Un certificado para la autenticación del cliente y del servidor

Desde un punto de vista normativo, RFC5280 no impone ninguna restricción al tener ambos usos de clave extendida establecidos en el mismo certificado.

Desde el punto de vista de la seguridad, tampoco existe un problema de cifrado / protocolo (que yo sepa / pueda encontrar) sobre el uso del mismo certificado para la autenticación SSL que el cliente (supongo que para conectarse a otros servicios) y el servidor ( para recibir conexiones). Dado que si utiliza dos certificados, ambos también se almacenarán en el mismo servidor, si un atacante puede robar uno de los certificados, puede robar dos, no hay ganancias ni pérdidas allí.

Sin embargo, no está de más mantenerlos separados también, especialmente si por alguna razón más adelante necesita cambiar una de las características de los certificados de una manera que podría afectar la funcionalidad de uno de los usos (por ejemplo, cambiar el DN para incluya algo relevante para la autenticación del cliente que podría romper la autenticación del servidor).

Siempre, en tales situaciones, mantengo ambas separadas, y si está hablando de PKI privadas, generalmente también utilizo diferentes CA para emitir cada una de ellas.

lo primero es cómo el otro extremo comprueba si el certificado que el otro extremo otorga es cliente o servidor, por lo que sabemos que es de EXTENDED KEY USAGE

Not Critical
TLS Web Server Authentication (1.3.6.1.5.5.7.3.1)
TLS Web Client Authentication (1.3.6.1.5.5.7.3.2)

Como puede ver, no es una extensión crítica, por lo que la facilidad de uso del certificado no depende de esta extensión

Es la extensión de uso de clave de certificado que impone restricciones

Critical
Signing
Key Encipherment

No se puede usar un certificado sin el campo "Firmar" para la autenticación, por lo que nunca se puede usar como certificado de servidor

de manera similar, un certificado sin cifrado de clave no se puede utilizar para intercambiar claves, ya que también hay otros parámetros