Knowledge Base

Googleは、Certificate Transparency（CT）ログリストの公開および管理方法の変更を発表しました。

この変更に伴い、サードパーティ製の CT enforcement library を使用しているアプリケーションは、Android 16以降に搭載されているGoogle提供の CT enforcement library に移行する必要があります。それ以外のライブラリは今後正常に機能しなくなる可能性があるため、アプリケーションから削除する必要があります。

このページで取り上げる項目:

• DigiCertがGoogleの通知を公開する理由
• 変更になった点とそれがユーザーに与える影響
• アプリケーションの障害
• 詳細情報
   

DigiCertがGoogleの通知を公開する理由

DigiCertは、お客様が予期せぬアプリケーション障害を回避できるよう、便宜上Googleの通知を公開しています。この記事で説明されている変更はGoogleによって実施されており、Google以外のライブラリを使用してCTの強制適用を実装しているアプリケーションに影響します。

この問題は、パブリックに信頼されたTLS証明書の有効性や、DigiCertによる証明書のログ記録方法には影響しません。潜在的な障害リスクは、アプリケーションがGoogleの現行の CT enforcement library ではなく、サードパーティ製の CT enforcement library を使用する場合に発生します。
 

変更になった点とそれがユーザーに与える影響

Googleは、サードパーティの CT enforcement library に提供しているCTログリストのバージョンを凍結します。これらのリストには新しいログは追加されません。Googleはライブラリに提供するリストを2種類保持していますが、どちらのリストも異なる期限で凍結されます。

凍結リスト上のログは、通常のCTログのライフサイクルに従って、時間の経過とともにオフラインになります。有効期限が切れると、凍結リスト上のログが利用できなくなると、有効なSCTセットを取得できなくなり、証明書自体は有効で適切にログに記録されていても、これらのライブラリで検証される接続が失敗する可能性があります。

更新できないアプリケーションの最終手段として、Google は凍結リストに 2 つの'mimic'ログを追加しています。これらのmimicログ（模倣ログ）の秘密鍵は公開されているため、ログは安全とはみなされず、透明性エコシステムにおいても価値はありません。どの証明書でも、実際にCTログへ記録されていなくてもCTチェックを通過できてしまうため、DigiCert はこの方法を推奨していません。DigiCertは、サードパーティ製ライブラリを削除することを推奨します。

Googleがこのような変更を行うのは、サードパーティ製の CT enforcement library が、進化し続けるCTエコシステムに対応したり、アプリケーションの破損を最小限に抑えるための業界のベストプラクティスを実装したりできることを証明できていないためです。 
 

アプリケーションの障害

この計画により、2種類の障害が発生すると予測されています。1つ目は、開発者への早期警告として、2026年中に意図的に短時間発生するシグナリング障害です。2つ目は、凍結されたリストが時間の経過とともに利用できなくなることで発生する恒久的な障害です。

一時的なアプリケーションの障害

Googleは、影響を受けるアプリケーション開発者への通知を試みているとのことですが、　Googleは影響を受けるすべての開発者を確実に特定したり連絡を取ったりすることができないため、早期警告信号として、該当するサードパーティ製 CT enforcement library を使用しているアプリケーションで、意図的に接続失敗が発生するようにする予定です。

シグナリング障害のスケジュール

• 2026年7月1日以降に開始予定

• 2026年7月1日から11月1日の間に発生予定

• 2週間に1回以上は発生しない予定

• 4時間以上は続かない予定

Googleは最初の障害発生について  ct-policy@chromium.orgで発表します。それ以降の不具合発生を事前に発表しない可能性があります。

恒久的なアプリケーションの障害

凍結リスト上のログや関連する証明書の有効期限が切れるにつれて、アプリケーションの恒久的な障害が段階的に発生します。凍結ログの証明書の有効期限が切れると、代替となる互換性のあるSCTが利用できなくなります。

開発者がアプリケーションを更新しない場合、それらのアプリケーションはいずれ動作しなくなります。そのタイミングは、アプリケーションで使用されているサードパーティ製のCT enforcement libraryがどれくらい最新の状態であるかどうかによって異なります。  

旧バージョンのサードパーティ製 CT enforcement library

古いバージョンのサードパーティ製 CT enforcement library に依存するアプリケーションは、今後いつの時点でも動作しなくなる可能性があります。

最新バージョンのサードパーティ製 CT enforcement library

最新のサードパーティ製 CT enforcement library に依存しているアプリケーションは、2026年7月1日以降、動作しなくなる可能性があります。Google Play Consoleには既に警告が表示されています。

すべてのバージョンのサードパーティ製 CT enforcement library

サードパーティ製の CT enforcement library に依存するすべてのアプリケーションは、2027年7月1日までに、開発者がサードパーティ製の CT enforcement library からGoogle提供の CT enforcement library に移行しない限り、動作停止が発生するようになります。
 

詳細情報

技術的な背景やアプリケーション障害を防ぐための手順については、Googleの公式発表全文をご確認ください。 Upcoming changes for applications using Chrome’s CT Log Lists.