DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内

Solution ID : ALERT53
Last Modified : 2025/06/07

詳細

重要: 新しい情報が入り次第、この記事は更新されます。こちらのページを保存し、定期的に最新情報をご確認いただくようお願いいたします。

 

DigiCert は、2025 年 10 月 1 日以降、パブリック TLS 証明書にクライアント認証拡張キー使用法 (EKU) をデフォルトで含めなくなります。これは、Google Chrome のルート プログラム要件に対応するための変更で セキュリティを強化し、相互運用性を促進することを目的としています。
 

変更について

現在、DigiCert は、パブリック TLS 証明書にサーバー認証とクライアント認証の拡張キー使用法 (EKU) の両方を含めています。

2025年 10月 1日以降

DigiCert は、パブリック TLS 証明書にクライアント認証 EKU をデフォルトで含めることを停止し、サーバー認証 EKU のみを含む証明書を発行します。

変更によって生じる影響

10月1日以降もTLS証明書にクライアント認証のEKUを含めることは可能ですが、登録を事前に行う必要があります。サーバー証明書をクライアント認証用として利用していた場合、サーバー認証のEKUのみとなるため、サービスに支障が生じる可能性があります。 

2026年 5 月1日以降

DigiCertは、更新、再発行、重複発行を含むすべてのパブリックTLS証明書発行プロセスからクライアント認証のEKUを完全に削除します。パブリックTLS証明書の登録時にクライアント認証のEKUを選択するオプションは利用できなくなります。

変更によって生じる影響

2026年5月1日以降、DigiCertが発行するパブリックTLS証明書はクライアント認証用として使用できなくなります。この変更は、2026年5月1日より前に発行されたクライアント認証のEKUを持つ既存のTLS証明書には影響しません。既存の証明書は、有効期限が切れるまで使用可能です。

2026年5月1日以降もクライアント認証EKUが必要な場合は、以下の「必要な手続き」をご覧ください。

 

DigiCert が専用の TLS ルート階層からサーバー認証 のEKU のみを使用してパブリック TLS 証明書を発行するのはなぜですか?

Google Chromeルートプログラムの要件として、セキュリティとコンプライアンスの向上のため、認証局(CA)は専用のTLSルート階層を使用する必要があります。Chromeルートストアポリシーは、クライアント認証やコード署名などの他のPKIユースケースの要件とは異なります。

DigiCertは、Chromeルートプログラムに準拠するため、以下のパブリックルートCAをTLS専用のルート階層に変換します。

  • DigiCert Global G2

  • DigiCert Global G3

  • DigiCert TLS ECC P384 Root G5

  • DigiCert TLS RSA4096 Root G5

  • QuoVadis Root CA 2 G3

2026 年 6 月 15 日以降、Google Chrome は上記のルート CA から発行されたパブリック TLS 証明書のみを信頼するようになります。
 

Chrome ポリシーと DigiCert 移行計画のタイムライン

変更点 Chrome ポリシー DigiCert 移行プラン
拡張キー使用(EKU) 2026年 6月 15日より前
サーバー認証 EKU とクライアント認証 のEKU を TLS 証明書に含めることが可能。		 2025年 10月 1日以降
  • サーバー認証 のEKU のみを使用してパブリック TLS 証明書の発行を開始。

  • 一時的処置として、登録時にサーバー認証の EKU とクライアント認証 のEKU の
両方を含めるオプションを提供。
2026年 6月 15日以降
サーバー認証 のEKU のみTLS 証明書に含めることが可能。		 2026年 5月 1日以降
新しく発行されたパブリック TLS 証明書 (新規、更新、再発行、重複) からクライアント認証の EKU オプション提供を完全に停止。
PKI階層構造 2026年 6月 15日より前
TLS 証明書は、多目的ルート階層から発行可能。		 DigiCert は次のルートを TLS 階層専用に変換:
  • DigiCert Global G2

  • DigiCert Global G3

  • DigiCert TLS ECC P384 Root G5

  • DigiCert TLS RSA4096 Root G5

  • QuoVadis Root CA2 G3

 
2026年 6月 15日以降
TLS 証明書は、専用の TLS ルート階層からの発行が必要。

 

必要な手続きについて

  • ウェブサイトのみを保護(HTTPS)する場合 
    お客様のSSL/TLS証明書がウェブサイトの保護 (HTTPS) のみとして使用している場合、特に対応は必要ありません。
    DigiCertでは、お客様のTLS証明書の利用がウェブサイトの保護のみであることを確認するために、証明書発行プロセスを見直すことを推奨しています。
  • 相互 TLS (mTLS)、サーバー間認証、またはその他の認証ユースケース
    お客様の組織でmTLSまたはサーバー間認証のためにDigiCert TLS証明書にクライアント認証のEKUが必要な場合は、対応が必要です。DigiCertは、2026年5月1日以降もクライアント認証のEKUが必要なお客様とパートナーの皆様のためにオプションを用意しております。


X9 PKI による TLS 証明書

複数の組織間の通信を安全に保護するには、DigiCertのX9 PKI for TLS証明書への移行をお勧めします。ASC X9標準化団体によって規制されているX9 PKIは、ブラウザとは関係のない独立した証明書ポリシーに準拠していますが、共通の信頼のルートを使用することで相互運用性を確保します。X9 PKI for TLS証明書は、クライアント認証とサーバー認証の両方のEKUを備えており、暗号化、アイデンティティ管理、相互認証機能により、現在のニーズである制御、セキュリティ、柔軟性、スケーラビリティを満たします。X9 PKIの詳細はこちらからご覧ください。

プライベートPKI

社内向けのビジネスニーズ に特化したPKIサービスへの移行をご検討ください。DigiCertは、運用に関する専門知識とセキュリティへの投資を活かし、お客様の組織に最適なプライベートPKIを構築・運用を提案いたします。詳細はこちらをご覧ください。

 

影響を受けるTLS製品 

ブランド名

認証タイプ

製品名
DigiCert OV 
  • Basic OV

  • Secure Site OV

  • Secure Site Pro SSL

  • Cloud

  • Standard SSL

  • Multi-Domain SSL

  • Wildcard

  • Secure Site SSL

  • Secure Site Multi-Domain SSL

  • Secure Site Wildcard SSL
EV 
  • Basic EV

  • Secure Site EV

  • Secure Site Pro EV SSL

  • Extended Validation SSL

  • EV Multi-Domain SSL

  • Secure Site EV SSL

  • Secure Site EV Multi-Domain SSL
GeoTrust DV 
  • GeoTrust DV SSL

  • GeoTrust Cloud DV

  • GeoTrust Standard DV

  • GeoTrust Wildcard DV
OV 
  • GeoTrust TrueBusiness ID OV
EV 
  • GeoTrust TrueBusiness ID EV
Thawte DV 
  • Thawte SSL 123 DV
OV 
  • Thawte SSL Webserver OV
EV 
  • Thawte SSL Webserver EV
RapidSSL DV 
  • RapidSSL Standard DV

  • RapidSSL Wildcard DV
Encryption Everywhere DV 
  • Encryption Everywhere DV

 

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。