2026年5月,公钥基础设施(PKI)将发生一场根本性的转变。大多数组织尚未关注到这一变化,但许多组织将会感受到它的影响。由于更新后的Chrome根证书计划要求以及各大证书颁发机构(CA)最近的公告,公共CA将不再颁发支持TLS客户端身份验证的证书。
对于依赖这些证书对用户、设备或应用程序进行身份验证的组织而言,这一变化引入了一个硬性截止日期。现有的身份验证工作流程,特别是那些悄悄依赖免费或自动化公共CA的流程,将开始失效,除非组织迁移到私有CA。
这一转变并非一个边缘情况的政策更新。它是一次结构性调整,重新定义了企业基础设施中身份验证的处理方式。而且它到来的时间比大多数人意识到的要早得多。
1. 背后的政策变更
这一变更源于Chrome根证书计划政策1.6(Chrome Root Program Policy 1.6)。该政策要求,在2026年6月之前,包含在Chrome信任存储库中的证书层次结构必须专用于TLS服务器身份验证。简而言之,公共CA将不再被允许颁发同时包含
id-kp-serverAuth
和
id-kp-clientAuth
扩展密钥用法(EKU)的证书。这些EKU定义了证书允许的用途,在本例中,即用于服务器身份验证或客户端身份验证。
强制执行已经开始。
Sectigo宣布,从2025年9月15日开始,他们将默认不再在新颁发的SSL/TLS证书中包含客户端认证(Client Authentication)EKU。到2026年5月15日,Sectigo将永久性地从所有新颁发的SSL/TLS证书中移除客户端认证EKU。在此日期之后,将不再给予任何例外。
这一政策转变遵循了浏览器对延迟吊销零容忍的更广泛趋势。Chrome没有继续容忍混合用途的公共证书,而是选择了明确性:公共PKI仅用于服务器身份验证。如果您需要客户端身份验证,请使用私有CA。
什么是TLS客户端身份验证以及您可能使用它的原因
TLS客户端身份验证使系统能够在客户端(用户、设备或应用程序)尝试连接到服务器时验证其身份。这与更熟悉的TLS服务器身份验证(用于HTTPS)不同,后者用于验证网站。
一些常见的用例包括:
- VPN访问: 向员工笔记本电脑颁发证书,以便在远程连接时验证其身份。
- Wi-Fi入网: 对员工设备进行身份验证并保护网络,而无需共享静态密码。
- Salesforce登录或其他单点登录(SSO)工作流程: 依赖嵌入在终端设备中的客户端证书。
- API的相互TLS(mTLS): 尤其是在CI/CD流水线中或零信任架构中的微服务之间。
- DevOps环境中的设备或工作负载身份: 包括基于容器的服务。
关键问题在于:许多组织在这些工作流程中不自觉地使用公共CA进行客户端身份验证,通常是因为它简单、便宜或与ACME等自动化工具捆绑在一起。
谷歌Chrome已将移除客户端身份验证作为根证书保留在Chrome根证书存储库中的先决条件。由于大多数其他浏览器遵循相同的根证书计划,真正全球受信任的客户端身份验证证书将会枯竭。
一旦主要的公共信任CA在2025/2026年完成从其TLS产品线中移除客户端认证EKU,那些仍然依赖TLS客户端身份验证证书来识别客户端的组织将发现很难(并且很快就不可能)找到替代品。每个大型公共CA现在都已公布了淘汰时间表。
2. 现代私有CA:不再像过去那样沉重
客户端身份验证从根本上说是一种内部安全功能。它需要灵活性、细粒度控制,并确保证书不会因外部政策变更而被吊销。公共CA从来就不是为这个目的设计的。
直到最近,许多组织仍然在使用它们,通常没有意识到其影响。公共证书易于获取、对自动化友好,并且不需要运行内部PKI基础设施。但它们存在局限性:
- 固定的证书配置文件,无法根据内部用例进行修改。
- 来自CA/浏览器论坛(CA/Browser Forum)的公开审计和合规性要求。
- 无法控制颁发窗口、吊销标准或生命周期策略。
- 暴露于浏览器和平台政策变更的风险之下,就像现在发生的情况。
相比之下,私有证书颁发机构让组织能够完全控制证书的颁发、配置文件设计、吊销、续订和自动化。更重要的是,它们不受外部根证书计划约束的限制。如今,现代私有CA解决方案的部署远比过去容易。
