Deprecazione dell'uso esteso della chiave di autenticazione del cliente (EKU)

A causa degli aggiornamenti dei requisiti del settore, le principali Autorità di Certificazione, tra cui Sectigo® e Trustico®, hanno annunciato la deprecazione dell'Extended Key Usage (EKU) di autenticazione del cliente dai certificati SSL pubblicamente affidabili.

Questo cambiamento è in linea con le tendenze più ampie dell'ecosistema delle autorità di certificazione, che si stanno muovendo per implementare gli stessi standard di settore.

Cos'è l'EKU di autenticazione del cliente?

L'Extended Key Usage (EKU) dell'autenticazione del cliente è un'estensione dei certificati SSL che ne consente l'utilizzo per l'autenticazione di utenti o dispositivi ai server, in genere in scenari di autenticazione reciproca TLS (mTLS) o da server a server.

Tradizionalmente, alcuni certificati SSL includevano questa EKU per impostazione predefinita, consentendo sia la sicurezza del sito web che l'autenticazione del cliente in un unico certificato SSL.

Tempistica della deprecazione

La deprecazione avverrà in due fasi per garantire una transizione graduale a tutti gli utenti. Il 15 settembre 2025, le autorità di certificazione smetteranno di includere l'EKU di autenticazione del cliente per impostazione predefinita nei certificati SSL di nuova emissione.

Dopo questa prima fase, entro il 15 maggio 2026, l'EKU di autenticazione del cliente sarà definitivamente rimossa da tutti i certificati SSL di nuova emissione, senza eccezioni.

Perché questo cambiamento?

Questo aggiornamento fa parte di un cambiamento più ampio negli standard e nelle best practice del settore. I principali programmi di root dei browser, come la politica del programma di root di Google Chrome, ora richiedono alle autorità di certificazione di limitare l'uso delle chiavi estese (EKU) nei certificati SSL pubblicamente affidabili.

Questi certificati SSL sono progettati specificamente per proteggere le connessioni tra browser e server web. Storicamente, l'inclusione dell'EKU di autenticazione del cliente nei certificati SSL dei server ha introdotto potenziali problemi operativi e di sicurezza.

Rimuovendo l'EKU di autenticazione del cliente, le autorità di certificazione, tra cui Trustico®, si allineano ai nuovi requisiti per garantire che i certificati SSL siano utilizzati rigorosamente per gli scopi previsti, riducendo il rischio di uso improprio o di errata configurazione.

Effetti sugli ambienti server

Per la maggior parte degli utenti, la deprecazione dell'EKU di autenticazione client dai certificati SSL avrà un impatto minimo o nullo. I certificati SSL esistenti, emessi prima della data di scadenza, rimarranno validi e continueranno a funzionare come previsto fino alla loro scadenza.

I server web standard che utilizzano HTTPS non saranno interessati da questa modifica e i certificati SSL attuali e rinnovati, emessi dopo la data di scadenza, continueranno a funzionare normalmente per l'autenticazione tipica del server.

Tuttavia, se il vostro ambiente utilizza la mutua TLS (mTLS), l'autenticazione da server a server o si affida a certificati SSL per server mTLS per l'autenticazione dei client, dovrete ottenere un certificato SSL separato o una soluzione che includa l'EKU clientAuth.

Inoltre, alcuni sistemi aziendali o legacy potrebbero richiedere la presenza delle EKU serverAuth e clientAuth. Per garantire la compatibilità con i più recenti standard di settore, è importante verificare se i vostri sistemi necessitano di aggiornamenti per adattarsi a questo cambiamento.

Come prepararsi a questo cambiamento

Per prepararsi ai cambiamenti imminenti, la cosa migliore da fare è rivedere tutti i certificati SSL attualmente in uso per verificare se includono l'attributo clientAuth Extended Key Usage (EKU).

Valutate i vostri sistemi per determinare se si affidano a certificati SSL per l'autenticazione sia del server che del client. Tenete presente che i futuri certificati SSL saranno emessi, per impostazione predefinita, senza l'EKU clientAuth, quindi è importante pianificare di conseguenza i prossimi rinnovi o riemissioni.

Se desiderate aggiornare in modo proattivo i vostri certificati SSL, potete scegliere di riemetterli prima della scadenza dell'applicazione. Inoltre, rivedete e aggiornate qualsiasi script di richiesta automatica di certificati SSL o documentazione interna che in precedenza presupponeva la presenza di entrambe le EKU.

