Knowledge Base

2026年3月5日
デジサート・ジャパン合同会社

お客様各位
パートナー様各位

パブリック TLS/SSLサーバー 証明書 鍵拡張使用法におけるクライアント認証 の仕様変更のご案内（第四報、スケジュール延期）

拝啓　貴社益々ご清栄のこととお慶び申し上げます。平素は弊社サービスをご利用頂きありがとうございます。

　2025年 6月16日にご案内いたしました、件名：「【重要】パブリックTLS/SSL サーバー 証明書 鍵拡張使用法におけるクライアント認証の仕様変更のご案内」に
つきまして、適用スケジュールの変更がございますので第四報をお送りいたします。

　仕様変更について、鍵拡張使用法からクライアント認証の用途追加終了の日付を2027年3月1日（米国時間）に変更いたします。

　下記のとおり、パブリックTLS/SSL証明書において、鍵拡張使用法領域にクライアント認証の用途追加を終了する変更を予定しております。
ウェブサイトの通信暗号化（HTTPS）用途でTLS/SSLサーバ証明書をご利用の場合は影響はございませんが、クライアント認証をご利用の場合は今後はプライベート証明書をご利用ください。

　本変更は、パブリックTLS/SSL証明書に関するブラウザ Rootプログラムの変更を受けて、段階的に変更を実施してまいります。現在当該証明書をクライアント認証用、mTLS（Mutual TLS) および相互認証用でご利用いただいておりますお客様は、期日までに必要な対処をご計画ください。
本変更の詳細については下記の内容をご確認いただきたくお願いいたします。

　なお、 本変更は発行済みの証明書には影響がございませんが、変更期日以降の再発行、更新については、影響がございますのでご注意ください。

敬具

記

1. 影響を受ける証明書について
   　パブリックTLS/SSL証明書をクライアント認証の用途でご利用の場合は影響があります。パブリックTLS/SSL証明書について、現在標準で鍵拡張使用法（Extended Key Usage、以下EKU）領域にクライアント認証用のOIDを格納して おりますが、順次利用を制限いたします。
   　今般クライアント認証の用途追加の日付を2027年3月1日に変更いたします。
   ウェブサイトの通信暗号化（HTTPS）用途でTLS/SSLサーバ証明書をご利用の場合は影響はございません。
2. 変更の詳細と適用日（適用済みのものを含みます）
   
   • 2025年8月12日（米国時間、適用済み）：
     　SSL/TLS証明書の申請ページにおいて、EKUの設定を指定するオプションを　追加いたしました。この機能は2026年5月1日までご利用いただけます。
     
     【証明書のプロファイルオプション】および設定の説明
     

      

     オプションの表記	内容
     Server Authentication and Client Authentication	従来通りの証明書
     サーバ認証（Server Authentication）	クライアント認証EKUを削除したサーバー認証 EKUのみの証明書

     
     （CertCentral 変更履歴； https://docs.digicert.com/en/whats-new/change-log/certcentral-change-log.html#august-12--2025）

   • 2025年10月1日（米国時間、適用済み）：
     　弊社は当該日より、パブリックTLS/SSL証明書について、EKUにクライアント　認証用のOIDをデフォルトで格納いたしません。
     申請時に追加オプションを　選択することで、クライアント認証用のOIDを追加することが可能としております。
   • 2027年3月1日（米国時間、適用日変更）：
     　弊社は当該日より、パブリックTLS/SSL証明書について、EKUへクライアント　認証用のOIDを格納できません。当該日以降に行う新規、更新、
     再発行など全ての証明書の発行において元の証明書のEKUの値に関わらず、クライアント認証用OIDは格納できません。
     　当初は2026年5月1日に本変更を予定しておりましたが、Google社による　Chromeブラウザのルート証明書プログラムの適用日が変更されたことを
     うけ、　弊社もスケジュールも変更を決定いたしました。
     
     日本語版：パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内https://knowledge.digicert.com/jp/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates
3. お客様にご対応いただきたいこと
   　2027年3月1日以後は、パブリックTLS/SSL証明書について、EKUにクライアント認証用のOIDを格納できませんので、当該証明書をTLSクライアント認証の
   クライアント側として利用することはできません。
   よって、現在パブリックTLS/SSL証明書１枚をサーバー証明書とクライアント認証の両方に使用している場合には、次の代案の適用をご計画ください。
   具体的には、以下が代案になります。
   

    

   • 複数の組織（法人）間での相互認証が必要なケースパブリック TLS /SSLサーバー証明書は、パブリックのルートを利用しているため、複数の組織
     および法人間の認証に使用されているケースがございます。
     このような複数の組織にて信頼できる認証局で、CA Browser ForumおよびブラウザのRootプログラムから独立して運営されているものとして、
     ASC X9 (Accredited Standards Committee X9) があります。こちらは米国の金融サービス業界向けに、自発的な合意のもとで機能する標準を策定、
     維持することを ANSI（米国規格協会）によって認定されている組織です。この合意に基づく認証局からは、TLS/SSLサーバー証明書を発行しており、
     前述のとおりCA Browser ForumおよびブラウザのRootプログラムとは異なる管理となるため、引き続きEKUにクライアント認証用OIDを格納することが
     可能です。
     
     　- ASC X9について
     　https://www.digicert.com/jp/faq/compliance/what-is-the-accredited-standards-committee
     　- DigiCertのX9 PKIサービスについて
     　https://www.digicert.com/jp/solutions/x9-pki-security-solutions
   • 認証が組織（企業）内であるケース
     　組織が組織（企業）内である場合には、プライベート認証局からEKUに
     　クライアント認証用OIDを含むTLS/SSLサーバー証明書を発行することで、　デジサートのプライベート認証局ソリューションへ移行して引き続き
     同様の　認証を行うことが可能です。
     　- プライベート PKI とパブリック PKI とはそれぞれ何ですか？
     　https://www.digicert.com/jp/faq/identity-and-access-trust/what-is-private-pki-vs-public-pki
     　- プライベートPKIソリューション
     　https://www.digicert.com/jp/private-pki
   • サーバー用認証証明書とクライアント認証用の証明書を別にして運用サーバー用の証明書とクライアント認証用の証明書を、それぞれ別にして
     運用することは可能ですがその管理対象が増加することから、PKI証明書の運用を最適化するソリューションを合わせてご検討ください。
     DigiCert Trust LifeCycle Managerは、パブリックやプライベート証明書の確認、インストール状況、期限管理の自動化などを実現しております。
     
     　- DigiCert Trust Lifecycle Manager
     　https://www.digicert.com/jp/trust-lifecycle-manager
4. 本件に関するお問合せ
   お問い合わせ先： https://www.digicert.com/jp/contact-us

以上