Ułatwienia dostępu

Przywróć domyślne

Język

Aktywuj lub odnów podpis elektroniczny

Aktywuj podpis elektroniczny

Jak aktywować NOWY
podpis elektroniczy Certum?

Aktywacja e-podpisu

Odnowienie podpisu elektronicznego

Aktywacja ODNOWIENIA
e-podpisu Certum krok po kroku

Odnowienie podpisu

Aktywacja odnowienia podpisu elektronicznego - szczegółowa instrukcja

Strona główna ogłoszeń

2025-10-21

Wycofanie rozszerzenia EKU clientAuth z certyfikatów SSL/TLS Certum

Najważniejsze informacje

Od października 2025 branża certyfikatów SSL/TLS przechodzi istotną zmianę – publiczne certyfikaty SSL/TLS nie będą już zawierać rozszerzenia Extended Key Usage (EKU) TLS Web Client Authentication (clientAuth). To rozszerzenie certyfikatu, które pozwalało używać jednego certyfikatu SSL/TLS zarówno do uwierzytelniania serwera, jak i klienta w scenariuszach mutual TLS (mTLS).

W odpowiedzi na potrzeby rynku Certum będzie kontynuować wydawanie certyfikatów SSL/TLS z EKU clientAuth do 15 maja 2026. Po tej dacie certyfikaty SSL/TLS z EKU clientAuth będą dostępne wyłącznie w ramach rozwiązań prywatnych CA.

Zmiana ta wynika z nowych wymagań przeglądarek (Chrome Root Program Policy) oraz globalnych standardów bezpieczeństwa i dotyczy wszystkich certyfikatów SSL/TLS:

  • Certum Commercial SSL (DV),
  • Certum Trusted SSL (OV),
  • Certum Premium EV SSL (EV).

Kluczowe daty

  • 15 czerwca 2025 – nowe certyfikaty pośrednie (SubCA) nie mogą już zawierać jednocześnie EKU serverAuth i EKU clientAuth,
  • październik 2025 – CA rozpoczynają wycofywanie EKU clientAuth w certyfikatach SSL/TLS,
  • 15 maja 2026 – Certum kończy wydawanie publicznych certyfikatów SSL/TLS z EKU clientAuth,
  • 15 czerwca 2026 – Chrome przestaje ufać certyfikatom SSL/TLS zawierającym jednocześnie EKU serverAuth i EKU clientAuth.

Jak się przygotować?

Zalecana jest inwentaryzacja certyfikatów SSL/TLS:

  • Jeśli certyfikaty SSL/TLS używane są wyłącznie do zabezpieczania stron internetowych (HTTPS), nie trzeba podejmować żadnych działań.
  • Jeśli zostaną wykryte scenariusze, w których certyfikat SSL/TLS wykorzystywany jest do uwierzytelniania serwera i klienta – zalecana jest migracja infrastruktury do osobnych certyfikatów SSL/TLS dla EKU serverAuth i EKU clientAuth dla każdego przypadku użycia.

Co się stanie z certyfikatami SSL/TLS z EKU clientAuth po 15 czerwca 2026?

  • Chrome przestanie ufać tylko nowym certyfikatom publicznym SSL/TLS z EKU clientAuth wydanym po 15 czerwca 2026.
  • Certyfikaty SSL/TLS wydane z EKU clientAuth zgodnie z terminami podanymi przez Certum, czyli do 15 maja 2026, pozostaną ważne i akceptowane przez Chrome do końca swojego okresu ważności.
  • Jeśli po 15 czerwca 2026 dla certyfikatów SSL/TLS z EKU clientAuth wystąpią problemy z zaufaniem, certyfikat będzie można wymienić na nowy, bez EKU clientAuth, wykorzystując standardową procedurę reissue w Certum.

Dlaczego to się zmienia?

Zmiana wynika z globalnych wymagań bezpieczeństwa i polityk przeglądarek:

  • Nie będzie już możliwe zamówienie uniwersalnego certyfikatu SSL/TLS do obu zastosowań (serwer + klient) w publicznym CA.
  • Chrome Root Program Policy wymaga, aby certyfikaty SSL/TLS były jednozadaniowe (single-purpose) – osobno dla serwera, osobno dla klienta.
  • Nowe standardy (CA/B Forum Baseline Requirements) oraz polityki zaufanych Root CA wymuszają jasne określenie przeznaczenia każdego certyfikatu.
  • Rozdzielenie funkcji certyfikatów zmniejsza ryzyko nadużyć i zwiększa przejrzystość ekosystemu PKI.
  • Publiczne certyfikaty SSL/TLS będą mogły zawierać wyłącznie EKU serverAuth (OID 1.3.6.1.5.5.7.3.1).
  • EKU clientAuth (OID 1.3.6.1.5.5.7.3.2) zostaje usunięte z profilu certyfikatów SSL/TLS wydawanych przez publiczne CA.

Pozostałe ogłoszenia