Klientska autentifikácia v TLS certifikátoch čoskoro skončí.
25.7.2025 | Jindřich Zechmeister
DigiCert oznámil, že postupne ukončí podporu rozšíreného účelu použitia Client Authentication vo svojich verejných TLS certifikátoch. Zmena sa netýka bežného použitia certifikátov pre HTTPS, ale ovplyvní scenáre ako je Mutual TLS (mTLS) či server-to-server autentifikácia.
Prečo k tomu dochádza?
Hlavným dôvodom pre túto zmenu je ukončenie podpory Client Authentication EKU v prehliadači Google Chrome. Tento krok je súčasťou širšieho úsilia o zabezpečenie bezpečnosti a integrity verejného kľúča infraštruktúry (PKI). Google Chrome plánuje od 15. júna 2026 odstrániť z dôveryhodného zoznamu koreňových certifikátov tie, ktoré vydávajú certifikáty s Client Authentication EKU. Tento krok má za cieľ eliminovať multipurpose koreňové certifikáty, ktoré môžu byť zneužité pre rôzne účely, a tým zvýšiť bezpečnosť používateľov.
Kto je touto zmenou ovplyvnený?
Táto zmena sa dotkne organizácií, ktoré používajú verejné TLS certifikáty pre klientskú autentikáciu, napríklad v rámci mTLS alebo server-to-server komunikácie. Ak vaša organizácia využíva TLS certifikáty iba pre zabezpečenie HTTPS komunikácie, táto zmena sa vás priamo netýka. Avšak, ak plánujete implementovať mTLS alebo iné formy klientskej autentikácie v budúcnosti, je dôležité sa na túto zmenu pripraviť.
Čo s tým?
DigiCert odporúča organizáciám, ktoré potrebujú klientskú autentikáciu, prejsť na alternatívne riešenia, ako je X9 PKI, privátne PKI služby alebo správu certifikátov prostredníctvom Trust Lifecycle Manager. X9 PKI je štandard navrhnutý pre finančný sektor, ktorý umožňuje bezpečnú a efektívnu správu certifikátov pre klientskú autentikáciu. Prechod na tieto riešenia zaistí kontinuitu bezpečnej komunikácie a súlad s aktuálnymi bezpečnostnými štandardmi.
Záver
Zmena v podpore klientskej autentikácie v TLS certifikátoch od DigiCertu je súčasťou širšieho trendu smerujúceho k oddeleniu verejnej a privátnej PKI infraštruktúry. Organizácie, ktoré využívajú certifikáty pre klientskú autentikáciu, by mali začať plánovať prechod na alternatívne riešenia, aby zaistili kontinuitu a bezpečnosť svojich systémov. Včasná adaptácia na túto zmenu pomôže minimalizovať riziká a zaistiť súlad s budúcimi bezpečnostnými štandardmi.
