クライアント認証EKUの削除 TLS サーバー証明書 – 知っておくべきこと

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

記事のリンクをコピーする

概要

開始 9月 15, 2025, SSL.com TLS 証明書 発行されません 含まれる   クライアント認証 拡張キー使用法(EKU)拡張機能。これは 変化する によって導かれます Google Chrome ルート プログラム ポリシー. ここに, EKUとは何か、なぜこの変化が起きているのか、それがどのように影響するのかを説明します。 影響 サーバー環境、および必要なアクションについて説明します。 提供します さまざまなシナリオに関する FAQ と技術ガイダンス。 

重要なアップデート: 2027年3月15日より、Google ChromeはClientAuth拡張鍵使用法(EKU)を含むリーフ証明書をサポートしなくなります。この変更はChromeのみに適用されるため、他の主要なルート証明書ストアや、Gmail、Google Trust ServicesなどのGoogleサービスについてはご心配いただく必要はありません。  

Chrome ベースの環境で ClientAuth を使用する場合は、ぜひ弊社のチームにご連絡いただき、お客様の組織に最適なソリューションを見つけるために協力していただくようお願いいたします。

拡張キー使用法 (EKU) とは何ですか? 

拡張キー使用法 (EKU), デジタル証明書内の公開キーの目的の機能を定義する証明書拡張機能です。許可されたアプリケーションの構造化されたセットを確立し、キーが特定の暗号化操作にのみ使用されるようにします。 この機能は、 オブジェクト識別子(OID)コード署名、サーバー認証、クライアント認証、セキュリティで保護された電子メールなど、許可された各使用法を分類する一意の数値識別子。 認証が証明書ベースの場合、検証エンティティは証明書を確認して、EKU 内のオブジェクト識別子 (OID) を識別します。 EKU拡張機能を埋め込むことで、 認証局(CA) 証明書のスコープを事前定義されたロールに制限し、指定された各目的を OID に明示的にマッピングします。 

具体的な例を挙げますと、以下の通りです。 

  • TLS Web サーバー認証 – 証明書がサーバー (HTTPS ウェブサイトなど) の認証に使用できることを示します。 サーバー認証に対応するOIDは 1.3.6.1.5.5.7.3.1 
  • TLS Web クライアント認証 – クライアントがサーバーへの認証に使用できる証明書を示します(例:相互接続用のクライアント証明書)。 TLS). クライアント認証に割り当てられたOIDは 1.3.6.1.5.5.7.3.2 

ブラウザとサーバーに必要なのは サーバー認証 EKU 〜へ 確立する HTTPSの安全な接続ですが 歴史的に多くの TLS サーバー証明書には、 サーバー認証 and クライアント認証 EKUs 以下は一例です そのような証明書:

何ですか ハプニング? 

15年XNUMX月から, 2025、 SSL.comは 問題 TLS のみを含む証明書 サーバー認証 EKU (と クライアント認証)をサーバー証明書に使用します。つまり、新しいSSL/TLS ウェブサイトまたはサーバーの証明書は、明示的に「サーバー認証」のみに使用されます。 

なぜ削除するのか クライアント認証 サーバー証明書からの EKU ですか? 

この義務にはいくつかの理由があります。 

  • セキュリティと範囲: 公共 TLS 証明書は サーバーを認証するだけ ウェブ上では、サーバーとクライアントの機能を明確に分離できます。ClientAuth EKUは、Mutual TLS (mTLS) およびその他の認証シナリオ。 
  • 誤った設定を防ぐ: 一部のシステムは信頼するかもしれない どれか EKU が存在する場合、クライアント認証のためにパブリック CA からの証明書が必要となり、セキュリティ リスクとなる可能性があります。 
  • ブラウザの要件: 主要なブラウザでは、Web サイトの証明書の clientAuth EKU は要求されず、チェックも行われません。  
  • 簡素化 PKI 建築: 用途を分離することで、CAはサーバーごとに異なる証明書階層を維持できる。 TLS 他の目的と比較して。 

業界コンプライアンス 

この政策変更は 現在 段階的に導入 by Google Chromeの ルートプログラム 

サーバー環境への影響 

ほとんどのサーバー展開では、この変更は 影響が少ない or 無影響。 期待することは次のとおりです。 

  • 標準 Web サーバー (HTTPS): 影響はありません。更新された証明書は引き続き正常に機能します。 
  • 既存の証明書: 発行された証明書 カットオフは期限が切れるまで機能し続けます。 
  • 相互 TLS (mTLS) およびクライアント証明書のシナリオ: もしあなたが TLS サーバー証明書 クライアント認証別途証明書を取得する必要があります。 クライアント認証 EKU 別の情報源から。  
  • 両方の EKU を必要とするエンタープライズ システム: 一部のレガシー システムまたはエンタープライズ システムでは、両方の EKU が想定されています。新しいルールに準拠するために更新が必要かどうかを確認する必要があります。 
  • API クライアント、IoT デバイスなどの証明書: 使用例がclientAuth EKUに依存している場合は、専用のクライアント認証証明書を取得する必要があります。SSL.comでは、 クライアント認証証明書. 

