Suppression de l'authentification client TLS
25 juil. 2025 | Jindřich Zechmeister
DigiCert a récemment annoncé la suppression de la fonctionnalité d'authentification client dans ses certificats TLS publics. Bien que ce changement ne modifie en rien l'utilisation standard des certificats HTTPS, il a un impact sur des cas particuliers comme Mutual TLS (mTLS) et l'authentification entre serveurs.
Pourquoi cette suppression ?
La principale raison de ce changement est la fin de la prise en charge de l'authentification client EKU dans Google Chrome. Cette décision s'inscrit dans une initiative plus vaste visant à renforcer la sécurité et l'intégrité de l'infrastructure à clés publiques (PKI). À compter du 15 juin 2026, Google Chrome prévoit de retirer de sa liste de certificats racines de confiance ceux qui émettent des certificats avec l'authentification client EKU. Cette initiative vise à écarter l'utilisation de certificats racines polyvalents qui pourraient être détournés à des fins abusives, renforçant ainsi la sécurité des utilisateurs.
Qui est concerné ?
Ce changement affectera les organisations utilisant des certificats TLS publics pour l'authentification client, comme mTLS ou pour les communications de serveur à serveur, ainsi que celles envisageant d'implémenter de telles formes d'authentification client à l'avenir. Si votre organisation utilise des certificats TLS uniquement pour sécuriser les communications HTTPS, vous ne serez pas directement concerné par ce changement.
Quelle est la solution ?
DigiCert recommande aux organisations nécessitant l'authentification client de migrer vers des solutions alternatives telles que X9 PKI, des services PKI privés ou la gestion des certificats via Trust Lifecycle Manager. La norme X9 PKI, spécifiquement conçue pour le secteur financier, permet une gestion sécurisée et efficace des certificats d'authentification client. La migration vers ces solutions garantira la continuité des communications sécurisées et la conformité aux normes de sécurité actuelles.
Conclusion
La modification de la prise en charge de l'authentification client dans les certificats TLS de DigiCert fait parti d'une tendance plus large vers la séparation des infrastructures PKI publiques et privées. Les organisations qui s'appuient sur des certificats pour l'authentification client devraient dès à présent envisager des solutions alternatives afin d'assurer la continuité et la sécurité de leurs systèmes. Se préparer tôt à ce changement permettra de minimiser les risques et d'assurer la conformité avec les futures normes de sécurité.
