尊敬的新网客户/合作伙伴

您好！

根据 Google Chrome 浏览器根证书政策的最新要求，各大证书颁发机构（CA） 将逐步停止在 SSL/TLS 证书中包含用于 “客户端身份验证”（clientAuth）的扩展密钥用途（EKU）标识。 此举旨在提升安全性并遵循最小权限原则。

客户端身份认证（Client Authentication）是 SSL/TLS 双向认证（mTLS）的核心环节：服务器除了用自己的 SSL 证书证明身份（单向认证），还会要求客户端提供证书，验证客户端的合法性（如企业内部系统登录、API 接口访问、IoT 设备接入等）；EKU是证书中的一个关键扩展字段，用于限定证书的 “合法用途”，告诉依赖方（如服务器、浏览器）该证书能被用于哪些特定场景。

影响：使用全球信任服务器证书作为客户端凭证的双向认证（mTLS）场景（即全球信任服务器证书支持“服务端身份验证”，禁用“客户端身份认证”），可能导致业务中断或安全风险。

说明：如果证书的用途本身不涉及 “客户端身份认证”，则缺少clientAuth EKU 完全不影响其正常使用，不受影响的常见场景有：网站HTTPS服务器认证、代码签名（如签署EXE、APP）、电子邮件加密/签名、时间戳服务。

各大证书办法机构（CA）已明确出针对 Google EKU 新规的分阶段落实计划，具体安排如下：

结论：

SSL 证书停止在服务器证书中包含 clientAuth EKU，即 SSL 证书将不再默认支持客户端身份认证。

如您对于文件内容有任何疑问，可通过以下方式联系我们：

新网官方客服热线：400-660-5555（转2）

控制台在线支持：登录新网用户中心→控制台→在线客服

帮助中心：访问新网官网（www.xinnet.com）→帮助中心→SSL 证书专区    感谢您对新网的信任与支持！我们将持续优化服务，为您的网络安全提供更可靠的保障。

北京新网数码信息技术有限公司

2025年11月20日