Microsoft a récemment communiqué plusieurs changements importants concernant Microsoft Teams Direct Routing et Operator Connect, plus précisément au niveau de la sécurité TLS et des autorités de certification (Root CA) utilisées entre Microsoft Teams et les Session Border Controllers (SBC).
Ces évolutions visent à anticiper les nouvelles exigences de sécurité des navigateurs et des autorités de certification à partir de mi‑2026. Une préparation est requise avant la fin février 2026 afin d’éviter toute interruption de service.
Pourquoi Microsoft fait ces changements ?
La signalisation SIP entre Microsoft Teams et les SBC repose sur une authentification TLS mutuelle (mTLS), nécessitant des certificats conformes à des règles strictes.
Or, depuis février 2025, les navigateurs majeurs (Chrome, Firefox) ont annoncé la dépréciation des certificats TLS “double usage” (authentification serveur + client dans un même certificat). À compter de juin 2026, seuls les certificats respectant ces nouvelles règles resteront pleinement fiables côté navigateur.
Microsoft anticipe donc ces changements en mettant à jour les autorités de certification racines utilisées pour l’interface SIP de Teams.
Dates clés à retenir
Fin février 2026
Les SBC doivent être mis à jour pour faire confiance aux nouvelles Root CA Microsoft et DigiCert.Fin mars 2026
Microsoft mettra à disposition un point de terminaison SIP de test pour valider la connectivité TLS :- FQDN :
sip.g1.pstnhub.microsoft.com - Port :
5061
(SIP OPTIONS uniquement – aucun trafic vocal)
- FQDN :
À partir d’avril 2026
Microsoft commencera à appliquer les nouveaux certificats côté serveur (aucun impact utilisateur attendu si la préparation est faite).
Ce que cela implique pour votre SBC
Les SBC devront faire confiance aux certificats émis par les autorités de certification suivantes :
- DigiCert Global Root CA
- DigiCert Global Root G2
- DigiCert Global Root G3
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA 4096 Root G5
- Microsoft ECC Root Certificate Authority 2017
- Microsoft RSA Root Certificate Authority 2017
Si ces CA ne sont pas présentes dans le magasin de confiance du SBC, la négociation TLS avec Microsoft Teams pourrait échouer.
Que se passe‑t‑il si rien n’est fait ?
Aucun impact immédiat côté utilisateurs Teams.
Risque d’échec de négociation TLS, pouvant entraîner :- une indisponibilité du routage Direct,
- une interruption des appels entrants et sortants via Teams.
En résumé
Ces changements ne modifient pas l’expérience utilisateur Teams, mais ils sont critiques pour la continuité du service téléphonique via Direct Routing.
Si vous avez un doute sur la gestion de vos SBC ou souhaitez valider votre situation, n’hésitez pas à contacter votre partenaire ou votre équipe télécom.
Source
