背景
デジタル通信において長年利用されていた第一世代のルート証明書(DigiCert Global Root G1)が2026年4月に廃止されます。これは世界的なインフラ更新に伴うものですが、New Relicにおいてもプラットフォームの信頼性担保のため、G2証明書切り替えへの対応が必要となります。
影響(対応が未完了の場合)
お客様の環境の証明書が適合していない場合、4月2日以降エージェントのログにエラー(例:SSLHandshakeException 、PKIX path building failedなど)が出力され、データのインジェストが停止します。
スケジュール
3月12日(日本時間)
事前テスト(詳細は後述します)
4月2日(日本時間)
New Relicの環境のG2証明書への切り替え
4月15日
業界期限。主要なWeb ブラウザーと信頼ストアは DigiCert G1 を正式に信頼しなくなり、従来の証明書が世界的に無効になります。
推奨確認事項
通常、最新のOSや最新のJVMなどの環境をご利用の場合は問題になりません。しかしながら、レガシーJavaエージェント(2021年リリースの6.4.2より前のバージョン)、古いDockerイメージ、またはピン留めされた証明書を使用している場合に発生する可能性が高くなります。 安定した移行を行っていただくため、テスト期間中およびテスト期間前に以下の項目を確認されることが推奨されます。
OSのトラストストア(OS Trust Stores)
ホストOS(Linux、Windows等)の信頼済み証明書セットに、DigiCert Global Root G2 が含まれていることを確認してください。
言語ランタイム(Language Runtimes)
独自のキーストアを保持している環境を監査してください。特にレガシーバージョンのJava(JVMのcacerts)、Python(certifiパッケージ)、Node.jsなどが対象です。
ネットワーク中間機器(Network Intermediaries)
アウトバウンド通信が、SSLインスペクション(復号・再署名)を行うプロキシ、ロードバランサー、ファイアウォールを経由する場合、それら機器のファームウェアとトラストストアが最新であることを確認してください。
証明書のピン留め(Certificate Pinning)
アプリケーションコードやAPIゲートウェイにおいて、古い「DigiCert G1」証明書がハードコード(ピン留め)されていないか確認してください。
事前テスト(疎通確認)の実施について
本番切り替え前に、お客様の環境が影響を受けるかどうかを確認できる「プロアクティブテスト」を実施します。
実施日時:
2026年3月12日 09:00 - 11:00(日本時間)
内容:
この2時間のみ、New Relicの受信サーバー側でG2証明書切り替えへの対応を一時的に有効にする予定です。この間、New Relic側は一時的に DigiCert G2 を署名者とする証明書を提示して通信を試みます。
確認事項:
この時間帯にNew Relicのデータ反映が停止したり、エージェントログにエラーが出た場合、日本時間2026年4月2日の本番切り替え時に確実に通信不能になります。
3月12日のテストを正常にパスし、かつ4月2日の本番も無停止で乗り切るためには、「DigiCert G2」を事前にインポートしておく必要があります。テスト期間中にエラーが出た場合は、不足しているサインとなります。
日本時間4月2日の切り替え当日に本番環境でトラブルにならないよう、早めの確認をお願いします。
本ブログ記載の情報は、ブログ公開時点の最新の New Relic Status Page および、Forum 記載の内容をまとめたものとなります。最新の情報はForum にて更新されるため、そちらにてご参照いただければ幸いでございます。
本ブログに掲載されている見解は著者に所属するものであり、必ずしも New Relic 株式会社の公式見解であるわけではありません。また、本ブログには、外部サイトにアクセスするリンクが含まれる場合があります。それらリンク先の内容について、New Relic がいかなる保証も提供することはありません。
