[Introduction]

Action might be required to avoid service disruption. To maintain secure and uninterrupted mail flow with Exchange Online, organizations must ensure their servers and clients trust the DigiCert Global Root G2 Certificate Authority (CA) and its subordinate CAs. 

Organizations that rely on custom certificate trust stores, disabled Windows CTL updates, or older runtime environments might be impacted and may need to update their trusted certificate chains.

[When this will happen:]

Organizations must complete required certificate trust updates before April 30, 2026.

[How this affects your organization:]

Who is affected:

This change applies to all organizations (Worldwide, GCC, GCC‑High, DoD) that:

• Send or receive email with Exchange Online and
• Either:

• Your organization has disabled the Windows CTL Updater feature that by default downloads the Certificate Trust List (CTL).
  
  • The CTL contains trusted and untrusted root certificates. Learn more: Certificates and trust in Windows.
  • This scenario may apply if your organization maintains its own set of trusted Root and Intermediate Certificates via Group Policy or via a redirected Microsoft Automatic Update URL. Learn more: Configure trusted roots and disallowed certificates in Windows.
  • You can determine whether the Windows CTL Updater feature is disabled by reviewing the Who needs to take action section of this Microsoft guidance: Trust DigiCert Global Root G2 Certificate Authority to Avoid Exchange Online Email Disruption.
• You use older or custom application environments such as:

• Legacy Java/JDK/JRE runtimes
• Embedded systems and appliances
• Custom or outdated Linux images
• Air‑gapped systems
• Third‑party email gateways or security appliances that perform certificate chain validation

This change applies to any system performing full certificate chain validation against Exchange Online, including Exchange Server, security appliances, and third-party email gateways. If you use third-party email appliances, please contact the vendor directly for support.

Windows systems with the CTL Updater enabled (default) do not require action.

What will happen:

If the DigiCert Global Root G2 certificate or required intermediates are missing or cannot be retrieved during TLS negotiation:

• Outbound email clients may:

• Refuse to send email when strict certificate validation is enforced
• Fall back to unencrypted SMTP if allowed

• Inbound SMTP connections from Exchange Online may fail or be delayed
• Email flow reliability may be reduced
• Systems not using up‑to‑date certificate chains may be unable to validate TLS certificates presented by Exchange Online

If your organization already maintains the current Office 365 certificate chains, no impact is expected.

[What you can do to prepare:]

Required actions:

If your environment has disabled Windows CTL updates or relies on older/custom runtimes, complete the actions outlined in the What you must do section of: Trust DigiCert Global Root G2 Certificate Authority to Avoid Exchange Online Email Disruption

Specific actions include:

• Review whether Windows CTL Updater is disabled in your organization.
• Confirm whether SMTP servers, security appliances, and gateways fully trust the DigiCert Global Root G2 CA and subordinate CAs.
• Ensure outdated or custom runtimes (Java, Linux, embedded systems, etc.) include the required certificates.
• Contact your third‑party email appliance vendor if they manage certificate chains.
• Update internal documentation and inform helpdesk teams as required.

No action required if:

• You are using Windows systems with CTL Updater enabled (default behavior), and
• Your organization already trusts the latest Office 365 certificate chains.

[Compliance considerations:]

No compliance considerations identified, review as appropriate for your organization.

[はじめに]

サービスの中断を避けるためには、何か対策が必要かもしれません。Exchange Onlineの安全で途切れないメールフローを維持するためには、組織はサーバーやクライアント がDigiCert Global Root G2証明書局(CA) およびその下位CAを信頼していることを確実にしなければなりません。 

カスタム証明書トラストストアに依存する組織、無効化されたWindows CTLアップデート、または古いランタイム環境は影響を受け、信頼できる証明書チェーンの更新が必要になるかもしれません。

[いつ起こるか:]

組織は 2026年4月30日までに必要な証明書トラストの更新を完了しなければなりません。

[これがあなたの組織にどのような影響を与えるか:]

