Beginning September 15, 2025, SSL.com’s TLS server certificates will be issued without including the Client Authentication extended key usage (EKU) extension.
なぜ消すか
- 公開TLS証明書は、ウェブ上のサーバーの認証のみを目的としている
- 一部のシステムがクライアント認証において公開CA発行のあらゆる証明書を信頼する可能性
- 主要ブラウザはウェブサイトの証明書においてclientAuth EKUを要求または検証しない
- 用途を分離することで、CAはサーバーTLSとその他の目的向けに異なる証明書階層を維持
やること
- 証明書の棚卸し
- 二重利用ケースの特定
- 証明書の更新/再発行計画
- 必要に応じて早期再発行
- 必要に応じてクライアント認証証明書を取得
- ドキュメントと設定を更新
