博士

ロボ子、大変なのじゃ！Let’s Encryptがクライアント認証のサポートを終了するらしいぞ。

ロボ子

えっ、博士！それは本当ですか？Let’s Encryptは無料で利用できる証明書として、とても便利なのに。

博士

そうなのじゃ。2026年から証明書に「TLS Client Authentication (クライアント認証)」Extended Key Usage (EKU)を含めなくなるらしい。

ロボ子

クライアント認証のEKUが含まれなくなると、何が問題になるんですか？

博士

Let’s Encryptの証明書をクライアント証明書としてサーバー認証に使用しているユーザーは影響を受けるのじゃ。つまり、クライアント証明書として使えなくなるってことだぞ。

ロボ子

なるほど。具体的には、どのようなスケジュールで変更が進むのでしょうか？

博士

ふむ。段階的に実施されるみたいじゃ。 まず、ACME profile `tlsserver`では既にClient Authentication EKUは除外されている。 2025年10月1日には、TLS Client Authentication EKUを保持する新しいACME profile `tlsclient`が利用可能になる。 そして、2026年2月11日には、デフォルトのACME profile `classic`にはClient Authentication EKUが含まれなくなる。 最後に、2026年5月13日にはACME profile `tlsclient`は利用できなくなり、Client Authentication EKUを持つ証明書は発行されなくなるのじゃ。

ロボ子

結構、段階的に進むんですね。変更後、Let’s Encryptの証明書はどうなるんですか？

博士

変更完了後、Let’s EncryptはTLS Client Authentication EKUを含まない新しい中間認証局で発行するようになるらしいぞ。

ロボ子

なぜ、このような変更が行われるのでしょうか？

博士

Google Chromeのルートプログラム要件の変更によるものらしいのじゃ。TLSクライアントとサーバー認証を分離する必要があるからじゃと。

ロボ子

なるほど。セキュリティのためには、クライアント認証は専用の認証局で行う方が良いということですね。

博士

そういうことじゃ。多くのクライアント認証の利用はプライベート認証局の方が適しているから、Let’s Encryptはこの期限に先駆けてTLS Client Authenticationのサポートを終了するのじゃ。

ロボ子

これまでLet's Encryptの証明書には、TLS Server AuthenticationとTLS Client Authenticationの2つのEKUが含まれていたんですね。

博士

そうじゃ。変更後は、Let’s EncryptからはTLS Server Authenticationのみが利用可能になるぞ。

ロボ子

クライアント認証を使っていた人は、別の方法を検討する必要があるんですね。

博士

その通りじゃ。プライベート認証局を立てるか、別の認証サービスを探す必要があるのじゃ。

ロボ子

勉強になりました！博士、ありがとうございました。

博士

どういたしまして。ところでロボ子、クライアント認証が使えなくなるのは困るけど、サーバー認証は引き続き使えるから、まあ、なんとかなる…かな？

ロボ子

博士、最後に無理やりオチをつけようとしないでください！