Er vindt een
fundamentele verschuiving plaats in de architectuur van openbare certificaten.
Op last van rootprogramma’s zoals
Google Chrome worden TLS Client- en
Server-authenticatie strikt gescheiden in afzonderlijke PKI-infrastructuren.
Dit betekent dat de
Client Authentication EKU (Extended Key Usage) uit
standaard openbare TLS-certificaten zal verdwijnen.
Wat zijn Extended Key Usages
(EKUs)?
Een EKU is een
extensie in een digitaal certificaat die bepaalt waarvoor de publieke sleutel
gebruikt mag worden. Tot nu toe bevatten veel TLS-certificaten beide rollen:
- TLS Web
Server Authentication: Om een server te
verifiëren (bijv. een HTTPS-website).
- TLS Web Client Authentication: Om een
client (zoals een device of API-client) te verifiëren bij een server. Deze
tweede functie komt te vervallen.
Wat is de impact voor uw
organisatie?
Voor de meeste
standaard websites (HTTPS) verandert er niets. Echter, als u certificaten
gebruikt voor actieve identificatie, is actie vereist:
- mTLS & API-clients: Gebruikt u momenteel één TLS-certificaat voor zowel server- als
clientverificatie (mutual TLS)? Dan zal een heruitgifte na de deadline leiden
tot verbindingsfouten.
- IoT & Legacy systemen: Apparaten die specifiek zoeken naar de clientAuth
EKU in het certificaat van de tegenpartij zullen de verbinding weigeren.
- Bestaande certificaten: Deze blijven geldig tot hun vervaldatum. Pas bij verlenging of
heruitgifte verdwijnt de client-optie.
Planning: wanneer stopt dit?
De grote
Certificate Authorities (CA's) hanteren de volgende tijdlijnen voor het
stopzetten van de clientAuth EKU:
CA
|
Datum
Wijziging
|
Details
|
DigiCert
|
1 maart 2027
|
Volledige stop.
Certificaten bevatten alleen nog ServerAuth.
|
GlobalSign
|
Augustus 2026
|
Geplande datum
voor beëindiging gecombineerde EKU's.
|
Let op: Networking4all heeft voor DigiCert-gebruikers een technische
overbrugging gerealiseerd, waardoor de EKU tot maart 2027 beschikbaar blijft.
Na deze datum is de scheiding definitief.
Het alternatief: X9 PKI voor
TLS
Voor organisaties
die afhankelijk zijn van host-to-host communicatie, mTLS of API-beveiliging, is
de overstap naar een specifieke PKI-structuur noodzakelijk.
Het
X9 PKI voor TLS-certificaat van
Networking4all is de ideale oplossing. In plaats van te vertrouwen op een
"all-in-one" openbaar certificaat, biedt deze infrastructuur
dedicated certificaten die specifiek zijn ingericht voor client-authenticatie
en niet-browser toepassingen.
Hoe bereidt u zich voor?
- Inventariseer: Breng in kaart waar u momenteel TLS-certificaten gebruikt voor
authenticatie (mTLS, API's, VPN).
- Splits de
rollen: Begin met het scheiden van server- en
client-identiteiten.
- Neem contact op: Onze experts helpen u
bij de migratie naar een toekomstbestendige X9 PKI-oplossing.
Vragen over de
nieuwe EKU-richtlijnen?
Neem contact op
met onze specialisten voor technisch advies op maat.
+31 20
788 1030
support@networking4all.com