikate für Direct Routing SIP-Trunks verwenden und die Kunden müssen der neuen RootCA vertrauen. Ansonsten funktionieren Telefonanrufe nicht mehr. Das Problem könnte also alle Firmen betreffen, die einen eigenen SBC betreiben.
Die RootCA bei Direct Routing wurde am 3. Okt 2023 umgestellt.
Wer bis jetzt noch nicht die neue RootCA installiert hat, hat entweder die TLS
Prüfung abgeschaltet oder nutzt den SIP-Trunk nicht
Worum geht es?
Wenn Sie mit Microsoft Teams telefonieren, und die Verbindung weder von Microsoft selbst noch über Operator Connector oder einem "Managed SBC" von einem Provider bereitgestellt wird, dann nutzen Sie einen eigenen SBC zur Vermittlung. Microsoft und ihr SBC Sprechen per SIP/TLS über Port 5061 miteinander und nutzen dazu Zertifikate. Dabei kommt MTLS zum Einsatz, d.h. nicht nur der angesprochene SBC liefert ein Zertifikat zur Verschlüsselung und Identifizierung aus, sondern auch der anrufende SBC übermittelt ein Client-Zertifikat um sich zu identifizieren. Wo immer Zertifikate zum Einsatz kommen, geht es um Vertrauen gegenüber dem Aussteller (IssuingCA) und deren Kette.
Die von Microsoft genutzte Root CA ist auch nicht "endlos" gültig und auch wenn eine RootCA in der Regel auch 20-30 Jahre gültig ist, so gibt es Verschlüsselung lange genug, um auch hier das Ende der Gültigkeit zu erreichen. Es steht dann ein Wechsel des RootCA an, der natürlich dann alle Systeme vertrauen müssen.
Für einen Windows Client ist so eine Erweiterung der "Trusted RooCA"-Liste relativ einfach, da quasi monatlich über Windows Updates ein Eintrag ergänzt werden könnte und Windows mittlerweile dynamische Updates für Stammzertifikate unterstützt. Für Server und SBCs ist das aber nicht so einfach, denn wer eine Anmeldung mittels Client-Zertifikat anbietet, liefert in der Regel auch eine Liste von PKIs mit denen der Service vertraut und hier gibt es Limits.
Hinzu kommt, dass z.B. viel SBCs auch keine RootCAs selbst aktualisieren sondern bei der Einrichtung nur die RootCAs addiert werden die für den Betrieb erforderlich sind.
Natürlich könnten Sie nun zum einen Fragen, warum Microsoft damals bei Direct Routing nicht gleich eine RootCA gewählt hat, die nicht 2025 sondern vielleicht 2035 abläuft. Aber als Direct Access um 2017/2018 eingeführt wurde, war die RootCA noch 8+ Jahre gültig und das Ablaufdatum noch lange hin.
Auch könnte man fragen, warum die Hersteller von SBCs in ihrer Firmware nicht einfach die von Microsoft zukünftig genutzte RootCA als Standard mit einbinden. Das wäre dann aber natürlich ein Wettbewerbsvorteil gegenüber anderen PKIs und sind wir mal ehrlich: Nicht jeder SBC bekommt regelmäßig Firmware Update und auch die Betriebsdauer solcher Geräte kann auch 10+ Jahre sein.
Wer immer mit Zertifikaten arbeitet, muss sich nicht nur um die Erneuerung der eigenen Zertifikate sondern auch die Erreichbarkeit der CRLs und die Liste der RootCAs kümmern
Zeitplan
Es sollte niemand behaupten, es wäre nicht kommuniziert worden. Microsoft plan hier schon ausreichend Vorlauf ein und stellt sogar Testgeräte bereit
| Zeitpunkt | Beschreibung |
|---|---|
1. Feb 2022 |
Die SIP-Gateway unterstützen nur noch RootCAs, aus dem Microsoft Trusted RootCA Programm.
