Az ügyfél-hitelesítés támogatása TLS-tanúsítványokban hamarosan megszűnik

2025. júl. 25. | Pataki Tamás

A DigiCert bejelentette, hogy fokozatosan megszünteti a Client Authentication kibővített felhasználási cél (EKU) támogatását nyilvános TLS-tanúsítványaiban. A változás nem érinti a tanúsítványok szokásos HTTPS-használatát, azonban hatással lesz olyan alkalmazásokra, mint a Mutual TLS (mTLS) vagy a szerverek közötti hitelesítés.

Miért történik ez?

A változás fő oka, hogy a Google Chrome megszünteti a Client Authentication EKU támogatását. Ez a lépés a nyilvános kulcsú infrastruktúra (PKI) biztonságának és integritásának megerősítését célzó átfogó törekvések része. A Chrome 2026. június 15-től tervezi eltávolítani a megbízható gyökértanúsítványok listájáról azokat a tanúsítványkiadókat, amelyek Client Authentication EKU-val rendelkező tanúsítványokat bocsátanak ki. A cél a többcélú gyökértanúsítványok megszüntetése, mivel ezek potenciálisan visszaélésre adhatnak lehetőséget – ezáltal nő a felhasználók biztonsága.

Kit érint ez a változás?

A változás azon szervezeteket érinti, amelyek nyilvános TLS-tanúsítványokat használnak ügyfél-hitelesítéshez, például mTLS vagy szerverek közötti kommunikáció során. Ha a szervezet kizárólag HTTPS-kapcsolatok védelmére alkalmaz TLS-tanúsítványokat, akkor ez az intézkedés közvetlenül nem befolyásolja a működését. Ugyanakkor, ha a jövőben ügyfél-hitelesítést vagy mTLS-t szeretnének bevezetni, akkor fontos már most felkészülni a változásokra.

Mit tehetünk?

A DigiCert azt javasolja az ügyfél-hitelesítést alkalmazó szervezeteknek, hogy térjenek át alternatív megoldásokra, például az X9 PKI szabványra, privát PKI-szolgáltatásokra vagy a Trust Lifecycle Manageren keresztüli tanúsítványkezelésre. Az X9 PKI kifejezetten a pénzügyi szektor számára készült, és biztonságos, hatékony ügyfél-hitelesítési tanúsítványkezelést tesz lehetővé. Az ilyen alternatívákra való áttérés biztosítja a biztonságos kommunikáció folytonosságát, és megfelel az aktuális és jövőbeli biztonsági elvárásoknak.

Következtetés

A DigiCert TLS-tanúsítványokra vonatkozó ügyfél-hitelesítési támogatásának változása egy szélesebb trend része, amely a nyilvános és privát PKI rendszerek szétválasztását célozza. Azoknak a szervezeteknek, amelyek ügyfél-hitelesítéshez használnak tanúsítványokat, már most érdemes megkezdeniük az átállást más megoldásokra, hogy biztosítsák rendszereik folyamatos, biztonságos működését. Az időben történő alkalmazkodás csökkenti a kockázatokat, és elősegíti a jövőbeli biztonsági szabványoknak való megfelelést.