Asiakastodennuksen laajennetun avainkäytön (EKU) poistaminen käytöstä

Alan vaatimusten päivitysten vuoksi suuret varmentajat, kuten Sectigo ja Trustico®, ovat ilmoittaneet, että EKU (Client Authentication Extended Key Usage) on poistettu julkisesti luotetuista SSL-sertifikaateista.

Tämä muutos vastaa varmentajien ekosysteemissä vallitsevia laajempia suuntauksia, kun varmentajat siirtyvät toteuttamaan samoja teollisuusstandardeja.

Mikä on Client Authentication EKU?

Client Authentication Extended Key Usage (EKU) on SSL-varmenteiden laajennus, joka mahdollistaa niiden käytön käyttäjien tai laitteiden todentamisessa palvelimiin, yleisesti keskinäisissä TLS- (mTLS) tai palvelinten välisissä todentamisskenaarioissa.

Perinteisesti jotkin SSL-sertifikaatit sisälsivät tämän EKU:n oletusarvoisesti, mikä mahdollisti sekä verkkosivuston turvallisuuden että asiakkaan todennuksen yhdessä SSL-sertifikaatissa.

Poistamisen aikataulu

Poistaminen tapahtuu kahdessa vaiheessa, jotta varmistetaan sujuva siirtyminen kaikille käyttäjille. Syyskuun 15. päivänä 2025 varmentajat lakkaavat sisällyttämästä asiakastodennuksen EKU:ta oletusarvoisesti uusiin myönnettäviin SSL-sertifikaatteihin.

Tämän ensimmäisen vaiheen jälkeen, 15. toukokuuta 2026 mennessä, Client Authentication EKU poistetaan pysyvästi kaikista uusista SSL-varmenteista ilman poikkeuksia.

Miksi tämä muutos tapahtuu?

Tämä päivitys on osa laajempaa muutosta alan standardeissa ja parhaissa käytännöissä. Suuret selainten pääkäyttäjäohjelmat, kuten Google Chromen pääkäyttäjäohjelmakäytäntö, edellyttävät nyt, että varmentajat rajoittavat EKU:n (Extended Key Usages) käyttöä julkisesti luotetuissa SSL-sertifikaateissa.

Nämä SSL-varmenteet on suunniteltu erityisesti selainten ja verkkopalvelimien välisten yhteyksien suojaamiseen. Aikaisemmin asiakkaan todennuksen EKU:n sisällyttäminen palvelimen SSL-sertifikaatteihin on aiheuttanut mahdollisia turvallisuus- ja toimintaongelmia.

Poistamalla Client Authentication EKU:n varmentajat, mukaan lukien Trustico®, noudattavat uusia vaatimuksia, joilla varmistetaan, että SSL-varmenteita käytetään tiukasti niille tarkoitettuihin tarkoituksiin, mikä vähentää väärinkäytön tai vääränlaisen konfiguroinnin riskiä.

Vaikutukset palvelinympäristöihin

Useimmille käyttäjille SSL-varmenteiden asiakastodennuksen EKU:n poistamisella on vain vähän tai ei lainkaan vaikutusta. Nykyiset SSL-varmenteet, jotka on myönnetty ennen päättymispäivää, pysyvät voimassa ja toimivat odotetusti niiden voimassaolon päättymiseen asti.

Tämä muutos ei vaikuta tavallisiin HTTPS:ää käyttäviin verkkopalvelimiin, ja sekä nykyiset että uudistetut SSL-varmenteet, jotka on myönnetty määräajan jälkeen, toimivat edelleen normaalisti tavanomaisissa palvelimen todennustarkoituksissa.

Jos ympäristösi kuitenkin käyttää keskinäistä TLS:ää (mTLS), palvelimelta toiselle tapahtuvaa todennusta tai asiakkaan todennus perustuu mTLS-palvelimen SSL-sertifikaatteihin, sinun on hankittava erillinen SSL-sertifikaatti tai ratkaisu, joka sisältää clientAuth EKU:n.

Lisäksi jotkin vanhat järjestelmät tai yritysjärjestelmät saattavat odottaa, että sekä serverAuth- että clientAuth-EKU:t ovat läsnä. Varmistaaksesi yhteensopivuuden uusimpien alan standardien kanssa on tärkeää tarkistaa, vaativatko järjestelmäsi päivityksiä tämän muutoksen huomioon ottamiseksi.

Miten valmistautua tähän muutokseen

Tuleviin muutoksiin valmistautuminen onnistuu parhaiten tarkistamalla kaikki tällä hetkellä käytössä olevat SSL-varmenteet ja tarkistamalla, sisältävätkö ne clientAuth Extended Key Usage (EKU) -attribuutin.

Arvioi järjestelmiäsi sen määrittämiseksi, onko jokin niistä riippuvainen SSL-sertifikaateista sekä palvelimen että asiakkaan todennustarkoituksiin. Muista, että tulevat SSL-varmenteet myönnetään oletusarvoisesti ilman clientAuth EKU -ominaisuutta, joten on tärkeää suunnitella tulevien uusintojen tai uudelleenjulkaisujen yhteydessä.

Jos haluat päivittää SSL-varmenteesi ennakoivasti, voit antaa ne uudelleen ennen täytäntöönpanon määräaikaa. Tarkista ja päivitä lisäksi kaikki automaattiset SSL-sertifikaattipyyntöskriptit tai sisäinen dokumentaatio, joissa oletettiin aiemmin molempien EKU:iden olemassaolo.

