ネットワーク接続される機器の保護、更新、監視、制御を大規模に実現
- デジタルトラスト製品/サービス一覧:
- エンタープライズ IT、PKI、ID
- ウェブサイト&サーバー
- コード&ソフトウェア
- 文書&署名
- IoT&コネクテッドデバイス
PKIと証明書のリスクを一元管理
PKIと証明書のリスクを一元管理
証明書ライフサイクルの
管理をもっとスマートに
- 発行 & インストール
- 検知 & 復旧
- 更新 & 自動化
- 選任 & 委譲
CI/CD や DevOps のための継続署名
- ソースコード完全性の保証
- ソフトウェア署名の自動化
- 鍵と権限の一元管理
- 規則の適用を効率化
安全で柔軟性の高い世界基準の署名
- 暗号鍵に基づいたID
- 遠隔身元証明(RIV)
- AdobeとDocuSignとの簡単連携
- 柔軟なワークフロー
半導体埋め込みから後付けまでの
信頼チェーン
妥協なきデバイスセキュリティ
- トラストアンカーの埋め込み
- デバイス管理の自動化
- 効率的な一元管理
安全なアプリ開発を加速
- OSとプロセッサに依存しない開発
- 柔軟なメモリ容量
- 多くの開発言語に対応
人工衛星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。
人工衛星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。
TLS/SSL ベスト
プラクティスガイド
2022 年版
DevOps 向けの
実用に耐える
署名ポリシーを
確立するには
グローバルで文書の
署名と規制を管理する
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ規格
業界最良の証明書を管理するためのベストプラクティスガイド
全てを満たす最高のウェブサイト
セキュリティ
- 優先認証
- マルウェアスキャン
- 脆弱性アセスメントおよび PCI スキャン
- 継続的なCT ログモニタリング
- DigiCert Smart Seal と Norton Seal
- 他社を大きくしのぐ補償サービス
デジタルファーストの企業に最適
- 優先認証
- マルウェアスキャン
- DigiCert Smart Seal
- プロフェッショナルサービス
- 他社を大きくしのぐ補償サービス
安全と柔軟性を備える基本的な証明書
- 定評あるサポート
- ブラウザ対応率99%
- OV と EV に対応
- DigiCert Basic Seal
- プロフェッショナルサービス
柔軟で高機能、簡単に追加可能
- 全ての企業認証型(OV)証明書に対応
- 1ドメインで全サブドメインに対応
複数ドメイン向けに
柔軟なオプション
- 全てのEVと企業認証型(OV)証明書に対応
- 250ドメインまで対応
- マルチドメイン (UCC) SSL証明書
- SAN (Subject Alternative Names) 証明書
他に無い、最新機能のトラストマーク
- 顧客の信頼を得る
- コンバージョンを伸ばす
- 83%の顧客が価値を感じる機能
- コンシューマが選ぶ「最新鋭機能」
顧客に信頼されるメールを送信
- DMARCでフィッシング対策
- メール受信箱で「見える」認証済み
- メール開封率の向上
コード署名でソフトウェアを
安全に保つ
- 知的財産の保護
- EVと企業認証型(OV)を提供
- タイムスタンプと鍵保管オプション
- HSMに対応
フィッシング詐欺対策向け
電子証明書
- S/MIME 対応メールで利用可能
- ゲートウェイ/サーバ型配信に対応
- 送信元の実在性証明で安心
主要ワークフロー製品と連携可能な
電子署名で文書を信頼
- 法的効力を持つ署名
- 全世界で利用可能
- 個人向けまたは企業向け署名
業界最高水準の証明書を
管理するためのベスト
プラクティスガイド
2022 年版
業界最高水準の証明書を
管理するためのベスト
プラクティスガイド
2022 年版
何千社もの業務改善を
支援してきた証明書管理チェックリスト
何千社もの業務改善を
支援してきた証明書管理チェックリスト
