Udfasning af udvidet nøglebrug til klientgodkendelse (EKU)

På grund af opdateringer i branchekravene har store certifikatudstedere, herunder Sectigo og Trustico®, meddelt, at Client Authentication Extended Key Usage (EKU) udgår af offentligt betroede SSL-certifikater.

Denne ændring stemmer overens med bredere tendenser i certifikatudstedernes økosystem, da certifikatudstederne bevæger sig i retning af at implementere de samme industristandarder.

Hvad er Client Authentication EKU?

Client Authentication Extended Key Usage (EKU) er en udvidelse i SSL-certifikater, der gør det muligt at bruge dem til at autentificere brugere eller enheder til servere, ofte i gensidige TLS (mTLS) eller server-til-server-autentificeringsscenarier.

Traditionelt inkluderede nogle SSL-certifikater denne EKU som standard, hvilket gav mulighed for både hjemmesidesikkerhed og klientgodkendelse i et enkelt SSL-certifikat.

Tidslinje for udfasning

Udfasningen vil ske i to faser for at sikre en glidende overgang for alle brugere. Den 15. september 2025 stopper certifikatudstederne med at inkludere klientgodkendelse EKU som standard i nyudstedte SSL-certifikater.

Efter denne første fase, den 15. maj 2026, vil Client Authentication EKU blive fjernet permanent fra alle nyudstedte SSL-certifikater, uden undtagelser.

Hvorfor sker denne ændring?

Denne opdatering er en del af et bredere skift i branchestandarder og bedste praksis. Større browser-rodprogrammer, såsom Google Chrome-rodprogrampolitik, kræver nu, at certifikatudstedere begrænser brugen af Extended Key Usages (EKU'er) i offentligt betroede SSL-certifikater.

Disse SSL-certifikater er designet specifikt til at sikre forbindelser mellem browsere og webservere. Historisk set har det at inkludere Client Authentication EKU i SSL-servercertifikater medført potentielle sikkerheds- og driftsproblemer.

Ved at fjerne Client Authentication EKU tilpasser certifikatudstedere, herunder Trustico®, sig nye krav for at sikre, at SSL-certifikater udelukkende bruges til deres tilsigtede formål, hvilket reducerer risikoen for misbrug eller fejlkonfiguration.

Effekter på servermiljøer

For de fleste brugere vil afskaffelsen af EKU til klientgodkendelse fra SSL-certifikater have minimal eller ingen indvirkning. Eksisterende SSL-certifikater udstedt før skæringsdatoen vil forblive gyldige og fortsætte med at fungere som forventet, indtil de udløber.

Standardwebservere, der bruger HTTPS, vil ikke blive påvirket af denne ændring, og både nuværende og fornyede SSL-certifikater, der er udstedt efter skæringsdatoen, vil fortsætte med at fungere normalt til typiske servergodkendelsesformål.

Men hvis dit miljø bruger gensidig TLS (mTLS), server-til-server-godkendelse eller er afhængig af mTLS server-SSL-certifikater til klientgodkendelse, skal du anskaffe et separat SSL-certifikat eller en løsning, der inkluderer clientAuth EKU.

Derudover kan nogle ældre systemer eller virksomhedssystemer forvente, at både serverAuth- og clientAuth-EKU'erne er til stede. For at sikre kompatibilitet med de nyeste industristandarder er det vigtigt at kontrollere, om dine systemer kræver opdateringer for at imødekomme denne ændring.

Sådan forbereder du dig på denne ændring

For at forberede sig på de kommende ændringer er det bedst at gennemgå alle SSL-certifikater, der er i brug i øjeblikket, for at kontrollere, om de indeholder attributten clientAuth Extended Key Usage (EKU).

Vurder dine systemer for at finde ud af, om nogle er afhængige af SSL-certifikater til både server- og klientgodkendelse. Husk, at fremtidige SSL-certifikater som standard vil blive udstedt uden clientAuth EKU, så det er vigtigt at planlægge i overensstemmelse hermed for kommende fornyelser eller genudstedelser.

Hvis du ønsker at opdatere dine SSL-certifikater proaktivt, kan du vælge at genudstede dem inden håndhævelsesfristen. Derudover skal du gennemgå og opdatere eventuelle automatiserede scripts til anmodning om SSL-certifikater eller intern dokumentation, der tidligere antog tilstedeværelsen af begge EKU'er.

