Öffentlich vertrauenswürdige TLS/SSL-Zertifikate dürfen künftig nicht mehr gleichzeitig für Server- und Client-Authentifizierung verwendet werden. Hintergrund sind neue Anforderungen der Root-Programme großer Browserhersteller. Unternehmen, die entsprechende Zertifikate einsetzen, sollten ihre Infrastruktur rechtzeitig überprüfen.

Was sich ändert

Bisher konnten viele öffentlich ausgestellte TLS-Zertifikate sowohl für die Server-Authentifizierung (z. B. HTTPS) als auch für die Client-Authentifizierung (z. B. Mutual TLS) genutzt werden. Möglich war dies über die sogenannte Extended Key Usage (EKU), indem ein Zertifikat gleichzeitig die Einträge „Server Authentication“ und „Client Authentication“ enthielt.
Diese Doppelverwendung wird nun abgeschafft. Öffentlich vertrauenswürdige TLS-Zertifikate dürfen künftig nur noch für Server-Authentifizierung eingesetzt werden. Für die Client-Authentifizierung sind künftig separate Zertifikate erforderlich, etwa aus einer privaten PKI.

Zeitplan der Umstellung

Mehrere Zertifizierungsstellen stellen ihre Ausstellung im Frühjahr 2026 um. Beispielsweise beendet Let’s Encrypt die Ausgabe entsprechender Zertifikate am 13. Mai 2026. Bereits ausgestellte Zertifikate können dort noch bis 8. Juli 2026 genutzt werden.
Die Änderungen gehen auf neue Anforderungen der Browser-Root-Programme zurück, die eine klare Trennung zwischen Server- und Client-Authentifizierung verlangen.

Wer ist betroffen?

Betroffen sind insbesondere Umgebungen, in denen öffentliche TLS-Zertifikate zusätzlich zur Client-Authentifizierung verwendet werden, etwa:

  • Mutual TLS (mTLS) zwischen Systemen
  • API-Authentifizierung über Client-Zertifikate
  • Geräte- oder Maschinen-Authentifizierung
  • interne Dienste mit kombinierter Zertifikatsverwendung

Der klassische Einsatz von TLS-Zertifikaten für HTTPS-Webserver ist nicht betroffen.

Empfohlene Maßnahmen

Organisationen sollten prüfen, ob entsprechende Zertifikate im Einsatz sind, und ihre Konfigurationen gegebenenfalls anpassen:

  • Zertifikatsinventar erstellen
  • Zertifikate mit kombinierter EKU identifizieren
  • Client-Authentifizierungs-Szenarien prüfen
  • separate Client-Zertifikate einführen (setzen Sie sich hier mit Ihrem TrustCenter in Verbindung, welche Alternativen angeboten werden oder verwenden Sie hierfür eine eigene private trust Variante)
  • automatisierte Zertifikatsprozesse anpassen

Für die Umsetzung kann ein zentraler Überblick über vorhandene Zertifikate hilfreich sein. Mit essendi cd lässt sich ein Zertifikatsinventar aufbauen und gezielt nach Zertifikaten mit kombinierter Extended Key Usage suchen. Die anschließende Anpassung und Erneuerung der Zertifikate kann über automatisierte Prozesse erfolgen, beispielsweise mit essendi xc, das den gesamten Zertifikatslebenszyklus abdeckt und Änderungen kontrolliert ausrollt.

Abonnieren Sie den kostenfreien
essendi it Newsletter

JETZT ANMELDEN UND INFORMIERT BLEIBEN.