IBM Db2 Warehouse on Cloud では、2026年4月15日の DigiCert G1 ルートCA失効に向け、2026年2月末の更新サイクルで SSL 証明書を DigiCert G5 に切り替え予定です。これに伴い、JDBC / ODBC アプリケーションや SSL 接続設定に影響が出る可能性があります。

1. 何が起きるのか

• 2026年4月15日：DigiCert G1 Root CA が信頼されなくなる
• 2026年2月末：Db2 Warehouse がバックエンド証明書を G5 へ更新
• Db2 サービス側は非停止で更新されるが、クライアント側の SSL 設定が未対応だと接続失敗の可能性あり

2. 影響を受ける可能性のあるケース

• Java の cacerts（デフォルト） をそのまま利用している場合
• IBM GSKit の デフォルト in-memory keystore を利用している場合
• カスタム truststore を使用していない JDBC / ODBC / CLI 接続

3. 推奨される対策

A. すでにカスタム truststore を使用している場合

• truststore に DigiCert G5 Root Certificate を追加
• G1 と G5 の両方を含めた状態で動作確認

B. カスタム truststore を使っていない場合

• 新規にカスタム truststore を作成し、
  • G1 と G5 両方の root certificate を格納
• JDBC / ODBC / CLI の接続設定で truststore の場所とパスワード を明示的に指定

C. システム全体の truststore（非推奨）に依存している場合

• 必要に応じて G5 root certificate を追加
• 可能であれば カスタム truststore への移行を推奨

4. 確認ポイント

• JDBC / ODBC / CLI 設定に 独自 truststore の定義があるか
• truststore に G1 と G5 の両 root certificate が入っているか
• 不足している場合は追加し、動作確認
  • G1 のみ → 既存接続が成功すること
  • G1 を削除 → 接続が失敗すること（負のテスト）
  • G1/G5 を両方 → どちらの証明書でも接続可能

以上、DigiCert G5 への移行が迫るため、SSL 証明書の設定を早めに確認することが重要です。

詳しい情報は下記のリンクを参照し、適切な対応を実施してください。

Preparing for DigiCert G5 Certificate Migration