クライアント認証拡張鍵使用法（EKU）の廃止について

業界要件の更新に伴い、Sectigo や Trustico® などの主要な認証局は、一般に信頼されている SSL 証明書からクライアント認証の拡張鍵使用法（EKU）を廃止することを発表しました。

この変更は、認証局エコシステムにおける広範なトレンドに沿ったものであり、認証局は同じ業界標準を導入する方向にあります。

クライアント認証 EKU とは？

Client Authentication Extended Key Usage (EKU)は、SSL 証明書のエクステンションであり、一般的に相互 TLS（mTLS）またはサーバ間認証のシナリオにおいて、サーバに対するユーザまたは機器の認証を可能にする。

従来、一部のSSL証明書にはこのEKUがデフォルトで含まれており、1つのSSL証明書でウェブサイトのセキュリティとクライアントの認証の両方を実現していた。

廃止のスケジュール

すべての利用者が円滑に移行できるよう、廃止は2段階に分けて行われる。2025 年 9 月 15 日に、認証局は、新たに発行される SSL 証明書にクライアント認証 EKU をデフォルトで含めることを停止する。

この初期段階を経て、2026 年 5 月 15 日までに、例外なく、新規に発行されるすべての SSL 証明書からクライアント認証 EKU が恒久的に削除される。

なぜこのような変更が行われるのか？

この更新は、業界標準とベスト・プラクティスにおけるより広範な変化の一環です。Google Chromeのルートプログラムポリシーなど、主要なブラウザのルートプログラムでは、認証局に対し、一般に信頼されているSSL証明書でのEKU（Extended Key Usages）の使用を制限するよう求めています。

これらの SSL 証明書は、ブラウザとウェブ・サーバ間の接続を保護するために特別に設計されている。これまで、サーバ用 SSL 証明書にクライアント認証用 EKU を含めることは、潜在的なセキュリ ティ及び運用上の懸念をもたらすものであった。

クライアント認証 EKU を削除することにより、Trustico® を含む認証局は、SSL 証明書が意図された目的に厳密 に使用され、誤用や設定ミスのリスクが低減されることを保証する新たな要件に対応することになります。

サーバー環境への影響

ほとんどのユーザーにとって、SSL 証明書からクライアント認証 EKU が廃止されることによる影響は最小限か全くありません。廃止日以前に発行された既存の SSL 証明書は、有効期限が切れるまで引き続き有効であり、期待どおりの機能を果たす。

HTTPS を使用する標準的なウェブ・サーバは、この変更の影響を受けず、また、期限切れ後に発行された SSL 証明書も更新された SSL 証明書も、一般的なサーバ認証の目的であれば、引き続き正常に動作する。

ただし、相互 TLS（mTLS）、サーバー間認証、またはクライアント認証に mTLS サーバー SSL 証明書を使用している環境では、別途 SSL 証明書または clientAuth EKU を含むソリューションを取得する必要があります。

さらに、レガシーシステムやエンタープライズシステムによっては、serverAuth EKU と clientAuth EKU の両方が必要な場合がある。最新の業界標準との互換性を確保するため、この変更に対応するためにシステムの更新が必要かどうかを確認することが重要です。

この変更に備えるには

今後の変更に備えるには、現在使用されているすべての SSL 証明書を確認し、clientAuth Extended Key Usage (EKU) 属性が含まれているかどうかを確認することが最善策です。

サーバ認証とクライアント認証の両方の目的で SSL 証明書を使用しているシステムがあるかどうかを確認する。今後発行される SSL 証明書は、clientAuth EKU を含まないものがデフォルトで発行されることを念頭 に置き、今後の更新や再発行について適切な計画を立てることが重要である。

SSL 証明書の更新を積極的に行いたい場合は、期限前に証明書を再発行することができます。また、SSL 証明書の自動リクエスト・スクリプトや、EKU の両方が存在することを前提とした社内文書を見直し、更新してください。

SSL証明書に関するサポートが必要な場合、またはこれらの変更についてご質問がある場合は、Trustico®までご連絡ください。

mTLSとは？

mTLSは、相互トランスポート・レイヤー・セキュリティとも呼ばれ、セキュアで暗号化された接続を確立する前に、クライアントとサーバーの双方がデジタル証明書を使用してお互いの身元を確認するセキュリティ・プロトコルを使用した相互認証の方法です。

サーバーの認証のみを行う標準的なTLSとは異なり、mTLSでは双方がSSL証明書を提示し、検証する必要があるため、機密性の高い通信に信頼とセキュリティのレイヤーを追加することができます。

TLSとは？

TLS（Transport Layer Security）とは、広く使われている暗号化プロトコルで、インターネット上で送信されるデータを暗号化し、ウェブブラウザとサーバーのような2つの通信アプリケーション間のプライバシーとデータの完全性を保証します。

TLSは、パスワードやクレジットカード番号のような機密情報を、送信中に権限のない第三者に傍受されたり改ざんされたりすることから保護するのに役立ちます。SSL（セキュア・ソケット・レイヤー）の後継であり、ウェブアドレスの「https」で示されるように、ウェブサイトの安全性を確保するために一般的に使用されています。

S/MIMEやCode Signing証明書への影響はありますか？

S/MIME 証明書及び Code Signing 証明書には、TLS サーバ SSL 証明書とは別に、独自の EKU（Extended Key Usage）要件があります。そのため、これらの証明書は今回の変更の影響を受けません。

鍵の期限は？

2025年9月15日をもって、認証局は新規発行のSSL証明書にクライアント認証のEKUをデフォルトで含めなくなる。

2026 年 5 月 15 日までに、例外なく、新規に発行されるすべての SSL 証明書からクライアント認証 EKU が恒久的に削除される。

クライアント認証 EKU とは？

Client Authentication Extended Key Usage (EKU)は、SSL 証明書に含まれるエクステンションで、通常、相互 TLS (mTLS)またはサーバ間通信のシナリオにおいて、ユーザまたはデバイスを認証するためのものである。

一部のSSL証明書には、従来からこのEKUがデフォルトで含まれており、ウェブサイトのセキュリティとクライアント認証の両方を可能にしている。

私の環境にはどのような影響がありますか？

ほとんどのユーザーにとって、SSL証明書からクライアント認証EKUを削除しても影響はありません。既存のSSL証明書は引き続き有効であり、標準的なHTTPSサーバーは通常どおり動作します。

相互TLS、クライアント認証を必要とする環境、または両方のEKUを期待するレガシーシステムのみ、別のソリューションを入手するか、システムを更新する必要があります。

この変更にどのように備えるべきか？

この変更に備えるには、現在のSSL証明書を見直してclientAuth EKUの有無を確認し、サーバー認証とクライアント認証の両方を必要とするシステムを特定してください。

今後の SSL 証明書には、clientAuth EKU がデフォルトで含まれないため、必要に応じて更新または再発行を計画する。SSL 証明書の再発行を積極的に検討し、両方の EKU が存在することを前提とする自動化された プロセスや文書を更新する。

SSL証明書の有効期間の短縮と関係がありますか？

この変更は、SSL 証明書の有効期間の短縮とは無関係です。この変更は、SSL 証明書が本来の目的に厳密に使用されるようにすることで、誤用や設定ミスのリスクを低減し、セキュリティを強化することに焦点を当てた業界の別のイニシアチブです。

既存のSSL証明書は使用できますか？

期限切れ前に発行された既存のSSL証明書は、期限切れまで有効です。標準的な HTTPS ウェブサーバーと新しく発行された SSL 証明書は、サーバー認証の目的で通常どおり機能します。