根据 Google Chrome 浏览器根证书政策的最新要求，各个 CA 机构将逐步停止在 SSL/TLS 证书中包含“客户端身份验证（OID:1.3.6.1.5.5.7.3.2）”的 扩展密钥用途（EKU） 标识。此变更有助于提升安全性，遵循最小权限原则。

针对该策略变化，DigiCert、Sectigo、GlobalSign 的计划如下：

1、DigiCert

2025年10月1日起：DigiCert 将 默认停止 在 SSL/TLS 证书中包含客户端身份验证 EKU，若有需要，可在下单申请证书时额外声明需要添加该 EKU。

2026年5月1日起：DigiCert 将在 SSL/TLS 证书的颁发流程中（包括续订、重颁发、重签发）完全移除 客户端身份验证 EKU。

DigiCert 官方通知详见：https://knowledge.digicert.com/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates

2、Sectigo

2025年10月7日起：Sectigo 将 默认停止 在 SSL/TLS 证书中包含客户端身份验证 EKU，若有需要，可在下单申请证书时额外声明需要添加该 EKU。

2026年5月15日起：Sectigo 将在 SSL/TLS 证书的颁发流程中（包括续订、重颁发、重签发）完全移除 客户端身份验证 EKU。

Sectigo 官方通知详见：https://www.sectigo.com/resource-library/deprecation-of-client-authentication-eku-from-sectigo-ssl-tls-certificates

3、GlobalSign

2026年8月前：GlobalSign 将继续签发包含客户端身份验证 EKU 的 SSL/TLS 证书。

GlobalSign 官方通知详见：https://www.globalsign.cn/company/news-events_detailed/395

此次变更仅影响使用公共可信 SSL 证书作为客户端凭证的双向认证（mTLS）场景，基于私有 PKI 体系构建的 mTLS 连接不受本次变更影响。

爱名网

2025年9月8日