Schon ab hier sind CAs von anderen RootCAs auf ihrem SBC nicht mehr gültig gewesen. |
3. Apr 2022 |
Abschaltung von TLS 1.0/1.1. Unterstützt wird seit dem nur noch TLS 1.2 eine folgenden vier Cipher Suites TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i.e. ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 i.e. ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 i.e. ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 i.e. ECDHE-RSA-AES128-SHA2 |
Apr 2022 |
Direct Routing unterstützt kein SIP REPLACE-Header mehr |
1. Jun 2022 |
Wegfall der DNS-Namen sip-all.pstnhub.microsoft.com and sip-all.pstnhub.gov.teams.microsoft.us |
Jan-Okt 2022 |
Der Wechsel der RootCA betraf nicht nur Direct Routing, sondern sehr viele Office 36 Dienste, die im Laufe des Jahres 2022 langsam umgestellt wurden. Da der Zugriff aber fast nur Clients sind, die das neue Zertifikat schon haben, ist es kaum aufgefallen. Alt: Baltimore CyberTrust Root Fingerpint: d4de20d05e66fc53fe1a50882c78db2852cae474 Neu: DigiCert Global Root G2 Fingerpint: df3c24f9bfd666761b268073fe06d1cc8d4f82a4
|
11. April 2023 |
Meldung mit Microsoft 365 Message Center, welches jeder Administrator im Blick haben sollte: MC540239 · Published Apr 11, 2023 SIP certificate to MSPKI Certificate Authority change How this affects your organization: The new Root CA “DigiCert Global Root G2” is widely trusted by operating systems including Windows, macOS, Android, and iOS and by browsers such as Microsoft Edge, Chrome, Safari, and Firefox. However, it is likely that your SBC has a certificate root store that is manually configured, and it needs to be updated. SBCs that do not have the new Root CA in their list of acceptable CAs will receive certificate validation errors, which may impact the availability or function of the service. Please refer to SBC vendor documentation on how to update the accepted certificate list on your SBC. Today, the TLS certificates used by Microsoft SIP interfaces chain up to the following Root CA:
New TLS certificates used by Microsoft SIP interfaces will now chain up to the following Root CA:
The new CA certificate can be downloaded directly from DigiCert: DigiCert Global Root G2 What you can do to prepare: Review your current Microsoft SIP interfaces and update as appropriate. |
23. Mai 2023 |
Microsoft stellt eine SIP-Test-Gegenstelle auf, die einen TLS-Handshake mit der neuen RootCA anbietet und auf OPTIONS-Anfragen antwortet. Test endpoint FQDN: sip.mspki.pstnhub.microsoft.com Port: 5061 Sie können in ihrem SBC einfach einen Trunk zu diesem System einrichten und mittels OPTIONS-Requests die Verbindung prüfen. Kommt der TLS-Handshake zustande, dann vertraut ihre SBC schon der neuen RootCA und sie nutzen ein eigenes Zertifikat, welches von Microsoft akzeptiert wird. |
5. Sep 2023 |
Test1: Microsoft wechselt die Zertifikat für 24h auf die neue RootCA. SBC, die dieser RootCA nicht vertrauen und eine strenge TLS-Prüfung vornehmen, können keine Verbindungen mehr aufbauen. Die Telefonie von Teams zum Festnetz über diesen SBC ist blockiert. Angeblich hat Microsoft den Test vorzeitig abgebrochen, da viele Kunden TLS-Fehler hatten. Microsoft kann die Fehler sehen aber nicht, wer es ist. |
9. Sep 2023 |
Microsoft wechselt die Zertifikat für 24h auf die neue RootCA. SBC, die dieser RootCA nicht vertrauen und eine strenge TLS-Prüfung vornehmen, können keine Verbindungen mehr aufbauen. Die Telefonie von Teams zum Festnetz über diesen SBC ist blockiert. |
10. Sep 2023 |
Noch ein Blog-Artikel über die anstehende Umstellung Upcoming Certificate Changes Impacting Direct Routing Users |
3. Okt 2023 |
Umstellung auf die neue RootCA "DigiCert Global Root G2" |
Schon 2022 hat Microsoft über den anstehenden Wechsel informiert.
