Le champ EKU (Extended Key Usage) de vos certificats évolue.
Longtemps resté flexible, ce paramètre fait aujourd?hui l?objet d?un durcissement de la part des autorités de régulation (le CA/Browser Forum). Mais qu?est-ce que cela signifie concrètement pour vous ?
Qu?est-ce que l?EKU (Extended Key Usage) ?
Pour comprendre le changement, petit rappel technique : un certificat numérique n?est pas juste une « carte d?identité ». C?est aussi un permis qui définit ce que vous avez le droit de faire avec.
Le champ EKU précise les usages autorisés pour la clé publique contenue dans le certificat.
Par exemple :
- Server Authentication : Pour sécuriser un site web (HTTPS).
- Client Authentication : Pour identifier un utilisateur auprès d?un serveur.
- Code Signing : Pour signer des logiciels.
Le changement :
Pendant des années, il était courant (et pratique) de commander des certificats avec plusieurs EKU combinés. On voyait souvent des certificats « Server Auth » qui incluaient aussi du « Client Auth ».
C?est désormais terminé pour les certificats SSL publics.
Sous l?impulsion des navigateurs (Google Chrome, Mozilla Firefox) et du CA/B Forum, les autorités de certification (CA) doivent désormais limiter strictement les usages. Un certificat de serveur doit être… un certificat de serveur.
Les certificats seront donc émis avec uniquement : « TLS Web Server Authentication ».
Pourquoi cette restriction ?
Cette décision vise à renforcer la sécurité globale de l’écosystème :
- Principe du moindre privilège : En limitant les usages d’un certificat, on réduit l’impact potentiel en cas de compromission de la clé privée. Une clé volée ne pourra pas être détournée pour un usage qu’elle n’était pas censée couvrir.
- Interopérabilité : Certains systèmes réagissent mal ou de manière imprévisible face à des certificats ayant trop d’options. La standardisation garantit que le certificat sera accepté partout sans erreur.
- Conformité accrue : Cela permet aux autorités de certification de mieux surveiller et révoquer les certificats de manière granulaire.
Quelles conséquences pour vous ?
Si vous utilisez des certificats SSL/TLS standards pour vos sites web, l’impact sera transparent lors de vos prochains renouvellements : l?autorité de certification émettra simplement un certificat conforme aux nouvelles normes.
Toutefois, restez vigilants si :
- Vous utilisez des applications spécifiques qui exigeaient que le certificat SSL du serveur possède aussi l’usage « Client Authentication ». Il faudra revoir la configuration de ces applications ou obtenir des certificats séparés.
- Vous avez des scripts d’automatisation qui vérifient strictement la présence de certains OID (identifiants d’objets) dans les extensions du certificat.
En résumé
La fin de la multiplicité des EKU marque une étape de plus vers une gestion plus rigoureuse et granulaire des identités numériques. Moins de polyvalence signifie plus de clarté et, au final, une meilleure protection contre les usages abusifs.
Vous avez un doute sur la configuration de vos certificats actuels ? N?hésitez pas à consulter la documentation technique complète sur notre site ou à contacter notre support.
L?article Certificats SSL/TLS : Dépréciation de l’EKU (Extended Key Usage) client authentification est apparu en premier sur Toute l'actualité des noms de domaine.
Pour lire l'article dans son intégralité cliquez-ici.