TLS インスペクション(SSL インスペクションとも呼ばれる)が有効になっているドメイン上で ChromeOS デバイスと Chrome Enterprise Core デバイスを動作させるには、一部のホスト名をインスペクションから除外する必要があります。これは証明書がユーザーレベルでのみインポートでき、かつユーザーレベル トラフィックのみに限られるからです。一部のデバイスレベルのトラフィックでは、特定のセキュリティ リスクからユーザーを保護するために、TLS 証明書(SSL 証明書)を使用していません。
ホスト名の許可リストの更新
- 2024 年 12 月 19 日: http://www.play.googleapis.com/generate_204 を http://play.googleapis.com/generate_204 に変更しました
以前の更新情報を表示するには、リストを展開してください。
これまでの更新情報
- 2024 年 10 月 29 日: すべてのデバイスの許可リストに、追加のホスト名「aratea-pa.googleapis.com」を追加しました
- 2024 年 8 月 20 日: ChromeOS ログインの許可リストにホスト名「www.gstatic.com」と「ssl.gstatic.com」を追加しました
- 2024 年 5 月 10 日: ホスト名の許可リスト(全デバイス向け)にホスト名「edgedl.me.gvt1.com」を追加しました。また、以下のホスト名のさらなる詳細を提供しました。
accounts.google.com
accounts.google.[国別ドメイン名]
chromeos-ca.gstatic.com
clients3.google.com
connectivitycheck.gstatic.com
dl.google.com
m.google.com
tools.google.comaccounts.google.com
- 2024 年 3 月 12 日: ホスト名の許可リスト(全デバイス向け)にホスト名「alkalichromeosflexhwis2-pa.googleapis.com」を追加しました。
- 2023 年 8 月 17 日: ホスト名の許可リスト(全デバイス向け)にホスト名「youtubeeducation.com」を追加しました。
- 2023 年 1 月 16 日: ホスト名の許可リスト(フィードバック アプリの検索機能向け)にホスト名を追加しました。
- 2022 年 7 月 20 日: ホスト名の許可リスト(セーフ ブラウジング エンドポイント向け)にホスト名を追加しました。
- 2022 年 2 月 1 日: ホスト名の許可リスト(全デバイス向け)にホスト名を追加しました。
- 2021 年 7 月 26 日: ホスト名の許可リスト(Chrome 拡張機能とアプリ(Chrome ウェブストア)を使用するデバイス向け)にホスト名を追加しました。
- 2021 年 4 月 21 日: ホスト名の許可リスト(全デバイス向け)にホスト名を追加しました。
- 2021 年 2 月 20 日: ホスト名の許可リスト(全デバイス向け)にホスト名を追加しました。
- 2020 年 8 月 11 日: ホスト名の許可リスト(全デバイス向け)にホスト名を追加しました。
- 2020 年 3 月 3 日: ホスト名の許可リスト(Google Play 向け)にホスト名を追加しました。
- 2019 年 12 月 16 日: cloudsearch.googleapis.com を追加し、Chrome アドレスバーで検索したときに Google ドライブの結果が表示されるようにしました。
- 2019 年 6 月 25 日: *gvt1.com を*.gvt1.com に変更し、*.1e100.net を追加しました。
- 2018 年 9 月 25 日: chromeos-ca.gstatic.com を追加しました。
- 2018 年 7 月 20 日: *gvt1.com を追加しました。
- 2018 年 3 月 15 日: policies.google.com を追加しました。
- 2017 年 12 月 22 日: alt*.gstatic.com を追加しました。
- 2017 年 7 月 13 日: accounts.google.[国別ドメイン] を追加しました。
- 2017 年 3 月 1 日: ホスト名の許可リスト(Android アプリを使用するデバイス向け)にホスト名を追加しました。
- 2017 年 1 月 19 日: cache.pack.google.com を削除しました。
- 2016 年 9 月 28 日: mtalk.google.com を追加しました。
- 2015 年 12 月 2 日: シングルアプリ キオスク デバイスの許可リストにホスト名を追加しました。
- 2015 年 8 月 5 日: accounts.gstatic.com を追加しました。
すべての ChromeOS デバイスと Chrome Enterprise Core デバイス向けのホスト名の許可リスト
デバイスを TLS インスペクション、または外部トラフィックを制限するネットワークで適切に動作させるには、プロキシ サーバー上で次のホスト名を許可する必要があります。ホスト名を許可する方法について詳しくは、ネットワーク管理者にお問い合わせください。
|
Google エンドポイント
|
説明
|
|---|---|
| tools.google.com | 更新の構成(ペイロード URL のリストを含む)を返す Omaha URL。 |
| edgedl.me.gvt1.com |
更新のペイロードをダウンロードする URL。 |
| dl.google.com |
|
Google エンドポイント
|
説明
|
|---|---|
| m.google.com | 登録とエンタープライズ ポリシーの取得に使用されるデバイス管理サーバー。 |
| clients3.google.com | システム クロックを同期するために使用されます。これは、デバイス管理サーバーのバックエンドが使用する、現在時刻に基づくキーを生成するために必要です。 |
| www.googleapis.com | サーバー管理の OAuth スコープ。フルパスは www.googleapis.com/auth/chromeosdevicemanagement ですが、パスでのフィルタリングはサポートされていません。 |
|
Google エンドポイント
|
説明
|
|---|---|
| accounts.google.com accounts.google.[国別ドメイン名] |
Google ログインページ。
accounts.google.[国別ドメイン名] の [国別ドメイン] の部分については、拠点とする国や地域のトップレベル ドメインを使用します。たとえば、オーストラリアでは accounts.google.com.au、英国では accounts.google.co.uk を使用します。 |
| www.google.com | ログインの OAuth2 スコープ。フルパスは www.google.com/accounts/OAuthLogin ですが、パスでのフィルタリングはサポートされていません。 |
| www.googleapis.com | Google API のアクセス用の OAuth2 スコープ。 |
|
www.gstatic.com |
JavaScript アセットや CSS アセットなどのログインページのコンテンツをダウンロードするために必要です。 |
|
Google エンドポイント
|
説明
|
|---|---|
