[중요공지] SSL/TLS 인증서 클라이언트 인증 EKU 지원중단 안내 > 공지사항

본문 바로가기주메뉴 바로가기

> 고객지원/이벤트 > 공지사항

공지사항

/var/www/certkorea/skin/board/notice/view.skin.php
공지사항
  • 관리자
  • 25-11-18 18:54
  • 109

[중요공지] SSL/TLS 인증서 클라이언트 인증 EKU 지원중단 안내

본문

안녕하세요써트코리아입니다

항상 저희 인증서를 이용해 주셔서 진심으로 감사 드립니다.

 

[중요공지SSL/TLS 인증서 클라이언트 인증 EKU 지원중단 안내

 

SSL/TLS 인증서가 오랫동안 서버 인증(serverAuth, OID 1.3.6.1.5.5.7.3.1)과 클라이언트 인증(clientAuth, OID 1.3.6.1.5.5.7.3.2)을 지원해 왔으나, 

Google Chrome 루트 프로그램 정책 변경에 따라 2026년 6월 15일부터 SSL/TLS 인증서는 서버 인증 EKU만 포함하여 발급 가능하며, 

더 이상 클라이언트 인증 EKU는 지원되지 않습니다.

이 변화는 다목적 PKI 구조가 지닌 복잡성과 보안 리스크를 줄이기 위한 것으로, 앞으로 SSL/TLS 인증서는 서버 인증 용도로만 사용 가능합니다.


 따라서, 아래의 용도로 SSL/TLS 인증서를 사용하는 경우, 클라이언트 인증 EKU를 지원하는 별도 인증서를 도입해야 합니다.


 조치 대상

1. mTLS 인증

2. Server-to-Server 인증

3. 그 외 SSL/TLS 인증서를 클라이언트 인증 용도로 병행 사용하는 경우


 조치 제외 대상

※ SSL/TLS 인증서를 브라우저를 통한 https 통신 용도로만 사용하는 경우, 이번 변경사항에 영향이 없습니다.


 주요 변경사항

주요 인증기관(CA)에서 클라이언트 인증 EKU를 제외하고 발급하고 있으며, 2026년 6월 15일 이후에는 클라이언트 인증 EKU를 포함한 인증서는 더 이상 발급 불가능합니다.

앞으로 발급되는 SSL/TLS 인증서는 서버인증 용도로만 사용 가능하며, 클라이언트 인증이 필요한 경우, 별도의 인증서를 사용해야 합니다.


 주요 CA 적용일정

DigiCert

1) 2025 10월부터 클라이언트 인증 EKU 제외 발급

  - 2026 4 30일까지 별도 옵션으로 클라이언트 인증 EKU를 포함하여 발급 가능

2) 2026 5 1일부터 완전 제거

Sectigo

1) 2025 10 7일부터 단계적 제거

2) 2026 5 15일부터 완전 제거


 대응 방안

DigiCert X9 PKI for TLS 인증서

DigiCert Private SSL 인증서

- ASC X9 표준 인증서

- RSA / ECC 발급 가능

- 도메인 및 공인IP 발급가능

- Wildcard 도메인 발급 불가

- 사설인증서

- 검증절차 없이 발급 가능

- RSA만 발급가능

- 도메인 및 공인IP/사설IP 발급가능

 

[참고링크]

Google 루트 프로그램 정책 : https://googlechrome.github.io/chromerootprogram/#422-pki-hierarchies-included-in-the-chrome-root-store

DigiCert : https://knowledge.digicert.com/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates

Sectigo : https://www.sectigo.com/resource-library/deprecation-of-client-authentication-eku-from-sectigo-ssl-tls-certificates


 

감사합니다.

써트코리아 드림