Desaparición del uso extendido de claves (EKU) de autenticación de clientes

Debido a la actualización de los requisitos del sector, las principales autoridades de certificación, incluidas Sectigo y Trustico®, han anunciado la eliminación del uso de clave ampliada (EKU) de autenticación de cliente de los certificados SSL de confianza pública.

Este cambio se alinea con tendencias más amplias en el ecosistema de autoridades de certificación, a medida que las autoridades de certificación se mueven para implementar los mismos estándares de la industria.

¿Qué es Client Authentication EKU?

Client Authentication Extended Key Usage (EKU) es una extensión de los certificados SSL que permite su uso para autenticar usuarios o dispositivos en servidores, normalmente en escenarios de autenticación mutua TLS (mTLS) o de servidor a servidor.

Tradicionalmente, algunos certificados SSL incluían este EKU por defecto, lo que permitía tanto la seguridad del sitio web como la autenticación del cliente en un único certificado SSL.

Calendario de eliminación

La eliminación se producirá en dos fases para garantizar una transición fluida para todos los usuarios. El 15 de septiembre de 2025, las autoridades de certificación dejarán de incluir el EKU de autenticación de clientes por defecto en los certificados SSL de nueva emisión.

Tras esta fase inicial, el 15 de mayo de 2026, el EKU de autenticación de cliente se eliminará de forma permanente de todos los certificados SSL de nueva emisión, sin excepciones.

¿Por qué se produce este cambio?

Esta actualización forma parte de un cambio más amplio en las normas y mejores prácticas del sector. Los principales programas raíz de los navegadores, como la política del programa raíz de Google Chrome, exigen ahora a las autoridades de certificación que limiten el uso de EKU (Extended Key Usages) en los certificados SSL de confianza pública.

Estos certificados SSL están diseñados específicamente para proteger las conexiones entre navegadores y servidores web. Históricamente, la inclusión del EKU de autenticación de cliente en los certificados SSL de servidor ha planteado posibles problemas operativos y de seguridad.

Al eliminar el EKU de autenticación de cliente, las autoridades de certificación, entre las que se incluye Trustico®, se ajustan a los nuevos requisitos para garantizar que los certificados SSL se utilicen estrictamente para los fines previstos, reduciendo el riesgo de uso indebido o configuración incorrecta.

Efectos en los entornos de servidor

Para la mayoría de los usuarios, la eliminación del EKU de autenticación de cliente de los certificados SSL tendrá un impacto mínimo o nulo. Los certificados SSL existentes emitidos antes de la fecha límite seguirán siendo válidos y continuarán funcionando como es debido hasta su caducidad.

Los servidores web estándar que utilicen HTTPS no se verán afectados por este cambio, y tanto los certificados SSL actuales como los renovados emitidos después de la fecha límite seguirán funcionando con normalidad para los fines típicos de autenticación de servidores.

Sin embargo, si su entorno utiliza TLS mutuo (mTLS), autenticación de servidor a servidor o depende de certificados SSL de servidor mTLS para la autenticación de clientes, deberá obtener un certificado SSL independiente o una solución que incluya clientAuth EKU.

Además, algunos sistemas heredados o empresariales pueden esperar que estén presentes los EKU serverAuth y clientAuth. Para garantizar la compatibilidad con los últimos estándares del sector, es importante comprobar si sus sistemas necesitan actualizaciones para adaptarse a este cambio.

Cómo prepararse para este cambio

Para prepararse para los próximos cambios, lo mejor es revisar todos los certificados SSL que se utilizan actualmente para comprobar si incluyen el atributo clientAuth Extended Key Usage (EKU).

Evalúe sus sistemas para determinar si alguno depende de certificados SSL tanto para la autenticación del servidor como para la del cliente. Tenga en cuenta que los futuros certificados SSL se emitirán, de forma predeterminada, sin el atributo clientAuth EKU, por lo que es importante planificar en consecuencia las próximas renovaciones o reemisiones.

Si desea actualizar de forma proactiva sus certificados SSL, puede optar por volver a emitirlos antes de la fecha límite de aplicación. Además, revise y actualice las secuencias de comandos automatizadas de solicitud de certificados SSL o la documentación interna que anteriormente suponía la presencia de ambos EKU.