TLS/SSL ベスト
プラクティスガイド
2022 年版
TLS/SSL ベスト
プラクティスガイド
2022 年版
オンライン購入において
DigiCert Smart Seal が
果たす役割
情シス、危機管理、
マーケティング部門に
有用な VMC
グローバルかつローカルのニーズを支える QTSP(Qualified Trust Services Provider)
PSD2 準拠について知っておきたいこと
大量のコードサイニング、
鍵、ポリシー管理で
信頼を保つ
グローバルで文書の
署名と規制を管理する
ウェビナー
ID、デバイス、証明書の無秩序な拡散を抑制
資料
DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
信頼の上に築かれたパートナーシップ
世界中にデジタルトラストをもたらす
強力なパートナーシップ
- エンタープライズ
- 中小企業
- 公共団体
- 技術パートナシップ
- 業界団体
CONTACT OUR SUPPORT TEAM
ブラウザベンダーは明確な線引きをしています: 2026年6月15日以降、パブリックTLSサーバ証明書にはクライアント認証(ClientAuth) EKUを含めることが禁止されます。この変更は技術的なもののように思えるかもしれませんが、特に証明書ベースの認証に依存する金融サービス業界など、多くの分野に重大な影響を及ぼすでしょう。
証明書要件が厳格化される中、組織はパブリックとプライベートトラストの使い分けを見直すことが不可欠です。この変化は、金融サービスにおけるPKIのアップデートに向けた業界全体の取り組みと一致しており、最近設立されたX9 PKI業界フォーラムへの参加もその一環です。
EKUの見直し:何が変わり、なぜ重要なのか
鍵拡張使用法(EKU)は、X.509証明書内のフィールドで、証明書がどのように使用されるかを指定します。歴史的に、一部のパブリックTLSサーバ証明書(HTTPSウェブサイトを保護する証明書)は、サーバ認証とクライアント認証のEKUを両方含んでいました。後者(OID 1.3.6.1.5.5.7.3.2)は、相互 TLS(mTLS)認証で使用されるクライアント証明書向けに設計されており、サーバ向けではありません。
その両用は、以前のCA/Bフォーラムのベースライン要件では厳格に禁止されていませんでしたが、適切なセキュリティ対策として不適切とされていました。サーバ証明書にClientAuthを含めることは、サーバ証明書をクライアント認証のシナリオで誤用する可能性を含む曖昧さと潜在的なセキュリティリスクを引き起こし、最小権限の原則に違反する行為でした。
現在、主要なブラウザが対応を開始しています。Google Chromeは、ClientAuth EKUを含むサーバ証明書を拒否するポリシーの実施を発表し、Mozillaも同様の措置を講じる見込みです。これは、Googleがセキュリティリスクと見なす「マルチパーパスルート」(サーバ認証とクライアント認証の両方をサポートする証明書チェーン)を排除する広範な取り組みの一環です。
変更が実施された後も引き続きこれを含み続けるパブリック証明書発行認証局(CA)は、ブラウザによってその証明書が信頼されなくなるリスクに直面します。これは、それらに依存する組織にとって、潜在的に深刻な事態となる可能性があります。
今後、TLS証明書に与える影響とは
クライアント認証のEKUは、ご使用のケースでは必要なかった可能性があり、その場合、ClientAuth EKUを含まない証明書を再発行するだけで済むかもしれません。2026年に強制適用が開始されると、サーバ証明書にClientAuth EKUが含まれていることは警告サインとなり、次の証明書とみなされることによってブラウザによって拒否される可能性があります。
- 有効期限が切れた証明書または古い証明書
- 内部PKIの誤設定
- 準拠していないCAが発行する証明書
したがって、主要なプラットフォームを含む新しい証明書にClientAuth EKUが設定されている場合、一度立ち返る必要があります。これは単なる見落としなのか、それとも緊急の対応が必要な過去の慣行なのか?
