ValueSSL クイックSSLプレミアム ValueSSL

デジサート社 パブリック TLS/SSLサーバー 証明書 鍵拡張使用法における クライアント認証 の仕様変更のご案内

お客様 各位

2025年06月18日
ZERONET株式会社

表題の件につきましてデジサート社では下記のとおりパブリックTLS/SSL証明書において、
鍵拡張使用法領域にクライアント認証の用途追加を終了する変更を予定しております。

ウェブサイトの通信暗号化(HTTPS)用途でTLS/SSLサーバ証明書をご利用の場合は
本変更の影響はございませんので以下の案内はお読みいただく必要はございません。

クライアント認証をご利用の場合は今後は本変更の影響がございますので必ず最後までお読み下さい。

本変更は、パブリックTLS/SSL証明書に関するブラウザ Rootプログラムの変更を受けて、
段階的に変更を実施してまいります。
現在当該証明書をクライアント認証用、mTLS(Mutual TLS) および相互認証用でご利用いただいて
おりますお客様は、期日までに必要な対処をご計画ください。

本変更の詳細については下記の内容をご確認いただきたくお願いいたします。
なお、 本変更は発行済みの証明書には影響がございませんが、変更期日以降の再発行、
更新については、影響がございますのでご注意ください。

 

 

1. 影響を受ける証明書について
パブリックTLS/SSL証明書をクライアント認証の用途でご利用の場合は影響があります。
パブリックTLS/SSL証明書について、現在標準で鍵拡張使用法
(Extended Key Usage、以下EKU)領域にクライアント認証用のOIDを格納しておりますが、
順次利用を制限いたします。
ウェブサイトの通信暗号化(HTTPS)用途でTLS/SSLサーバ証明書をご利用の場合は
影響はございません。

2. 変更の詳細と適用日
・2025年10月 1日(米国時間):
デジサート社は当該日より、パブリックTLS/SSL証明書について、EKUにクライアント認証用の
OIDをデフォルトで格納いたしません。申請時に追加オプションを選択することで、
クライアント認証用のOIDを追加することが可能です。

・2026年 5月 1日(米国時間):
デジサート社は当該日より、パブリックTLS/SSL証明書について、EKUへクライアント認証用の
OIDを格納できません。当該日以降に行う新規、更新、再発行など全ての証明書の
発行において元の証明書のEKUの値に関わらず、クライアント認証用OIDは格納できません。

パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内
https://knowledge.digicert.com/jp/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates

3. お客様にご対応いただきたいこと
2026年 5月 1日以後は、パブリックTLS/SSL証明書について、EKUにクライアント認証用の
OIDを格納できませんので、当該証明書をTLSクライアント認証のクライアント側として
利用することはできません。よって現在、パブリックTLS/SSL証明書1枚をサーバー証明書と
クライアント認証の両方に使用している場合には、次の代案の適用をご計画ください。

具体的には、以下が代案になります。

– 複数の組織(法人)間での相互認証が必要なケース
 パブリック TLS /SSLサーバー証明書は、パブリックのルートを利用しているため、
複数の組織および法人間の認証に使用されているケースがございます。

このような複数の組織にて信頼できる認証局で、CA Browser Forumおよびブラウザの
Rootプログラムから独立して運営されているものとして、ASC X9 (Accredited Standards
Committee X9) があります。こちらは米国の金融サービス業界向けに、自発的な合意の
もとで機能する標準を策定、維持することを ANSI(米国規格協会)によって
認定されている組織です。この合意に基づく認証局からは、TLS/SSLサーバー証明書を
発行しており、前述のとおりCA Browser ForumおよびブラウザのRootプログラムとは
異なる管理となるため、引き続きEKUにクライアント認証用OIDを格納することが可能です。

ASC X9について
https://www.digicert.com/jp/faq/compliance/what-is-the-accredited-standards-committee

DigiCertのX9 PKIサービスについて
https://www.digicert.com/jp/solutions/x9-pki-security-solutions

– 認証が組織(企業)内であるケース
 組織が組織(企業)内である場合には、プライベート認証局からEKUに
クライアント認証用OIDを含むTLS/SSLサーバー証明書を発行することで、
デジサートのプライベート認証局ソリューションへ移行して引き続き同様の認証を
行うことが可能です。

プライベート PKI とパブリック PKI とはそれぞれ何ですか?
https://www.digicert.com/jp/faq/identity-and-access-trust/what-is-private-pki-vs-public-pki

プライベート PKI ソリューション
https://www.digicert.com/jp/private-pki

– サーバー用認証証明書とクライアント認証用の証明書を別にして運用
 サーバー用の証明書とクライアント認証用の証明書を、それぞれ別にして運用することは
可能ですがその管理対象が増加することから、PKI証明書の運用を最適化する
ソリューションを合わせてご検討ください。DigiCert Trust LifeCycle Managerは、
パブリックやプライベート証明書の確認、インストール状況、期限管理の自動化などを
実現しております。

