影响范围:
公共可信TLS服务器证书(如网站HTTPS证书)必须移除“客户端身份验证”(Client Authentication)EKU标识,仅保留服务器身份验证EKU(Server Authentication, OID1.3.6.1.5.5.7.3.1)
不影响的证书:
专用客户端证书(如企业mTLS证书)
私有PKI体系内的证书
DigiCert执行时间
自2025年10月1日起,DigiCert将默认停止在公共可信TLS证书中包含客户端身份验证EKU,颁发仅包含服务器身份验证EKU的证书。但您仍可在注册公共可信TLS证书时手动选择客户端身份验证EKU;
自2026年5月1日起,DigiCert将在所有公开TLS证书的颁发流程中(包括续订、重新颁发和重签发证书)完全移除客户端身份验证EKU。在申请公共可信TLS证书时,您无法再手动选择用户端身分验证EKU。
什么是扩展密钥用途(EKU)?
扩展密钥用法 (EKU)是证书扩展,定义数字证书中公钥的预期功能。它建立了一组结构化的允许应用程序,确保密钥仅用于特定的加密操作。此功能受以下条款管辖:对象标识符(OID)— 对每种允许的用途进行分类的唯一数字标识符,例如代码签名、服务器身份验证、客户端身份验证或安全电子邮件。当身份验证基于证书时,验证实体会审查证书以识别 EKU 内的对象标识符 (OID)。通过添加EKU扩展,证书颁发机构(CA)将证书的范围限制为预定义的角色,每个指定的目的明确映射到一个 OID。
例如:
TLS Web 服务器身份验证,表示该证书可用于验证服务器(例如 HTTPS 网站)。服务器身份验证对应的 OID 是1.3.6.1.5.5.7.3.1
TLS Web 客户端身份验证,表示客户端可以使用该证书向服务器进行身份验证(例如,用于相互验证的客户端证书)。分配给客户端身份验证的 OID 是1.3.6.1.5.5.7.3.2
对SSL/TLS证书使用的影响
绝大多数SSL/TLS证书使用场景中,这一变化不会影响使用。 只有以下情况中会造成影响:
将SSL/TLS证书作为客户端身份认证证书:在一些金融行业或安全性较高的业务场景中,不少企业将对端SSL/TLS证书作为其服务器的客户端身份认证证书进行安全准入认证。当未来证书移除客户端身份认证EKU标识后,SSL/TLS证书将无法再被用来完成认证。推荐使用DigiCert®X9 PKI解决方案完成认证。
API 客户端、物联网设备等的证书:服务端或者智能网关需要通过带有客户端身份认证clientAuth EKU标识的证书,完成对设备的身份认证。这种场景下,您需要获取专用的客户端身份验证证书或解决方案。推荐使用DigiCert® Device Trust Manager解决方案或者DigiCert® Matter认证证书。
什么是X9 PKI解决方案
DigiCert的TLS证书X9 PKI解决方案,是专为金融行业设计的公钥基础设施(Public Key Infrastructure)。X9 PKI是由金融机构主导构建的独立公钥基础设施,与传统面向浏览器的Web PKI不同,它针对金融交易场景(如银行间清算、ATM互联等)优化设计,确保交易安全性和系统稳定性。同时,X9 PKI受ASC X9标准机构的规范,由独立于浏览器的凭证原则所管理,但透过使用共用的信任根来确保互通性。
X9 PKI是金融行业为突破传统Web PKI局限而构建的专用安全基础设施,通过行业自治的证书体系,保障关键金融系统的稳定运行与跨机构安全协作。其核心价值在于将技术演进主导权回归金融机构,避免外部生态变动引发的系统性风险。
