/
/
DoCoMo, SoftBank, auの3キャリアの携帯電話端末に搭載されているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。
SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。
DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズに搭載されているのは以下の5つ。
FOMA901i/700i/851i/881i/701i/902i(902iS除く)/850i/702i/800i/600iシリーズには加えて以下のルート証明書も搭載されている。
FOMA902iS/702iS/882i/903i/601i/703i/883i/904i/602i/704iシリーズ/D800iDSにはさらに加えて以下のルート証明書も搭載されている。
上記以外の端末にはさらに加えて以下のルート証明書も搭載されている。
softbank 提供の資料 を見れば搭載されているルート証明書はわかる。
すべてのSSL対応端末に以下の証明書が搭載されている。
C型,3GC型一部機種には以下の証明書が搭載されている。
3GC型一部機種にはさらに以下の証明書が搭載されている。
かつては au の調査がやっかいだったが、 au 提供の資料がマトモになったためやりやすくなった。
ただし以下の点に注意
EZサーバー(Link-by-Link)と3.0 はこの文書では調査対象外とする。
表にしてまとめる。空欄は未調査。 auは搭載ルート証明書一覧中の代表機種を()内部に表示。
上記のCAは表から省略してある。
| DoCoMo (900i) | DoCoMo (901i) | DoCoMo (904i) | DoCoMo (他) | SoftBank | SoftBank (C) | SoftBank (3GC一部) | au (6.0) | au (talby) | au (PENCK) | au (6.2) | au (W51SH) | au (W61PT) | au (INFOBAR2) | au (Sportio) | |
| VeriSign Class 3 Primary CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| VeriSign Class 3 Primary CA G2 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| ValiCert Class 3 Policy Validation Authority | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| RSA Security 2048 V3 | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| Entrust.net Secure Server | - | - | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| GTE CyberTrust Global Root | ○ | ○ | ○ | ○ | ○ | ○ | ○ | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| Baltimore CyberTrust Root | - | ○ | ○ | ○ | - | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ |
| Equifax Secure Certificate Authority | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | ○ | ○ | ○ | ○ | ○ |
| Equifax Secure eBusiness CA-1 | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | - | - | - | - | ○ |
| GeoTrust Global CA | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | ○ | ○ | ○ | ○ | ○ |
| GlobalSign Root CA | - | - | - | ○ | - | - | ○ | - | - | - | - | - | - | ○ | ○ |
| GlobalSign Root CA-R2 | - | - | - | ○ | - | - | - | - | - | - | - | - | ○ | ○ | |
| Security Communication RootCA1 | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| AddTrust External CA Root | - | - | - | - | - | - | - | - | - | - | - | - | ○ | ○ | ○ |
| Thawte Premium Server CA | |||||||||||||||
| Thawte Server CA |
日本ベリサインのグローバル・サーバIDが安定して使える。VeriSign Class 3 Public Primary CAから繋がれた証明書であり、 対応携帯電話端末のページで100%対応が確認できる。 グローバル・サーバID 1年間:144090円 2年間:277200円
携帯電話端末対応のことで少しでも面倒を避けたいのであればセキュア・サーバIDなどの他の証明書を買ってはいけない。セキュア・サーバIDでもVeriSign Class 3 Public Primary CAから繋がれた証明書ではあるが、鍵長2048bitの問題が絡むために100%未満の対応率となる。 未対応機種一覧
代理店によってはグローバル・サーバIDをさらに安く買える。が、金が余っているケースを想定しているのでここでは省略する。
VeriSign Class3 Public Primary CAから「つながれた」証明書のうち安いものを探す。 日本ベリサインのセキュア・サーバID未対応機種一覧の部分については非対応を覚悟の上で。
Thawte SGC SuperCertが候補。 jp.thawte.comでは1年で$449、 2年で$849。 servertasticでは1年で$333、2年で$698。 ssl.jpでは1年で55000円、2年で¥100000。
GTE CyberTrust Global Root から 「つながれた」(chained)証明書のうち安いものを探す。 au (6.0) で少々苦労することは覚悟の上で。
GTE CyberTrust Global Root を使う場合、 auのバージョン6.0についてはサポートを捨てるか、 Link-by-Linkを強制する技を使って救うかすることになる。 Link-by-Linkを強制する技については セコムトラスト提供の資料(pdf)が詳しい。
Equifax Secure Certificate Authorityから 「つながれた」証明書のうち安い物を探す。 Softbankの旧機種では厳しいが、 au, DoCoMoであれば2005年以降発売の端末で使い物になる。
かつてはQuickSSL Premiumを選ぶ必要があったが、 2009年5月29日以降はRapidSSLを選べばよい。 ルート証明書変更のお知らせ ルート変更作業遅延のお知らせ ルート変更作業状況について
同じRapidSSLであっても代理店によって価格は異なる。
予算面から見て候補となるRapidSSLの代理店は以下の通り:
サポートを重視するならば アシアルが代理店の候補になる。 12,800円/年・再発行保険付き、 追加3000円で有償サポート3ヶ月(最高3回まで)がつく。 テストページからSubjectのOUを確認すればRapidSSLであることは推測可能(RapidSSLと明記はしていない)。
2009年5月29日以降は無印QuickSSL(Premium無し)でもOKだが、 値段に見合う利点は見当たらない。 QuickSSLやQuickSSL Premiumの詳細は Compare SSL Certificates - Geotrustを参照のこと。
最低限必要なRoot CAを表から求め、最安のものを買えばよい。 ただし、2009年5月29日以降はRapidSSLで十分である。 他のRoot CAからつながれた証明書では予算的にも対応機種的にもうまみがほとんど無い。
少々の手間をかけてさらに安く買う方法については後述。
まずは安い代理店を探すこと。個人的にはservertastic.comをよく使用している。
SSLに限らず新しく業者を使うときはcoupon codeを探すことを忘れてはいけない。基本はcouponやcoupon codeでググること。 時間に余裕があるならキャンペーンの告知を見逃さない体制も作る。
QuickSSL Premium, RapidSSLは更新や競合置換を使うことにより期間を延ばすことができる。「更新」と「競合置換」とは排他的であり、どちらか一方だけ選択できる。
QuickSSL PremiumはSSL123からの競合置換で1年間延長。 RapidSSLはFreeSSLからの更新で2ヶ月延長。RapidSSLの競合置換元として金銭的に有利なものはまだ見つけていない。
SSL123からQuickSSL Premiumへの競合置換はいつ使えなくなってもおかしくない。 どちらもgeotrust.comに申込みフォームが置いてある。 この状態で競合置換が有効というのは移行時期のバグと判断できる。 しっかり事前調査をするか諦めるかすること。 2008年6月現在、(逆方向の)QuickSSL PremiumからSSL123への競合置換はできない。 RapidSSLからSSL123への競合置換もできない。
追記: QuickSSL Premiumへの競合置換はGoDaddyが安定して使える。 クーポン利用で半額($14.99/year)。 ただし自動更新があるため購入後に確認して自動更新を切る、もしくは決済クレジットカードの登録を解除しておくことをオススメする。