变更内容

自2025年10月7日起，Sectigo将不再在默认情况下为新签发的SSL/TLS证书包含客户端身份验证EKU。

至2026年5月15日，Sectigo将永久移除所有新签发SSL/TLS证书中的客户端身份验证EKU。此日期之后将不再给予任何例外。

此更新不影响上述日期前已签发的现有证书，这些证书将保持有效直至到期或撤销。

为何进行此变更？

包括谷歌Chrome在内的主流浏览器根证书计划要求证书颁发机构限制在公共信任SSL/TLS证书中使用EKU，以提升安全性和合规性。为强化公共证书与私有证书的使用场景分离，全行业正逐步淘汰在公共信任SSL/TLS证书中包含客户端认证EKU的做法。

哪些用户受影响？

使用Sectigo SSL/TLS证书进行对等TLS（mTLS）、服务器间认证或其他客户端认证用途的组织。

若仅将SSL/TLS证书用于网站安全防护（HTTPS），则无需采取行动。