重要なお知らせ
2026.04.17
KingSSLのルート証明書移行に伴うEKU:clientAuthの削除に関するお知らせ
平素は弊社サービスをご利用いただきまして、誠にありがとうございます。
この度、CA/ブラウザフォーラムの方針およびGoogleのポリシー変更に伴い、 SSLサーバ証明書のルート証明書の変更ならびにEKU(Extended Key Usage)の 変更を実施いたします。
【実施日】
2026年7月27日(月)
※発行日ベースでの変更となります。
※発行済みの証明書のご利用には影響はありません。
【変更内容】
ルート証明書・中間CA証明書の移行に伴い、 SSLサーバ証明書は専用ルートへ移行いたします。 併せて、本移行に伴い証明書のEKU(Extended Key Usage)を以下の通り変更いたします。
【現状】
サーバー認証(1.3.6.1.5.5.7.3.1)
クライアント認証(1.3.6.1.5.5.7.3.2)
【変更後】
サーバー認証(1.3.6.1.5.5.7.3.1)
※クライアント認証を削除。
【背景】
EKU(Extended Key Usage)は、電子証明書がどの用途で使用できるかを制限・明示するための拡張属性の一つです。 業界団体であるCA/ブラウザフォーラムが定めるBaseline Requirementsでは、SSLサーバ証明書において、EKUにserverAuth(1.3.6.1.5.5.7.3.1)を必須用途として規定しており、証明書の用途を明確に分離することが求められています。また、主要ブラウザベンダーのルートプログラムポリシーの更新により、SSLサーバ証明書はサーバー認証用途に限定する運用が求められるようになりました。
現在、KingSSLが使用するルート認証局の発行するパブリックルートのSSLサーバ証明書には、EKUとしてserverAuth(1.3.6.1.5.5.7.3.1)とclientAuth(1.3.6.1.5.5.7.3.2)の両用途が含まれておりますが、このたび、CA/ブラウザフォーラムが定めるBaseline Requirementsおよび各ブラウザルートプログラムのポリシーに厳格に準拠し、SSLサーバ証明書のEKUからclientAuthを削除することを決定いたしました。
※現在ご利用中の証明書のご利用に影響はございません。期限満了までそのままご利用いただけます。
※サーバ相互認証(mTLS)を行っている場合は、変更後のSSLサーバ証明書にはclientAuthが含まれないため、サーバ相互認証用途ではご利用いただけなくなります。
KingSSLでは、今後も業界ガイドラインおよび各ブラウザベンダーのポリシーに準拠し、より安全なインターネット環境の実現に努めてまいります。 何卒ご理解賜りますようお願い申し上げます。
ご質問や不明な点などございましたら、お問い合わせよりご連絡ください。