金融サービス:PKIのアップデートが重要な理由
金融業界は長年、複数のPKIインフラストラクチャを運用してきました。ブラウザの信頼性を確保するためのパブリックCAと、mTLS、スマートカード、デバイス認証など、厳格に限定された組織内用途向けの内部(またはプライベート)PKIです。
しかし、この断片化は複雑さを生み出し、場合によってはリスクを伴います。例えば、互換性のない役割間で証明書を再利用するケースなどが挙げられます。これらの内部利用ケースにパブリック証明書が使用されていた場合、別のソースからの証明書に置き換える必要があります。
X9 PKI 業界フォーラム(X9 認定基準委員会が最近設立した)は、金融機関、認証局(CA)、サービスプロバイダーが実践的なPKIガイドラインと相互運用性に関する協力を促進するベンダーニュートラルのフォーラムを構築しています。
単一の標準を推進するのではなく、フォーラムは金融業界におけるスケーラブルで相互運用可能なPKIアーキテクチャに関するオープンな議論と技術的な整合性を支援しています。
ClientAuth EKUの無効化は新しい化学反応を生み出す
ブラウザによるEKUの仕様変更の適用は、実質的に強制的な措置です。これにより、金融機関は認証の取り扱い、証明書ライフサイクル管理、およびパブリックトラストインフラとプライベートトラストインフラ間の役割分担について見直しを迫られています。
実際には、これは次の意味を持ちます。
- 「スイスアーミーナイフ」のような複数の役割を果たす証明書の利用をやめる。
- プライベートCAの設立または強化により、クライアント認証機能(ClientAuth)対応の証明書を発行可能とし、内部のmTLS、S/MIME、およびアイデンティティ認証利用ケースに対応しつつ、パブリックトラストに影響を与えないようにする。
その結果、進化する業界とブラウザのポリシー標準に適合した、より強固で維持管理しやすいPKIアーキテクチャが生まれます。
金融PKIの今後の道筋
クライアント認証(ClientAuth)をパブリックTLS証明書から削除することは、単なるコンプライアンスの更新ではありません。これは転換点です。デジタルトラストがより精密になり、より目的指向型となり、より厳格に管理されるようになっていることを示しています。金融機関にとって、これは組織全体でのPKIの展開方法を見直すことを意味します。
これは、次のような機会をもたらします。
相互運用可能でポリシーに準拠した証明書を活用し、デジタルトラストの基盤を強化します。
プライベートPKIをアップデートし、mTLS、コードサイニング、大規模なアイデンティティ認証管理など、アジャイルなユースケースに対応します。
パブリックとプライベートトラストを使い分けるゾーンを分離し、リスクを軽減し管理の効率を向上させます。
X9 PKI 業界フォーラムのような協働的な取り組みは、金融機関がこの変化に対応するため、共通の指針、技術的な整合性、そして将来に備えたフレームワークを提供しています。
金融機関がX9 PKI標準の採用を検討している場合でも、企業がmTLS環境の見直しを行っている場合でも、この変化は重要な教訓です。証明書管理はもはやオプションではありません。それは、安全で信頼できるデジタルトラストの基盤です。現在行動を起こす組織、つまり、証明書使用状況の監査、プライベートPKIのモダン化、専用設計の信頼モデルの導入を行う組織は、自社の金融エコシステム全体でデジタルトラストがどのように機能するかを定義し制御する上で、より強固な立場に立つことができます。
- 2025年6月15日: Chromeは、ServerAuthとClientAuthの両方のEKUを含む中間証明書を信頼しなくなります。
- 2026年6月15日: Chromeは、複数の目的で証明書を発行するルートCA証明書を拒否します。
2025年半ばまでにマルチパーパス用途証明書の利用を停止していない場合、ブラウザからの信頼喪失—および潜在的なサービス停止—が発生するリスクがあります。
- クライアント認証のEKU削除はいつ対応する必要がありますか?
- 他のブラウザでも、この変更を実施するのでしょうか?
- 「マルチパーパスルート」とは具体的に何ですか?
- mTLSまたはクラウドAPIのユースケースが影響を受ける可能性はありますか?
特集記事
-
法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。
-
-
© 2025 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム