Merge pull request #1100 from jpazureid/juntakata-digicert-update

Clarify root certificate update process and DigiCert usage

Author: juntakata

articles/azure-active-directory/mc1193408-action-required-trust-digicert-global-root-g2-certificate-authority.md

@@ -65,12 +65,10 @@ A. お客様の環境で特殊な制御を実施していない場合は、今
 
 [ルート証明書更新プログラムの仕組みについて | Microsoft Japan Windows Technology Support Blog](https://jpwinsup.github.io/blog/2021/12/14/PublicKeyInfrastructure/CertificateManagement/about-windows-root-certificate-program/)
 
-> Windows OS では、端末にルート証明書を自動できる仕組みとして「ルート証明書更新プログラム」という機能があります。
-> この機能は既定で有効になっており、必要に応じてルート証明書をダウンロードして [信頼されたルート証明機関] のストアに自動でインストールしております。
+> Windows OS では、端末にルート証明書を自動できる仕組みとして「ルート証明書更新プログラム」という機能があります。この機能は既定で有効になっており、必要に応じてルート証明書をダウンロードして [信頼されたルート証明機関] のストアに自動でインストールしております。
 
 > [!NOTE]
-> 2021 年 8 月以降のルート証明書更新プログラムには DigiCert Global Root G2 ルート証明書が含まれております。
-> そのため、2021 年 8 月以降に一度でもルート証明書更新プログラムが動作していましたら、既に信頼する証明機関として DigiCert Global Root G2 が含まれていることが想定されます。
+> 2021 年 8 月以降のルート証明書更新プログラムには DigiCert Global Root G2 ルート証明書が含まれております。そのため、2021 年 8 月以降に一度でもルート証明書更新プログラムが動作していましたら、既に信頼する証明機関として DigiCert Global Root G2 が含まれていることが想定されます。
 
 ### Q. どのように対応すればよいですか？
 
@@ -94,3 +92,11 @@ DigiCert Global Root G2
 <https://global-root-g2.chain-demos.digicert.com/>
 
 そのため、現時点で上記の Web サイトを証明書のエラーが発生することなく閲覧できる環境であれば、影響を受ける可能性は極めて低いと判断いただけます。
+
+### Q. login.microsoftonline.com にアクセスすると DigiCert Global Root G1 にチェーンする証明書が返されることもありますがどういうことですか？
+ 
+A. login.microsoftonline.com では、DigiCert のルート証明書の G1 と G2 が両方使用されており、実際のアクセスを受け取るインスタンスに応じて、G1 と G2 のどちらかが応答される状況となっています。このため、タイミングによって G1 が返される場合や、G2 が返される場合があります。 MC が更新され、login.microsoftonline.com ドメインは DigiCert G2 ルートに既に移行されていると追記されたのは、この動作を反映したものです。現在 login.microsoftonline.com ドメインに正常にアクセスできているクライアントはすでに DigiCert G2 ルートを利用できていると想定されるため、今回影響を受けることはないと判断いただけます。
+
+### Q. 2026 年 1 月 7 日以降になると即座に移行されるのでしょうか？
+ 
+A. いいえ、2026 年 1 月 7 日以降に徐々に移行を実施する予定です。影響を受けるドメインはグローバルなエンドポイントであるため、特定のお客様やテナントに対して具体的にいつ移行が行われるかを予測したり弊社から案内したりすることはできません。