Se avete bisogno di assistenza con i vostri certificati SSL o avete domande su questi cambiamenti, contattate Trustico® per ulteriore supporto e guida in questa transizione.

Che cos'è mTLS?

l'mTLS, noto anche come mutual Transport Layer Security, è un metodo di autenticazione reciproca che utilizza un protocollo di sicurezza che garantisce che sia il client che il server si verifichino reciprocamente l'identità tramite certificati digitali prima di stabilire una connessione sicura e crittografata.

A differenza del TLS standard, che autentica solo il server, l'mTLS richiede a entrambe le parti di presentare e convalidare i certificati SSL, fornendo un ulteriore livello di fiducia e sicurezza per le comunicazioni sensibili.

Che cos'è TLS?

TLS, o Transport Layer Security, è un protocollo di crittografia ampiamente utilizzato che codifica i dati inviati su Internet per garantire la privacy e l'integrità dei dati tra due applicazioni comunicanti, come un browser web e un server.

TLS aiuta a proteggere le informazioni sensibili, come password e numeri di carta di credito, dall'intercettazione o dalla manomissione da parte di soggetti non autorizzati durante la trasmissione. È il successore di SSL (Secure Sockets Layer) ed è comunemente usato per proteggere i siti web, come indicato da "https" negli indirizzi web.

Questo ha un impatto sui certificati S/MIME o Code Signing?

I certificati S/MIME e Code Signing hanno requisiti specifici di Extended Key Usage (EKU) separati da quelli dei certificati SSL per server TLS. Di conseguenza, questi tipi di certificati non saranno interessati da questa modifica.

Quali sono le scadenze delle chiavi?

Il 15 settembre 2025 le autorità di certificazione smetteranno di includere l'EKU di autenticazione del cliente per impostazione predefinita nei certificati SSL di nuova emissione.

Entro il 15 maggio 2026, l'EKU di autenticazione del cliente sarà definitivamente rimossa da tutti i certificati SSL di nuova emissione, senza eccezioni.

Cos'è l'EKU di autenticazione del cliente?

La Client Authentication Extended Key Usage (EKU) è un'estensione dei certificati SSL che consente di autenticare utenti o dispositivi, in genere in scenari mutual TLS (mTLS) o server-to-server.

Alcuni certificati SSL hanno tradizionalmente incluso questa EKU per impostazione predefinita, consentendo sia la sicurezza del sito web che l'autenticazione del cliente.

Qual è l'impatto sul mio ambiente?

Per la maggior parte degli utenti, la rimozione dell'EKU di autenticazione client dai certificati SSL non avrà alcun impatto. I certificati SSL esistenti rimangono validi e i server HTTPS standard continueranno a funzionare normalmente.

Solo gli ambienti che richiedono il TLS reciproco, l'autenticazione client o i sistemi legacy che prevedono entrambe le EKU dovranno procurarsi una soluzione separata o aggiornare i loro sistemi.

Come prepararsi a questo cambiamento?

Per prepararsi a questi cambiamenti, controllare i certificati SSL attuali per verificare la presenza dell'EKU clientAuth e identificare eventuali sistemi che richiedono l'autenticazione sia del server che del client.

Poiché i futuri certificati SSL non includeranno l'EKU clientAuth per impostazione predefinita, pianificate i rinnovi o le riemissioni se necessario. Considerate la possibilità di riemettere i certificati SSL in modo proattivo e aggiornate tutti i processi automatizzati o la documentazione che presuppongono la presenza di entrambe le EKU.

Questa modifica è correlata alla riduzione della durata di vita dei certificati SSL?

Questa modifica non è correlata all'imminente riduzione della durata dei certificati SSL. Si tratta di un'iniziativa separata del settore che mira a migliorare la sicurezza garantendo che i certificati SSL siano utilizzati rigorosamente per gli scopi previsti, riducendo così il rischio di uso improprio o di configurazione errata.

I miei certificati SSL esistenti funzioneranno ancora?

I certificati SSL esistenti, emessi prima della scadenza, rimarranno validi fino alla scadenza. I server web HTTPS standard e i certificati SSL appena emessi continueranno a funzionare normalmente per l'autenticazione del server.