影響を受ける人物:

この変更は、以下のすべての組織(世界、GCC、GCCハイ、国防総省)に適用されます。

• Exchange Onlineでメールの送受信 が可能です。
• いずれも：

• あなたの組織は、デフォルトで証明書トラストリスト(CTL)をダウンロードするWindows CTL Updater機能を無効にしています。
  • CTLには信頼されたルート証明書と信頼されていないルート証明書が含まれます。詳しくはこちら: Windowsにおける証明書と信頼。
  • このシナリオは、組織がグループポリシーやリダイレクトされたMicrosoft自動更新URLを通じて信頼されたルートおよび中間証明書のセットを独自に管理している場合に適用される可能性があります。詳しくはこちら: Windowsで信頼されたルート設定と許可されていない証明書の設定。
  • Windows CTL Updater機能が無効化されているかどうかは、このMicrosoftガイダンスの「 Trust to Action to Action for Prevent Exchange Online Email Disruption(Digital Online Email Disruptionを回避するためにDigiCertグローバルルートG2証明書機関を信頼する)」セクションを確認することで確認できます。
• 古いまたはカスタムアプリケーション環境を使います。例えば:

• レガシーJava/JDK/JREランタイム
• 組み込みシステムとアプライアンス
• カスタムまたは古いLinuxイメージ
• エアギャップシステム
• 証明書チェーン検証を行う第三者のメールゲートウェイやセキュリティアプライアンス

この変更は、Exchange Onlineに対して完全な証明書チェーン検証を行うすべてのシステム、例えばExchange Server、セキュリティアプライアンス、サードパーティのメールゲートウェイに適用されます。 サードパーティのメールアプライアンスを利用している場合は、サポートのためにベンダーに直接お問い合わせください。

CTLアップサーがデフォルトで有効になっているWindowsシステムは、アクションを必要としません。

今後の展開:

DigiCertグローバルルートG2証明書や必要な中間体が不足しているか、TLS交渉時に取得できない場合:

• アウトバウンドメールクライアントは以下のような機能を持つことがあります:

• 厳格な証明書検証が強制されている場合はメール送信を拒否してください
• 許可されている場合は暗号化されていないSMTPへのフォールバックも可能です

• Exchange Onlineからの着信SMTP接続は失敗または遅延する可能性があります
• メールフローの信頼性が低下する可能性があります
• 最新の証明書チェーンを使用していないシステムは、Exchange Onlineが提供するTLS証明書を検証できない場合があります

もし組織が すでに現在のOffice 365証明書チェーンを維持しているなら、影響は期待されません。

[準備のためにできること:]

必要な行動:

もし環境でWindows CTLのアップデートが無効化されているか、古い/カスタムランタイムに依存している場合は、「Trust You do do of the do of Exchange Online Email Disruption(Exchange Online Emailの妨害を避けるためにDigiCert Global Root G2証明書局を信頼する)」セクションに記載された手順を実行してください

具体的な行動には以下が含まれます:

• 組織内でWindows CTL Updaterが無効になっているかどうかを確認してください。
• SMTPサーバー、セキュリティアプライアンス、ゲートウェイがDigiCertグローバルRoot G2 CAおよびその下位CAを完全に信頼しているかどうかを確認しましょう。
• 古いまたはカスタムのランタイム(Java、Linux、組み込みシステムなど)には必要な証明書が含まれていることを確認してください。
• 証明書チェーンを管理している第三者のメールアプライアンスベンダーに連絡してください。
• 内部ドキュメントを更新し、必要に応じてヘルプデスクチームに通知してください。

以下の場合、何らかの対応は不要です:

• あなたはCTL Updaterを有効にしたWindowsシステムを使っています(デフォルトの動作)、
• あなたの組織はすでに最新のOffice 365証明書チェーンを信頼しています。

[コンプライアンス上の考慮事項:]

コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。