Die Client-Authentifizierung mit TLS-Zertifikaten wird bald enden

25.07.2025 | Jindřich Zechmeister

DigiCert hat angekündigt, die Unterstützung für den erweiterten Verwendungszweck „Client Authentication” in seinen öffentlichen TLS-Zertifikaten schrittweise einzustellen. Die Änderung betrifft nicht die normale Verwendung von Zertifikaten für HTTPS, sondern wirkt sich auf Szenarien wie Mutual TLS (mTLS) oder Server-zu-Server-Authentifizierung aus.

Warum passiert das?

Der Hauptgrund für diese Änderung ist die Einstellung der Unterstützung für Client Authentication EKU im Webbrowser Google Chrome. Dieser Schritt ist Teil eines breiteren Bestrebens, die Sicherheit und Integrität der öffentlichen Schlüsselinfrastruktur (PKI) zu gewährleisten. Google Chrome plant ab dem 15. Juni 2026 die Entfernung von Stammzertifikaten aus der vertrauenswürdigen Liste, die Zertifikate mit Client Authentication EKU ausstellen. Dieser Schritt zielt darauf ab, Multi-Purpose-Stammzertifikate zu eliminieren, die für verschiedene Zwecke missbraucht werden könnten, und somit die Sicherheit der Benutzer zu erhöhen.

Wen betrifft diese Änderung?

Diese Änderung betrifft Organisationen, die öffentliche TLS-Zertifikate zur Client-Authentifizierung verwenden, zum Beispiel im Rahmen von mTLS oder Server-to-Server Kommunikation. Wenn Ihre Organisation TLS-Zertifikate nur zur Sicherung der HTTPS-Kommunikation verwendet, betrifft diese Änderung Sie nicht direkt. Allerdings, wenn Sie planen, mTLS oder andere Formen der Client-Authentifizierung in der Zukunft zu implementieren, ist es wichtig, sich auf diese Änderung vorzubereiten.

Was ist zu tun?

DigiCert empfiehlt Organisationen, die Client-Authentifizierung benötigen, auf alternative Lösungen umzusteigen, wie X9 PKI, private PKI-Dienste oder das Zertifikatsmanagement über den Trust Lifecycle Manager. X9 PKI ist ein Standard, der für den Finanzsektor entworfen wurde und eine sichere und effiziente Verwaltung von Zertifikaten für die Client-Authentifizierung ermöglicht. Der Umstieg auf diese Lösungen gewährleistet die Kontinuität der sicheren Kommunikation und die Einhaltung aktueller Sicherheitsstandards.

Fazit

Die Änderung in der Unterstützung der Client-Authentifizierung in TLS-Zertifikaten von DigiCert ist Teil eines breiteren Trends zur Trennung der öffentlichen und privaten PKI-Infrastruktur. Organisationen, die Zertifikate zur Client-Authentifizierung nutzen, sollten mit der Planung des Übergangs auf alternative Lösungen beginnen, um die Kontinuität und Sicherheit ihrer Systeme zu gewährleisten. Eine frühzeitige Anpassung an diese Änderung hilft, Risiken zu minimieren und die Einhaltung zukünftiger Sicherheitsstandards sicherzustellen.

---