Marketing Cloud Engagement (MCE) におけるサーバー証明書更新に伴う、SSL/TLS通信への影響と推奨されるクライアント側の設定について解説します。接続エラーを防ぐためのMozillaポリシーに準拠したトラストストア構成や、API接続エラー発生時の対応方法、よくある質問、サポートへのお問い合わせ前の確認事項をまとめています。
サーバー証明書の更新に際した影響の有無や作業の要否は、お客様側のご利用の環境に依存します。弊社サポート窓口ではお客様のシステム内部の設定を確認することができないため、「現在の構成で影響があるか」「具体的にどの設定を変更すべきか」といった個別具体的な判断やご案内を行うことができません。
接続エラーを未然に防ぐための確実な対応は、更新対象のサーバーにアクセスする機器(APIクライアントもしくはPC) で、本記事で推奨している「Mozillaリストに準拠したルート証明書群を包括的に信頼する構成」にしていただくことです。この構成を満たしていれば、証明書の更新に伴う問題は発生いたしません。ご理解とご協力のほど、よろしくお願いいたします。
参考)
Important Update for Marketing Cloud Engagement Customers: End of Support for Certificate Pinning
URL : https://trailhead.salesforce.com/ja/trailblazer-community/feed/0D5KX00000KDKZw0AP
以下、詳細を記載します。
【補足:一般PCやスマートフォンのWebブラウザからのアクセスについて】
本記事における「クライアント」には、API連携を行うシステムだけでなく、一般のPCやスマートフォンのWebブラウザも含まれます。ただし、一般的なOSやブラウザでは各ベンダーがルート証明書リストを自動更新・管理しています。MCEは業界標準であるMozillaのリストに準拠した証明書を利用しているため、SAP で独自の証明書を持ち込む運用(BYOC)をしていない限り、一般ユーザーからのアクセスが突然できなくなることは原則としてありません。
サーバー証明書がクライアント(ブラウザやAPIクライアント)から妥当なもの(信頼できるもの)と判断されない場合、セキュアな通信(TLS/SSL)が確立できず、様々な問題が発生します。接続の問題が発生した場合は、対象のエンドポイントに応じて以下の確認および対応をご検討ください。
| 接続先 | 発生しうる問題の例 | 確認と対応方法 |
| 1.APIエンドポイント |
APIクライアントからのリクエストが接続レベルで失敗します。 APIを実行するアプリケーション側のログ等に、TLS通信が確立できない旨のエラーが記録されます。 |
エラーが発生しているAPIクライアント側のインフラ管理者に確認を依頼してください。 APIクライアント環境のトラストストアに、接続先APIサーバーのルート証明書が信頼された状態で登録されているかを確認する必要があります。 |
| 2.Marketing Cloud Engagement 管理画面 | ブラウザ上でセキュリティ警告が表示されてページが正しく表示されない場合や、一部機能が正しく画面上で動作しない場合があります。 |
当サービスが利用する証明書は、一般的なOSやブラウザで標準的に信頼されます。 |
|
3. SAP / Private Domain (Click, View, Images, CloudPages 等) | メール内の画像が表示されない、トラッキングリンクが動作しない、View As Web Pagesが機能しない、CloudPagesが閲覧できない等の状況が発生します。 |
これらは原則として一般の受信者がアクセスするものです。一般ユーザーの環境ではSAP/プライベート ドメイン のサーバー証明書標準的に信頼され、原則として本トラブルは発生しません。 ただし、セキュリティが厳格な特定の企業ネットワーク等からアクセスした場合に事象が発生することがあります。特定のPCや社内環境からのみ事象が再現する場合は、当該PCもしくはPCの管理部門から 2. と同様の対応を行う必要があります。 |
以下の構成は、証明書の更新(ローテーション)時に接続障害を引き起こすため、MCE ではサポート対象外または非推奨と定義されています。
特定のサーバー証明書や中間証明書のハッシュ値をアプリケーション内で固定(ハードコーディング)する構成です。 MCE はセキュリティ維持のために証明書を定期的に更新するため、この構成下では更新直後に接続遮断が発生します。
一般的なルート証明書リストから特定の認証局のみを選別し、独自にホワイトリスト形式で管理する構成(例:DigiCert Global Root G1 のみ許可し、G2/G3 を許可しない等)は推奨されません。 このような構成は、MCE が利用する認証局が変更された際(例:G1 から G2 への移行)、クライアント側が検証に失敗し接続不能となる主因となります。特定のルート証明書に依存せず、リスト全体を信頼する運用が安定的な利用のために推奨されます。
MCE との接続において、接続エラーを未然に防ぐための推奨構成および要件は以下の通りです。
MCE は Mozilla のポリシーに準拠した認証局 (CA) を利用します。そのため、クライアント環境(Java, .NET, OpenSSL, 各種ブラウザ等)においては、「Mozilla のリストに含まれるルート証明書」を広範に信頼する設定 を推奨およびサポート対象とします。この構成を維持することで、ルート証明書の世代交代(G2/G3 等)や認証局の変更が発生した場合でも、自動的に信頼関係が維持されます。
