公開日: 2025 年 5 月 7 日
2025 年 5 月 7 日より、Chrome ウェブストアへの今後のアップロードで信頼できる秘密鍵による署名を必須にすることをオプトインできるようになります。これにより、アカウントや公開ワークフローが不正使用された場合でも、新しいリリースをアップロードできるのはあなただけになります。
秘密鍵を使用しない署名の仕組み
Chrome ウェブストアの拡張機能にはすべて Google が署名しています。ただし、この鍵は Chrome ウェブストアによって管理され、新しいパッケージがアップロードされると自動的に署名されます。つまり、デベロッパー ダッシュボードにアクセスできるユーザーは誰でも、パッケージをアップロードして署名と公開を行うことができます。
変更内容
今後のアップロードの検証に使用する RSA 公開鍵を Chrome ウェブストアに提供するようオプトインできるようになりました。この公開鍵で署名されていないアップロードは拒否されるため、セキュリティが強化されます。
アップロードがこの検証に合格すると、公開前に既存の秘密鍵で自動的に再パッケージ化されます。これにより、拡張機能の ID が同じままになり、Chrome で信頼されている鍵で署名されるようになります。
オプトインしない場合、アップロードは引き続き Google によって署名されます。
オプトイン方法
デベロッパー ダッシュボードで、アイテムの [パッケージ] タブに移動し、[有効にする] ボタンをクリックします。公開鍵の提供を求められます。
![デベロッパー ダッシュボードの [有効にする] ボタン](https://chrome-dot-google-developers.gonglchuangl.net/static/blog/verified-uploads-cws/image/opt-in-button.png?hl=ja)
サポートされている鍵の生成と保存方法については、Chrome ウェブストアのドキュメントをご覧ください。
詳細
詳しくは、最新のドキュメントをご覧ください。質問は chromium-extensions メーリング リストに投稿できます。