Wycofanie EKU Client Authentication z publicznych certyfikatów TLS – dlaczego wystawcy rezygnują i co to oznacza dla organizacji.

EKU (Extended Key Usage) – to dodatkowa informacja w certyfikacie TLS mówiąca, do czego ten certyfikat może być używany.

Najpopularniejsze wykorzystanie to:

• Server Authentication – certyfikat służy do zabezpieczania strony HTTPS,
• Client Authentication – certyfikat służy do logowania klienta (np. urządzenia, użytkownika, drugiego serwera).

W 2025 i 2026 roku branża usług zaufania przechodzi jedną z największych zmian od lat. Najwięksi globalni wystawcy certyfikatów – m.in. DigiCert i Sectigo – oficjalnie ogłosili, że wycofują obsługę EKU Client Authentication z publicznych certyfikatów TLS. Oznacza to, że nie będzie już możliwe uzyskanie publicznego certyfikatu zawierającego rozszerzenie umożliwiające uwierzytelnianie klienta.

Zmiana ta bywa mylnie określana jako „wycofanie produktu” lub „wycofanie usługi”, lecz w rzeczywistości dotyczy ona konkretnej funkcji bezpieczeństwa w certyfikatach.

Dlaczego EKU Client Authentication jest wycofywane?

Powody wycofania są spójne u wszystkich wystawców i wynikają głównie z restrykcji narzucanych przez nowe zasady Chrome Root Program.

Google wprowadziło zasadę, że publiczne certyfikaty TLS mogą służyć tylko do jednej rzeczy: zabezpieczania stron HTTPS. To znaczy, że certyfikat publiczny może być tylko certyfikatem serwera i nie może być jednocześnie używany do logowania klienta (urządzenia, użytkownika, innego srwera).

Dlaczego EKU Client Authentication łamie tę zasadę?

Certyfikat nie jest już tylko serwerowy i zaczyna pełnić drugą funkcję – służy do uwierzytelniania klienta. Czyli certyfikat z EKU Client Auth = dwa zastosowania, a Google wymaga certyfikatu o jednym zastosowaniuCertyfikat publiczny TLS ma być tylko do HTTPS, a nie do logowania urządzeń czy użytkowników. EKU Client Authentication dodaje mu drugą rolę, dlatego musi zniknąć. Certyfikaty z wieloma EKU powodują problemy w przeglądarkach, systemach operacyjnych i bibliotekach kryptograficznych, szczególnie w środowiskach legacy.

Uszczelnienie łańcuchów zaufania

Odebranie EKU klienta zmniejsza ryzyko nadużyć, błędnych konfiguracji oraz sytuacji, w których certyfikat przeznaczony do HTTPS jest błędnie wykorzystywany do uwierzytelniania użytkownika lub urządzenia.

Kogo dotyczy zmiana?

Zmiana dotyczy wszystkich organizacji, które korzystały z publicznych certyfikatów TLS z EKU Client Authentication, m.in.:

• systemów mTLS
• urządzeń IoT komunikujących się wzajemnie przez TLS
• komunikacji serwer–serwer
• VPN wykorzystujących certyfikat klienta
• aplikacji uwierzytelniających użytkowników za pomocą certyfikatów publicznych

Jeśli Twoja organizacja używa certyfikatów TLS wyłącznie do HTTPS, zmiana Cię nie dotyczy.

Którzy wystawcy wycofują EKU Client Authentication i kiedy?

Wystawca certyfikatów DigiCert:

• Od 1 maja 2026 r. DigiCert przestanie umieszczać EKU Client Authentication w publicznych certyfikatach TLS.
• Certyfikaty wydane wcześniej zachowują ważność do czasu wygaśnięcia.
• Każde odnowienie, duplikat lub reissue po tej dacie będzie już bez EKU klienta.

DigiCert proponuje jako alternatywę certyfikat X9 PKI, który jest niezależny od przeglądarek, zgodna ze standardami ASC X9, pozwala mieć zarówno Client Authentication, jak i Server Authentication EKU, i jest przeznaczony dla komunikacji międzyorganizacyjnej.

Wystawca certyfikatów Sectigo:

• Od 15 września 2025 – nowe certyfikaty nie będą zawierać EKU klienta domyślnie.
• Od 15 maja 2026 – EKU Client Authentication zostanie trwale usunięte z wszystkich publicznych certyfikatów TLS.

Sectigo zaleca przejście na private PKI dla klientów, którzy potrzebują mTLS lub certyfikatów dla urządzeń.

Czym jest X9 PKI?

To rodzaj publicznie zaufanej infrastruktury kluczy (PKI), ale nie takiej, jakiej używają przeglądarki. Opiera się na standardach bezpieczeństwa tworzonych dla sektora finansowego (ASC X9). Certyfikaty są akceptowane między różnymi organizacjami i można ich używać do mTLS między firmami, bankami, fintechami itp. Działają jako certyfikat klienta i serwera jednocześnie (mają EKU Client Auth + Server Auth). Nie podlegają zasadom WebPKI (Chrome, Mozilla itp.), to zupełnie inna rodzina zaufanych rootów.

Jeśli używasz certyfikatów wyłącznie do HTTPS, nie musisz podejmować żadnych działań. Zmiana nie ma wpływu na zabezpieczanie stron internetowych. Jeżeli jednak korzystasz z mTLS lub certyfikatów klienckich, konieczne jest zaplanowanie migracji.

Najważniejsze działania do podjęcia obejmują przede wszystkim inwentaryzację certyfikatów, czyli sprawdzenie, które systemy wymagają rozszerzenia EKU Client Authentication. Następnie należy podjąć decyzję dotyczącą wyboru odpowiedniego rozwiązania PKI. Jeżeli uwierzytelnianie odbywa się pomiędzy różnymi organizacjami, należy wybrać X9 PKI. W przypadku gdy uwierzytelnianie działa wyłącznie wewnątrz firmy, wystarczające będzie prywatne PKI