Hvis du har brug for hjælp med dine SSL-certifikater eller har spørgsmål til disse ændringer, kan du kontakte Trustico® for yderligere support og vejledning gennem denne overgang.

Hvad er mTLS?

mTLS, også kendt som mutual Transport Layer Security, er en metode til gensidig godkendelse ved hjælp af en sikkerhedsprotokol, der sikrer, at både klienten og serveren verificerer hinandens identiteter ved hjælp af digitale certifikater, før der oprettes en sikker, krypteret forbindelse.

I modsætning til standard TLS, som kun autentificerer serveren, kræver mTLS, at begge parter præsenterer og validerer SSL-certifikater, hvilket giver et ekstra lag af tillid og sikkerhed for følsom kommunikation.

Hvad er TLS?

TLS, eller Transport Layer Security, er en udbredt krypteringsprotokol, der krypterer data sendt over internettet for at sikre fortrolighed og dataintegritet mellem to kommunikerende applikationer, f.eks. en webbrowser og en server.

TLS hjælper med at beskytte følsomme oplysninger, som f.eks. adgangskoder og kreditkortnumre, mod at blive opsnappet eller ændret af uautoriserede parter under overførslen. Det er efterfølgeren til SSL (Secure Sockets Layer) og bruges ofte til at sikre hjemmesider, som angivet med "https" i webadresser.

Påvirker dette S/MIME- eller Code Signing-certifikater?

S/MIME- og Code Signing-certifikater har deres egne specifikke EKU-krav (Extended Key Usage), som er adskilt fra kravene til SSL-certifikater til TLS-servere. Derfor vil disse certifikattyper ikke blive påvirket af denne ændring.

Hvad er de vigtigste deadlines?

Den 15. september 2025 stopper certifikatudstederne med at inkludere Client Authentication EKU som standard i nyudstedte SSL-certifikater.

Den 15. maj 2026 vil Client Authentication EKU blive fjernet permanent fra alle nyudstedte SSL-certifikater, uden undtagelser.

Hvad er Client Authentication EKU?

Client Authentication Extended Key Usage (EKU) er en udvidelse i SSL-certifikater, der giver dem mulighed for at autentificere brugere eller enheder, typisk i gensidige TLS (mTLS) eller server-til-server-scenarier.

Nogle SSL-certifikater har traditionelt inkluderet denne EKU som standard, hvilket muliggør både hjemmesidesikkerhed og klientgodkendelse.

Hvordan påvirker dette mit miljø?

For de fleste brugere vil det ikke have nogen betydning at fjerne EKU'en til klientgodkendelse fra SSL-certifikater. Eksisterende SSL-certifikater forbliver gyldige, og standard HTTPS-servere vil fortsat fungere normalt.

Kun miljøer, der kræver gensidig TLS, klientgodkendelse eller ældre systemer, der forventer begge EKU'er, skal anskaffe en separat løsning eller opdatere deres systemer.

Hvordan skal jeg forberede mig på denne ændring?

For at forberede dig på disse ændringer skal du gennemgå dine nuværende SSL-certifikater for at tjekke for clientAuth EKU og identificere eventuelle systemer, der kræver både server- og klientgodkendelse.

Da fremtidige SSL-certifikater ikke vil indeholde clientAuth EKU som standard, skal du planlægge fornyelser eller genudstedelser efter behov. Overvej at genudstede SSL-certifikater proaktivt, og opdater eventuelle automatiserede processer eller dokumentation, der antager, at begge EKU'er er til stede.

Er dette relateret til kortere levetid for SSL-certifikater?

Denne ændring er ikke relateret til den kommende reduktion i levetiden for SSL-certifikater. Det er et separat brancheinitiativ, der fokuserer på at forbedre sikkerheden ved at sikre, at SSL-certifikater udelukkende bruges til deres tilsigtede formål, hvilket reducerer risikoen for misbrug eller fejlkonfiguration.

Vil mine eksisterende SSL-certifikater stadig virke?

Eksisterende SSL-certifikater udstedt før cutoff vil forblive gyldige indtil udløb. Standard HTTPS-webservere og nyligt udstedte SSL-certifikater vil fortsat fungere normalt til servergodkendelse.