【重要】TLS 証明書の有効期間は 47 日へ短縮されることが決定

お客様 各位
2025年06月05日
ZERONET株式会社

平素はValueSSLをご利用いただき、誠にありがとうございます。

表題の件につきまして、Webサイトと安全な通信を実現するための国際標準規格を定めている「CA/Browser Forum(CA/ブラウザーフォーラム)」はTLS証明書の有効期間を2029年3月までに段階的に最長47日間へ短縮することを決議しました。

CA/Browser Forumは、ブラウザと認証局など 約80社が参加する業界団体。パブリックPKIに関 する様々な合意事項やベストプラクティスの議論などのコンセンサスづくりを行う 団体です。

Appleによる具体的な提案(2024年3月27日時点)

実施日 証明書有効期間  ドメイン認証有効期間
(DV/OV/EVに影響)
現在 398日  398日
2026年 3月 15日以降 200日間(約6.5か月)  200日
2027年 3月 15日以降 100日間(約3か月)  100日
2029年 3月 15日以降  47日間(約1.5か月)  10日

■有効期間短縮の背景

(1) ブラウザ速度向上
CRLやOCSPなどの証明書失効情報への参照トランザクションを減らしてブラウザの速度向上を図る

(2) セキュリティ向上
OCSP/CRL取得時の発IPによるプライバシーの漏洩リスクを軽減する

(3) 有効期間の 短縮化
常に新しい認証をもとに更新 を行うことで、CRL/OCSPを利 用しなくても安全な状態にする。
また現在の暗号が危殆化したとき の新技術の適用を高速化する

■デジサートの証明書ライフサイクルの自動化サービス

デジサート社ではACMEエージェントを提供してお客様の証明書ライフサイクルを完全自動化します。
CSRの作成から証明書の申請、ドメイン認証(ファイル認証、DNS認証に限定)、証明書のダウンロード、インストールまで自動化できるサービスをお客様に提供予定でございます。
詳細につきましてはご準備出来次第ご案内いたします。

本件につきましてデジサート社ブログに有益な情報が掲載されておりますのでご参照頂ければ幸いです。
https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days

Sectigo(COMODO)製品の中間CA証明書、ルート証明書変更のお知らせ

お客様 各位
2025年06月02日
ZERONET株式会社

平素はValueSSLをご利用頂きまして誠にありがとうございます。

2025年6月2日発行分よりSectigo(COMODO)製品のルート証明書が下記のとおり変更となりました。

■中間CA証明書

適用日 ルート証明書
2025年6月2日以降 Sectigo Public Server Authentication CA DV R36
2025年6月1日以前 Sectigo RSA Domain Validation Secure Server CA

 
■ルート証明書

適用日 ルート証明書
2025年6月2日以降 Sectigo Public Server Authentication Root R46
2025年6月1日以前 USERTrust RSA Certification Authority

 
■クロスルート証明書設定時

適用日 クロスルート証明書 ルート証明書
2025年6月2日以降 Sectigo Public Server Authentication Root R46 USERTrust RSA Certification Authority
2025年6月1日以前 USERTrust RSA Certification Authority AAA Certificate Services

 
【ご注意】
新ルート証明書「Sectigo Public Server Authentication Root R46」は
主要なPCブラウザ、iOS、Androidなどの最新証明書ストアに搭載されています。
基本的にクロスルート証明書の設定は不要でございますが
古いOSなどへの対応率を向上させたい場合はクロスルート証明書もインストールして下さい。
クロスルート証明書は会員ページにログインして「注文詳細」「証明書のダウンロード」から取得して下さい。

■Android(証明書ストア搭載されている証明書の一覧)
https://android.googlesource.com/platform/system/ca-certificates/+/master/files/

■iOS(証明書ストア搭載されている証明書の一覧)
https://support.apple.com/ja-jp/121672

【重要】(再周知)5月8日以降WHOISベースのドメイン名の利用権確認(DCV)方式終了について

2025年5月2日
ZERONET株式会社
お客様各位

【重要】(再周知)5月8日以降WHOISベースのドメイン名の利用権確認(DCV)方式終了について

拝啓 貴社益々ご清栄のこととお慶び申し上げます。
平素は弊社サービスをご利用頂きありがとうございます。

 CA/Browser Forum にて可決された内容に基づき、WHOISに掲載されている情報を
利用したドメイン名の利用権確認(DCV: Domain Control Validation)について
下記の通りに段階的に変更を適用いたします。

次回の証明書発行またはドメイン名の
事前認証時において、WHOISを利用しないドメイン名利用権確認方式を
ご選択くださいますようお願い申し上げます。
詳細については下記の内容をご確認いただきたくお願いいたします。

