Historicamente, certificados SSL/TLS emitidos por autoridades certificadoras públicas têm permitido múltiplas finalidades, incluindo a autenticação de servidores e clientes. No entanto, as novas normas da indústria de segurança digital determinam uma separação rigorosa desses usos. Em conformidade com essas exigências, a Sectigo anunciou a descontinuação gradual da inclusão da EKU (Extended Key Usage) para autenticação de cliente em certificados SSL/TLS publicamente confiáveis.
Neste artigo, apresentamos os detalhes desta mudança, esclarecendo os impactos, datas importantes e recomendações para uma transição eficiente.
O que é a EKU de autenticação de cliente?
A Extended Key Usage (EKU) é uma extensão presente em certificados digitais, especificando suas finalidades permitidas. Uma dessas finalidades é a autenticação de cliente, utilizada em situações de autenticação mútua TLS (mTLS) e autenticação servidor-servidor.
Novas diretrizes estabelecidas pelos principais navegadores e programas raiz demandam que certificados públicos SSL/TLS sejam restritos a usos específicos, diferenciando claramente aplicações públicas (como HTTPS) de aplicações internas ou privadas, como autenticação de clientes.
Mudanças anunciadas pela Sectigo
A remoção da EKU de autenticação de cliente será realizada pela Sectigo conforme o cronograma abaixo:
-
07 de abril de 2025: EKU será removida dos certificados eIDAS QWAC, sem possibilidade de exceções.
-
15 de setembro de 2025: EKU não será mais incluída por padrão em certificados SSL/TLS, podendo ocorrer exceções específicas.
-
15 de maio de 2026: Remoção total e definitiva da EKU de autenticação de cliente em certificados SSL/TLS públicos, sem exceções.
Esse calendário tem o objetivo de fornecer tempo suficiente para as organizações implementarem as alterações necessárias sem impactos operacionais.
Impactos para as organizações
O impacto das mudanças depende diretamente dos cenários atuais de utilização dos certificados SSL/TLS na sua empresa:
Motivos da mudança
As alterações são motivadas pelas novas exigências de segurança impostas por navegadores e programas raiz, que visam aumentar a segurança digital ao restringir o uso indevido dos certificados SSL/TLS, estabelecendo uma clara delimitação entre certificados públicos e privados.
Alternativas para autenticação de cliente
A Sectigo recomenda que empresas impactadas migrem suas aplicações para uma infraestrutura de PKI Privada (Private CA). Esta solução permite total controle sobre emissão, políticas e tipos de certificados, incluindo autenticação de cliente, oferecendo segurança e flexibilidade adequadas às necessidades específicas das empresas.
Informação relevante
Utilizar certificados SSL/TLS públicos para autenticação mútua (mTLS) pode representar riscos adicionais à segurança das organizações, pois tais certificados podem ficar inadvertidamente expostos e serem utilizados de maneira indevida. Para evitar esses riscos, é altamente recomendada a adoção de uma PKI Privada.
Validade de certificados já emitidos
Certificados SSL/TLS públicos emitidos antes das datas mencionadas continuarão válidos até sua expiração ou revogação. As alterações aplicam-se somente a novos certificados, renovações ou reemissões após as datas indicadas.
Impacto sobre certificados S/MIME
Não haverá alterações nos certificados S/MIME. Certificados multipropósito continuarão com suporte à EKU de autenticação de cliente, enquanto certificados de perfil restrito permanecerão inalterados.
A Sectigo reforça seu compromisso com as melhores práticas de segurança digital e conformidade regulatória. Para obter mais informações sobre a Depreciação da EKU de Autenticação de Cliente, fale diretamente com nossa equipe especializada.
