SSLならセクティゴ・コモドのEV・企業・ドメイン認証

mtls は、相互 TLS またはサーバー間認証とも呼ばれ、クライアントとサーバーの両方がデジタル証明書を使用して相互に認証することを保証する認証の一種です。歴史的に、TLS 証明書はクライアント認証とサーバー認証の両方に使用されてきましたが、この方法は現在廃止されています。

新しく発行された公的に信頼できる SSL/TLS 証明書の拡張キーの使用法(EKU)フィールドに「クライアント認証」を含めることができなくなります。 2025年4月7日, eIDAS QWAC 証明書では拡張キーの使用法に、「クライアント認証」を含めることができなくなります。この日以降は例外は認められません。他のSSL/TLS タイプの他の証明書は、この時点では影響を受けません。 2025年10月7日, 拡張キーの使用法に、「クライアント認証」はデフォルトで含まれなくなります。 2026年5月15日, 新しく発行されるすべての SSL/TLS 証明書の拡張キーの使用法に、「クライアント認証」は完全に削除されます。この日以降の例外処置などは認められません。

この段階的アプローチは、本件にかかわる内容の検証・評価をいただき、クライアント認証を利用している場合プライベート PKI などの代替ソリューションへの移行を計画、実装する時間を付与する意図によるものです。 2025 年 10 月 7 日の期限には最初の移行期間が設けられており、ほとんどの新しい証明書にはデフォルトで拡張キーの使用法(EKU)フィールドに「クライアント認証」 が含まれなくなります。 この期限の例外は、Sectigo がケースバイケースで行うことができます。 2026 年 5 月 15 日の実施期限は最終的な期限となり、その後はいかなる状況においても、Sectigo が発行する新しい SSL/TLS 証明書の 拡張キーの使用法(EKU)フィールドに「クライアント認証」 が含まれることはありません。 この実施日タイムラインは、業界の要件と、サービスを中断することなく顧客がスムーズに移行できるよう支援するという Sectigo の取り組みになります。 eidas QWAC 証明書の実施日が早まるのは、すでに拡張キーの使用法(EKU) フィールド内の「クライアント認証 」の削除を必要としている Chorus Pro などのプラットフォームを EDI モードで使用しているヨーロッパのお客様からの多数のリクエストに基づいています。

クライアント認証 実施拡張キーの使用法(EKU) は、デジタル証明書内の拡張機能であり、通常はサーバーへのクライアントの認証に使用できます 相互 TLS(mTLS), サーバー間認証 、およびその他のクライアント認証で利用されます

2025 年 4 月 7 日: eIDAS QWAC 証明書における拡張キーの使用法(EKU)フィールドに「クライアント認証」 を含めることを停止。

2025 年 10 月 7 日: デフォルトで SSL/TLS 証明書の実施拡張キーの使用法(EKU)フィールドに「クライアント認証」 を含めることを停止します。 2026 年 5 月 15 日: SSL/TLS 証明書の拡張キーの使用法(EKU) フィールドに「クライアント認証 」を含めなくなります。これは例外なく施行されます。

現時点では、Sectigo の S/MIME 証明書に変更は加えられていません。 多目的 S/MIME 証明書は、引き続きクライアント認証 実施拡張キーの使用法(EKU) をサポートします。 厳密なプロファイル S/MIME 証明書はクライアント認証 実施拡張キーの使用法(EKU) をサポートしておらず、変更されません。 Sectigo は、クライアント認証の目的で公的に信頼できる証明書を使用しないことを推奨しています。

相互 TLS(mTLS) 構成またはサーバー間認証用として証明書をご利用の場合 、拡張キーの使用法(EKU) フィールドに記載される「クライアント認証」に依存している可能性があります。ご不明な場合、現在の証明書の詳細タブを確認してください。

主要なブラウザベンダーおよびOSなどのルート証明書 プログラム プロバイダーは、公的に信頼できる SSL/TLS 証明書に拡張キーの使用法(EKU)フィールドに「クライアント認証」 を含めることを禁止する新しいセキュリティ要件を導入しました。これらの変更は、証明書の目的の特異性を強化し、エコシステムのセキュリティを向上させることを目的としています。

組織が Sectigo SSL/TLS 証明書を使用していない場合 mtls, 相互 TLS 、 または サーバー間認証 、アクションは必要ありません。 もしあなたの組織がクライアント認証の目的で SSL/TLS 証明書を使用している場合、次のような代替ソリューションに移行する必要があります
プライベート CA.

Sectigo は、クライアント認証を利用できる プライベート PKI(プライベート CA) ソリューションに移行することを推奨します。プライベート CA を使用すると、拡張キーの使用法(EKU) フィールドの「クライアント認証 」を含む証明書発行ポリシーを制御でき、mTLS およびサーバー間認証シナリオの柔軟性が向上します。

2026年5月15日後 、sectigo SSL/TLS 証明書にはクライアント認証 実施拡張キーの使用法(EKU) が含まれなくなり、mTLS またはその他のクライアント認証のユースケースに使用できなくなります。 本件での混乱を避けるため、この日付より余裕をもってプライベート CA 発行の証明書に移行なされることをお勧めします。

MTLS またはサーバー間認証など、クライアント認証の目的で Sectigo SSL/TLS 証明書を使用しているかどうかを評価します。 その場合は、Sectigo の営業担当者に連絡して、プライベート CA オプションもご検討ください。 混乱を避けるため、2025 年 10 月 7 日の期限前に余裕をもって移行をご計画ください。

この変更は新規購入の証明書および再発行や更新される証明書のすべてに適用されます。 2025 年 10 月 7 日以降、新規、更新、または再発行された SSL/TLS 証明書には、デフォルトで拡張キーの使用法(EKU)フィールドに「クライアント認証」 が含まれなくなります。 2026 年 5 月 15 日以降、クライアント認証 実施拡張キーの使用法(EKU) は、新しいリクエスト、更新、または再発行のいずれであっても、新しく発行された SSL/TLS 証明書には含まれません。 これらの日付を超えてクライアント認証機能を備えた証明書が必要な場合は、プライベート CA ソリューションに移行する必要があります。 SSL/TLS 証明書はすでに発行されていますが。まだクライアント認証で動作しますか? はい。非推奨期限前に発行され、クライアント認証 実施拡張キーの使用法(EKU) を含む SSL/TLS 証明書は、有効期限が切れるか取り消されるまで、発行されたまま動作し続けます。 この変更は、eidas QWAC の場合は 2025 年 4 月 7 日から、その他の SSL/TLS 証明書の場合は 2025 年 10 月 7 日から新しく発行された証明書にのみ適用されます。