Der BDEW weist auf anstehende Änderungen bei der Ausstellung öffentlich vertrauenswürdiger TLS-Zertifikate hin, die die Nutzung von mutual TLS (mTLS) im Übertragungsweg REST für Redispatch-Prozessdaten gemäß RzÜ 1.9 beeinflussen.
Hintergrund sind Vorgaben des Google Chrome Root Programs zur stärkeren Trennung von PKI-Hierarchien für die TLS-Serverauthentifizierung. Diese Anforderungen sollen ab dem 15. Juni 2026 im Chrome-Ökosystem durchgesetzt werden und wirken faktisch als Marktstandard, an dem sich öffentliche Zertifikatsanbieter orientieren.
Öffentliche Anbieter von TLS-Zertifikaten folgen den Vorgaben von Google und schränken zukünftig ihre bisherigen Angebote entsprechend den Restriktionen des Chrome Root Programs weiter ein. Wir möchten darauf hinweisen, dass die meisten, aktuell im Markt genutzten Zertifikatsdienstleistungen spätestens ab dem 15. Juni 2026 nicht mehr den Anforderungen der RzÜ 1.9 genügen werden.
Betroffene Marktteilnehmer sollten daher frühzeitig prüfen, ob in bestehenden REST-Kommunikationsbeziehungen Zertifikate aus öffentlichen TLS-Programmen für die Client-Authentifizierung eingesetzt werden, ob diese Zertifikate die EKU „Client Authentication“ enthalten und wann Erneuerungen bzw. Reissues anstehen.
Ausschließlich exemplarisch und ausdrücklich ohne Empfehlung, wird auf einen Informationsbeitrag von DigiCert verwiesen: Sunsetting the client authentication EKU from DigiCert public TLS certificates.