Klientská autentizace v TLS certifikátech brzo skončí

25. 7. 2025 | Jindřich Zechmeister

DigiCert oznámil, že postupně ukončí podporu rozšířeného účelu použití Client Authentication ve svých veřejných TLS certifikátech. Změna se netýká běžného použití certifikátů pro HTTPS, ale ovlivní scénáře jako je Mutual TLS (mTLS) či server-to-server autentizace.

Proč k tomu dochází?

Hlavním důvodem pro tuto změnu je ukončení podpory Client Authentication EKU v prohlížeči Google Chrome. Tento krok je součástí širšího úsilí o zajištění bezpečnosti a integrity veřejného klíče infrastruktury (PKI). Google Chrome plánuje od 15. června 2026 odstranit z důvěryhodného seznamu kořenových certifikátů ty, které vydávají certifikáty s Client Authentication EKU. Tento krok má za cíl eliminovat multipurpose kořenové certifikáty, které mohou být zneužity pro různé účely, a tím zvýšit bezpečnost uživatelů.

Kdo je touto změnou ovlivněn?

Tato změna se dotkne organizací, které používají veřejné TLS certifikáty pro klientskou autentizaci, například v rámci mTLS nebo server-to-server komunikace. Pokud vaše organizace využívá TLS certifikáty pouze pro zabezpečení HTTPS komunikace, tato změna se vás přímo netýká. Nicméně, pokud plánujete implementovat mTLS nebo jiné formy klientské autentizace v budoucnu, je důležité se na tuto změnu připravit.

Co s tím?

DigiCert doporučuje organizacím, které potřebují klientskou autentizaci, přejít na alternativní řešení, jako je X9 PKI, privátní PKI služby nebo správu certifikátů prostřednictvím Trust Lifecycle Manager. X9 PKI je standard navržený pro finanční sektor, který umožňuje bezpečnou a efektivní správu certifikátů pro klientskou autentizaci. Přechod na tato řešení zajistí kontinuitu bezpečné komunikace a souladu s aktuálními bezpečnostními standardy.

Závěr

Změna v podpoře klientské autentizace v TLS certifikátech od DigiCertu je součástí širšího trendu směřujícího k oddělení veřejné a privátní PKI infrastruktury. Organizace, které využívají certifikáty pro klientskou autentizaci, by měly začít plánovat přechod na alternativní řešení, aby zajistily kontinuitu a bezpečnost svých systémů. Včasná adaptace na tuto změnu pomůže minimalizovat rizika a zajistit souladu s budoucími bezpečnostními standardy.