DigiCertは2025年10月1日以降、パブリック TLS/SSL証明書にクライアント認証拡張キー使用法 (EKU) をデフォルトで含めなくなります。
これは、Google Chromeのルートプログラム要件に対応するための変更で、セキュリティを強化し、相互運用性を促進することを目的としています。
ウェブサイトの通信暗号化(HTTPS)用途でTLS/SSLサーバ証明書をご利用の場合は影響はございませんので、以下の案内はお読みいただく必要はございません。
クライアント認証をご利用の場合は今後は本変更の影響がございます。
今後はプライベート証明書をご利用いただく必要がございますので、最後までお読みください。
現在、DigiCert は、パブリックTLS/SSL証明書にサーバー認証とクライアント認証の拡張キー使用法 (EKU) の両方を含めています。
本変更の詳細については下記内容のご確認をお願いいたします。
なお、本変更は発行済みの証明書には影響がございませんが、変更期日以降の再発行、更新については、影響がございますのでご注意ください。
| 実施日 | 内容 |
| 2025年10月1日(米国時間) | DigiCertは、パブリックTLS/SSL証明書にクライアント認証EKUをデフォルトで含めることを停止し、サーバー認証EKUのみを含む証明書を発行します。 申請時に追加オプションを選択することで、クライアント認証用のEKUを追加することが可能となる予定ですが、現時点(6月26日)では有償/無償、追加方法等未定となっております。 |
| 2026年5月1日(米国時間) | DigiCertは、更新、再発行、重複発行を含むすべてのパブリックTLS/SSL証明書発行プロセスからクライアント認証のEKUを完全に削除します。 パブリックTLS証明書の登録時にクライアント認証のEKUを選択するオプションは利用できなくなります。 2026年5月1日より前に発行されたクライアント認証のEKUを持つ既存のTLS証明書には影響しません。 |
2026年5月1日以降もクライアント認証EKUが必要な場合は、下記の「必要な手続きについて」をご覧ください。
詳細は下記リンクをご参照ください。
「パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内」記事リンクはこちら>>
Google Chromeルートプログラムの要件として、セキュリティとコンプライアンスの向上のため、認証局(CA)は専用のTLS/SSLルート階層を使用する必要があります。
Chromeルートストアポリシーは、クライアント認証やコード署名などの他のPKIユースケースの要件とは異なります。
DigiCertは、Chromeルートプログラムに準拠するため、以下のパブリックルートCAをTLS専用のルート階層に変換します。
・DigiCert Global G2
・DigiCert Global G3
・DigiCert TLS ECC P384 Root G5
・DigiCert TLS RSA4096 Root G5
・QuoVadis Root CA 2 G3
2026年6月15日以降、Google Chrome は上記のルート CA から発行されたパブリックTLS/SSL証明書のみを信頼するようになります。
| 変更点 | Chrome ポリシー | DigiCert 移行プラン |
| 拡張キー使用(EKU) | 2026年6月15日より前 サーバー認証EKUとクライアント認証のEKUをTLS/SSLサーバー証明書に含めることが可能。 |
2025年10月1日以降 サーバー認証のEKUのみを使用してパブリックTLS証明書の発行を開始。 一時的処置として、登録時にサーバー認証のEKUとクライアント認証のEKUの両方を含めるオプションを提供。 ※現時点(6月26日)では有償/無償、追加方法等未定。 |
| 2026年6月15日以降 サーバー認証のEKUのみTLS/SSLサーバー証明書に含めることが可能。 |
2026年5月1日以降 新しく発行されたパブリックTLS/SSLサーバー証明書 (新規、更新、再発行、重複) からクライアント認証のEKUオプション提供を完全に停止。 |
|
| PKI階層構造 | 2026年6月15日より前 TLS/SSLサーバー証明書は、多目的ルート階層から発行可能。 |
DigiCert は次のルートを TLS 階層専用に変換: ・DigiCert Global G2 ・DigiCert Global G3 ・DigiCert TLS ECC P384 Root G5 ・DigiCert TLS RSA4096 Root G5 ・QuoVadis Root CA2 G3 |
| 2026年6月15日以降 TLS/SSLサーバー証明書は、専用のTLS/SSLルート階層からの発行が必要。 |
お客様のSSL/TLS証明書がウェブサイトの保護 (HTTPS) のみとして使用している場合、特に対応は必要ありません。
DigiCertでは、お客様のTLS証明書の利用がウェブサイトの保護のみであることを確認するために、証明書発行プロセスを見直すことを推奨しています。
お客様の組織でmTLSまたはサーバー間認証のためにDigiCert TLS証明書にクライアント認証のEKUが必要な場合は、対応が必要です。
2026年5月1日以降もクライアント認証のEKUが必要な場合は弊社(info@rms.ne.jp)までお問い合わせください。
───────────────────────────────────
■サービスサイトURL: https://rms.ne.jp/
■会社概要
社名 : 株式会社サイバービジョンホスティング
所在地 : 東京都港区三田1-2-22 東洋ビル8F
設立 : 2009年07月
代表 : 代表取締役社長 白山 久壽
事業者番号: 一般第二種電気通信事業者 総務省届出番号 A-21-10690
加入団体 : フィッシング対策協議会 正会員
■本件に関するお問合せ先:
リスクマネジメントソリューション(RMS)事業部
TEL :03-6732-5476
E-MAIL:info@rms.ne.jp
───────────────────────────────────
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
