L'autenticazione del cliente nei certificati TLS terminerà presto.

25/lug/2025 | Jindřich Zechmeister

DigiCert ha annunciato che cesserà gradualmente il supporto dell'uso esteso dell'autenticazione client nei propri certificati TLS pubblici. La modifica non riguarda l'uso normale dei certificati per HTTPS, ma influirà su scenari quali Mutual TLS (mTLS) o l'autenticazione server-to-server.

Perché sta succedendo?

La ragione principale di questo cambiamento è la fine del supporto della Client Authentication EKU nel browser Google Chrome. Questo passo fa parte di un più ampio sforzo per garantire la sicurezza e l'integrità dell'infrastruttura dei chiavi pubblici (PKI). Google Chrome prevede di rimuovere dall'elenco dei certificati radice fidati quelli che emettono certificati con Client Authentication EKU a partire dal 15 giugno 2026. Questo passo mira ad eliminare i certificati radice multipurpose che possono essere abusati per vari scopi, aumentando così la sicurezza degli utenti.

Chi è colpito da questo cambiamento?

Questo cambiamento influenzerà le organizzazioni che utilizzano certificati TLS pubblici per l'autenticazione del client, ad esempio nell'ambito di mTLS o comunicazioni server-to-server. Se la vostra organizzazione utilizza i certificati TLS solo per la sicurezza della comunicazione HTTPS, questo cambiamento non vi riguarda direttamente. Tuttavia, se pianificate di implementare mTLS o altre forme di autenticazione del client in futuro, è importante prepararsi per questo cambiamento.

Cosa fare?

DigiCert raccomanda alle organizzazioni che necessitano di autenticazione del client di passare a soluzioni alternative, come X9 PKI, servizi PKI privati o gestione dei certificati tramite Trust Lifecycle Manager. X9 PKI è uno standard progettato per il settore finanziario, che consente una gestione sicura ed efficiente dei certificati per l'autenticazione del client. Il passaggio a queste soluzioni assicurerà continuità nella comunicazione sicura e conformità agli standard di sicurezza attuali.

Conclusione

Il cambiamento nel supporto dell'autenticazione del client nei certificati TLS di DigiCert è parte di una tendenza più ampia verso la separazione dell'infrastruttura PKI pubblica e privata. Le organizzazioni che utilizzano certificati per l'autenticazione del client dovrebbero iniziare a pianificare il passaggio a soluzioni alternative per garantire continuità e sicurezza dei loro sistemi. Un'adeguata e tempestiva adattazione a questo cambiamento contribuirà a minimizzare i rischi e a garantire la conformità ai futuri standard di sicurezza.