DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。
SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。
DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。
FOMA901i/700i/851i/881i/701i/902i(902iS除く)/850i/702i/800i/600iシリーズには以下のルート証明書もインストールされている。
上記以外の端末にはそれに加えて以下のルート証明書もインストールされている。
softbank 提供の資料 を見れば搭載されているルート証明書はわかる。
すべてのSSL対応端末に以下の証明書がインストールされている。
C型,3GC型一部機種には以下の証明書がインストールされている。
3GC型一部機種にはさらに以下の証明書がインストールされている。
au が一番やっかい。理由は以下の通り。
au 提供の資料が使い物にならないので、 6.0 と 6.2 に関して実際の端末を調べてみた (仕事場の人に借りました)。 EZサーバーに関しては未調査である。 3.0 はこの文書では調査対象外とする。
6.2 の端末にインストールされていたルート証明書:
6.0 の端末にインストールされていたルート証明書:
表にしてまとめる。GTE CyberTrust Root (期限切れ) と KDDI SECURE NETWORK ROOT CA は省略してある。 au の 2006-08-28 発表機種については未調査である。
| DoCoMo(A) | DoCoMo(B) | DoCoMo(C) | SoftBank | SoftBank (904SH以降) | au(6.0) | au(6.2) | au(2006-08-28) | |
| VeriSign Class 3 Primary CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |
| VeriSign Class 3 Primary CA G2 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |
| VeriSign/RSA Secure Server CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |
| ValiCert Class 3 Policy Validation Authority | - | - | ○ | - | ○ | - | - | |
| RSA Security 2048 V3 | - | - | ○ | - | ○ | - | - | |
| Security Communication RootCA1 | - | - | ○ | - | ○ | - | - | |
| GlobalSign Root CA | - | - | - | - | ○ | - | - | |
| Equifax Secure Certificate Authority | - | ○ | ○ | - | ○ | - | ○ | |
| Equifax Secure eBusiness CA-1 | - | ○ | ○ | - | ○ | - | - | |
| GeoTrust Global CA | - | ○ | ○ | - | ○ | - | ○ | |
| GTE CyberTrust Global Root | ○ | ○ | ○ | ○ | ○ | - | ○ | |
| Baltimore CyberTrust Root | - | ○ | ○ | - | ○ | - | ○ | |
| Entrust.net Secure Server | - | - | - | ○ | ○ | ○ | ○ |
VeriSign が安定して使える。 1年間:85050円〜 ただし、VeriSign Class3 Primary CA への変更後には注意が必要。 手元に確認用の端末がある場合は 新仕様のテストサイト へのアクセスで確認できる。 参考: セキュア・サーバIDの仕様変更に関するお知らせ・ SSLガイド.jp - ベリサイン、ルート認証局を変更
Thawte SGC SuperCertを使う。 VeriSignのRoot CAから「つながれた」証明書を少しは安く買える。
GTE CyberTrust Global Root から 「つながれた」(chained)証明書のうち安いものを探す。 au (6.0) で少々苦労することは覚悟の上で。
GTE CyberTrust Global Root を使う場合、 auのバージョン6.0についてはサポートを捨てるか、 Link-by-Linkを強制するトリックを使って救うかすることになる。 このトリックについては セコムトラスト提供の資料(pdf)が詳しい。
Equifax Secure Certificate Authorityから 「つながれた」証明書のうち安い物を探す。 現実的にはQuickSSL Premiumのリセラーから安いところを探すことになる。 Softbankの旧機種では厳しいが、 au, DoCoMoであれば2005年以降発売の端末で使い物になる。
無印QuickSSL(Premium無し)を買ってはいけない。(Equifax Secure Global eBusiness CA-1になるため)
servertastic.comやトラスティワークスがリセラーの候補になる。
最低限必要なRoot CAを表から求め、最安のものを買えばよい。
DoCoMoのサポートを切ってよい場合には Toriton(Entrust.net Secure Server)が候補になる。
au全てとSoftbank, DoCoMo旧機種のサポートを切ってよい場合にはRapidSSL(Equifax Secure eBusiness CA-1)が候補になる。
他のRoot CAからつながれた証明書では予算的にうまみが無いと判断したため、ここでは省略する。