- お問い合わせ
-
choose your language
-
Knowledge Base
パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内
スケジュールが変更になりました: Google Chrome はルートプログラムの要件を更新し、パブリック TLS 証明書からクライアント認証拡張キー使用法 (EKU) を削除するスケジュールを延長しました。 2027 年 3 月 1 日まではパブリック TLS 証明書にクライアント認証 EKU を含めることができます。 |
Google Chrome ルートプログラムの要件
Google Chrome ルートプログラムでは、認証局(CA)に対し、パブリック TLS 証明書へのクライアント認証拡張鍵使用法(EKU)の組み込みを停止することが義務付けられています。この要件に準拠し、デジタルトラストを強化するため、DigiCert は 2027 年 3 月 1 日をもって、パブリック TLS 証明書へのクライアント認証 EKU の組み込みを停止します。
この変更は、DigiCert のすべてのパブリック TLS 証明書 (DV、OV、EV)、およびすべての DigiCert ブランド (DigiCert ®、GeoTrust ®、Thawte ®、RapidSSL ®、Encryption Everywhere ®) に影響します。
| 重要:新しい情報が入り次第、この記事は更新されます。こちらのページを保存し、定期的に最新情報をご確認いただくようお願いいたします。 |
このページで取り上げる項目
- パブリック TLS 証明書のクライアント認証 EKU を廃止するためにDigiCertが行っていること
- パブリック TLS 証明書からクライアント認証EKUを削除する準備をするには、何をすればよいですか?
- DigiCert TLS 証明書にクライアント認証 EKU を必要とする組織向けのソリューション
- 影響を受けるTLS製品
パブリック TLS 証明書のクライアント認証 EKU を廃止するためにDigiCertが
行っていること
ステップ 1: パブリック TLS 証明書にクライアント認証 EKU をデフォルトで含めないようにします。
2025年10月1日より、DigiCertはすべてのパブリックTLS証明書において、クライアント認証 EKUをデフォルトで含めることを停止しました。現在は、サーバー認証 EKUのみを含む証明書として発行されています。パブリックTLS証明書でクライアント認証 EKUをデフォルトで含めることを停止した時期の詳細については、 こちらを
ご参照下さい。
パブリック TLS 証明書にクライアント認証 EKU を含める必要がある場合はどうすればよいですか?
証明書の申請時にクライアント認証EKUを選択してください。
TLS証明書にクライアント認証EKUを含めることは可能ですが、お客様側で申請時に明示的に選択をする必要があります。CertCentral®およびサービスAPI経由で
パブリックTLS証明書を申請する際は、証明書にサーバー認証 EKUと クライアント認証 EKUを含めることを選択する必要があります。拡張キー使用法(EKU)オプションに
関する記事をご覧ください。
パブリックTLS証明書のデフォルトEKU設定を作成してください
CertCentral®の管理者である場合は、TLS証明書のデフォルトEKU設定としてサーバー認証とクライアント認証を設定できます。パブリックTLS証明書のデフォルト
EKUオプションの選択を更新する方法については、こちらをご覧ください。
ステップ 2: クライアント認証 EKU を含むパブリック TLS 証明書の発行を停止します。
2027年3月1日をもって、DigiCertは、更新、再発行、重複発行を含むすべてのパブリックTLS証明書発行プロセスからクライアント認証EKUを完全に削除します。
パブリックTLS証明書の申請時にクライアント認証EKUを選択するオプションは利用できなくなります。
この変更は、2027年3月1日より前に発行されたクライアント認証EKUを持つ既存のTLS証明書には影響しません。これらの証明書は、証明書の有効期限が切れるまで
利用可能です。
<>2027年3月1日以降もクライアント認証EKUが必要な場合は、以下の「必要な手続き」をご覧ください。
Chrome ポリシーと DigiCert 移行計画のタイムライン
変更 |
Chrome ポリシー |
DigiCert 移行プラン |
Extended Key Usage (EKU) |
2027年3月15日以前 サーバー認証EKU, クライアント認証EKUのいずれも TLS 証明書に含める事ができます。 |
|
2027年3月15日以降 サーバー認証 EKU のみ TLS 証明書に含めることが出来ます。 |
新しく発行されたパブリックTLS証明書 (新規、更新、再発行、重複を含む) |
パブリック TLS 証明書からクライアント認証EKUを削除する準備をするには、
何をすればよいですか?
クライアント認証にも TLS 証明書を使用していますか?
ウェブサイトのセキュリティ保護のみに TLS 証明書 (HTTPS) を使用する場合
TLS証明書をWebサイトの保護(HTTPS)の目的のみに利用している場合は、特別な対応は必要ありません。
ただし、DigiCertでは、現在のTLS証明書の運用がWebサイト保護用途のみに限定されていることを改めてご確認いただくことを推奨しています。
クライアント認証用途で使用している証明書に、サーバー認証 EKUのみが含まれている場合、サービス停止や接続エラーなどの影響が発生する可能性があります。
Mutual TLS(mTLS)、サーバー間認証、その他の認証ユースケースでTLS証明書を使用する場合
お客様の組織でmTLSまたはサーバー間認証のためにDigiCert TLS証明書にクライアント認証のEKUが必要な場合は、対応が必要です。DigiCertは、2026年5月1日以降も
クライアント認証のEKUが必要なお客様とパートナーの皆様のために各ソリューションを用意しております。
DigiCert TLS 証明書にクライアント認証 EKU を必要とする組織向けのソリューション
TLS証明書用のX9 PKI
複数の組織が関与する通信を安全に保護するには、DigiCertのX9 PKI for TLS証明書への移行をお勧めします。ASC X9標準化団体によって規制されているX9 PKIは、
ブラウザとは独立した証明書ポリシーに準拠していますが、共通の信頼のルートを使用することで相互運用性を確保しています。X9 PKI for TLS証明書は、
クライアント認証とサーバー認証の両方のEKUを持つことができ、暗号化、アイデンティティ管理、相互認証機能により、制御性、セキュリティ、柔軟性、拡張性といった現代の特有のニーズに 対応します。X9 PKIの詳細をご覧ください。
社内向けプライベートPKIサービス
社内業務のみに特化したサービスとして、プライベートPKIへの移行をご検討ください。DigiCertは、運用に関する専門知識とセキュリティへの投資を活かし、
お客様の組織に最適なプライベートPKIを構築・運用いたします。詳細はこちらをご覧ください。
影響を受けるTLS製品
Brand |
Validation type |
製品名 |
DigiCert |
OV |
|
| EV | ||
| EU QWAC |
|
|
GeoTrust |
DV |
|
| OV |
|
|
| EV |
|
|
Thawte |
DV |
|
| OV |
|
|
| EV |
|
|
RapidSSL |
DV |
|
Encryption Everywhere |
DV |
|
-
法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。
-
-
© 2022-2025, DigiCert, Inc. All rights reserved.
Cookie Settings