Jos tarvitset apua SSL-sertifikaattien kanssa tai sinulla on kysymyksiä näistä muutoksista, ota yhteyttä Trustico®:iin saadaksesi lisätukea ja opastusta tässä siirtymävaiheessa.

Mikä on mTLS?

mTLS, joka tunnetaan myös nimellä mutual Transport Layer Security (keskinäinen kuljetuskerroksen suojaus), on menetelmä keskinäiseen todennukseen käyttäen tietoturvaprotokollaa, jolla varmistetaan, että sekä asiakas että palvelin varmistavat toistensa henkilöllisyyden digitaalisten varmenteiden avulla ennen suojatun, salatun yhteyden muodostamista.

Toisin kuin tavallinen TLS, joka todentaa vain palvelimen, mTLS edellyttää, että molemmat osapuolet esittävät ja vahvistavat SSL-varmenteet, jolloin arkaluonteiseen viestintään saadaan ylimääräinen luottamuksen ja turvallisuuden taso.

Mikä on TLS?

TLS eli Transport Layer Security on laajalti käytetty salausprotokolla, joka salaa Internetin kautta lähetettävät tiedot varmistaakseen yksityisyyden ja tietojen eheyden kahden kommunikointisovelluksen, kuten verkkoselaimen ja palvelimen, välillä.

TLS auttaa suojaamaan arkaluonteisia tietoja, kuten salasanoja ja luottokorttinumeroita, luvattomien osapuolten sieppaukselta tai peukaloinnilta lähetyksen aikana. Se on SSL:n (Secure Sockets Layer) seuraaja, ja sitä käytetään yleisesti verkkosivujen suojaamiseen, kuten verkko-osoitteissa oleva "https" osoittaa.

Vaikuttaako tämä S/MIME- tai Code Signing -varmenteisiin?

S/MIME- ja Code Signing -varmenteilla on omat EKU-vaatimuksensa (Extended Key Usage), jotka ovat erillisiä TLS-palvelimen SSL-varmenteiden vaatimuksista. Näin ollen tämä muutos ei vaikuta näihin varmentetyyppeihin.

Mitkä ovat avainten määräajat?

Syyskuun 15. päivä 2025 on se päivämäärä, jolloin varmentajat lakkaavat sisällyttämästä oletusarvoisesti asiakastodennuksen EKU:ta uusiin myönnettäviin SSL-varmenteisiin.

Toukokuun 15. päivään 2026 mennessä Client Authentication EKU poistetaan pysyvästi kaikista uusista SSL-varmenteista ilman poikkeuksia.

Mikä on Client Authentication EKU?

Client Authentication Extended Key Usage (EKU) on SSL-sertifikaattien laajennus, jonka avulla ne voivat todentaa käyttäjiä tai laitteita tyypillisesti keskinäisissä TLS- (mTLS) tai palvelinten välisissä skenaarioissa.

Jotkin SSL-sertifikaatit ovat perinteisesti sisältäneet tämän EKU:n oletusarvoisesti, mikä mahdollistaa sekä verkkosivuston turvallisuuden että asiakkaan todennuksen.

Miten tämä vaikuttaa ympäristööni?

Useimmille käyttäjille asiakkaan todennuksen EKU:n poistamisella SSL-sertifikaateista ei ole vaikutusta. Olemassa olevat SSL-sertifikaatit pysyvät voimassa, ja tavalliset HTTPS-palvelimet toimivat edelleen normaalisti.

Ainoastaan ympäristöt, jotka vaativat keskinäistä TLS:ää, asiakastodennusta tai vanhoja järjestelmiä, jotka odottavat molempia EKU:ita, joutuvat hankkimaan erillisen ratkaisun tai päivittämään järjestelmänsä.

Miten minun pitäisi valmistautua tähän muutokseen?

Valmistautuaksesi näihin muutoksiin tarkista nykyiset SSL-varmenteesi clientAuth EKU:n tarkistamiseksi ja tunnista kaikki järjestelmät, jotka vaativat sekä palvelimen että asiakkaan todennusta.

Koska tulevissa SSL-sertifikaateissa ei ole oletusarvoisesti clientAuth EKU:ta, suunnittele uusiminen tai uudelleenjulkaiseminen tarpeen mukaan. Harkitse SSL-varmenteiden uudelleen myöntämistä ennakoivasti ja päivitä kaikki automaattiset prosessit tai dokumentaatio, joissa oletetaan, että molemmat EKU:t ovat läsnä.

Liittyykö tämä lyhyempiin SSL-sertifikaattien käyttöaikoihin?

Tämä muutos ei liity SSL-varmenteiden käyttöiän lyhentämiseen. Kyseessä on erillinen alan aloite, jossa keskitytään turvallisuuden parantamiseen varmistamalla, että SSL-varmenteita käytetään tiukasti niille tarkoitettuihin tarkoituksiin, mikä vähentää väärinkäytön tai vääränlaisen konfiguroinnin riskiä.

Toimivatko olemassa olevat SSL-sertifikaattini edelleen?

Nykyiset SSL-sertifikaatit, jotka on myönnetty ennen rajoitusta, pysyvät voimassa niiden voimassaoloajan päättymiseen asti. Tavalliset HTTPS-verkkopalvelimet ja äskettäin myönnetyt SSL-sertifikaatit toimivat edelleen normaalisti palvelimen todennustarkoituksiin.