TM614271, MC663640, TM674073, MC674729).
- Neuerungen bei Direct Routing
https://learn.microsoft.com/de-de/microsoftteams/direct-routing-whats-new - TLS certificate changes to Microsoft 365 services including Microsoft Teams
https://techcommunity.microsoft.com/t5/microsoft-teams-blog/tls-certificate-changes-to-microsoft-365-services-including/ba-p/3249676
Details
Das alte RootCA-Zertifikat wurde schon im Jahr 2000 ausgestellt und war 25 Jahre gültig. Mit dem Wechsel auf Digicert als RootCA nutzt Microsoft nun ein Root-CA Zertifikat, welches schon 2013 ausgestellt wurde und bis 2038 läuft, d.h. ebenfalls 25 Jahre. Sie können aber davon ausgehen, dass in ca. 10 Jahren, also um 2035 herum, der nächste Wechsel ansteht.
Wenn Sie eine TLS-Verbindung zu den Microsoft Server unter sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com und sip3.pstnhub.microsoft.com auf Port 5061 starten, dann sehen sie z.B. mit OpenSSL das Zertifikat und die Kette
C:\>openssl s_client -connect sip.pstnhub.microsoft.com:5061 CONNECTED(00000208) depth=1 C = US, O = Microsoft Corporation, CN = Microsoft Azure RSA TLS Issuing CA 07 verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 C = US, ST = WA, L = Redmond, O = Microsoft Corporation, CN = sip.pstnhub.microsoft.com verify return:1 --- Certificate chain 0 s:C = US, ST = WA, L = Redmond, O = Microsoft Corporation, CN = sip.pstnhub.microsoft.com i:C = US, O = Microsoft Corporation, CN = Microsoft Azure RSA TLS Issuing CA 07 1 s:C = US, O = Microsoft Corporation, CN = Microsoft Azure RSA TLS Issuing CA 07 i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2 ---
Über die Test-Gegenstelle bekommen Sie mittlerweile die gleiche Ausgabe.
C:\>openssl s_client -connect sip.mspki.pstnhub.microsoft.com:5061 CONNECTED(00000224) depth=1 C = US, O = Microsoft Corporation, CN = Microsoft Azure TLS Issuing CA 01 verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 C = US, ST = WA, L = Redmond, O = Microsoft Corporation, CN = sip.pstnhub.microsoft.com verify return:1 --- Certificate chain 0 s:C = US, ST = WA, L = Redmond, O = Microsoft Corporation, CN = sip.pstnhub.microsoft.com i:C = US, O = Microsoft Corporation, CN = Microsoft Azure TLS Issuing CA 01 1 s:C = US, O = Microsoft Corporation, CN = Microsoft Azure TLS Issuing CA 01 i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
Die Umstellung ist mittlerweile vollzogen. Wer bis jetzt noch nicht die neue RootCA installiert hat, hat entweder die TLS Prüfung abgeschaltet oder nutzt den SIP-Trunk nicht.
Weitere Links
- OpenSSL
- Max RootCA, oder wo Vertrauen schadet
- Windows 2012 und TLS
- Upcoming Certificate Changes Impacting Direct Routing Users
https://techcommunity.microsoft.com/t5/microsoft-teams-support/upcoming-certificate-changes-impacting-direct-routing-users/ba-p/3922575 - How to import DigiCert Global Root G2 CA Cert on Ribbon SBC
https://lucavitali.wordpress.com/2023/07/07/how-to-import-digicert-global-root-g2-ca-cert-on-ribbon-sbc/#more-4492
