Seit Oktober 2025 gibt es in der SSL/TLS-Zertifikatsbranche eine bedeutende Veränderung: Öffentliche SSL/TLS-Zertifikate enthalten nicht mehr die Erweiterung „Extended Key Usage (EKU) TLS Web Client Authentication (clientAuth / Client Authentication)“. Diese Zertifikatserweiterung ermöglichte es, ein einziges SSL/TLS-Zertifikat sowohl für die Server- als auch für die Client-Authentifizierung in Mutual TLS (mTLS)-Szenarien zu verwenden.

Wer ist betroffen?

Die meisten Websites und Benutzer sind nicht betroffen, da typische SSL/TLS-Zertifikate nur für die Serverauthentifizierung verwendet werden. Organisationen, die öffentliche SSL/TLS-Zertifikate für die Clientauthentifizierung verwenden (z. B. gegenseitige TLS- oder Server-zu-Server-Authentifizierung), müssen sich jedoch anpassen.

Der Zeitplan

Die Unterstützung für Client Authentication wird bei allen Zertifizierungsstellen im Mai 2026 enden. Bis dahin gültige SSL Zertifikate können clientAuth weiter bis zur Deadline verwenden. Verlängerungen und Neuausstellungen bis zum Mai werden per Default aktuell bereits nur noch mit Server Authentication EKU ausgestellt. Bis zum Mai 2026 lassen sich über Workarounds Client Authentication weiterverwenden. Ab Mai wird dieser Support allerdings auch eingestellt.

Was bedeutet das für Sie?

Für die meisten Unternehmen hat die Änderung kaum oder gar keine Auswirkungen, wenn sie ihre öffentlichen SSL/TLS-Zertifikate nicht für die Client-Authentifizierung verwenden.  Wenn sie dies jedoch tun, müssen sie vor Ablauf der Frist im Juni 2026 die Umstellung planen.

  • Prüfen Sie also, ob Sie SSL Zertifikate im Einsatz haben, die Client Authentication verwenden!
  • Setzen Sie sich mit dem Hersteller der Anwendung für die Sie diese Zertifikate verwenden, in Verbindung und prüfen Sie die genauen Anforderungen und mögliche Lösungsansätze!

Je nach Einsatzszenario stehen Ihnen folgende Optionen zur Verfügung:

  • S/MIME-Zertifikate: Wechsel auf öffentlich vertrauenswürdige S/MIME-Zertifikate mit Client Authentication EKU. Diese sind speziell für individuelle Authentifizierung konzipiert      (z. B. für dokumentenbezogene oder E-Mail-Szenarien).
  • Selbstsignierte Zertifikate: Einsatz selbstsignierter Zertifikate mit Client Authentication EKU – allerdings nur für interne Szenarien, da diesen nicht automatisch von außen vertraut wird.
  • Einsatz einer private CA-basierte Clientauthentifizierung für interne Szenarien

Links

https://knowledge.digicert.com/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates

https://www.sectigo.com/faq-client-authentication-eku-deprecation