Avskaffande av utökad nyckelanvändning (EKU) för klientautentisering

På grund av uppdateringar i branschkraven har stora certifikatutfärdare, inklusive Sectigo och Trustico®, meddelat att Client Authentication Extended Key Usage (EKU) inte längre kommer att användas i SSL-certifikat som är allmänt betrodda.

Denna förändring är i linje med bredare trender i ekosystemet för certifikatutfärdare, eftersom certifikatutfärdare flyttar för att implementera samma branschstandarder.

Vad är klientautentisering EKU?

Client Authentication Extended Key Usage (EKU) är ett tillägg i SSL-certifikat som gör det möjligt att använda dem för att autentisera användare eller enheter till servrar, vanligtvis i ömsesidig TLS (mTLS) eller server-till-server-autentiseringsscenarier.

Traditionellt inkluderade vissa SSL-certifikat denna EKU som standard, vilket möjliggjorde både webbplatsens säkerhet och klientautentisering i ett enda SSL-certifikat.

Tidslinje för utfasning

Utfasningen kommer att ske i två faser för att säkerställa en smidig övergång för alla användare. Den 15 september 2025 kommer certifikatutfärdare att sluta inkludera EKU för klientautentisering som standard i nyutfärdade SSL-certifikat.

Efter denna inledande fas, senast den 15 maj 2026, kommer Client Authentication EKU att tas bort permanent från alla nyutfärdade SSL-certifikat, utan undantag.

Varför sker den här förändringen?

Den här uppdateringen är en del av ett bredare skifte i branschstandarder och bästa praxis. Stora webbläsares rotprogram, som Google Chrome root program policy, kräver nu att certifikatutfärdare begränsar användningen av Extended Key Usages (EKU) i offentligt betrodda SSL-certifikat.

Dessa SSL-certifikat är särskilt utformade för att säkra anslutningar mellan webbläsare och webbservrar. Att inkludera EKU för klientautentisering i SSL-certifikat för servrar har historiskt sett medfört potentiella säkerhets- och driftsproblem.

Genom att ta bort Client Authentication EKU anpassar sig certifikatutfärdare, inklusive Trustico®, till nya krav för att säkerställa att SSL-certifikat används strikt för sina avsedda ändamål, vilket minskar risken för missbruk eller felkonfiguration.

Effekter på servermiljöer

För de flesta användare kommer borttagandet av EKU för klientautentisering från SSL-certifikat att ha minimal eller ingen inverkan. Befintliga SSL-certifikat som utfärdats före stoppdatumet kommer att förbli giltiga och fortsätta att fungera som förväntat tills de löper ut.

Standardwebbservrar som använder HTTPS påverkas inte av den här ändringen och både befintliga och förnyade SSL-certifikat som utfärdats efter stoppdatumet kommer att fortsätta att fungera normalt för vanliga serverautentiseringsändamål.

Men om din miljö använder mutual TLS (mTLS), server-till-server-autentisering eller förlitar sig på mTLS-server-SSL-certifikat för klientautentisering, måste du skaffa ett separat SSL-certifikat eller en lösning som inkluderar clientAuth EKU.

Dessutom kan vissa äldre system eller företagssystem förvänta sig att både serverAuth- och clientAuth-EKU:er ska finnas. För att säkerställa kompatibilitet med de senaste branschstandarderna är det viktigt att verifiera om dina system kräver uppdateringar för att tillgodose denna förändring.

Hur du förbereder dig för den här ändringen

För att förbereda dig för kommande ändringar är det bäst att granska alla SSL-certifikat som används för närvarande för att kontrollera om de innehåller attributet clientAuth Extended Key Usage (EKU).

Utvärdera dina system för att avgöra om några förlitar sig på SSL-certifikat för både server- och klientautentiseringsändamål. Tänk på att framtida SSL-certifikat som standard kommer att utfärdas utan clientAuth EKU, så det är viktigt att planera i enlighet med detta för kommande förnyelser eller återutgivningar.

Om du vill uppdatera dina SSL-certifikat proaktivt kan du välja att utfärda dem på nytt innan tidsfristen för verkställighet löper ut. Dessutom bör du granska och uppdatera eventuella automatiska skript för begäran om SSL-certifikat eller intern dokumentation som tidigare antog att båda EKU:erna fanns.

