ValuesSSL デジサート社 パブリック TLS/SSLサーバー 証明書 鍵拡張使用法における クライアント認証 の仕様変更のご案内

ValueSSL クイックSSLプレミアム ValueSSL

デジサート社 パブリック TLS/SSLサーバー 証明書 鍵拡張使用法における クライアント認証 の仕様変更のご案内

お客様 各位

2025年06月18日
ZERONET株式会社

表題の件につきましてデジサート社では下記のとおりパブリックTLS/SSL証明書において、
鍵拡張使用法領域にクライアント認証の用途追加を終了する変更を予定しております。

ウェブサイトの通信暗号化(HTTPS)用途でTLS/SSLサーバ証明書をご利用の場合は
本変更の影響はございませんので以下の案内はお読みいただく必要はございません。

クライアント認証をご利用の場合は今後は本変更の影響がございますので必ず最後までお読み下さい。

本変更は、パブリックTLS/SSL証明書に関するブラウザ Rootプログラムの変更を受けて、
段階的に変更を実施してまいります。
現在当該証明書をクライアント認証用、mTLS(Mutual TLS) および相互認証用でご利用いただいて
おりますお客様は、期日までに必要な対処をご計画ください。

本変更の詳細については下記の内容をご確認いただきたくお願いいたします。
なお、 本変更は発行済みの証明書には影響がございませんが、変更期日以降の再発行、
更新については、影響がございますのでご注意ください。

 

 

1. 影響を受ける証明書について
パブリックTLS/SSL証明書をクライアント認証の用途でご利用の場合は影響があります。
パブリックTLS/SSL証明書について、現在標準で鍵拡張使用法
(Extended Key Usage、以下EKU)領域にクライアント認証用のOIDを格納しておりますが、
順次利用を制限いたします。
ウェブサイトの通信暗号化(HTTPS)用途でTLS/SSLサーバ証明書をご利用の場合は
影響はございません。

2. 変更の詳細と適用日
・2025年10月 1日(米国時間):
デジサート社は当該日より、パブリックTLS/SSL証明書について、EKUにクライアント認証用の
OIDをデフォルトで格納いたしません。申請時に追加オプションを選択することで、
クライアント認証用のOIDを追加することが可能です。

・2026年 5月 1日(米国時間):
デジサート社は当該日より、パブリックTLS/SSL証明書について、EKUへクライアント認証用の
OIDを格納できません。当該日以降に行う新規、更新、再発行など全ての証明書の
発行において元の証明書のEKUの値に関わらず、クライアント認証用OIDは格納できません。

パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内
https://knowledge.digicert.com/jp/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates

3. お客様にご対応いただきたいこと
2026年 5月 1日以後は、パブリックTLS/SSL証明書について、EKUにクライアント認証用の
OIDを格納できませんので、当該証明書をTLSクライアント認証のクライアント側として
利用することはできません。よって現在、パブリックTLS/SSL証明書1枚をサーバー証明書と
クライアント認証の両方に使用している場合には、次の代案の適用をご計画ください。

具体的には、以下が代案になります。

– 複数の組織(法人)間での相互認証が必要なケース
 パブリック TLS /SSLサーバー証明書は、パブリックのルートを利用しているため、
複数の組織および法人間の認証に使用されているケースがございます。

このような複数の組織にて信頼できる認証局で、CA Browser Forumおよびブラウザの
Rootプログラムから独立して運営されているものとして、ASC X9 (Accredited Standards
Committee X9) があります。こちらは米国の金融サービス業界向けに、自発的な合意の
もとで機能する標準を策定、維持することを ANSI(米国規格協会)によって
認定されている組織です。この合意に基づく認証局からは、TLS/SSLサーバー証明書を
発行しており、前述のとおりCA Browser ForumおよびブラウザのRootプログラムとは
異なる管理となるため、引き続きEKUにクライアント認証用OIDを格納することが可能です。

ASC X9について
https://www.digicert.com/jp/faq/compliance/what-is-the-accredited-standards-committee

DigiCertのX9 PKIサービスについて
https://www.digicert.com/jp/solutions/x9-pki-security-solutions

– 認証が組織(企業)内であるケース
 組織が組織(企業)内である場合には、プライベート認証局からEKUに
クライアント認証用OIDを含むTLS/SSLサーバー証明書を発行することで、
デジサートのプライベート認証局ソリューションへ移行して引き続き同様の認証を
行うことが可能です。

プライベート PKI とパブリック PKI とはそれぞれ何ですか?
https://www.digicert.com/jp/faq/identity-and-access-trust/what-is-private-pki-vs-public-pki

プライベート PKI ソリューション
https://www.digicert.com/jp/private-pki

– サーバー用認証証明書とクライアント認証用の証明書を別にして運用
 サーバー用の証明書とクライアント認証用の証明書を、それぞれ別にして運用することは
可能ですがその管理対象が増加することから、PKI証明書の運用を最適化する
ソリューションを合わせてご検討ください。DigiCert Trust LifeCycle Managerは、
パブリックやプライベート証明書の確認、インストール状況、期限管理の自動化などを
実現しております。

最終更新日 2025 年 6 月 18 日 水曜日 RSS 2.0