なお、 発行済みの証明書や、ドメイン利用権確認においてWHOISをご利用いただいていない場合には影響がございません。

(1) 影響を受けるドメイン利用権確認方式

証明書の発行に際し実施しておりますドメイン名の利用権確認
(DCV: Domain Control Validation)において、WHOISベースの情報に基づく確認方式が
影響を受けます。

(2) 変更の詳細と適用日

■2025年 1月 8日(米国時間、適用済み):
弊社認証担当者にて手動WHOIS検索で確認した情報を利用して行うドメイン利用権確認
(DCV)の方式、処理を終了 および 手動WHOIS検索で確認した情報を利用して行われた
ドメイン利用権確認(DCV)履歴の再利用終了

■2025年 5月 8日(米国時間):
弊社システムにより自動WHOIS検索で確認するEメールアドレスを利用して行う
ドメイン利用権確認(DCV)の方式、処理を終了

■2025年 7月 8日(米国時間):
2025年5月8日(米国時間)までにWHOISの情報を利用して行われたEメールによる
ドメイン利用権確認(DCV)履歴の再利用終了

詳細は以下サイトをご確認ください。
日本語版:WHOIS ベースのEメールによるドメイン名の利用権確認(DCV)方式の
ご利用及びサポート終了の可能性に関するご案内
https://knowledge.digicert.com/jp/alerts/end-of-life-for-whois-based-email-dcv-method

(3) お客様にご対応いただきたいこと

お客様、パートナー様におかれましては、円滑な証明書の発行を実現するため、
以下の対応をお願いいたします。

WHOIS の情報を用いたドメイン名利用権確認をご利用の場合
2025年5月8日(米国時間)以降は、証明書の申請や更新を行う際に、WHOIS情報を利用しない以下の確認方式のいずれかを実施ください。

■WHOISを利用しない確認方式

・構築されたEメール アドレス
(admin、administrator、webmaster、hostmaster、
postmaster @[domain_name]) 宛に送信するEメールDCV

・DNS TXT に記載がある連絡先宛に送信するEメールDCV (DNS TXT record email contacts)
https://knowledge.digicert.com/jp/solution/dcv-approval-email#q9

・DNS TXT認証 または DNS CNAME認証
https://knowledge.digicert.com/jp/solution/dcv-approval-dns

・HTTP Practical Demonstration (ファイル認証)
https://knowledge.digicert.com/jp/solution/dcv-approval-file

デジサート社古いルート証明書の Mozilla社およびGoogle社Root CAストアからの削除について

お客さま各位

ZERONET株式会社
2025年04月16日

平素はValueSSLをご利用頂きありがとうございます。

2026年4月15日にデジサート社のTLS/SSLサーバー証明書用の古いルート証明書( G1 Root CA )が Mozilla社およびGoogle社Root CAストアから削除される予定です。
すでにデジサート社では本件に備えて2023年3月に標準の階層構造(証明書チェーン)を変更して対応済でございます。

SSLサーバ証明書の申請時または再発行時に「階層構造の選択」におきまして
[1]標準(デフォルト選択)または[4][5]を選択された場合は本件の影響はまったくございません。

弊社におきましてお客様の99.5%は[1]標準(デフォルト選択)にてTLS/SSLサーバー証明書を発行しております。
ほとんどのお客様は本件の影響はございませんのでご安心下さい。

しかしながら[1][4][5]以外の階層構造を選択されたTLS/SSLサーバー証明書につきましては本件の影響がございます。
[1][4][5]以外の階層構造を選択されたお客様は以下の内容をご確認いただけますようお願い申し上げます。
また本件の影響がある該当の申請につきましては個別に弊社よりメールにてご案内いたします。

─────────────────────────────────────
■信頼するRoot CAから削除されるCAと実施時期について
─────────────────────────────────────
Mozilla社およびGoogle社のRoot CA ポリシーでは、TLS/SSLサーバー証明書用の
Root CAについて、 CAの作成後10年を経過したものが順次削除(Distrust)の対象と
なります。2026年に削除(Distrust)の対象となるデジサート社のRoot CAは、以下に示す
(デジサート社で「G1 Root CA」と呼ばれる)ものです。

 • DigiCert Global Root CA
 • DigiCert Assured ID Root CA
 • DigiCert High Assurance EV Root CA

この変更は2026年 4月15日に実施される予定です。当該日以降はMozilla社およびG
oogle社の製品においてはこれらのRoot CAから発行されるTLS/SSLサーバー証明書は
信頼されなくなります。

———————————————–
■デジサート社の対応につきまして
———————————————–
現在TLS証明書は最大397日有効な証明書が発行可能ですが、本件に伴い、
デジサート社は上記に記載したRoot CAから発行するTLS/SSLサーバー証明書については、
有効期間を2026年 4月15日を超えないように、有効期間を短縮して発行いたします。

以上

« 前ページへ