La autenticación del cliente en los certificados TLS pronto terminará

25/7/2025 | Jindřich Zechmeister

DigiCert ha anunciado que dejará de admitir gradualmente el uso ampliado de la autenticación de clientes en sus certificados TLS públicos. El cambio no afecta al uso habitual de los certificados para HTTPS, pero sí influirá en escenarios como el TLS mutuo (mTLS) o la autenticación de servidor a servidor.

¿Por qué ocurre esto?

La razón principal para este cambio es el fin del soporte para Client Authentication EKU en el navegador Google Chrome. Este paso es parte de un esfuerzo más amplio para garantizar la seguridad y la integridad de la infraestructura de clave pública (PKI). Google Chrome planea, a partir del 15 de junio de 2026, eliminar de la lista de certificados raíz de confianza aquellos que emiten certificados con Client Authentication EKU. Este paso tiene como objetivo eliminar los certificados raíz multipropósito que pueden ser abusados para diversos propósitos, aumentando así la seguridad de los usuarios.

¿Quién se ve afectado por este cambio?

Este cambio afectará a las organizaciones que utilizan certificados TLS públicos para la autenticación de clientes, como en el contexto de mTLS o la comunicación de servidor a servidor. Si su organización utiliza certificados TLS solo para proteger la comunicación HTTPS, este cambio no le afectará directamente. Sin embargo, si planea implementar mTLS u otras formas de autenticación de clientes en el futuro, es importante prepararse para este cambio.

¿Qué hacer al respecto?

DigiCert recomienda a las organizaciones que necesitan autenticación de clientes que hagan la transición a soluciones alternativas, como X9 PKI, servicios PKI privados o la gestión de certificados a través de Trust Lifecycle Manager. X9 PKI es un estándar diseñado para el sector financiero que permite una gestión segura y eficiente de certificados para la autenticación de clientes. La transición a estas soluciones garantizará la continuidad de la comunicación segura y el cumplimiento de los estándares de seguridad actuales.

Conclusión

El cambio en el soporte para la autenticación de clientes en certificados TLS de DigiCert es parte de una tendencia más amplia hacia la separación de infraestructuras PKI públicas y privadas. Las organizaciones que utilizan certificados para la autenticación de clientes deben comenzar a planificar la transición a soluciones alternativas para garantizar la continuidad y seguridad de sus sistemas. La adaptación oportuna a este cambio ayudará a minimizar los riesgos y asegurar el cumplimiento de futuros estándares de seguridad.