SSL ประกาศยกเลิก Client Authentication (1.3.6.1.5.5.7.3.2) ใน Extended Key Usage (EKU)

What is client authentication? คือ การยืนยันตัวตนของลูกค้า (Client Authentication)

กระบวนการที่ผู้ใช้เข้าถึงเซิร์ฟเวอร์หรือคอมพิวเตอร์ระยะไกลอย่างปลอดภัย โดยมีการแลกเปลี่ยนใบรับรองดิจิทัล (Digital Certificate) ซึ่งใบรับรองดิจิทัลนี้เปรียบเสมือน “บัตรประจำตัวดิจิทัล” ของคุณ และถูกใช้เพื่อผูกตัวตนของลูกค้า พนักงาน หรือคู่ค้ากับใบรับรองดิจิทัลเฉพาะบุคคลในเชิงเข้ารหัส (โดยปกติจะระบุชื่อ ชื่อบริษัท และที่ตั้งของเจ้าของใบรับรองดิจิทัล)

ใบรับรองดิจิทัลนี้สามารถเชื่อมโยงกับบัญชีผู้ใช้ และถูกนำไปใช้เพื่อควบคุมสิทธิ์การเข้าถึงทรัพยากรเครือข่าย บริการเว็บ และเว็บไซต์ต่าง ๆ ได้อย่างปลอดภัย

ประโยชน์ของการยืนยันตัวตนของลูกค้า (Client Authentication)
การยืนยันตัวตนของลูกค้ามีข้อดีหลายประการเมื่อเทียบกับวิธีการยืนยันตัวตนแบบพื้นฐานที่ใช้เพียงชื่อผู้ใช้และรหัสผ่าน ได้แก่:

• คุณสามารถกำหนดได้ว่าผู้ใช้จำเป็นต้องป้อนชื่อผู้ใช้และรหัสผ่านหรือไม่

• เข้ารหัสธุรกรรมที่เกิดขึ้นบนเครือข่าย ระบุเซิร์ฟเวอร์ และตรวจสอบความถูกต้องของข้อความที่ส่ง

• ตรวจสอบตัวตนของผู้ใช้ผ่านหน่วยงานที่เชื่อถือได้ (Certificate Authority) และสามารถบริหารจัดการใบรับรองแบบรวมศูนย์ ซึ่งช่วยให้เพิกถอนใบรับรองได้ง่าย

• (ตัวเลือกเพิ่มเติม) คุณสามารถกำหนดค่าใบรับรองให้ไม่สามารถส่งออกไปยังอุปกรณ์อื่นได้ ทำให้ใบรับรองนั้นผูกกับอุปกรณ์ที่ติดตั้งอยู่โดยเฉพาะ

• จำกัดสิทธิ์การเข้าถึงตามผู้ใช้ กลุ่ม บทบาท หรืออุปกรณ์ โดยอ้างอิงจาก Active Directory (ผ่านโซลูชัน Auto Enrolment Gateway (AEG) ของ GlobalSign)

• ใช้ประโยชน์ได้มากกว่าการยืนยันตัวตน เช่น เพื่อรักษาความถูกต้องของข้อมูล (integrity) และความลับ (confidentiality)

• ป้องกันการโจมตีหรือปัญหาที่เป็นอันตรายต่าง ๆ เช่น การหลอกลวงทางฟิชชิง (phishing), การดักจับการพิมพ์ (keystroke logging) และการโจมตีแบบคนกลาง (man-in-the-middle หรือ MITM)

เกี่ยวกับ Client Authentication in TLS certificates ในExtended Key Usage (EKU)

Google Chrome ทำการประกาศยกเลิกการใช้ Extended Key Usage (EKU) สำหรับการยืนยันตัวตนของไคลเอนต์ในใบรับรอง SSL/TLS คือให้ Root Certificate แยกการยืนยันตัวตนของไคลเอนต์ (TLS Client Authentication) ที่แยกจากกัน สำหรับใบรับรอง SSL/TLS แบบสาธารณะให้เป็นโครงสร้างใบรับรอง (PKI) ที่แยกกัน

• การยืนยันตัวตนของเซิร์ฟเวอร์ (Server Authentication)
  บ่งชี้ว่าใบรับรองสามารถใช้เพื่อตรวจสอบเซิร์ฟเวอร์ได้ (เช่น เว็บไซต์ HTTPS)
  
• การยืนยันตัวตนของไคลเอนต์ (Client Authentication)
  บ่งชี้ว่าไคลเอ็นต์สามารถใช้ใบรับรองเพื่อตรวจสอบสิทธิ์ตัวเองกับเซิร์ฟเวอร์ได้ EKU การตรวจสอบสิทธิ์ไคลเอ็นต์นี้กำลังจะถูกยกเลิก
  
• End of Chrome grace period - 90 days after 15 Jun 2026
  Google Chrome สิ้นสุดการรองรับตั้งแต่ 15 มิถุนายน 2569 โดยจะยังใช้งานได้อีก 90 วัน

ใบรับรองอิเล็กทรอนิกส์ ยกเลิก Client Authentication ใน Extended Key Usage (EKU)

• Sectigo Starting October 14, newly issued SSL/TLS certificates will no longer include the Client Authentication function EKU (also known as id-kp-clientAuth). This industry-wide change is part of a broader effort to improve security and clarify certificate usage.
  
• DigiCert As of October 1, 2025, has stopped including the Client Authentication EKU in our public TLS certificates by default. This change is in line with Google Chrome’s root program requirements to enhance security and promote interoperability.
  
• GlobalSign will continue to issue TLS certificates with ServerAuth and ClientAuth EKUs that will be trusted for their entire 200-day validity under our multi-purpose roots until August 2026
  อ้างอิง https://support.globalsign.com/ssl/general-ssl/upcoming-changes-tls-roots-and-certificate-profiles

ทาง @EXTRA สามารถดำเนินการออกใบรับรองที่มีClient Authentication Extended ได้ดังนี้

• Sectigo / Comodo ไม่รองรับแล้ว นับตั้งแต่วันที่ 14/10/2025
  
• DigiCert , GeoTrust , Thawate , RapidSSL
  ใบรับรองอิเล็กทรอนิกส์จะออก "Client Authentication" ได้จนถึง วันที่ 01/06/2026
  May 1, 2026: End of life for the client authentication EKU in public TLS certificates.
  ซึ่งสามารถส่งใบรับรองให้กับธนาคาร สถาบันการเงิน จนกว่าธนาคารจะมีการอัพเดทระบบใหม่
  
• GlobalSign - จะออกได้จนถึง ช่วง Q3/2026 (ยกเลิกประมาณเดือน 27/07/2026)

ในส่วนที่ยกเลิก

• Enhanced Key Usage :Client Authentication (1.3.6.1.5.5.7.3.2 )
• TLS Web Client Authentication – Indicates the certificate can be used by a client to authenticate to a server (e.g. a client certificate for mutual TLS). The OID assigned to Client Authentication (1.3.6.1.5.5.7.3.2 )