Summary

Cloudflare Workers の request.cf.tlsClientAuth に、RFC 9440 標準形式でクライアント証明書を取得できる4つの新しいフィールドが追加されました。これにより、mTLS クライアント証明書をオリジンサーバーに転送する際のカスタム解析・エンコード処理が不要になります。

Key Points

新しいフィールド:
- certRFC9440: クライアント証明書の RFC 9440 形式（:base64-DER:）
- certRFC9440TooLarge: 証明書が 10KB を超えた場合の boolean フラグ
- certChainRFC9440: 中間証明書チェーンのカンマ区切りリスト
- certChainRFC9440TooLarge: チェーンが 16KB を超えた場合の boolean フラグ
標準準拠: Client-Cert および Client-Cert-Chain HTTP ヘッダーと同じ RFC 9440 標準形式を使用
簡単な転送: Workers から直接 Client-Cert ヘッダーとしてオリジンに転送可能

claudejamodel: claude-sonnet-4-20250514

Workers - WorkersでのRFC 9440 mTLS証明書フィールドの新機能

WorkersでのRFC 9440 mTLS証明書フィールドの新機能

2026年3月27日

mutual TLS (mTLS) クライアント証明書を含むリクエストに対して、Workersのrequest.cf.tlsClientAuthで4つの新しいフィールドが利用可能になりました。これらのフィールドは、クライアント証明書とその中間チェーンをRFC 9440形式でエンコードします。これはClient-CertおよびClient-Cert-Chain HTTPヘッダーで使用されるのと同じ標準形式であるため、カスタムの解析やエンコードロジックなしに、Workerからオリジンサーバーへそのまま転送できます。

新しいフィールド

フィールド	タイプ	説明
`certRFC9440`	String	RFC 9440形式（`:base64-DER:`）のクライアントリーフ証明書。クライアント証明書が提示されなかった場合は空。
`certRFC9440TooLarge`	Boolean	リーフ証明書が10 KBを超えて`certRFC9440`から除外された場合は`true`。
`certChainRFC9440`	String	RFC 9440形式の中間証明書チェーンをカンマ区切りリストとして表現。中間証明書が送信されなかった場合、またはチェーンが16 KBを超えた場合は空。
`certChainRFC9440TooLarge`	Boolean	中間チェーンが16 KBを超えて`certChainRFC9440`から除外された場合は`true`。

例：クライアント証明書ヘッダーをオリジンに転送

JavaScript

export default {
  async fetch(request) {
    const tls = request.cf.tlsClientAuth;
    
    // 証明書が検証され、チェーンが完全な場合のみ転送
    if (!tls || !tls.certVerified || tls.certRevoked || tls.certChainRFC9440TooLarge) {
      return new Response("Unauthorized", { status: 401 });
    }
    
    const headers = new Headers(request.headers);
    headers.set("Client-Cert", tls.certRFC9440);
    headers.set("Client-Cert-Chain", tls.certChainRFC9440);
    
    return fetch(new Request(request, { headers }));
  },
};

詳細については、Client certificate variablesおよびMutual TLS authenticationを参照してください。

Workers - New RFC 9440 mTLS certificate fields in Workers