DigiCert 與 Sectigo SSL/TLS 證書客戶端身份驗證 EKU 棄用通知

 根據主要瀏覽器根證書計劃的最新政策，DigiCert 和 Sectigo 將不再默認在其公共 SSL/TLS 證書中包含客戶端身份驗證擴展密鑰用法（Client Authentication EKU）。此變更是行業為提升證書用途一致性與安全性所做出的統一調整。

DigiCert 變更時間表

• 2025 年 10 月 1 日
  DigiCert 新簽發的公共 SSL/TLS 證書將默認不再包含 Client Authentication EKU。
• 2026 年 5 月 1 日
  DigiCert 將全面移除 Client Authentication EKU，適用於所有公共證書簽發流程，包括新簽發、續期和重新簽發。

Sectigo 變更時間表

• 2025 年 9 月 15 日
  Sectigo 將默認不再在新簽發的公共 SSL/TLS 證書中包含 Client Authentication EKU。
• 2026 年 5 月 15 日
  Sectigo 將徹底移除 Client Authentication EKU，適用於所有新簽發的公共 SSL/TLS 證書。

影響與應對措施

• 如果您的客戶端證書僅用於網站安全（HTTPS）用途：
  無需采取任何措施。
• 如果您的客戶端系統使用 SSL/TLS 證書進行客戶端身份驗證：
  建議您盡快評估當前使用情況，提前規劃替代方案，以防服務中斷或異常。

詳細資訊請參閱：Sunsetting the client authentication EKU from DigiCert public TLS certificates