从2026年5月起，主要公共证书颁发机构将停止在TLS证书中包含客户端身份验证扩展密钥用法（EKU），这将影响依赖相互TLS（mTLS）的Apache项目，如Kafka和Cassandra。证书续订后将不再包含clientAuth EKU，导致连接中断。用户需转向内部或企业CA获取客户端证书，所有使用公共CA颁发证书的mTLS部署需尽快规划应对措施。