顧客に必要なアクション 

  1. 証明書をインベントリします。 特定する TLS 使用中の証明書を確認し、clientAuth EKU を確認します。 
  2. 二重使用のケースを特定する: システムが依存しているかどうかを確認します TLS クライアント認証用の証明書。 
  3. 証明書の更新/再発行の計画: 今後の証明書は、デフォルトで clientAuth EKU なしで発行されます。 
  4. 必要に応じて早期再発行: 証明書を積極的に更新したい場合は、期限前に再発行することができます。 
  5. 必要に応じてクライアント認証証明書を取得します。 別の証明書を クライアント認証 EKU 必要に応じて。 
  6. ドキュメントと構成の更新: 以前は両方の EKU が存在すると想定していた自動証明書要求スクリプトまたはドキュメントを変更します。 

FAQ(よくある質問) 

Q1. 「クライアント認証」EKU とは何ですか? また、なぜ証明書に含まれているのですか? 

「クライアント認証」EKUは、クライアントがサーバーに認証するために使用できる証明書を示します。一部のCAは歴史的にこれを TLS デフォルトでは証明書が使用されますが、通常の Web サイトのセキュリティには必要ありませんでした。 

Q2. 15 月 XNUMX 日以降に clientAuth EKU を持つ証明書がブラウザーによって拒否されますか? 

いいえ、ブラウザが clientAuth EKU を持つ既存の証明書を突然拒否し始めることはありません。変更は新規発行に関するものです。 

Q3. 現在の TLS 証明書の拡張キー使用法の下に「クライアント認証」と記載されています。これは無効ですか? 

いいえ、有効なままです。すぐに置き換える必要はありません。更新すると、新しい証明書に clientAuth EKU が含まれなくなります。 

Q4. 証明書に clientAuth EKU が含まれているかどうかを確認するにはどうすればよいですか? 

OpenSSL、PowerShell、またはGUIツールを使用して証明書の詳細を調べ、 拡張キー使用法 拡大。 

Q5. システムでは、サーバー証明書に serverAuth EKU と clientAuth EKU の両方が必要です。どうすればよいでしょうか? 

システムを更新して、 サーバー認証 サーバー証明書用。クライアント認証が必要な場合は、 クライアント認証 EKU SSL.comから。 

Q6. クライアント認証 EKU のみを使用しても、公的に信頼された証明書を取得できますか? 

SSL.comのような一部のCAは専用の クライアント認証証明書。 これらは TLS 証明書であり、通常は企業の認証に使用されます。 

Q7. これは他の EKU または証明書の種類 (コード署名、電子メールなど) に影響しますか? 

いいえ、この変更は TLS サーバー証明書コード署名証明書と電子メール証明書には、独自の EKU 要件があります。 

Q8. 当社の Web サイトではクライアント証明書認証を使用しています。この変更はそれに影響しますか? 

いいえ、相互です TLS (mTLS) 認証は引き続き機能します。ただし、ユーザーが提示するクライアント証明書に クライアント認証 EKU もし必要なら。 

Q9. これは、証明書の有効期間が短くなる(90 日間の証明書)という今後の変更に関連していますか? 

いいえ、これらは別々の業界変更ですが、どちらもセキュリティと証明書管理の実践を改善することを目的としています。 

Q10. この変更に関する公式要件はどこで確認できますか? 

その Google Chrome ルート プログラム ポリシー  clientAuth EKUの禁止に関するガイドラインを提供します TLS サーバー証明書。 

製品概要 

clientAuth EKUの削除 TLS サーバー証明書は、セキュリティを強化し、不正使用を防止する業界全体のポリシー変更です。ほとんどのユーザーには目立った影響はありません。ただし、clientAuth EKU に依存している場合は、ニーズに合った適切なタイプの証明書を取得するために積極的な手順を実行する必要があります。 

ご質問やサポートが必要な場合は、サポートチームまでお問い合わせください。 お問い合わせ. 

SSL.com

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。

調査する
プライバシーの概要
SSL.com

このWebサイトではCookieを使用しているため、可能な限り最高のユーザーエクスペリエンスを提供できます。 Cookie情報はブラウザーに保存され、Webサイトに戻ったときにユーザーを認識したり、Webサイトのどのセクションが最も興味深く有用であるかをチームが理解するのに役立ちます。

詳細については、 クッキーとプライバシーステートメント.

サードパーティのCookie

このウェブサイトは Google Analytics 統計カウンター(&S) サイトへの訪問者数や最も人気のあるページなどの匿名情報を収集するため。

これらのCookieを有効にしておくと、ウェブサイトの改善に役立ちます。

詳細を表示
Powered by  GDPR Cookieコンプライアンス