Neue Fristen: Client Authentication entfällt in SwissSign-TLS/SSL-Zertifikaten voraussichtlich per Ende Januar 2027

Das Extended Key Usage (EKU) clientAuth darf ab voraussichtlich Ende Januar 2027 nicht mehr in neu ausgestellten öffentlich vertrauenswürdigen SwissSign-TLS/SSL-Zertifikaten enthalten sein.

Hintergrund: Googles Chrome Root Program Policy v1.8 schränkt die Nutzung von clientAuth in öffentlich vertrauenswürdigen TLS/SSL-Zertifikaten in zwei Schritten ein: Sub-CA-Zertifikate sind ab 15. Juni 2026 betroffen, Leaf-Zertifikate ab 15. März 2027.

Was sich ändert und wann: Darum wird SwissSign keine öffentlich vertrauenswürdigen TLS/SSL-Zertifikate mehr ausstellen, die das EKU clientAuth enthalten. Wir planen, diese Anforderungen bis voraussichtlich Ende Januar 2027 umzusetzen. Das genaue Datum geben wir im RSS-Feed und in unserem Blog bekannt. Zertifikate, die bis dahin ausgestellt wurden, behalten ihre Gültigkeit bis zum jeweiligen Ablaufdatum.

Was Sie tun müssen: Prüfen Sie, ob Sie in Ihren TLS/SSL-Zertifikate das EKU "clientAuth" nutzen. Falls ja, erneuern Sie diese vor Januar 2027. Zertifikate in privaten PKI-Umgebungen sind nicht betroffen, S/MIME-Zertifikate vom Typ "Sponsor Validated" können oft auch alternativ eingesetzt werden.

Ressourcen: Ausführliche Informationen finden Sie in unserem Blogartikel: TLS/SSL Client Authentication: Was sich ändert

Ihr SwissSign Team