平素より、グローバルサインのサービスをご愛顧くださり誠にありがとうございます。
このたび、CA/ブラウザフォーラムの方針およびGoogleのポリシー変更に伴い、SSLサーバ証明書のルート証明書の変更ならびにEKU(Extended Key Usage)の変更を実施いたします。詳細は下記をご参照ください。
変更実施日
2026年7月27日(月)
※発行日ベースでの変更となります。
※発行済みの証明書のご利用には影響はありません。
対象サービス
- SSLサーバ証明書
※SSLマネージドサービス、アルファSSLを含みます。
※イントラネットSSLは対象外となります。
内容
GSパネルおよびAtlasにおけるルート証明書・中間CA証明書の移行に伴い、SSLサーバ証明書は専用ルートへ移行いたします。併せて、本移行に伴い証明書のEKU(Extended Key Usage)を変更いたします。
■ 現状
- サーバー認証(1.3.6.1.5.5.7.3.1)
- クライアント認証(1.3.6.1.5.5.7.3.2)
■ 変更後
- サーバー認証(1.3.6.1.5.5.7.3.1)
※クライアント認証を削除。
本変更日以降もEKU:clientAuth(クライアント認証)をサポートした証明書の発行を希望される場合は、代替証明書のご提供をいたしますので、弊社までお問合せくださいますようお願いいたします。
背景
EKU(Extended Key Usage)は、電子証明書がどの用途で使用できるかを制限・明示するための拡張属性の一つです。
業界団体であるCA/ブラウザフォーラムが定めるBaseline Requirementsでは、SSLサーバ証明書において、EKUにserverAuth(1.3.6.1.5.5.7.3.1)を必須用途として規定しており、証明書の用途を明確に分離することが求められています。また、主要ブラウザベンダーのルートプログラムポリシーの更新により、SSLサーバ証明書はサーバー認証用途に限定する運用が求められるようになりました。
現在、グローバルサインが発行するパブリックルートのSSLサーバ証明書には、EKUとしてserverAuth(1.3.6.1.5.5.7.3.1)とclientAuth(1.3.6.1.5.5.7.3.2)の両用途が含まれておりますが、このたび、CA/ブラウザフォーラムが定めるBaseline Requirementsおよび各ブラウザルートプログラムのポリシーに厳格に準拠し、SSLサーバ証明書のEKUからclientAuthを削除することを決定いたしました。
よくあるご質問
- Q:発行済み証明書の利用に影響はありますか?
- A:影響はございません。変更実施日以降に発行される「新規・更新・再発行」の証明書が対象となります。
- Q:サーバ相互認証(mTLS)を行っている場合はどうすればよいですか?
- A:変更後のSSLサーバ証明書にはclientAuthが含まれないため、サーバ相互認証用途ではご利用いただけなくなります。
代替証明書として、EKUにclientAuthを含む証明書を別途提供いたします。詳細につきましては、弊社までお問合せください。
グローバルサインでは、今後も業界ガイドラインおよび各ブラウザベンダーのポリシーに準拠し、より安全なインターネット環境の実現に努めてまいります。何卒ご理解賜りますようお願い申し上げます。