DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。
SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。
DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。
FOMA901i/700i/851i/881i/701i/902i(902iS除く)/850i/702i/800i/600iシリーズには以下のルート証明書もインストールされている。
上記以外の端末にはそれに加えて以下のルート証明書もインストールされている。
softbank 提供の資料 を見ればSSL対応端末に最低限搭載されているルート証明書はわかる。 もし GeoTrust 系列(Equifax) や RSA Security 2048 V3 の話が SoftBank の資料に登場しているようならこの文書は時代遅れである。 筆者にこの文書の更新を促すか、古い文書と割りきって読むこと。
すべてのSSL対応端末に以下の証明書がインストールされている。
904SH 以降の世代にはさらに追加でルート証明書が搭載されているが、 未調査。RSAルート証明書がボーダフォン携帯電話に搭載
au が一番やっかい。理由は以下の通り。
au 提供の資料が使い物にならないので、 6.0 と 6.2 に関して実際の端末を調べてみた (仕事場の人に借りました)。 EZサーバーに関しては未調査である。 3.0 はこの文書では調査対象外とする。
6.2 の端末にインストールされていたルート証明書:
6.0 の端末にインストールされていたルート証明書:
表にしてまとめる。GTE CyberTrust Root (期限切れ) と KDDI SECURE NETWORK ROOT CA は省略してある。 au の 2006-08-28 発表機種については未調査である。
| DoCoMo(A) | DoCoMo(B) | DoCoMo(C) | SoftBank | SoftBank (904SH以降) | au(6.0) | au(6.2) | au(2006-08-28) | |
| VeriSign Class 3 Primary CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |
| VeriSign Class 3 Primary CA G2 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |
| VeriSign/RSA Secure Server CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |
| ValiCert Class 3 Policy Validation Authority | × | × | ○ | × | ○ | × | × | |
| RSA Security 2048 V3 | × | × | ○ | × | ○ | × | × | |
| Security Communication RootCA1 | × | × | ○ | × | ○ | × | × | |
| GlobalSign Root CA | × | × | × | × | ○ | × | × | |
| Equifax Secure Certificate Authority | × | ○ | ○ | × | ○ | × | ○ | |
| Equifax Secure eBusiness CA-1 | × | ○ | ○ | × | ○ | × | × | |
| GeoTrust Global CA | × | ○ | ○ | × | ○ | × | ○ | |
| GTE CyberTrust Global Root | ○ | ○ | ○ | ○ | ○ | × | ○ | |
| Baltimore CyberTrust Root | × | ○ | ○ | × | ○ | × | ○ | |
| Entrust.net Secure Server | × | × | × | ○ | ○ | ○ | ○ |
金が余っていて面倒を避けたい場合: VeriSign が安定して使える。 1年間:85050円〜 ただし、VeriSign Class3 Primary CA への変更後には注意が必要。 手元に確認用の端末がある場合は 新仕様のテストサイト へのアクセスで確認できる。 参考: セキュア・サーバIDの仕様変更に関するお知らせ・ SSLガイド.jp - ベリサイン、ルート認証局を変更
旧機種も含め3キャリアを相手したいが低予算の場合:
GTE CyberTrust Global Root から
「つながれた」(chained)証明書のうち安いものを探すことになる。
au (6.0) で少々苦労することは覚悟の上で。
Networksolutionsあるいは
その国内リセラーが候補になる。
(AddTrust/UTN root に変更されたため
Networksolutions
は候補から外れました)
GTE CyberTrust Global Root を使う場合、 auのバージョン6.0についてはサポートを捨てるか、 Link-by-Linkを強制するトリックを使って救うかすることになる。 このトリックについては セコムトラスト提供の資料(pdf)が詳しい。
以前は Toriton が安く使えたが、2006年10月23日からEntrustに変更されている。 DoCoMoのサポートを切ってよい場合には Toriton も候補になる。 Entrustであれば CyberTrust Global Root と違い、au 旧機種で苦労することはない。