DigiCert wird die Unterstützung der Client-Authentifizierung in TLS-Zertifikaten einstellen

(11.6.2025) DigiCert hat bekannt gegeben, dass es die Unterstützung des erweiterten Verwendungszwecks der Client-Authentifizierung in seinen öffentlichen TLS-Zertifikaten schrittweise einstellen wird. Die Änderung betrifft nicht die normale Verwendung von Zertifikaten für HTTPS, sondern beeinflusst Szenarien wie Mutual TLS (mTLS) oder Server-zu-Server-Authentifizierung.

Grund und Zeitplan für die Einstellung der Client-Authentifizierung EKU.

Der Grund für diese Änderung ist die Einstellung der Unterstützung für Client-Authentifizierung EKU in Google Chrome. Dies wird im Google Chrome Root Programm gefordert. Der Zeitplan für die Änderung ist wie folgt:

• Ab dem 1. Oktober 2025 wird dieses EKU nicht mehr standardmäßig hinzugefügt, kann aber manuell ausgewählt werden.
• Ab dem 1. Mai 2026 wird es nicht mehr möglich sein, das EKU für die Client-Authentifizierung hinzuzufügen – dies betrifft auch Erneuerungen, Neuinstallationen und Zertifikatsduplikate.

Wie erhält man dieses EKU?

Dieses EKU wird vor allem im Bankensektor verwendet. Benutzern, die weiterhin eine Client-Authentifizierung benötigen, empfiehlt DigiCert den Wechsel zu X9 PKI (für den Bankensektor), die Nutzung privater PKI-Dienste oder die Verwaltung von Zertifikaten über den Trust Lifecycle Manager.

Quelle und weitere Informationen

DigiCert: Sunsetting the client authentication EKU from DigiCert public TLS certificates