2026年停止支持 TLS 客户端认证证书
By Matthew McPherrin · 2025年5月14日
从2026年开始,Let’s Encrypt 将不再在我们的证书中包含“TLS Client Authentication”扩展密钥用法 (EKU)。 大多数使用 Let’s Encrypt 来保护网站的用户不会受到影响,也不需要采取任何措施。 但是,如果您使用 Let’s Encrypt 证书作为客户端证书来向服务器进行身份验证,则此更改可能会影响您。
为了最大限度地减少中断,Let’s Encrypt 将分多个阶段推出此更改,使用 ACME Profiles:
- 今天:Let’s Encrypt 已经在我们的
tlsserver(](https://letsencrypt.org/2025/05/14/ending-tls-client-authentication/</https:/letsencrypt.org/docs/profiles/#tlsserver>) ACME profile) 上排除了 Client Authentication EKU。 您现在可以通过使用此 profile 颁发证书来验证兼容性。 - 2025年10月1日:Let’s Encrypt 将启动一个新的
tlsclientACME profile,该 profile 将保留 TLS Client Authentication EKU。 需要更多时间进行迁移的用户可以选择加入此 profile。 - 2026年2月11日:默认的
classic(](https://letsencrypt.org/2025/05/14/ending-tls-client-authentication/</https:/letsencrypt.org/docs/profiles/#classic>) ACME profile) 将不再包含 Client Authentication EKU。 - 2026年5月13日:
tlsclientACME profile 将不再可用,并且不会颁发带有 Client Authentication EKU 的更多证书。
完成此操作后,Let’s Encrypt 将切换到使用不包含 TLS Client Authentication EKU 的新中间证书颁发机构颁发证书。
作为一些背景信息,所有证书都包含一个预期用途列表,称为扩展密钥用法 (EKU)。 Let’s Encrypt 证书包含两个 EKU:TLS Server Authentication 和 TLS Client Authentication。
- TLS Server Authentication 用于验证与 TLS 服务器(如网站)的连接。
- TLS Client Authentication 由客户端用于向服务器验证自己的身份。 此功能通常不在 Web 上使用,也不是网站上使用的证书所必需的。
在此更改完成后,只有 TLS Server Authentication 可从 Let’s Encrypt 获得。
此更改是由 Google Chrome 的根程序要求更改引起的,该要求规定必须在 2026 年 6 月之前将 TLS Client 和 Server Authentication 分离到单独的 PKI 中。 客户端身份验证的许多用途可以通过私有证书颁发机构更好地满足,因此 Let’s Encrypt 在此截止日期之前停止对 TLS Client Authentication 的支持。
Let's Encrypt 是一个免费、自动和开放的证书颁发机构,由非营利组织 Internet Security Research Group (ISRG) 提供。 在我们的 2024 年度报告 中阅读今年我们非营利工作的全部内容。