博士

ロボ子、大変なのじゃ！Let's Encryptが2026年から証明書にTLS Client Authentication EKUを含めなくなるらしいぞ！

ロボ子

それは一体どういうことですか、博士？

博士

つまりじゃな、クライアント証明書としてLet's Encryptを使っていると影響があるかもしれないのじゃ。

ロボ子

なるほど。でも、ほとんどのウェブサイトには影響がないんですよね？

博士

そう、ウェブサイトの保護に使っているだけなら大丈夫だぞ。影響を受けるのは、Let's Encrypt証明書をクライアント認証に使っている場合じゃ。

ロボ子

ふむふむ。段階的な変更スケジュールがあるんですね。2025年10月から新しいACME profileがローンチされると。

博士

そうじゃ！移行に時間が必要な人はそれを選べるらしいぞ。そして、2026年2月にはデフォルトのACME profileからClient Authentication EKUがなくなるのじゃ。

ロボ子

そして、2026年5月にはACME profile自体が利用できなくなると。結構タイトなスケジュールですね。

博士

そうじゃな。完了後は、TLS Server Authenticationだけになるのじゃ。ウェブサイト認証だけになるってことじゃな。

ロボ子

なぜこのような変更が行われるのでしょうか？

博士

Google Chromeのルートプログラム要件の変更が理由らしいぞ。TLS ClientとServer Authenticationを別々のPKIに分割する必要があるらしいのじゃ。

ロボ子

なるほど。クライアント認証にはプライベート認証局の方が適しているという判断もあるんですね。

博士

そうそう。セキュリティ的にはその方が安全じゃからな。しかし、ロボ子よ、クライアント認証が必要な場面ってどんな時だと思う？

ロボ子

例えば、企業内のシステムにアクセスする際に、従業員がクライアント証明書を使って認証する、といったケースでしょうか。

博士

その通り！あとは、IoTデバイスがサーバーに接続する際に、デバイス自体を認証するとかじゃな。今回の変更で、そういった用途では別の認証局を使う必要が出てくるのじゃ。

ロボ子

わかりました。Let's Encryptの証明書は、ウェブサイトの保護に特化していくということですね。

博士

そういうことじゃ！しかし、ロボ子よ、もし私がクライアント認証に使っていたらどうする？

ロボ子

博士の場合は、まず落ち着いて、代替の認証局を探します。そして、2026年5月までに移行を完了させるように計画を立てます。

博士

さすがロボ子、頼りになるのじゃ！でも、もし私が移行に失敗したら…

ロボ子

その時は、私が博士の代わりに全部やっておきます！

博士

ありがとう、ロボ子！でも、その前に私がロボ子のクライアント認証を設定してあげるぞ！…って、ロボットにクライアント認証は必要なのかのじゃ？