Abschaffung der erweiterten Schlüsselverwendung (EKU) für die Client-Authentifizierung
Zane LucasTeilen Sie
Aufgrund von Aktualisierungen der Branchenanforderungen haben große Zertifizierungsstellen, darunter Sectigo und Trustico®, die Abschaffung der erweiterten Schlüsselverwendung (EKU) für die Client-Authentifizierung in öffentlich vertrauenswürdigen SSL-Zertifikaten angekündigt.
Diese Änderung entspricht dem allgemeinen Trend im Ökosystem der Zertifizierungsstellen, da die Zertifizierungsstellen dazu übergehen, dieselben Branchenstandards zu implementieren.
Was ist Client-Authentifizierung EKU?
Client Authentication Extended Key Usage (EKU) ist eine Erweiterung in SSL-Zertifikaten, die ihre Verwendung bei der Authentifizierung von Benutzern oder Geräten gegenüber Servern ermöglicht, in der Regel in gegenseitigen TLS- (mTLS) oder Server-zu-Server-Authentifizierungsszenarien.
Früher enthielten einige SSL-Zertifikate diese EKU standardmäßig, so dass ein einziges SSL-Zertifikat sowohl die Sicherheit der Website als auch die Client-Authentifizierung gewährleisten konnte.
Zeitplan für die Abschaffung
Die Abschaffung wird in zwei Phasen erfolgen, um einen reibungslosen Übergang für alle Benutzer zu gewährleisten. Am 15. September 2025 werden die Zertifizierungsstellen die Client-Authentifizierung EKU nicht mehr standardmäßig in neu ausgestellte SSL-Zertifikate aufnehmen.
Nach dieser ersten Phase wird die Client-Authentifizierungs-EKU bis zum 15. Mai 2026 dauerhaft aus allen neu ausgestellten SSL-Zertifikaten entfernt, ohne Ausnahmen.
Warum wird diese Änderung vorgenommen?
Diese Aktualisierung ist Teil einer umfassenderen Änderung der Branchenstandards und bewährten Verfahren. Wichtige Browser-Root-Programme, wie z. B. die Root-Programm-Richtlinie von Google Chrome, verlangen jetzt von Zertifizierungsstellen, dass sie die Verwendung von Extended Key Usages (EKUs) in öffentlich vertrauenswürdigen SSL-Zertifikaten einschränken.
Diese SSL-Zertifikate sind speziell für die Sicherung von Verbindungen zwischen Browsern und Webservern konzipiert. In der Vergangenheit hat die Einbeziehung der Client-Authentifizierungs-EKU in SSL-Serverzertifikate zu potenziellen Sicherheits- und Betriebsproblemen geführt.
Durch die Entfernung der Client-Authentifizierungs-EKU passen sich Zertifizierungsstellen wie Trustico® den neuen Anforderungen an, um sicherzustellen, dass SSL-Zertifikate strikt für die vorgesehenen Zwecke verwendet werden, und um das Risiko von Missbrauch oder Fehlkonfiguration zu verringern.
Auswirkungen auf Server-Umgebungen
Für die meisten Benutzer wird die Abschaffung der Client-Authentifizierungs-EKU von SSL-Zertifikaten minimale bis keine Auswirkungen haben. Bestehende SSL-Zertifikate, die vor dem Stichtag ausgestellt wurden, bleiben gültig und funktionieren bis zu ihrem Ablaufdatum wie erwartet.
Standard-Webserver, die HTTPS verwenden, sind von dieser Änderung nicht betroffen, und sowohl aktuelle als auch erneuerte SSL-Zertifikate, die nach dem Stichtag ausgestellt wurden, funktionieren weiterhin normal für typische Server-Authentifizierungszwecke.
Wenn Ihre Umgebung jedoch wechselseitiges TLS (mTLS), Server-zu-Server-Authentifizierung oder mTLS-Server-SSL-Zertifikate für die Client-Authentifizierung verwendet, müssen Sie ein separates SSL-Zertifikat oder eine Lösung erwerben, die die clientAuth EKU enthält.
Darüber hinaus können einige Legacy- oder Unternehmenssysteme erwarten, dass sowohl die serverAuth- als auch die clientAuth-EKUs vorhanden sind. Um die Kompatibilität mit den neuesten Industriestandards zu gewährleisten, ist es wichtig zu überprüfen, ob Ihre Systeme Aktualisierungen benötigen, um dieser Änderung gerecht zu werden.
Wie Sie sich auf diese Änderung vorbereiten
Um sich auf die bevorstehenden Änderungen vorzubereiten, ist es am besten, alle derzeit verwendeten SSL-Zertifikate daraufhin zu überprüfen, ob sie das Attribut clientAuth Extended Key Usage (EKU) enthalten.
Beurteilen Sie Ihre Systeme, um festzustellen, ob sie sowohl für Server- als auch für Client-Authentifizierungszwecke auf SSL-Zertifikate angewiesen sind. Denken Sie daran, dass künftige SSL-Zertifikate standardmäßig ohne das clientAuth EKU-Attribut ausgestellt werden, daher ist es wichtig, für anstehende Erneuerungen oder Neuausstellungen entsprechend zu planen.
Wenn Sie Ihre SSL-Zertifikate proaktiv aktualisieren möchten, können Sie sie vor der Durchsetzungsfrist neu ausstellen. Überprüfen und aktualisieren Sie außerdem alle automatisierten Skripte zur Anforderung von SSL-Zertifikaten oder interne Unterlagen, die bisher das Vorhandensein beider EKUs voraussetzten.
