Googleから突然、「[Action Advised] Ensure you trust all Google Trust Services Root CAs and ECDSA certificate chains before Jun 15, 2026」というタイトルのメールが届き、何をすればよいのか悩まれた方も多いのではないでしょうか。
このメールは、Googleが運営するAPIやクラウドサービス(googleapis.com など)のTLS証明書の仕組みを刷新することを事前に知らせる、Google Cloud公式の通知です。
対応期限である2026年6月15日以降、一部の特殊な実装を行っているシステムではGoogleサービスへの接続が失敗するようになる可能性があります。v
この記事では、メールの内容をかみ砕いて解説し、ご自身のシステムが対応を必要とするかどうかの判定方法と、必要な対処法を初心者の方でも理解できるようにまとめます。
この記事でわかること
対象読者
なぜメールが届いたのか(変更の背景)
Googleはメールの中で次のように述べています。
In Q2 2026, to improve efficiency, we will be updating the Transport Layer Security (TLS) certificate for many Google endpoints.
2026年Q2(4〜6月)に、多くのGoogleエンドポイントのTLS証明書を効率化のために更新するという内容です。
具体的には、以下の変更が行われます。
これらの変更に備えて、影響を受ける可能性のあるユーザーへ事前に通知が送られています。
影響を受けるシステムと受けないシステム
Googleのメールにも明記されていますが、ほとんどのユーザーは対応不要です。
For most customers, no action is required as a result of this change.
対応不要のユーザー
これらの環境では、OSやブラウザが信頼ストアを自動で更新するため、特別な対応は必要ありません。
対応が必要な可能性のあるユーザー
Googleのメールは、以下の2つのケースに絞って注意を促しています。
ケース1:証明書のピンニング(Certificate Pinning)を行っている場合
アプリケーション内のコードで、特定の中間CA証明書や公開鍵・フィンガープリントをハードコーディングして検証している場合です。Googleは公式にピンニングを非推奨としており、証明書のローテーション(定期更新)が行われるたびにアプリケーションが接続できなくなるリスクがあります。
We do not recommend pinning intermediate or leaf certificates. This practice will cause your application to break during routine certificate rotations.
ケース2:カスタムトラストストアを運用している場合
Dockerコンテナや独自サーバーで、OS標準の証明書ストアではなく、独自に管理した証明書リスト(cacert.pem など)を使って通信を制限している場合です。そのリストにGoogle Trust Servicesのすべてのルート証明書(GTS Root CAs)が含まれていないと、接続エラーになる可能性があります。
影響有無の判定方法(3つの確認ステップ)
自身のシステムが影響を受けるかどうかは、以下の3つのステップで確認できます。
手順1:ソースコードの検索(静的解析)
プロジェクト全体のソースコードに対して、証明書を独自に検証していないかGrep検索します。
以下のキーワードを検索します。
Pinning
CertificatePinner
checkServerTrusted
cacert
TrustManagerGoogleのAPIに対する通信で、これらのキーワードを含む独自のSSL/TLS検証処理が見つかった場合は、影響を受ける可能性が非常に高いです。
手順2:カスタムトラストストアの確認
独自に管理している証明書リスト(cacert.pem など)がある場合は、その中にGoogle Trust Servicesのルート証明書(GTS Root R1〜R4)がすべて含まれているか確認します。
GTS Root CAsの一覧は、Google Trust Servicesの公式ページで確認できます。
RSA用のルートCAしか含まれておらず、ECDSA用(GTS Root R3、R4など)が不足している場合は、接続エラーの原因になります。
手順3:実際に接続テストを行う(動的解析)
実際のサーバー環境やデバイスから、GoogleのAPIエンドポイントへの通信テストを行います。
ターミナル(LinuxやmacOS)で以下のコマンドを実行します。
openssl s_client -connect googleapis.com:443 -showcerts出力の末尾に以下のように表示されれば、そのクライアント環境はGoogleの証明書チェーンを問題なく信頼できています。
Verify return code: 0 (ok)エラーコードが 0 以外の場合(たとえば 21 (unable to verify the first certificate) など)は、トラストストアにGoogle Trust Servicesのルート証明書が不足している可能性があります。
必要な対処法
判定の結果、影響がある可能性があると判断した場合は、以下の対処を行います。
対処法1:証明書ピンニングの解除(推奨)
Googleが公式に推奨している方法です。可能であれば、ソースコード上のピン留めロジックをすべて削除し、OSの標準的な証明書検証に委ねるように修正します。
ビジネス要件などの理由でどうしてもピンニングが必要な場合は、特定の中間証明書やリーフ証明書ではなく、Google Trust Servicesが発行するすべてのルート証明書(GTS Root CAs)をピンリストに含めます。
If you choose to pin, ensure that all Google Trust Services Roots and, if applicable, intermediates are in your pin list.
対処法2:カスタムトラストストアへのルート証明書の追加
独自の証明書リストを運用している場合は、https://pki.goog/ から最新のGoogle Trust Servicesルート証明書をダウンロードし、管理している cacert.pem などのファイルに追記します。
追記後は、テスト環境で前述の openssl s_client コマンドを実行し、Verify return code: 0 (ok) が返ることを確認してから本番環境に反映します。
よくある質問
一般ユーザーがGoogleで検索したりYouTubeを見たりするのに影響はありますか?
ありません。ブラウザやスマートフォンのOSが自動的に証明書ストアを更新するため、一般的な利用には影響しません。
Firebaseや Google Cloud SDKを使っている場合は対応が必要ですか?
最新の公式SDKをデフォルト設定で使用している場合は、対応不要です。ただし、独自にカスタムトラストストアを使っていたり、証明書をピンニングしていたりする場合は確認が必要です。
期限の2026年6月15日を過ぎると、すぐに接続できなくなりますか?
Googleのメールによると、2026年Q2後半(late Q2 2026)にかけて段階的に移行が進むとしています。一度に全サービスが切り替わるわけではありませんが、影響を受ける可能性のある環境は期限前に対応しておくのが安全です。
GTS Root CAsはどこでダウンロードできますか?
Google Trust Servicesの公式ページ(https://pki.goog/)から入手できます。リポジトリには各ルート証明書のダウンロードリンクが掲載されています。
