GlobalSign は 2026年3月31日更新のサポート情報で、公開 TLS 証明書に関する今後の変更予定を案内しています。 主な論点は、TLS 専用ルートへの移行、ClientAuth EKU を含まない公開 TLS プロファイルへの整理、 そして 2026年3月15日から始まった最大 200 日有効期間への対応です。
※本記事は公開情報をもとに整理した内容です。記事内容に関する個別のお問い合わせにはお答えいたしかねますので、正確な内容や最新情報は必ず公式ソースもあわせてご確認ください。
要点
- GlobalSign の既存ルート証明書自体を失効させる案内ではありません。
- 公開 TLS 証明書は、TLS 専用ルート
R46(RSA)とE46(ECC)への移行が案内されています。 - 公開 TLS 用プロファイルでは
ServerAuthのみを含み、ClientAuthは利用できなくなる予定です。 - 公開 TLS 証明書の最大有効期間は 2026年3月15日から 200 日です。
- GlobalSign は 2026年7月27日から TLS 専用ルートへの移行を進める計画を示しています。
日本語要約
今回の案内は、GlobalSign 固有の仕様変更というより、Chrome、Mozilla、CA/Browser Forum の方針変更に合わせて、 公開 TLS 証明書の発行基盤を整理していく流れをまとめたものです。 すでに最大有効期間 200 日への短縮は始まっており、今後は TLS 専用ルートからの発行が主流になっていきます。
その結果、公開ブラウザ信頼を前提にする TLS 証明書では、 Client Authentication を含む多目的な証明書よりも、 Web サーバ向けの用途に絞った証明書プロファイルが基本になっていくことが見込まれます。
運用上の見どころ
Atlas や GCC で運用している環境では、ルートや中間 CA の切り替わり時期、 ならびに発行される証明書の EKU 構成が今後の確認ポイントになります。 特に、公開 TLS 証明書に ClientAuth を期待している構成は、そのままでは合わなくなる可能性があります。
一方で、公開ブラウザ信頼が不要な用途については、 GlobalSign 自身が IntranetSSL を選択肢として案内しています。 そのため、Web 公開用途と閉域・社内用途を同じ考え方で扱わないことが、今後はより大切になりそうです。
このページ向けの読み替え
ACME 証明書サービスの観点では、認証局ごとの商品仕様だけでなく、 その裏側にあるルートや証明書プロファイルの変化も追っておく必要がございます。 特に Atlas を含む GlobalSign 系サービスをご案内する際は、 有効期間だけでなく、ルート移行や EKU の前提もあわせて確認しておくと安心です。