| chromeos-ca.gstatic.com | Google Attestation 認証局(ACA)サーバー。デバイスの ID を確認し、登録証明書を取得するために使用されます。 |
| clients3.google.com | システム クロックを同期するために使用されます。証明書を確認し、登録ステータスを判断するために必要です。 |
| m.google.com | 登録とエンタープライズ ポリシーの取得に使用されるデバイス管理サーバー。 |
| www.gstatic.com | 登録ステータスを確認するために使用されます。 |
ChromeOS のキャプティブ ポータル検出機能は、HTTP プローブと HTTPS プローブの 2 つのプローブを使用します。メインの URL は、この表の左側の列にあります。これらの URL がブロックされると、ポータル検出機能はこの表の右側の列にある代替 URL にフォールバックします。メインまたは代替のどちらであっても、1 つの HTTP と 1 つの HTTPS URL がファイアウォールをバイパスすることを許可すれば十分です。唯一の違いは、代替 URL へのフォールバックが遅くなることです。
|
Google エンドポイント
|
説明
|
|---|---|
| http://connectivitycheck.gstatic.com | ChromeOS のデフォルト HTTP プローブ URL。 Alternatives:
|
| https://www.google.com | ChromeOS のデフォルト HTTPS プローブ URL。 Alternatives:
|
| http://www.gstatic.com | Chrome ブラウザのキャプティブ ポータル チェック。HTTP プロトコルであることに注意してください。 |
*.1e100.net1
accounts.gstatic.com
accounts.youtube.com
alkalichromeosflexhwis2-pa.googleapis.com2
alt*.gstatic.com3
aratea-pa.googleapis.com
chromeosquirksserver-pa.googleapis.com
clients1.google.com
clients2.google.com
clients4.google.com
clients2.googleusercontent.com
cloudsearch.googleapis.com
commondatastorage.googleapis.com
cros-omahaproxy.appspot.com
dl-ssl.google.com
enterprise-safebrowsing.googleapis.com
firebaseperusertopics-pa.googleapis.com
*.googleusercontent.com
*.gvt1.com
gweb-gettingstartedguide.appspot.com
mtalk.google.com
omahaproxy.appspot.com
pack.google.com
policies.google.com
printerconfigurations.googleusercontent.com
safebrowsing-cache.google.com
safebrowsing.google.com
safebrowsing.googleapis.com
sb-ssl.google.com
scone-pa.clients6.google.com
ssl.gstatic.com
storage.googleapis.com
www.googleapis.com
1 詳しくは、1e100.net とはをご覧ください。
2 ChromeOS Flex デバイスの場合のみ。
3 ChromeOS バージョン 62 を使用していて、「ネットワークを利用できません」という内容のエラーが表示される場合は、ファイアウォール経由(ポート 80)でホスト alt*.gstatic.com を許可する必要がある場合があります。問題が解決しない場合は、許可するホストの一覧をご覧ください。
許可リストに追加するその他のホスト
以下を使用している場合に TLS インスペクションを正しく動作させるには、追加のホスト名を許可リストに登録する必要があります。
- デバイス(シングルアプリ キオスク デバイスを含む)上の、Chrome ウェブストアの Chrome 拡張機能またはアプリ
- デバイス上の Google Play ストアの Android アプリ
Chrome 拡張機能またはアプリ(Chrome ウェブストア)を使用している ChromeOS デバイスと Chrome Enterprise Core デバイス向けのホスト名の許可リスト
デバイス(シングルアプリ キオスク デバイスを含む)で Chrome 拡張機能またはアプリ(Chrome ウェブストア)を使用する場合は、前述のホスト名に加えて、次のホスト名を許可リストに登録します。
chrome.google.com
clients2.googleusercontent.com
lh3.ggpht.com
lh4.ggpht.com
lh5.ggpht.com
lh6.ggpht.com
update.googleapis.com
update.googleapis.com/service/update2/json
Android アプリ(Google Play ストア)を使用している ChromeOS デバイスと Chrome Enterprise Core デバイス向けのホスト名の許可リスト
デバイスで Android アプリ(Google Play ストア)を使用する場合は、前述のすべての ChromeOS デバイスと Chrome Enterprise Core デバイス向けのホスト名の許可リストに記載されているホスト名に加えて、以下のホスト名を許可リストに登録してください。
connectivitycheck.android.com
play.google.com
android.com
google-analytics.com
googleusercontent.com
*gstatic.com
*.ggpht.com
android.clients.google.com
*.gvt2.com
*.gvt3.com
*.googleapis.com
gcm-http.googleapis.com
gcm-xmpp.googleapis.com
android.googleapis.com
fcm.googleapis.com
fcm-xmpp.googleapis.com
pki.google.com
clients5.google.com
clients6.google.com
connectivitycheck.gstatic.com
www.google.com
Chrome Education Upgrade が適用された ChromeOS デバイスと Chrome Enterprise Core デバイス向けのホスト名の許可リスト
Google Classroom で YouTube Player for Education を使用する場合は、前述のすべての ChromeOS デバイスと Chrome Enterprise Core デバイス向けのホスト名の許可リストに記載されたホスト名に加えて、以下のホスト名を許可リストに登録してください。詳しくは、The next chapter for Learning on YouTube(さらに進化する YouTube での学び)をご覧ください。
youtubeeducation.com