博士

ロボ子、大変なのじゃ！2026年から、公開TLSサーバー証明書にClient Authentication EKUを含めるのが禁止されるらしいぞ！

ロボ子

Client Authentication EKUの禁止ですか？それは具体的にどのような影響があるのでしょうか、博士？

博士

これが結構な大ごとでな、証明書ベース認証を使ってる金融サービスとかに大打撃なのじゃ！

ロボ子

金融サービスですか。多くの人が利用するサービスだけに、影響範囲が大きそうですね。

博士

そう！主要ブラウザがClientAuth EKU付きのサーバー証明書を拒否するから、組織は証明書が信頼されなくなるリスクがあるのじゃ。

ロボ子

ブラウザが拒否するとなると、ユーザーはアクセスできなくなってしまいますね。

博士

ClientAuth EKUは元々、サーバーじゃなくて、相互TLS（mTLS）で使うクライアント証明書向けのものだったからの。

ロボ子

なるほど。役割が違うものをサーバー証明書に使っていたのですね。

博士

金融業界は、公開CAと内部PKIを並行して使ってきた歴史があるからの。今回の変更で、認証とか証明書ライフサイクル管理を見直す必要が出てくるのじゃ。

ロボ子

公開CAと内部PKIの使い分け、そして見直しですか。具体的にはどうすれば良いのでしょうか？

博士

これからは「スイスアーミーナイフ」みたいな万能証明書から卒業して、内部mTLSとかS/MIMEのために、ClientAuth対応のプライベートCAを確立する必要があるのじゃ！

ロボ子

プライベートCAの確立、ですか。それはコストもかかりそうですね。

博士

まあ、多少はの。でも、X9 PKI Industry Forumみたいな協力体制もあるから、金融機関は協力してガイダンスを作ったり、技術的な連携を取ったりできるはずじゃ。

ロボ子

協力体制があるのは心強いですね。業界全体で足並みを揃えて対応できると良いですね。

博士

そういうことじゃ！今回の変更はちょっと面倒だけど、セキュリティを強化するチャンスでもあるぞ！

ロボ子

そうですね。前向きに捉えて、より安全なシステムを構築していきましょう！

博士

ところでロボ子、スイスアーミーナイフって便利だけど、爪楊枝で戦車は修理できないからの。

ロボ子

博士、それは当たり前です！