アルファSSLのルート証明書移行に伴うEKU：clientAuthの削除に関するお知らせ　2026.4.16

平素は弊社サービスをご利用いただきまして、誠にありがとうございます。 

この度、CA/ブラウザフォーラムの方針およびGoogleのポリシー変更に伴い、 SSLサーバ証明書のルート証明書の変更ならびにEKU（Extended Key Usage）の 変更を実施いたします。  

 【実施日】

2026年7月27日(月)

※発行日ベースでの変更となります。
※発行済みの証明書のご利用には影響はありません。変更実施日以降に発行される「新規・更新・再発行」の証明書が対象となります。

 【変更内容】

ルート証明書・中間CA証明書の移行に伴い、 SSLサーバ証明書は専用ルートへ移行いたします。
併せて、本移行に伴い証明書のEKU（Extended Key Usage）を以下の通り変更いたします。

現状	サーバー認証（1.3.6.1.5.5.7.3.1）   クライアント認証（1.3.6.1.5.5.7.3.2）
変更後	サーバー認証（1.3.6.1.5.5.7.3.1） ※クライアント認証を削除。

本変更日以降もEKU：clientAuth（クライアント認証）をサポートした証明書の発行を希望される場合は、代替証明書のご提供をする予定ですので、弊社までお問合せくださいますようお願いいたします。

【背景】

EKU（Extended Key Usage）は、電子証明書がどの用途で使用できるかを制限・明示するための拡張属性の一つです。
業界団体であるCA/ブラウザフォーラムが定めるBaseline Requirementsでは、SSLサーバ証明書において、EKUにserverAuth（1.3.6.1.5.5.7.3.1）を必須用途として規定しており、証明書の用途を明確に分離することが求められています。また、主要ブラウザベンダーのルートプログラムポリシーの更新により、SSLサーバ証明書はサーバー認証用途に限定する運用が求められるようになりました。

現在、アルファSSLが使用するルート認証局であるグローバルサインの発行するパブリックルートのSSLサーバ証明書には、EKUとしてserverAuth（1.3.6.1.5.5.7.3.1）とclientAuth（1.3.6.1.5.5.7.3.2）の両用途が含まれておりますが、このたび、CA/ブラウザフォーラムが定めるBaseline Requirementsおよび各ブラウザルートプログラムのポリシーに厳格に準拠し、SSLサーバ証明書のEKUからclientAuthを削除することを決定いたしました。

※現在ご利用中の証明書のご利用に影響はございません。期限満了までそのままご利用いただけます。

サーバ相互認証（mTLS）を行っている場合は、変更後のSSLサーバ証明書にはclientAuthが含まれないため、サーバ相互認証用途ではご利用いただけなくなります。 代替証明書として、EKUにclientAuthを含む証明書を別途提供をする予定です。
詳細につきましては、弊社までお問合せください。

アルファSSLでは、今後も業界ガイドラインおよび各ブラウザベンダーのポリシーに準拠し、より安全なインターネット環境の実現に努めてまいります。
何卒ご理解賜りますようお願い申し上げます。

---

 ご質問や不明な点などございましたら、お問い合わせフォームよりご連絡ください。