Om du behöver hjälp med dina SSL-certifikat eller har frågor om dessa ändringar, vänligen kontakta Trustico® för ytterligare stöd och vägledning genom denna övergång.

Vad är mTLS?

mTLS, även känt som mutual Transport Layer Security, är en metod för ömsesidig autentisering med hjälp av ett säkerhetsprotokoll som säkerställer att både klienten och servern verifierar varandras identiteter med hjälp av digitala certifikat innan en säker, krypterad anslutning upprättas.

Till skillnad från standard TLS, som endast autentiserar servern, kräver mTLS att båda parter presenterar och validerar SSL-certifikat, vilket ger ett extra lager av förtroende och säkerhet för känslig kommunikation.

Vad är TLS?

TLS, eller Transport Layer Security, är ett allmänt använt krypteringsprotokoll som krypterar data som skickas över internet för att säkerställa sekretess och dataintegritet mellan två kommunicerande applikationer, t.ex. en webbläsare och en server.

TLS hjälper till att skydda känslig information, som lösenord och kreditkortsnummer, från att fångas upp eller manipuleras av obehöriga parter under överföringen. Det är efterföljaren till SSL (Secure Sockets Layer) och används ofta för att säkra webbplatser, vilket indikeras av "https" i webbadresser.

Påverkar detta S/MIME- eller Code Signing-certifikat?

S/MIME- och Code Signing-certifikat har sina egna specifika EKU-krav (Extended Key Usage) som skiljer sig från kraven för SSL-certifikat för TLS-servrar. Därför kommer dessa certifikattyper inte att påverkas av den här ändringen.

Vilka är de viktigaste tidsfristerna?

Den 15 september 2025 slutar certifikatutfärdare att inkludera EKU för klientautentisering som standard i nyutfärdade SSL-certifikat.

Senast den 15 maj 2026 kommer klientautentiserings-EKU:n att tas bort permanent från alla nyutfärdade SSL-certifikat, utan undantag.

Vad är klientautentisering EKU?

Client Authentication Extended Key Usage (EKU) är ett tillägg i SSL-certifikat som gör det möjligt för dem att autentisera användare eller enheter, vanligtvis i ömsesidig TLS (mTLS) eller server-till-server-scenarier.

Vissa SSL-certifikat har traditionellt inkluderat denna EKU som standard, vilket möjliggör både webbplatsens säkerhet och klientautentisering.

Hur påverkar detta min miljö?

För de flesta användare kommer det inte att ha någon inverkan att ta bort EKU för klientautentisering från SSL-certifikat. Befintliga SSL-certifikat förblir giltiga och vanliga HTTPS-servrar fortsätter att fungera normalt.

Endast miljöer som kräver ömsesidig TLS, klientautentisering eller äldre system som förväntar sig båda EKU:erna kommer att behöva skaffa en separat lösning eller uppdatera sina system.

Hur ska jag förbereda mig för den här ändringen?

För att förbereda dig för dessa ändringar bör du granska dina nuvarande SSL-certifikat för att kontrollera om clientAuth EKU finns och identifiera eventuella system som kräver både server- och klientautentisering.

Eftersom framtida SSL-certifikat inte kommer att innehålla clientAuth EKU som standard bör du planera för förnyelse eller nyutfärdande vid behov. Överväg att utfärda nya SSL-certifikat proaktivt och uppdatera alla automatiserade processer eller dokumentation som förutsätter att båda EKU:erna finns.

Är detta relaterat till kortare livslängd för SSL-certifikat?

Den här ändringen är inte relaterad till den kommande minskningen av SSL-certifikatens livslängd. Det är ett separat branschinitiativ som fokuserar på att förbättra säkerheten genom att säkerställa att SSL-certifikat används strikt för sina avsedda ändamål, vilket minskar risken för missbruk eller felkonfiguration.

Kommer mina befintliga SSL-certifikat fortfarande att fungera?

Befintliga SSL-certifikat som utfärdats före tidsgränsen kommer att förbli giltiga tills de löper ut. Standard HTTPS-webbservrar och nyutfärdade SSL-certifikat kommer att fortsätta att fungera normalt för serverautentisering.