Q. DigiCert Global Root G2 と G3 のどちらを登録すべきですか?
A. 両方を含む、Mozillaリスト準拠のルート証明書群を包括的に登録してください。特定のバージョンに限定する運用は非推奨構成に該当し、将来的な接続エラーの原因となります。
Q. 証明書更新の事前通知はありますか? あるいは更新予定の証明書のデータを事前に配布してください。
A. 原則として事前の更新の通知や事前配布は行いません。推奨構成を満たしていれば、通知の有無に関わらず通信への影響は発生しません。
Q. 事前検証(接続テスト)は可能ですか?
A. 証明書検証専用の環境は提供しておりません。クライアント環境のトラストストアが推奨構成になっているかの設定確認を優先してください。
Q. サーバー証明書の更新にあたり、MCE管理者側で必要な作業はありますか?
A. お客様独自のSSL証明書を持ち込む運用をされているSAPドメイン等を除き、MCEの管理画面等で実施いただく作業はありません。自社システム側での設定変更の作業要否については、本記事および証明書更新対象のサービスを確認のうえ、貴社のAPIクライアントのサーバー管理者やご利用のPC・ネットワーク管理者様へご確認をお願いいたします。
Q. MCE の利用しているサーバー証明書のルート証明書の発行元はどこですか。
A. サーバー証明書は一般的なWebブラウザから確認できます。Google Chromeを利用した場合の確認手順は以下の通りです。
・アドレスバーに確認したいエンドポイントのURLを入力してアクセスする
・アドレスバーの左端にある調整アイコン (2本の横線アイコン) をクリックする
・表示されたメニューから [この接続は保護されています] を選択する
・[証明書は有効です] をクリックする
・表示された証明書ビューアでルート証明書や中間証明書の内容を確認する
よりスムーズなサポートをご提供するため、お問い合わせの前に社内で以下の2点について確認をお願いいたします。
クライアント側トラストストアが標準的な設定であるかの確認 - 証明書のピン留めを行っていないこと、および独自の基準でルート証明書を限定せずMozillaリスト等に準拠していることをAPIクライアントやPC管理者様へご確認ください。
通信経路の特定 - 影響を懸念されている通信の接続元クライアントと、接続先のMCEサーバーあるいは機能を明確にし、どの機能への懸念があるか、あるいは証明書の更新に関連する情報がどのサービスを対象としているか判断しかねている場合など、具体的な状況を記載してください。
005299113

We use three kinds of cookies on our websites: required, functional, and advertising. You can choose whether functional and advertising cookies apply. Click on the different cookie categories to find out more about each category and to change the default settings.
Privacy Statement
Required cookies are necessary for basic website functionality. Some examples include: session cookies needed to transmit the website, authentication cookies, and security cookies.
Functional cookies enhance functions, performance, and services on the website. Some examples include: cookies used to analyze site traffic, cookies used for market research, and cookies used to display advertising that is not directed to a particular individual.
Advertising cookies track activity across websites in order to understand a viewer’s interests, and direct them specific marketing. Some examples include: cookies used for remarketing, or interest-based advertising.