Nouveaux délais: limitation de clientAuth dans les certificats TLS/SSL prévue à partir de fin janvier 2027

À partir de fin janvier 2027, l’Extended Key Usage (EKU) clientAuth ne pourra en principe plus figurer dans les nouveaux certificats SwissSign TLS/SSL publics.

Contexte: la Root Program Policy v1.8 de Google restreint l’utilisation de clientAuth dans les certificats TLS/SSL publics dignes de confiance en deux étapes: les certificats Sub-CA sont concernés à partir du 15 juin 2026 et les certificats Leaf à partir du 15 mars 2027.

Ce qui change et quand: en raison de ce qui précède, SwissSign n’émettra plus de certificats TLS/SSL publics dignes de confiance avec un EKU clientAuth. Nous prévoyons de mettre en œuvre ces exigences d’ici fin janvier 2027. Nous communiquerons la date exacte dans le flux RSS et sur notre blog. Les certificats qui auront été délivrés jusqu’à cette date conservent leur validité jusqu’à leur date d’échéance.

Ce que vous devez faire: Vérifiez si vous utilisez l'entité de vérification (EKU) «clientAuth» dans vos certificats TLS/SSL. Dans l’affirmative, renouvelez-les avant janvier 2027. Les certificats dans les environnements PKI privés ne sont pas concernés, les certificats S/MIME de type «Sponsor Validated» peuvent souvent être utilisés en guise d’alternative.

Ressources: vous trouverez des informations détaillées dans notre article de blog: TLS/SSL Client Authentication: ce qui change

L’équipe SwissSign