DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。
SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。
DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。
FOMA901i/700i/851i/881i/701i/902i(902iS除く)/850i/702i/800i/600iシリーズには加えて以下のルート証明書もインストールされている。
FOMA902iS/702iS/882i/903i/601i/703i/883i/904i/602i/704iシリーズ/D800iDSにはさらに加えて以下のルート証明書もインストールされている。
上記以外の端末にはさらに加えて以下のルート証明書もインストールされている。
softbank 提供の資料 を見れば搭載されているルート証明書はわかる。
すべてのSSL対応端末に以下の証明書がインストールされている。
C型,3GC型一部機種には以下の証明書がインストールされている。
3GC型一部機種にはさらに以下の証明書がインストールされている。
かつては au の調査がやっかいだったが、 au 提供の資料がマトモになったためやりやすくなった。
ただし以下の点に注意
EZサーバー(Link-by-Link)と3.0 はこの文書では調査対象外とする。
表にしてまとめる。空欄は未調査。 auは搭載ルート証明書一覧中の代表機種を()内部に表示。
上記のCAは表から省略してある。
| DoCoMo (900i) | DoCoMo (901i) | DoCoMo (904i) | DoCoMo (他) | SoftBank | SoftBank (C) | SoftBank (3GC一部) | au (6.0) | au (talby) | au (PENCK) | au (6.2) | au (W51SH) | au (W61PT) | au (INFOBAR2) | au (Sportio) | |
| VeriSign Class 3 Primary CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| VeriSign Class 3 Primary CA G2 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| VeriSign/RSA Secure Server CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| ValiCert Class 3 Policy Validation Authority | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| RSA Security 2048 V3 | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| Entrust.net Secure Server | - | - | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| GTE CyberTrust Global Root | ○ | ○ | ○ | ○ | ○ | ○ | ○ | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| Baltimore CyberTrust Root | - | ○ | ○ | ○ | - | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ |
| Equifax Secure Certificate Authority | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | ○ | ○ | ○ | ○ | ○ |
| Equifax Secure eBusiness CA-1 | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | - | - | - | - | ○ |
| GeoTrust Global CA | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | ○ | ○ | ○ | ○ | ○ |
| GlobalSign Root CA | - | - | - | ○ | - | - | ○ | - | - | - | - | - | - | ○ | ○ |
| GlobalSign Root CA-R2 | - | - | - | ○ | - | - | - | - | - | - | - | - | ○ | ○ | |
| Security Communication RootCA1 | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| AddTrust External CA Root | - | - | - | - | - | - | - | - | - | - | - | - | ○ | ○ | ○ |
VeriSignの携帯電話向け製品が安定して使える。 1年間:85050円〜
Thawte SGC SuperCertを使う。 VeriSign Class3 Public Primary CAから「つながれた」証明書を少しは安く買える。 1年で$449、 2年で$849
GTE CyberTrust Global Root から 「つながれた」(chained)証明書のうち安いものを探す。 au (6.0) で少々苦労することは覚悟の上で。
GTE CyberTrust Global Root を使う場合、 auのバージョン6.0についてはサポートを捨てるか、 Link-by-Linkを強制するトリックを使って救うかすることになる。 このトリックについては セコムトラスト提供の資料(pdf)が詳しい。
Equifax Secure Certificate Authorityから 「つながれた」証明書のうち安い物を探す。 現実的にはQuickSSL Premiumのリセラーから安いところを探すことになる。 Softbankの旧機種では厳しいが、 au, DoCoMoであれば2005年以降発売の端末で使い物になる。
無印QuickSSL(Premium無し)を買ってはいけない。Equifax Secure Global eBusiness CA-1になるため。くれぐれもPermiumのついている方を買うこと。
servertastic.com($79/年) や トラスティワークス(20800円/年)がリセラーの候補になる。
最低限必要なRoot CAを表から求め、最安のものを買えばよい。
他のRoot CAからつながれた証明書では予算的にうまみが無いと判断したため、ここでは省略する。
まずは安い代理店を探すこと。個人的にはservertastic.comをよく使用している。
SSLに限らず新しく業者を使うときはcoupon codeを探すことを忘れてはいけない。基本はcouponやcoupon codeでググること。 時間に余裕があるならキャンペーンの告知を見逃さない体制も作る。
QuickSSL Premium, RapidSSLは更新や競合置換を使うことにより期間を延ばすことができる。「更新」と「競合置換」とは排他的であり、どちらか一方だけ選択できる。
QuickSSL PremiumはSSL123からの競合置換で1年間延長。 RapidSSLはFreeSSLからの更新で2ヶ月延長。RapidSSLの競合置換元として金銭的に有利なものはまだ見つけていない。
SSL123からQuickSSL Premiumへの競合置換はいつ使えなくなってもおかしくない。 どちらもgeotrust.comに申込みフォームが置いてある。 この状態で競合置換が有効というのは移行時期のバグと判断できる。 しっかり事前調査をするか諦めるかすること。 2008年6月現在、(逆方向の)QuickSSL PremiumからSSL123への競合置換はできない。 RapidSSLからSSL123への競合置換もできない。
追記: QuickSSL Premiumへの競合置換はgodaddyが安定して使える。 クーポン利用で半額($14.99/year)。