Authentification du client Utilisation étendue de la clé (EKU) Déclassement

En raison des mises à jour des exigences de l'industrie, les principales autorités de certification, y compris Sectigo et Trustico®, ont annoncé la suppression de l'authentification du client par l'utilisation de la clé étendue (EKU) dans les certificats SSL de confiance.

Ce changement s'aligne sur les tendances plus générales de l'écosystème des autorités de certification, qui s'efforcent de mettre en œuvre les mêmes normes industrielles.

Qu'est-ce que l'authentification client EKU ?

Le Client Authentication Extended Key Usage (EKU) est une extension des certificats SSL qui permet de les utiliser pour authentifier des utilisateurs ou des appareils auprès de serveurs, généralement dans des scénarios d'authentification mutuelle TLS (mTLS) ou d'authentification de serveur à serveur.

Traditionnellement, certains certificats SSL incluaient cette EKU par défaut, ce qui permettait d'assurer à la fois la sécurité du site web et l'authentification du client dans un seul et même certificat SSL.

Calendrier de la dépréciation

La dépréciation se déroulera en deux phases afin d'assurer une transition en douceur pour tous les utilisateurs. Le 15 septembre 2025, les autorités de certification cesseront d'inclure par défaut l'unité d'authentification du client dans les certificats SSL nouvellement émis.

À l'issue de cette première phase, d'ici le 15 mai 2026, l'UECA d'authentification du client sera définitivement supprimée de tous les certificats SSL nouvellement émis, sans aucune exception.

Pourquoi ce changement ?

Cette mise à jour s'inscrit dans le cadre d'une évolution plus large des normes et des meilleures pratiques du secteur. Les principaux programmes racine des navigateurs, tels que les règles du programme racine de Google Chrome, exigent désormais des autorités de certification qu'elles limitent l'utilisation des Extended Key Usages (EKU) dans les certificats SSL de confiance.

Ces certificats SSL sont conçus spécifiquement pour sécuriser les connexions entre les navigateurs et les serveurs web. Historiquement, l'inclusion de l'EKU d'authentification du client dans les certificats SSL du serveur a posé des problèmes potentiels de sécurité et d'exploitation.

En supprimant l'unité d'authentification du client, les autorités de certification, y compris Trustico®, s'alignent sur les nouvelles exigences visant à garantir que les certificats SSL sont utilisés strictement aux fins prévues, ce qui réduit le risque d'utilisation abusive ou de mauvaise configuration.

Effets sur les environnements de serveurs

Pour la plupart des utilisateurs, la suppression de l'unité d'authentification client (EKU) des certificats SSL n'aura qu'un impact minime, voire nul. Les certificats SSL existants émis avant la date limite resteront valides et continueront à fonctionner comme prévu jusqu'à leur expiration.

Les serveurs web standard utilisant HTTPS ne seront pas affectés par ce changement, et les certificats SSL actuels et renouvelés émis après la date limite continueront à fonctionner normalement à des fins d'authentification du serveur.

Toutefois, si votre environnement utilise TLS mutuel (mTLS), l'authentification de serveur à serveur, ou s'appuie sur des certificats SSL de serveur mTLS pour l'authentification du client, vous devrez obtenir un certificat SSL séparé ou une solution qui inclut l'unité de contrôle d'accès clientAuth.

En outre, certains systèmes d'entreprise ou systèmes hérités peuvent exiger la présence des deux EKU (serverAuth et clientAuth). Pour garantir la compatibilité avec les normes industrielles les plus récentes, il est important de vérifier si vos systèmes nécessitent des mises à jour pour s'adapter à ce changement.

Comment se préparer à ce changement

Pour se préparer aux changements à venir, la meilleure chose à faire est d'examiner tous les certificats SSL actuellement utilisés pour vérifier s'ils incluent l'attribut clientAuth Extended Key Usage (EKU).

Évaluez vos systèmes pour déterminer si l'un d'entre eux utilise des certificats SSL à des fins d'authentification du serveur et du client. Gardez à l'esprit que les futurs certificats SSL seront, par défaut, émis sans l'attribut clientAuth EKU, il est donc important de planifier en conséquence les renouvellements ou rééditions à venir.

Si vous souhaitez mettre à jour vos certificats SSL de manière proactive, vous pouvez choisir de les réémettre avant la date limite d'application. En outre, passez en revue et mettez à jour tous les scripts de demande automatisée de certificats SSL ou la documentation interne qui supposaient auparavant la présence des deux unités de certification électronique.

