Las CAs eliminarán la autenticación de cliente de los certificados TLS públicos a partir de 2025-2026
Varios proveedores de certificados han anunciado que, a partir del 1 de octubre de 2025, algunos dejarán de incluir por defecto la capacidad de autenticación de cliente en la extensión EKU (Extended Key Usage) de los certificados TLS públicos.
Este cambio se alinea con los requisitos del Programa de Confianza de Google Chrome, cuyo objetivo es mejorar la seguridad y promover la interoperabilidad. La medida fomenta el uso de certificados públicos con únicamente EKU de autenticación de servidor (serverAuth) y no certificados multipropósito.
Los certificados SSL/TLS existentes que ya incluyen EKU de cliente seguirán siendo válidos hasta su fecha de expiración o revocación. No se espera que sean revocados automáticamente debido a este cambio.
Algunas políticas de programas raíz, como el Chrome Root Program, establecen que a partir del 15 de junio de 2026 los certificados públicos que incluyan EKU de cliente podrían dejar de ser considerados confiables por los navegadores.
Aunque no se puede garantizar que todas las Autoridades de Certificación (CAs) adopten exactamente esta fecha y enfoque, es muy probable que la mayoría lo haga.
A continuación, se muestra un listado de algunos de los proveedores que ya han anunciado estos cambios:
- DigiCert - Sunsetting the Client Authentication EKU from DigiCert Public TLS Certificates
- Let’s Encrypt - Ending TLS Client Authentication Certificate Support in 2026
- Sectigo - Deprecation of Client Authentication EKU from Sectigo SSL/TLS Certificates
- SSL.com - Removal of the Client Authentication EKU from TLS Server Certificates