什么是扩展密钥用途(EKU)？浏览器突然取消客户端身份验证EKU标识

随着网络安全生态的不断演进，证书策略也在经历深刻的调整。近期，浏览器根策略迎来了一项重大更新：公共可信TLS证书将逐步移除“客户端身份验证”EKU标识。这一变革对于绝大多数网站所有者而言或许没有直接影响，但对于金融、物联网及特定安全场景的企业来说，却是一次关乎业务连续性的重要预警。

一、 什么是扩展密钥用途(EKU)？理解变革的技术基石

在深入探讨新规之前，我们需要先理解一个核心技术概念——扩展密钥用途。

EKU是数字证书中的一个关键扩展字段，它定义了证书中公钥的预期功能。简单来说，EKU就像是一张“职能许可证”，规定了这把密钥只能用于特定的加密操作。这一功能通过对象标识符（OID）来实现，每个OID对应一种特定的用途。

在SSL/TLS证书领域，最常见的两个OID分别是：

服务器身份验证：OID为1.3.6.1.5.5.7.3.1。这是所有HTTPS网站证书必须包含的标识，表示该证书可用于验证服务器身份（如浏览器访问网站时的验证）。

客户端身份验证：OID为1.3.6.1.5.5.7.3.2。表示该证书可用于客户端向服务器进行身份验证（例如双向认证场景）。

此次浏览器根策略新规的核心，正是要从公共可信的TLS服务器证书中，拿掉这第二个“职能许可证”。

二、 政策核心：精准移除，并非全面封杀

根据最新的浏览器根策略要求，CA（证书颁发机构）必须调整公共可信TLS证书的颁发策略。

1. 影响范围

此次调整主要针对公共可信TLS服务器证书。新规生效后，此类证书必须移除“客户端身份验证”EKU标识，仅保留“服务器身份验证”EKU。这意味着，未来的公共网站HTTPS证书，将不再具备“客户端身份证明”的功能。

2. 不受影响的证书

值得注意的是，这项政策并非“一刀切”，以下类型的证书不受影响：

专用客户端证书：专门用于身份验证的客户端证书依然正常存在。

私有PKI体系内的证书：企业内部自建CA颁发的证书，不受公共Web PKI策略的限制。

三、 DigiCert执行时间表：关键节点全解析

作为全球领先的数字证书提供商，DigiCert已正式发布了其执行时间表。对于正在使用或计划申请证书的企业，以下两个关键日期必须牢记：

2025年10月1日默认模式调整

自该日起，DigiCert将默认停止在公共可信TLS证书中包含客户端身份验证EKU。这意味着，当您申请一张标准的SSL证书时，它将默认仅包含服务器身份验证功能。在此阶段，如果您确有需求，仍可在注册申请流程中手动选择保留客户端身份验证EKU。

2026年5月1日完全禁止包含

这是最终截止日。自该日起，DigiCert将在所有公共TLS证书的颁发、续订、重新颁发和重签发流程中，完全移除客户端身份验证EKU。届时，无论何种情况，您都无法在公共可信TLS证书中手动添加该标识。

四、 业务影响评估：您的业务会“中断”吗？

对于绝大多数普通网站（如企业官网、电商平台、博客）而言，这一变化几乎零影响，因为它们仅需要服务器身份验证。

然而，对于以下两类特定场景，影响巨大：

场景一：金融行业与双向认证（mTLS）

在金融行业或高安全等级的业务系统中，企业常采用双向SSL认证。即服务器不仅要验证客户端，客户端也需要验证服务器。过去，很多企业为了图方便，直接使用一张公共可信的SSL/TLS证书同时作为服务器端和客户端的认证凭证。

风险预警：一旦证书中移除了客户端身份验证EKU，这种“一证两用”的模式将失效。服务器将无法识别客户端的身份，导致安全准入认证失败，业务系统面临中断风险。

场景二：API客户端与物联网设备

在物联网或API接口调用场景中，智能网关或服务端往往通过检查证书中的客户端身份验证EKU来确认设备身份。

风险预警：未来新申请的证书将不再具备此标识，导致设备认证失败，物联网终端掉线。

五、 解决方案：从Web PKI转向专用PKI

面对即将到来的政策变更，企业不应试图“钻空子”，而应顺应趋势，采用更专业的解决方案。

1. 针对金融行业：DigiCert® X9PKI解决方案

对于银行、证券等金融机构，DigiCert推荐使用X9PKI解决方案。这是一个独立于浏览器Web PKI体系的专用公钥基础设施。

X9PKI由金融机构主导构建，受ASC X9标准机构规范，专门针对银行间清算、ATM互联等高价值交易场景优化。它的核心价值在于：

独立性：不受浏览器根策略变动的影响，拥有独立的信任根。

互通性：通过共用的信任根，确保跨机构间的安全协作。

自主权：将技术演进的主导权回归金融机构，避免外部生态变动引发的系统性风险。

2. 针对物联网设备：DigiCert® Device Trust Manager

对于API客户端和物联网设备，企业应申请专用的客户端身份验证证书。DigiCert提供的Device Trust Manager解决方案，能够为海量设备颁发专用的身份证书，确保持久的可信连接，完美替代旧有的“TLS证书复用”模式。

浏览器根策略移除公共可信TLS证书中的客户端身份验证EKU，是Web PKI生态走向精细化管理的必然结果。这一举措旨在厘清证书用途边界，提升整体网络安全性。

对于企业而言，现在正是时候自查证书使用情况。如果您的业务依赖于TLS证书进行客户端认证，请务必在2026年5月1日大限之前，规划迁移至DigiCert X9PKI或专用的客户端证书方案。未雨绸缪，方能确保证书切换过程中的业务零中断，守护数字资产的安全底线。