Client Authentication nei certificati SSL pubblici: cosa cambia dal 2026 e quali soluzioni adottare

SSL e Comunicazioni

APRILE 2026

Client Authentication nei certificati SSL pubblici: cosa cambia dal 2026 e quali soluzioni adottare

A partire dal 15 giugno 2026 entreranno in vigore nuove regole emanate dal Google Chrome Root Program che impattano sull’uso della Client Authentication (clientAuth) nei certificati SSL/TLS pubblici.

In particolare, i certificati SSL server non potranno più contenere l’EKU dedicato all’autenticazione del client, elemento essenziale nei contesti mTLS (mutual TLS) e nelle comunicazioni machine-to-machine.

La navigazione web tradizionale non subirà modifiche, ma per alcune integrazioni applicative sarà necessario valutare alternative adeguate. In questo articolo analizziamo il contesto, le motivazioni del cambiamento e le soluzioni disponibili tramite Actalis per garantire continuità e conformità.

Perché viene deprecata la Client Authentication nei certificati SSL

Il Chrome Root Program richiede, a partire dal 15/06/2026, una separazione netta tra certificati:

  1. dedicati alla protezione dei server web tramite HTTPS,
  2. e quelli utilizzati per autenticare client, dispositivi o servizi in scenari mTLS.

Più esattamente, il Chrome Root Program non riconosce certificati di tipo diverso da quelli per SSL/TLS Server.

Dal 15/06/2026, dunque, i certificati SSL pubblici non potranno più includere l’estensione clientAuth.

Questo significa che un certificato SSL installato su un server non potrà essere usato dal quel server per autenticarsi a sua volta verso altri server che richiedono mTLS.

Il cambiamento riguarda esclusivamente le comunicazioni machine-to-machine e non impatta l’uso dei certificati SSL per la normale navigazione dei siti web.

A chi è indirizzata la modifica

I siti web che utilizzano certificati SSL solo per garantire la connessione HTTPS non devono fare nulla: l’EKU clientAuth non è richiesto a tale scopo e dunque la sua assenza non ha alcuna conseguenza.

La modifica riguarda, invece:

  1. integrazioni API protette tramite mTLS,
  2. comunicazioni server-to-server,
  3. circuiti di pagamento,
  4. dispositivi e servizi che richiedono autenticazione tramite certificato pubblico.

In questi casi è necessario sostituire i certificati attuali con soluzioni adeguate all’uso previsto.

Soluzioni Actalis per continuare a usare ClientAuth

    L’analisi degli scenari d’uso consente di individuare rapidamente il certificato più adatto.
    Di seguito una sintesi operativa.

    1. Se serve solo clientAuth, e il certificato NON deve essere trusted nei browser, la soluzione consigliata è:

    • Certificati SSL Client Actalis
      È la scelta più semplice e naturale per questo tipo di esigenza. Questi certificati hanno un profilo specifico per la TLS Client Authentication e sono del tutto esenti dai requisiti dei browser vendor e del CAB Forum. Scopri

    2. Se serve solo clientAuth ma il certificato DEVE essere trusted nei browser, la soluzione consigliata è:

    • Certificati S/MIME Actalis

    Un certificato S/MIME può contenere clientAuth ed è emesso sotto una root che è pubblicamente trusted. Scopri

    3. Se serve un certificato SSL server che includa anche clientAuth e che sia emesso da una CA riconosciuta, la soluzione consigliata è:

    • Certificati QWAC

    per scenari regolamentati o esigenze specifiche in cui il certificato debba essere:

    1. SSL server,
    2. includere clientAuth,
    3. essere emesso da una CA riconosciuta.

    Questi certificati sono SSL Server a tutti gli effetti (vengono emessi con le medesime modalità), possono includere la EKU clientAuth e sono emessi da una CA qualificata che è inclusa nella Trust List EIDAS, quindi soddisfano pienamente l'esigenza. Scopri

    Come prepararsi alla scadenza del 15 giugno 2026

    Per assicurare continuità operativa, suggeriamo di:

    1. Mappare gli utilizzi attuali dei certificati nei flussi mTLS.
    2. Verificare la presenza dell’EKU clientAuth.
    3. Identificare la tipologia corretta di certificato richiesti tenendo presenti le indicazioni fornite sopra.
    4. Pianificare per tempo la sostituzione dei certificati coinvolti.
    5. Eseguire test in ambienti demo prima del rollout.

    In conclusione

    La rimozione dell’EKU clientAuth dai certificati SSL pubblici rappresenta un cambiamento rilevante per le architetture che utilizzano mTLS, mentre rimane priva di conseguenza per i siti web che devono supportare solamente la normale "navigazione" degli utenti.

    Actalis mette a disposizione una gamma completa di certificati, SSL Client, S/MIME e QWAC, per indirizzare qualsiasi esigenza tecnica o normativa, assicurando continuità dei servizi e piena conformità ai nuovi requisiti internazionali.

    Per approfondire lo scenario o valutare il certificato più adatto, il team Actalis è disponibile per un supporto dedicato.

    Certificati DV gratuiti e illimitati: Actalis riferimento europeo per la sicurezza del web tramite protocollo ACME Vai alla news precedente
    Product added to compare.