APNsルート証明書更新(2025年)への対応ガイド
サンドボックス環境:2025年1月20日
本番環境:2025年2月24日
Apple Push Notification service(APNs)のルート証明書が更新されます。USERTrust RSA Certification Authority証明書への移行が必要となるケースと不要なケースを環境別に解説します。
クライアントアプリ側の対応
TIP
iOSアプリ側の修正は原則不要(トークンベース認証時)
証明書ベース認証でなくトークンベース認証を使用している場合、アプリのアップデートやTrust Storeの更新は不要です。
サーバー側の対応(2つのケース)
ケース1: マネージドサービス利用時(対応不要)
INFO
- AWS SNS などのクラウドサービス使用時
bash
# AWS SNS利用時は自動更新されるため操作不要
$ aws sns publish --topic-arn arn:aws:sns:...サービスの信頼ストア管理をクラウドプロバイダーが自動的に行います。
ケース2: 自社サーバー運用時(要対応)
Linuxサーバー(手動更新が必要)
サーバーのOS証明書ストアに新しいルート証明書を追加する必要があります:
bash
# 証明書配置
sudo cp USERTrust_RSA.crt /etc/pki/ca-trust/source/anchors/
# ストア更新
sudo update-ca-trustbash
# 証明書配置
sudo cp USERTrust_RSA.crt /usr/local/share/ca-certificates/
# ストア更新
sudo update-ca-certificates確認方法
証明書パスのチェック(curlデバッグ)
bash
curl -v https://api.push.apple.com出力内のCAfileまたはCApathで現在の証明書パスを確認:
bash
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certsWARNING
対応期限を厳守する必要あり
- サンドボックス:2025年1月20日以降
- 本番環境:2025年2月24日以降
期限を過ぎると証明書エラーでプッシュ通知が失敗します
対応不要なケースの明確化
| 環境タイプ | 操作 |
|---|---|
| AWS SNS/GCP PubSub/Firebase等 | 完全不要(プロバイダー側で対処) |
| iOSアプリ(トークン認証時) | 不要 |
| HTTPクライアントがシステム証明書を自動参照 | 不要(OS更新で対応済みの場合) |
システム管理者向け追加情報
- ルート証明書の入手先:
Sectigo公式サイト - OS別対応ドキュメント:
ℹ️ Appleエンジニアからの指摘 (参照)
「信頼ストアの更新方法はOSやミドルウェアにより異なるため、サーバー管理者が環境に応じて確認すべき」
対応スケジュール推奨
- 2024年11月中:サーバー環境の証明書管理方式の確認
- 2024年12月:テスト環境での動作検証(サンドボックス)
- 2025年1月10日まで:本番環境の更新準備完了
- 2025年1月20日:サンドボックス環境切り替え後の監視
- 2025年2月24日:本番環境切り替え後の緊急対応体制構築