De afschaffing van Client Authentication Extended Key Usage (EKU)

Als gevolg van updates in de industrie-eisen, hebben grote Certificate Authorities waaronder Sectigo en Trustico® aangekondigd dat de Client Authentication Extended Key Usage (EKU) niet meer wordt gebruikt voor publiek vertrouwde SSL Certificaten.

Deze verandering is in lijn met bredere trends in het Certificate Authority ecosysteem, aangezien Certificate Authorities dezelfde industriestandaarden gaan implementeren.

Wat is EKU voor Client Authenticatie?

De Client Authentication Extended Key Usage (EKU) is een uitbreiding in SSL Certificaten die het mogelijk maakt om gebruikers of apparaten te verifiëren bij servers, meestal in wederzijdse TLS (mTLS) of server-naar-server verificatiescenario's.

Traditioneel bevatten sommige SSL Certificaten standaard deze EKU, waardoor zowel websitebeveiliging als clientverificatie mogelijk zijn in een enkel SSL Certificaat.

Tijdlijn voor afschrijving

De afschaffing zal in twee fasen plaatsvinden om een soepele overgang voor alle gebruikers te garanderen. Op 15 september 2025 zullen certificeringsinstanties stoppen met het standaard opnemen van de EKU voor clientverificatie in nieuw uitgegeven SSL-certificaten.

Na deze eerste fase, op 15 mei 2026, zal de Client Authentication EKU permanent worden verwijderd uit alle nieuw uitgegeven SSL Certificaten, zonder uitzonderingen.

Waarom gebeurt deze verandering?

Deze update maakt deel uit van een bredere verschuiving in industriestandaarden en best practices. Belangrijke browser rootprogramma's, zoals het beleid van Google Chrome voor rootprogramma's, vereisen nu van certificeringsinstanties dat ze het gebruik van Extended Key Usages (EKU's) beperken in openbaar vertrouwde SSL Certificaten.

Deze SSL Certificaten zijn speciaal ontworpen voor het beveiligen van verbindingen tussen browsers en webservers. In het verleden heeft het opnemen van de EKU voor Client Authentication in SSL Certificaten voor servers potentiële veiligheids- en operationele problemen met zich meegebracht.

Door de EKU voor Client Authenticatie te verwijderen, voldoen certificeringsinstanties zoals Trustico® aan de nieuwe vereisten om ervoor te zorgen dat SSL Certificaten strikt worden gebruikt voor de doeleinden waarvoor ze zijn bedoeld, waardoor het risico op misbruik of verkeerde configuratie wordt verminderd.

Effecten op serveromgevingen

Voor de meeste gebruikers zal de afschaffing van de EKU voor clientauthenticatie van SSL-certificaten minimale tot geen gevolgen hebben. Bestaande SSL Certificaten die zijn uitgegeven vóór de sluitingsdatum blijven geldig en blijven werken zoals verwacht tot hun vervaldatum.

Standaard webservers die HTTPS gebruiken zullen niet worden beïnvloed door deze verandering, en zowel huidige als vernieuwde SSL Certificaten die zijn uitgegeven na de sluitingsdatum zullen normaal blijven werken voor typische serververificatiedoeleinden.

Als uw omgeving echter gebruik maakt van wederzijdse TLS (mTLS), server-naar-server verificatie, of vertrouwt op mTLS server SSL Certificaten voor clientverificatie, dan moet u een apart SSL Certificaat of oplossing verkrijgen die de clientAuth EKU bevat.

Bovendien kunnen sommige oudere of bedrijfssystemen verwachten dat zowel de serverAuth als de clientAuth EKU's aanwezig zijn. Om compatibiliteit met de nieuwste industriestandaarden te garanderen, is het belangrijk om te controleren of uw systemen updates nodig hebben voor deze verandering.

Hoe voor te bereiden op deze verandering

Om u voor te bereiden op de komende veranderingen, kunt u het beste alle SSL Certificaten die u momenteel gebruikt controleren om te zien of ze het clientAuth Extended Key Usage (EKU) attribuut bevatten.

Beoordeel uw systemen om te bepalen of er SSL Certificaten worden gebruikt voor zowel server- als clientverificatiedoeleinden. Houd er rekening mee dat toekomstige SSL Certificaten standaard zullen worden uitgegeven zonder de clientAuth EKU, dus het is belangrijk om dienovereenkomstig te plannen voor komende vernieuwingen of heruitgaven.

Als u uw SSL Certificaten proactief wilt bijwerken, kunt u ervoor kiezen om ze opnieuw uit te geven vóór de handhavingstermijn. Daarnaast moet u alle geautomatiseerde aanvraagscripts voor SSL-certificaten of interne documentatie die voorheen uitgingen van de aanwezigheid van beide EKU's, controleren en bijwerken.

