2026年4月15日、業界全体で「DigiCert Global Root CA(G1)」の信頼が打ち切られた。Microsoft 365側の対応は既に完了しているが、古い証明書ストアを抱えるシステムやコンテナ環境では今まさに接続障害が起きている可能性がある。静かに進む変更だが、影響を受ける組織にとっては無視できない問題だ。
そもそも何が起きているのか
TLS通信では、サーバー証明書の信頼を辿っていくと最終的に「ルートCA証明書」に行き着く。このルートCAがOSやブラウザの「信頼ストア」に含まれていなければ、通信は失敗する。
今回の変更は、Mozilla・Chromeという業界の主要な信頼ストアが「DigiCert Global Root CA G1」を信頼リストから除外したことに起因する。Microsoftはすでに数年前から対応を進めており、Microsoft 365のエンドポイントは「DigiCert Global Root G2」および「G3」ベースの新しい証明書チェーンに移行済みだ。
つまり、Microsoft側の問題ではなく、クライアント側の「信頼ストアが古いまま」である場合に問題が顕在化する構造になっている。
どんな環境が影響を受けるか
影響を受ける可能性があるのは以下のような環境だ:
- Linuxベースのシステム・コンテナ・アプライアンス:Mozilla/NSS信頼ストアに依存しており、OSイメージやコンテナイメージが古いまま放置されているケース
- Google Chrome・Mozilla Firefox:最新版は自動更新で対処済みだが、ブラウザの更新を制限している環境では注意が必要
- オンプレミスのメール中継やプロキシ装置:TLSインスペクション機能を持つ機器で、ファームウェアが古い場合に証明書チェーン検証が失敗することがある
- CI/CDパイプラインやバッチ処理のコンテナイメージ:ベースイメージを長期間更新していない場合、信頼ストアが古くなっている可能性がある
典型的なエラーメッセージとしては以下が挙げられる:
出典: この記事は DigiCert Global Root CA G1 Distrust: Impact on Microsoft 365 (MC1282565) の内容をもとに、筆者の見解を加えて独自に執筆したものです。