Wenn Sie Unterstützung bei Ihren SSL-Zertifikaten benötigen oder Fragen zu diesen Änderungen haben, wenden Sie sich bitte an Trustico®, um weitere Unterstützung und Anleitung für diesen Übergang zu erhalten.
Was ist mTLS?
mTLS, auch bekannt als Mutual Transport Layer Security, ist eine Methode zur gegenseitigen Authentifizierung unter Verwendung eines Sicherheitsprotokolls, das sicherstellt, dass sowohl der Client als auch der Server die Identität des jeweils anderen mit digitalen Zertifikaten überprüfen, bevor sie eine sichere, verschlüsselte Verbindung aufbauen.
Im Gegensatz zu Standard-TLS, bei dem nur der Server authentifiziert wird, müssen bei mTLS beide Parteien SSL-Zertifikate vorlegen und validieren, was eine zusätzliche Vertrauens- und Sicherheitsebene für sensible Kommunikation schafft.
Was ist TLS?
TLS (Transport Layer Security) ist ein weit verbreitetes Verschlüsselungsprotokoll, das die über das Internet gesendeten Daten verschlüsselt, um den Datenschutz und die Datenintegrität zwischen zwei kommunizierenden Anwendungen, z. B. einem Webbrowser und einem Server, zu gewährleisten.
TLS schützt sensible Daten wie Passwörter und Kreditkartennummern davor, dass sie während der Übertragung von Unbefugten abgefangen oder manipuliert werden. TLS ist der Nachfolger von SSL (Secure Sockets Layer) und wird in der Regel zur Sicherung von Websites verwendet, was durch das "https" in Webadressen angezeigt wird.
Hat dies Auswirkungen auf S/MIME- oder Code Signing-Zertifikate?
S/MIME- und Code Signing-Zertifikate haben ihre eigenen spezifischen EKU-Anforderungen (Extended Key Usage), die sich von denen der TLS-Server-SSL-Zertifikate unterscheiden. Daher sind diese Zertifikatstypen von dieser Änderung nicht betroffen.
Was sind die Schlüsselfristen?
Am 15. September 2025 werden die Zertifizierungsstellen aufhören, die Client-Authentifizierungs-EKU standardmäßig in neu ausgestellte SSL-Zertifikate aufzunehmen.
Bis zum 15. Mai 2026 wird die Client-Authentifizierungs-EKU dauerhaft aus allen neu ausgestellten SSL-Zertifikaten entfernt, ohne Ausnahmen.
Was ist Client-Authentifizierung EKU?
Die Client Authentication Extended Key Usage (EKU) ist eine Erweiterung in SSL-Zertifikaten, die es ermöglicht, Benutzer oder Geräte zu authentifizieren, typischerweise in gegenseitigen TLS- (mTLS) oder Server-zu-Server-Szenarien.
Einige SSL-Zertifikate enthalten diese EKU standardmäßig und ermöglichen sowohl die Sicherheit der Website als auch die Authentifizierung des Kunden.
Wie wirkt sich dies auf meine Umgebung aus?
Für die meisten Benutzer hat das Entfernen der EKU für die Client-Authentifizierung aus SSL-Zertifikaten keine Auswirkungen. Vorhandene SSL-Zertifikate bleiben gültig, und Standard-HTTPS-Server funktionieren weiterhin normal.
Nur Umgebungen, die gegenseitiges TLS, Client-Authentifizierung oder Legacy-Systeme benötigen, die beide EKUs erwarten, müssen eine separate Lösung erwerben oder ihre Systeme aktualisieren.
Wie sollte ich mich auf diese Änderung vorbereiten?
Um sich auf diese Änderungen vorzubereiten, überprüfen Sie Ihre aktuellen SSL-Zertifikate auf die clientAuth EKU und identifizieren Sie alle Systeme, die sowohl Server- als auch Client-Authentifizierung erfordern.
Da künftige SSL-Zertifikate die clientAuth EKU nicht standardmäßig enthalten werden, sollten Sie bei Bedarf Erneuerungen oder Neuausstellungen einplanen. Erwägen Sie eine proaktive Neuausstellung von SSL-Zertifikaten und aktualisieren Sie alle automatisierten Prozesse oder Dokumentationen, die davon ausgehen, dass beide EKUs vorhanden sind.
Steht dies im Zusammenhang mit der kürzeren Lebensdauer von SSL-Zertifikaten?
Diese Änderung steht in keinem Zusammenhang mit der bevorstehenden Verkürzung der Lebenszeit von SSL-Zertifikaten. Es handelt sich um eine separate Brancheninitiative, die darauf abzielt, die Sicherheit zu erhöhen, indem sichergestellt wird, dass SSL-Zertifikate ausschließlich für den vorgesehenen Zweck verwendet werden, wodurch das Risiko eines Missbrauchs oder einer Fehlkonfiguration verringert wird.
Werden meine bestehenden SSL-Zertifikate noch funktionieren?
Bestehende SSL-Zertifikate, die vor dem Ablauf der Frist ausgestellt wurden, bleiben bis zum Ablaufdatum gültig. Standard-HTTPS-Webserver und neu ausgestellte SSL-Zertifikate funktionieren weiterhin normal für die Server-Authentifizierung.
