DigiCert パブリックTLS/SSLサーバー証明書から
クライアント認証 EKU サービス停止のご案内

鍵拡張使用法におけるクライアント認証用途終了のお知らせ

DigiCertは2025年10月1日以降、パブリック TLS/SSL証明書にクライアント認証拡張キー使用法 (EKU) をデフォルトで含めなくなります。
これは、Google Chromeのルートプログラム要件に対応するための変更で、セキュリティを強化し、相互運用性を促進することを目的としています。

ウェブサイトの通信暗号化（HTTPS）用途でTLS/SSLサーバ証明書をご利用の場合は影響はございませんので、以下の案内はお読みいただく必要はございません。

クライアント認証をご利用の場合は今後は本変更の影響がございます。
今後はプライベート証明書をご利用いただく必要がございますので、最後までお読みください。

変更について

現在、DigiCert は、パブリックTLS/SSL証明書にサーバー認証とクライアント認証の拡張キー使用法 (EKU) の両方を含めています。
本変更の詳細については下記内容のご確認をお願いいたします。
なお、本変更は発行済みの証明書には影響がございませんが、変更期日以降の再発行、更新については、影響がございますのでご注意ください。
2026年5月1日以降もクライアント認証EKUが必要な場合は、下記の「必要な手続きについて」をご覧ください。
詳細は下記リンクをご参照ください。
「パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内」記事リンクはこちら>>

DigiCertが専用のTLS/SSLルート階層からサーバー認証のEKUのみを使用してパブリックTLS/SSL証明書を発行するのはなぜですか?

Google Chromeルートプログラムの要件として、セキュリティとコンプライアンスの向上のため、認証局（CA）は専用のTLS/SSLルート階層を使用する必要があります。
Chromeルートストアポリシーは、クライアント認証やコード署名などの他のPKIユースケースの要件とは異なります。

DigiCertは、Chromeルートプログラムに準拠するため、以下のパブリックルートCAをTLS専用のルート階層に変換します。

・DigiCert Global G2
・DigiCert Global G3
・DigiCert TLS ECC P384 Root G5
・DigiCert TLS RSA4096 Root G5
・QuoVadis Root CA 2 G3

2026年6月15日以降、Google Chrome は上記のルート CA から発行されたパブリックTLS/SSL証明書のみを信頼するようになります。

Chrome ポリシーと DigiCert 移行計画のタイムライン

必要な手続きについて

・ウェブサイトのみを保護（HTTPS）する場合
お客様のSSL/TLS証明書がウェブサイトの保護 (HTTPS) のみとして使用している場合、特に対応は必要ありません。
DigiCertでは、お客様のTLS証明書の利用がウェブサイトの保護のみであることを確認するために、証明書発行プロセスを見直すことを推奨しています。

  ・相互 TLS (mTLS)、サーバー間認証、またはその他の認証ユースケース
お客様の組織でmTLSまたはサーバー間認証のためにDigiCert TLS証明書にクライアント認証のEKUが必要な場合は、対応が必要です。
2026年5月1日以降もクライアント認証のEKUが必要な場合は弊社（info@rms.ne.jp）までお問い合わせください。

本件に関するお問合せ先

───────────────────────────────────
■サービスサイトURL: https://rms.ne.jp/

■会社概要
社名　　　： 株式会社サイバービジョンホスティング
所在地　　： 東京都港区三田1-2-22　東洋ビル8F
設立　　　： 2009年07月
代表　　　： 代表取締役社長 白山 久壽
事業者番号： 一般第二種電気通信事業者　総務省届出番号　A-21-10690
加入団体　： フィッシング対策協議会 正会員

■本件に関するお問合せ先：
リスクマネジメントソリューション(RMS)事業部
TEL ：03-6732-5476
E-MAIL：info@rms.ne.jp
───────────────────────────────────