尊敬的新網客戶/合作伙伴
您好!
根據 Google Chrome 瀏覽器根證書政策的最新要求,各大證書頒發機構(CA) 將逐步停止在 SSL/TLS 證書中包含用于 “客戶端身份驗證”(clientAuth)的擴展密鑰用途(EKU)標識。 此舉旨在提升安全性并遵循最小權限原則����。
客戶端身份認證(Client Authentication)是 SSL/TLS 雙向認證(mTLS)的核心環節:服務器除了用自己的 SSL 證書證明身份(單向認證),還會要求客戶端提供證書��,驗證客戶端的合法性(如企業內部系統登錄����、API 接口訪問、IoT 設備接入等)�;EKU是證書中的一個關鍵擴展字段����,用于限定證書的 “合法用途”,告訴依賴方(如服務器�、瀏覽器)該證書能被用于哪些特定場景��。
影響:使用全球信任服務器證書作為客戶端憑證的雙向認證(mTLS)場景(即全球信任服務器證書支持“服務端身份驗證”,禁用“客戶端身份認證”)����,可能導致業務中斷或安全風險�。
說明:如果證書的用途本身不涉及 “客戶端身份認證”�,則缺少clientAuth EKU 完全不影響其正常使用��,不受影響的常見場景有:網站HTTPS服務器認證��、代碼簽名(如簽署EXE、APP)�、電子郵件加密/簽名��、時間戳服務。
各大證書辦法機構(CA)已明確出針對 Google EKU 新規的分階段落實計劃��,具體安排如下:
結論:
SSL 證書停止在服務器證書中包含 clientAuth EKU��,即 SSL 證書將不再默認支持客戶端身份認證��。
如您對于文件內容有任何疑問,可通過以下方式聯系我們:
新網官方客服熱線:400-660-5555(轉2)
控制臺在線支持:登錄新網用戶中心→控制臺→在線客服
幫助中心:訪問新網官網(www.rongji123.com)→幫助中心→SSL 證書專區 感謝您對新網的信任與支持!我們將持續優化服務��,為您的網絡安全提供更可靠的保障�。
北京新網數碼信息技術有限公司
2025年11月20日
商品已成功加入購物車