谷歌EKU新规调整：服务器证书禁用客户端身份认证情况说明与应对措施

字号：大中小

新规影响概述：

谷歌未来将不再认可服务器证书作为客户端使用客户端身份认证，禁用clientAuth（客户端身份认证）EKU。

2026/6/15日后，当服务器证书使用者其证书作为客户端进行 “客户端身份认证”（如 mTLS 双向认证场景）时，谷歌相关浏览器、操作系统提示认证失败、业务中断；若用于服务器身份认证（如 HTTPS链接）、代码签名等其他场景，则不受影响。

规则解释

新证书：EKU（扩展密钥用法）仅包含serverAuth（服务器身份认证）

老证书：EKU中可能只有serverAuth，或同时包括serverAuth和clientAuth（客户端身份认证），或同时包含serverAuth, clientAuth或S/MIME（邮件身份认证）

EKU 的核心作用：它是证书中的一个关键扩展字段，用于限定证书的 “合法用途”，告诉依赖方（如服务器、浏览器）该证书能被用于哪些特定场景。clientAuth（OID：1.3.6.1.5.5.7.3.2）是其中一个特定用途，专门表示 “客户端身份认证”。

客户端身份认证（Client Authentication）是 SSL/TLS 双向认证（mTLS）的核心环节：服务器除了用自己的 SSL 证书证明身份（单向认证），还会要求客户端提供证书，验证客户端的合法性（如企业内部系统登录、API 接口访问、IoT 设备接入等）。

若客户端证书缺少clientAuth EKU，会触发依赖方（服务器）的证书验证失败，具体影响如下：

1. 直接后果：客户端无法通过身份认证，连接被拒绝

服务器在验证客户端证书时，会强制检查证书的 EKU 字段是否包含clientAuth（这是 TLS 协议和多数服务器配置的默认安全逻辑）。若缺少该字段，服务器会判定 “此证书无权用于客户端认证”，直接终止 TLS 握手过程，返回错误。

2. 间接后果：业务中断或安全风险

·业务层面：依赖客户端认证的场景会完全失效，例如：

企业员工无法通过证书登录内部 OA、CRM 系统；

IoT 设备（如工业传感器、摄像头）无法接入云端平台；

第三方 API 调用（如银行、支付接口）因客户端身份验证失败被拒绝。

·安全层面：若强行绕过 EKU 检查（如修改服务器配置关闭ssl_verify_client或require clientcert），会导致服务器失去对客户端身份的有效验证，任何人都可能伪装成合法客户端接入，存在严重的身份伪造风险。

不受影响的场景

若证书的用途本身不涉及 “客户端身份认证”，则缺少clientAuth EKU 完全不影响其正常使用。常见场景包括：

时间计划

·中国根

·中国根Pro

如何应对

1. 如果用户只是用来做HTTPS单向认证，不涉及双向认证，则无影响，建议直接更换为新证书。

2. 如果用户的确需要做双向认证，建议客户使用普通服务器证书。普通服务器证书不受此规则影响，且能够满足使用场景需求。

如何结算

新证书与老证书价格不变。

对于不需要clientAuth EKU的客户，直接换老证书为新证书；

对于需要clientAuth EKU的客户，建议购买普通服务器证书。

若您需要了解更多详情或有任何疑问，请随时通过以下方式联系我们：400-880-9888。