Si vous avez besoin d'aide avec vos certificats SSL ou si vous avez des questions sur ces changements, veuillez contacter Trustico® pour obtenir de l'aide et des conseils pendant cette transition.

Qu'est-ce que mTLS ?

mTLS, également connu sous le nom de Transport Layer Security mutuel, est une méthode d'authentification mutuelle utilisant un protocole de sécurité qui garantit que le client et le serveur vérifient leurs identités respectives à l'aide de certificats numériques avant d'établir une connexion sécurisée et cryptée.

Contrairement au protocole TLS standard, qui n'authentifie que le serveur, le protocole mTLS exige que les deux parties présentent et valident des certificats SSL, offrant ainsi une couche supplémentaire de confiance et de sécurité pour les communications sensibles.

Qu'est-ce que TLS ?

TLS, ou Transport Layer Security, est un protocole de cryptage très répandu qui crypte les données envoyées sur internet afin de garantir la confidentialité et l'intégrité des données entre deux applications communicantes, telles qu'un navigateur web et un serveur.

TLS permet de protéger les informations sensibles, telles que les mots de passe et les numéros de carte de crédit, contre l'interception ou la falsification par des parties non autorisées au cours de la transmission. Il succède à SSL (Secure Sockets Layer) et est couramment utilisé pour sécuriser les sites web, comme l'indique le "https" dans les adresses web.

Cette mesure a-t-elle une incidence sur les certificats S/MIME ou les certificats de signature de code ?

Les certificats S/MIME et les certificats de signature de code ont leurs propres exigences en matière d'utilisation étendue des clés (EKU), qui sont distinctes de celles des certificats SSL des serveurs TLS. Par conséquent, ces types de certificats ne seront pas affectés par ce changement.

Quelles sont les principales échéances ?

Le 15 septembre 2025 marque la date à laquelle les autorités de certification cesseront d'inclure par défaut l'EKU d'authentification du client dans les certificats SSL nouvellement émis.

D'ici au 15 mai 2026, le Client Authentication EKU sera définitivement supprimé de tous les certificats SSL nouvellement émis, sans aucune exception.

Qu'est-ce que l'authentification client EKU ?

Le Client Authentication Extended Key Usage (EKU) est une extension des certificats SSL qui leur permet d'authentifier des utilisateurs ou des appareils, généralement dans des scénarios TLS mutuels (mTLS) ou de serveur à serveur.

Certains certificats SSL incluent traditionnellement cet EKU par défaut, permettant à la fois la sécurité du site web et l'authentification du client.

Quel est l'impact sur mon environnement ?

Pour la plupart des utilisateurs, la suppression de l'unité d'authentification client des certificats SSL n'aura aucun impact. Les certificats SSL existants restent valables et les serveurs HTTPS standard continuent à fonctionner normalement.

Seuls les environnements nécessitant un TLS mutuel, une authentification du client ou des systèmes anciens attendant les deux unités de contrôle électronique devront obtenir une solution distincte ou mettre à jour leurs systèmes.

Comment se préparer à ce changement ?

Pour vous préparer à ces changements, examinez vos certificats SSL actuels afin de vérifier la présence de l'unité d'authentification client et d'identifier les systèmes qui nécessitent une authentification à la fois par le serveur et par le client.

Étant donné que les futurs certificats SSL n'incluront pas l'UEC clientAuth par défaut, prévoyez des renouvellements ou des réémissions si nécessaire. Envisagez de réémettre les certificats SSL de manière proactive et mettez à jour tous les processus automatisés ou la documentation qui supposent que les deux unités d'authentification sont présentes.

Ce changement est-il lié à la réduction de la durée de vie des certificats SSL ?

Ce changement n'est pas lié à la réduction prochaine de la durée de vie des certificats SSL. Il s'agit d'une initiative distincte de l'industrie visant à renforcer la sécurité en veillant à ce que les certificats SSL soient utilisés strictement aux fins prévues, ce qui réduit le risque d'utilisation abusive ou de mauvaise configuration.

Mes certificats SSL existants fonctionneront-ils encore ?

Les certificats SSL existants émis avant la date limite resteront valables jusqu'à leur expiration. Les serveurs web HTTPS standard et les certificats SSL nouvellement émis continueront à fonctionner normalement à des fins d'authentification du serveur.