Si necesita ayuda con sus certificados SSL o tiene alguna pregunta sobre estos cambios, póngase en contacto con Trustico® para obtener más ayuda y orientación durante esta transición.

¿Qué es mTLS?

mTLS, también conocido como Mutual Transport Layer Security, es un método de autenticación mutua que utiliza un protocolo de seguridad que garantiza que tanto el cliente como el servidor verifiquen mutuamente sus identidades mediante certificados digitales antes de establecer una conexión segura y cifrada.

A diferencia de TLS estándar, que sólo autentica al servidor, mTLS requiere que ambas partes presenten y validen Certificados SSL, proporcionando una capa extra de confianza y seguridad para las comunicaciones sensibles.

¿Qué es TLS?

TLS, o Transport Layer Security, es un protocolo de cifrado ampliamente utilizado que cifra los datos enviados a través de Internet para garantizar la privacidad y la integridad de los datos entre dos aplicaciones en comunicación, como un navegador web y un servidor.

TLS ayuda a proteger la información confidencial, como contraseñas y números de tarjetas de crédito, para que no pueda ser interceptada o manipulada por personas no autorizadas durante la transmisión. Es el sucesor de SSL (Secure Sockets Layer) y se utiliza habitualmente para proteger sitios web, como indica el "https" en las direcciones web.

¿Influye esto en los certificados S/MIME o de firma de código?

Los certificados S/MIME y de firma de código tienen sus propios requisitos específicos de uso ampliado de claves (EKU), distintos de los de los certificados SSL de servidor TLS. Por consiguiente, estos tipos de certificados no se verán afectados por este cambio.

¿Cuáles son los plazos de las claves?

El 15 de septiembre de 2025 es la fecha en la que las autoridades de certificación dejarán de incluir por defecto el EKU de autenticación de cliente en los certificados SSL de nueva emisión.

Para el 15 de mayo de 2026, el EKU de autenticación de cliente se eliminará de forma permanente de todos los certificados SSL de nueva emisión, sin excepciones.

¿Qué es Client Authentication EKU?

Client Authentication Extended Key Usage (EKU) es una extensión de los certificados SSL que les permite autenticar usuarios o dispositivos, normalmente en escenarios TLS mutuo (mTLS) o de servidor a servidor.

Algunos certificados SSL han incluido tradicionalmente este EKU por defecto, permitiendo tanto la seguridad del sitio web como la autenticación del cliente.

¿Cómo afecta esto a mi entorno?

Para la mayoría de los usuarios, la eliminación del EKU de autenticación de cliente de los certificados SSL no tendrá ningún impacto. Los certificados SSL existentes seguirán siendo válidos y los servidores HTTPS estándar seguirán funcionando con normalidad.

Sólo los entornos que requieran TLS mutuo, autenticación de cliente o sistemas heredados que esperen ambos EKU tendrán que obtener una solución independiente o actualizar sus sistemas.

¿Cómo debo prepararme para este cambio?

Para prepararse para estos cambios, revise sus certificados SSL actuales para comprobar si contienen el EKU clientAuth e identifique cualquier sistema que requiera autenticación tanto de servidor como de cliente.

Dado que los futuros certificados SSL no incluirán el EKU clientAuth de forma predeterminada, planifique las renovaciones o reemisiones según sea necesario. Considere la posibilidad de volver a emitir certificados SSL de forma proactiva y actualice cualquier proceso automatizado o documentación que asuma que ambos EKU están presentes.

¿Está relacionado con la reducción de la vida útil de los certificados SSL?

Este cambio no está relacionado con la próxima reducción de la vida útil de los certificados SSL. Se trata de una iniciativa independiente del sector centrada en mejorar la seguridad garantizando que los certificados SSL se utilicen estrictamente para los fines previstos, reduciendo así el riesgo de uso indebido o configuración incorrecta.

¿Seguirán funcionando mis certificados SSL actuales?

Los certificados SSL existentes emitidos antes de la fecha límite seguirán siendo válidos hasta su expiración. Los servidores web HTTPS estándar y los certificados SSL recién emitidos seguirán funcionando con normalidad a efectos de autenticación del servidor.