历史上,私有CA曾以昂贵、难以管理且部署缓慢而闻名。组织必须从头开始构建PKI基础设施,通常依赖过时的工具和手动流程。
但情况已不再如此。
现代私有CA,尤其是像Sectigo这样的云原生CA,可以在几分钟内完成部署,自动扩展,并支持ACME、EST和SCEP等协议以实现无缝证书注册。它们提供:
- 可定制的证书配置文件,适用于一系列内部用例。
- 按用例划分的私有CA(如果需要关注点分离)。
- 完整的API支持,以便集成到DevOps、MDM(移动设备管理)和安全平台中。
- 通过证书生命周期管理(CLM)平台实现生命周期自动化和策略执行。
这一演变意义重大,以至于它帮助触发了Chrome的政策转变。正如Sectigo高级研究员Jason Soroko指出的:
“谷歌之所以有底气这样做,是因为他们知道我们现在终于有了轻量级、开箱即用的私有CA选项。如果这是在15年前,他们不可能扣动扳机。”
换句话说,私有CA基础设施终于赶上了它一直致力于解决的问题。
3. CLM如何完善整体方案
切换到私有CA不仅仅是更换证书,更是要掌控这些证书的管理方式。
随着47天有效期的SSL/TLS证书成为现实,使用电子表格跟踪证书或指望续订脚本持续运行已不再可行。可见性、自动化和策略执行必须从一开始就内置其中。
这就是证书生命周期管理(CLM) 发挥作用的地方。一个强大的CLM平台可以帮助您:
- 发现环境中所有的证书,包括公共和私有的。
- 按用例、系统和到期时间分类和标记证书。
- 大规模自动化证书的颁发、续订和吊销。
- 强制执行关于密钥长度、EKU、配置文件模板等的策略。
- 避免因证书过期或配置错误导致的停机。
- 在一个单一窗格、统一视图中查看您所有的证书,无论是私有的还是公共的。
无论您的CA有多好,如果没有CLM,随着数字环境的持续快速演变,您将难以保持敏捷性。
正如Jason所说:“万法归宗CLM。每一张证书从一开始就应该被管理起来。”
4. 您接下来应该做什么
1. 绘制您的内部PKI地图
首先识别您组织内部使用TLS客户端身份验证的位置:
- ▪ 哪些设备、应用程序或服务正在使用证书进行身份验证?
- ▪ 它们是由哪些证书颁发机构颁发的?
- ▪ 是否有任何此类证书是通过公共ACME工作流程(例如Let’s Encrypt)颁发的?
如果您不确定,Sectigo Certificate Manager可以帮助发现并清点云、本地和混合环境中的内部证书。
2. 评估风险和时间表
如前所述,所有公共CA都必须在2026年5月之前全面淘汰对TLS客户端身份验证的支持。任何支持客户端身份验证、由这些来源颁发的证书都需要替换为私有CA颁发的证书。
3. 部署现代私有CA
Sectigo基于云的私有CA解决方案允许您为以下用途颁发和管理证书:
- ▪ VPN和Wi-Fi身份验证
- ▪ 设备和工作负载身份
- ▪ mTLS和API身份验证
- ▪ 开发环境和CI/CD流水线
它专为快速部署而设计,并可跨环境扩展。通过支持ACME、EST和SCEP协议,以及与Microsoft ADCS和云身份平台的开箱即用集成,您可以无摩擦地启用私有PKI。
4. 通过证书生命周期管理实现自动化
一旦您的私有CA投入运行,下一步就是确保完全的可见性和自动化。Sectigo Certificate Manager为您提供:
- ▪ 所有证书(公共和私有)的完整清单
- ▪ 基于角色的颁发策略
- ▪ 自动续订和轮换
- ▪ 到期警报和审计日志记录
5. 私有PKI不再是可选项
公共CA对TLS客户端身份验证的淘汰不仅仅是一项政策更新,它更是身份验证处理方式的一次结构性变革。它移除了许多组织多年来在不知不觉中依赖的“拐杖”。
好消息是:私有CA已不再是过去的障碍。随着证书管理工具的不断完善,现在是收回控制权的最佳时机。
如果您仍在分发Wi-Fi密码或使用来自公共CA的客户端证书来验证笔记本电脑身份,那么是时候行动了。您所需的基础设施已经就绪,截止日期也已确定。
Sectigo提供您的组织保持合规性和敏捷性所需的解决方案。 凭借一个开箱即用、业界领先的(CA无关的)私有CA以及一个安全、简单且可扩展的平台,您可以将公共和私有证书合二为一。