Als u hulp nodig heeft met uw SSL Certificaten of vragen heeft over deze veranderingen, neem dan contact op met Trustico® voor verdere ondersteuning en begeleiding bij deze overgang.

Wat is mTLS?

mTLS, ook bekend als wederzijdse Transport Layer Security, is een methode voor wederzijdse authenticatie met behulp van een beveiligingsprotocol dat ervoor zorgt dat zowel de client als de server elkaars identiteit verifiëren met behulp van digitale certificaten voordat een veilige, versleutelde verbinding tot stand wordt gebracht.

In tegenstelling tot standaard TLS, dat alleen de server verifieert, vereist mTLS dat beide partijen SSL Certificaten voorleggen en valideren, wat een extra laag van vertrouwen en beveiliging biedt voor gevoelige communicatie.

Wat is TLS?

TLS, of Transport Layer Security, is een veelgebruikt encryptieprotocol dat gegevens versleutelt die via het internet worden verzonden om de privacy en gegevensintegriteit tussen twee communicerende toepassingen, zoals een webbrowser en een server, te waarborgen.

TLS helpt gevoelige informatie, zoals wachtwoorden en creditcardnummers, te beschermen tegen onderschepping of geknoei door onbevoegden tijdens de overdracht. Het is de opvolger van SSL (Secure Sockets Layer) en wordt vaak gebruikt om websites te beveiligen, zoals aangegeven door de "https" in webadressen.

Heeft dit invloed op S/MIME of Code Signing Certificaten?

S/MIME en Code Signing Certificaten hebben hun eigen specifieke EKU-vereisten (Extended Key Usage) die los staan van die van TLS server SSL Certificaten. Als gevolg hiervan worden deze Certificaattypes niet beïnvloed door deze wijziging.

Wat zijn de belangrijkste deadlines?

Op 15 september 2025 zullen certificeringsinstanties stoppen met het standaard opnemen van de EKU voor Client Authentication in nieuw uitgegeven SSL Certificaten.

Tegen 15 mei 2026 zal de EKU voor Client Authenticatie permanent worden verwijderd uit alle nieuw uitgegeven SSL Certificaten, zonder uitzonderingen.

Wat is Client Authenticatie EKU?

De Client Authentication Extended Key Usage (EKU) is een uitbreiding in SSL Certificaten die het mogelijk maakt om gebruikers of apparaten te authenticeren, meestal in wederzijdse TLS (mTLS) of server-to-server scenario's. Sommige SSL Certificaten hebben traditioneel een EKU voor clientauthenticatie inbegrepen.

Sommige SSL Certificaten bevatten deze EKU standaard, waardoor zowel websitebeveiliging als clientverificatie mogelijk is.

Hoe beïnvloedt dit mijn omgeving?

Voor de meeste gebruikers zal het verwijderen van de EKU voor clientverificatie uit SSL Certificaten geen gevolgen hebben. Bestaande SSL Certificaten blijven geldig en standaard HTTPS servers zullen normaal blijven werken.

Alleen omgevingen die wederzijdse TLS, clientverificatie of verouderde systemen vereisen die beide EKU's verwachten, zullen een aparte oplossing moeten aanschaffen of hun systemen moeten bijwerken.

Hoe moet ik me voorbereiden op deze verandering?

Om u voor te bereiden op deze veranderingen, controleert u uw huidige SSL Certificaten op de clientAuth EKU en identificeert u alle systemen die zowel server- als clientverificatie vereisen.

Aangezien toekomstige SSL Certificaten niet standaard de ClientAuth EKU zullen bevatten, moet u zo nodig vernieuwing of heruitgaven plannen. Overweeg om SSL Certificaten proactief opnieuw uit te geven en werk alle geautomatiseerde processen of documentatie bij die ervan uitgaan dat beide EKU's aanwezig zijn.

Heeft dit te maken met de kortere levensduur van SSL-certificaten?

Deze verandering houdt geen verband met de komende verkorting van de levensduur van SSL-certificaten. Het is een afzonderlijk initiatief van de industrie gericht op het verbeteren van de veiligheid door ervoor te zorgen dat SSL Certificaten strikt worden gebruikt voor de doeleinden waarvoor ze zijn bedoeld, waardoor het risico van misbruik of verkeerde configuratie wordt verminderd.

Zullen mijn bestaande SSL Certificaten nog werken?

Bestaande SSL Certificaten die zijn uitgegeven vóór de deadline blijven geldig tot de vervaldatum. Standaard HTTPS webservers en nieuw uitgegeven SSL Certificaten zullen normaal blijven werken voor serververificatiedoeleinden.