尊敬的各位合作伙伴、客户:
根据 Google Chrome 浏览器根证书政策 4.2.2 章节的最 新要求,KeepTrust 将逐步停止在 TLS 证书中包含“客户端身份验证(OID:1.3.6.1.5.5.7.3.2)”的扩展密钥用途(EKU)标识。此变更有助于提升安全性,遵循最小权限原则。
Google 原文地址:https://googlechrome.github.io/chromerootprogram/
为完全满足 Google 的要求,KeepTrust 将于 10 月 10 日之后更改中级根及订户证书的 EKU 选项,中级根和订户证书证书都会仅包含“服务器身份验证 (OID.1.3.6.1.5.5.7.3.1)”的扩展密钥用途(EKU)标识,不再包含“客户端身份验证(OID:1.3.6.1.5.5.7.3.2)”的扩展密钥用途(EKU)标识。
| 旧根 | 新根 |
| KeepTrust DV TLS RSA CA G2 | KeepTrust DV TLS RSA CA G1 |
| KeepTrust OV TLS RSA CA G2 | KeepTrust OV TLS RSA CA G1 |
什么是扩展密钥用途(EKU)?
扩展密钥用法 (EKU)是证书扩展,定义数字证书中公钥的预期功能。它建立了一组结构化的允许应用程序,确保密钥仅用于特定的加密操作。此功能受以下条款管辖:对象标识符(OID)— 对每种允许的用途进行分类的唯 一数字标识符,例如代码签名、服务器身份验证、客户端身份验证或安全电子邮件。当身份验证基于证书时,验证实体会审查证书以识别 EKU 内的对象标识符 (OID)。通过添加 EKU 扩展,证书颁发机构(CA)将证书的范围限制为预定义的角色,每个指定的目的明确映射到一个 OID。
例如:
TLS Web 服务器身份验证,表示该证书可用于验证服务器(例如 HTTPS 网站)。服务器身份验证对应的 OID 是1.3.6.1.5.5.7.3.1
TLS Web 客户端身份验证,表示客户端可以使用该证书向服务器进行身份验证(例如,用于相互验证的客户端证书)。分配给客户端身份验证的 OID 是1.3.6.1.5.5.7.3.2
对SSL/TLS证书使用的影响
绝大多数SSL/TLS证书使用场景中,这一变化不会影响使用。 只有以下情况中会造成影响:
将SSL/TLS证书作为客户端身份认证证书:在一些金融行业或安全性较高的业务场景中,不少企业将对端SSL/TLS证书作为其服务器的客户端身份认证证书进行安全准入认证。当未来证书移除客户端身份认证 EKU 标识后,SSL/TLS证书将无法再被用来完成认证。
API 客户端、物联网设备等的证书:服务端或者智能网关需要通过带有客户端身份认证 clientAuth EKU 标识的证书,完成对设备的身份认证。这种场景下,您需要获取专用的客户端身份验证证书或解决方案。
也就是说,此次变更仅影响使用公共可信 SSL 证书作为客户端凭证的双向认证(mTLS)场景,基于私有 PKI 体系构建的 mTLS 连接不受本次变更影响。如果您的 SSL/TLS 证书仅用于保护网站安全(HTTPS),那么用户端身分验证 EKU 的取消不会对您产生任何影响。
如果您有其他疑问,请随时联系我们:
电话:400-9989-115
邮箱:support@ihuandu.com
上海环度信息科技有限公司
2025年9月9日
- 扫一扫二维码可分享朋友或朋友圈
