Let’s Encrypt は 2026年3月16日更新の「Upcoming Features」で、 既定プロファイルからの TLS Client Authentication EKU 削除と、 64 日・45 日証明書への段階的移行予定を改めて案内しました。
※本記事は公開情報をもとに整理した内容です。記事内容に関する個別のお問い合わせにはお答えいたしかねますので、正確な内容や最新情報は必ず公式ソースもあわせてご確認ください。
要点
- 「Upcoming Features」は 2026年3月16日更新です。
- 2026年2月11日に既定プロファイルから
TLS Client AuthenticationEKU が削除されました。 - 移行猶予用の
tlsclientプロファイルは、2026年5月13日までに利用開始した契約者に対し 2026年7月8日まで継続可能と案内されています。 - 既定の証明書有効期間は 2027年2月10日に 64 日、2028年2月16日に 45 日へ移行予定です。
- 認証再利用期間も 10 日、その後は 7 時間へ短縮予定です。
日本語要約
今回の更新は、単に「45 日証明書へ向かう」という話だけではなく、 Let’s Encrypt の公開 TLS 証明書が、より Web サーバ用途に絞られた整理へ進んでいることを示しています。 既定プロファイルから ClientAuth EKU が外れたことで、 ひとつの証明書を複数用途に使うよりも、用途に応じた使い分けが必要になってまいります。
あわせて、今後の有効期間短縮により、 更新間隔の設計や ACME クライアント側の追従性もこれまで以上に大切になります。 手作業前提の運用よりも、自動更新と監視を前提にした構成の価値がさらに高まっていく流れと見てよさそうです。
運用上の見どころ
Let’s Encrypt をご利用中の場合、 これからは「何日証明書になるか」だけでなく、 発行される証明書プロファイルや EKU の前提も確認しておくと安心です。 特に、ClientAuth を含む証明書を暗黙に期待している仕組みがある場合は、 そのままでは合わなくなる可能性があります。
また、認証再利用期間の短縮は、更新時に都度きちんと認証できることの大切さを意味します。 HTTP-01 でも DNS-01 でも、認証経路の健全性を継続して保てるかが、今後ますます重要になりそうです。
このページ向けの読み替え
当サイトの ACME 証明書サービスでも、 クライアント代行設置や監視をご案内する意味合いは、こうした短期証明書時代に向けてさらに大きくなってまいります。 Let’s Encrypt を含む ACME 運用では、発行可否だけでなく「短い周期で安定して回るか」を見ていくことが大切です。