自 2025 年 10 月 14 日 起,所有新签发、重新签发及续期的 SSL/TLS 凭证将 不再包含用户端验证 EKU(id-kp-clientAuth)。
此变更由 Google Chrome 首先推行,并将陆续由其他主流浏览器跟进,以符合最新的行业最佳实践,确保凭证仅用于其主要用途 —— 保护 HTTPS 网站安全传输。
对您及您的客户有何影响
-
若您的凭证仅用于 网站加密(HTTPS),则 无需采取任何行动。
-
若凭证用于 双向验证(mutual authentication)、mTLS 或 伺服器对伺服器身分识别,建议您检视相关设定,这些应用可能会受到影响。
重要时程
-
2025 年 10 月 14 日: 所有新签发、续期及重新签发的 SSL/TLS 凭证将不再包含用户端验证 EKU。
-
2026 年 5 月 15 日: 此要求将正式成为强制性政策,届时不再接受任何例外。
建议后续行动
-
若您为客户管理凭证,请 主动通知客户 此项变更。
-
若需要使用用户端验证功能,建议考虑 迁移至私人凭证机构(Private CA) 解决方案。
自 2025 年 10 月 14 日 起,所有新签发、重新签发及续期的 SSL/TLS 凭证将 不再包含用户端验证 EKU(id-kp-clientAuth)。
此变更由 Google Chrome 首先推行,并将陆续由其他主流浏览器跟进,以符合最新的行业最佳实践,确保凭证仅用于其主要用途 —— 保护 HTTPS 网站安全传输。
对您及您的客户有何影响
-
若您的凭证仅用于 网站加密(HTTPS),则 无需采取任何行动。
-
若凭证用于 双向验证(mutual authentication)、mTLS 或 伺服器对伺服器身分识别,建议您检视相关设定,这些应用可能会受到影响。
重要时程
-
2025 年 10 月 14 日: 所有新签发、续期及重新签发的 SSL/TLS 凭证将不再包含用户端验证 EKU。
-
2026 年 5 月 15 日: 此要求将正式成为强制性政策,届时不再接受任何例外。
建议后续行动
-
若您为客户管理凭证,请 主动通知客户 此项变更。
-
若需要使用用户端验证功能,建议考虑 迁移至私人凭证机构(Private CA) 解决方案。
自 2025 年 10 月 14 日 起,所有新签发、重新签发及续期的 SSL/TLS 凭证将 不再包含用户端验证 EKU(id-kp-clientAuth)。
此变更由 Google Chrome 首先推行,并将陆续由其他主流浏览器跟进,以符合最新的行业最佳实践,确保凭证仅用于其主要用途 —— 保护 HTTPS 网站安全传输。
对您及您的客户有何影响
-
若您的凭证仅用于 网站加密(HTTPS),则 无需采取任何行动。
-
若凭证用于 双向验证(mutual authentication)、mTLS 或 伺服器对伺服器身分识别,建议您检视相关设定,这些应用可能会受到影响。
重要时程
-
2025 年 10 月 14 日: 所有新签发、续期及重新签发的 SSL/TLS 凭证将不再包含用户端验证 EKU。
-
2026 年 5 月 15 日: 此要求将正式成为强制性政策,届时不再接受任何例外。
建议后续行动
-
若您为客户管理凭证,请 主动通知客户 此项变更。
-
若需要使用用户端验证功能,建议考虑 迁移至私人凭证机构(Private CA) 解决方案。
自 2025 年 10 月 14 日 起,所有新签发、重新签发及续期的 SSL/TLS 凭证将 不再包含用户端验证 EKU(id-kp-clientAuth)。
此变更由 Google Chrome 首先推行,并将陆续由其他主流浏览器跟进,以符合最新的行业最佳实践,确保凭证仅用于其主要用途 —— 保护 HTTPS 网站安全传输。
对您及您的客户有何影响
-
若您的凭证仅用于 网站加密(HTTPS),则 无需采取任何行动。
-
若凭证用于 双向验证(mutual authentication)、mTLS 或 伺服器对伺服器身分识别,建议您检视相关设定,这些应用可能会受到影响。
重要时程
-
2025 年 10 月 14 日: 所有新签发、续期及重新签发的 SSL/TLS 凭证将不再包含用户端验证 EKU。
-
2026 年 5 月 15 日: 此要求将正式成为强制性政策,届时不再接受任何例外。
建议后续行动
-
若您为客户管理凭证,请 主动通知客户 此项变更。
-
若需要使用用户端验证功能,建议考虑 迁移至私人凭证机构(Private CA) 解决方案。