DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。
SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。
DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。
FOMA901i/700i/851i/881i/701i/902i(902iS除く)/850i/702i/800i/600iシリーズには加えて以下のルート証明書もインストールされている。
FOMA902iS/702iS/882i/903i/601i/703i/883i/904i/602i/704iシリーズ/D800iDSにはさらに加えて以下のルート証明書もインストールされている。
上記以外の端末にはさらに加えて以下のルート証明書もインストールされている。
softbank 提供の資料 を見れば搭載されているルート証明書はわかる。
すべてのSSL対応端末に以下の証明書がインストールされている。
C型,3GC型一部機種には以下の証明書がインストールされている。
3GC型一部機種にはさらに以下の証明書がインストールされている。
かつては au の調査がやっかいだったが、 au 提供の資料がマトモになったためやりやすくなった。
ただし以下の点に注意
EZサーバー(Link-by-Link)と3.0 はこの文書では調査対象外とする。
表にしてまとめる。空欄は未調査。 auは搭載ルート証明書一覧中の代表機種を()内部に表示。
上記のCAは表から省略してある。
| DoCoMo (900i) | DoCoMo (901i) | DoCoMo (904i) | DoCoMo (他) | SoftBank | SoftBank (C) | SoftBank (3GC一部) | au (6.0) | au (talby) | au (PENCK) | au (6.2) | au (W51SH) | au (W61PT) | au (INFOBAR2) | au (Sportio) | |
| VeriSign Class 3 Primary CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| VeriSign Class 3 Primary CA G2 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| VeriSign/RSA Secure Server CA | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| ValiCert Class 3 Policy Validation Authority | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| RSA Security 2048 V3 | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| Entrust.net Secure Server | - | - | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| GTE CyberTrust Global Root | ○ | ○ | ○ | ○ | ○ | ○ | ○ | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| Baltimore CyberTrust Root | - | ○ | ○ | ○ | - | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ |
| Equifax Secure Certificate Authority | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | ○ | ○ | ○ | ○ | ○ |
| Equifax Secure eBusiness CA-1 | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | - | - | - | - | ○ |
| GeoTrust Global CA | - | ○ | ○ | ○ | - | ○ | ○ | - | - | - | ○ | ○ | ○ | ○ | ○ |
| GlobalSign Root CA | - | - | - | ○ | - | - | ○ | - | - | - | - | - | - | ○ | ○ |
| GlobalSign Root CA-R2 | - | - | - | ○ | - | - | - | - | - | - | - | - | ○ | ○ | |
| Security Communication RootCA1 | - | - | ○ | ○ | - | ○ | ○ | - | - | - | - | ○ | ○ | ○ | ○ |
| AddTrust External CA Root | - | - | - | - | - | - | - | - | - | - | - | - | ○ | ○ | ○ |
| Thawte Premium Server CA | |||||||||||||||
| Thawte Server CA |
VeriSignの携帯電話向け製品が安定して使える。 1年間:85050円〜
Thawte SGC SuperCertを使う。 VeriSign Class3 Public Primary CAから「つながれた」証明書を少しは安く買える。 jp.thawte.comでは1年で$449、 2年で$849、 servertasticでは1年で$333、2年で$698
GTE CyberTrust Global Root から 「つながれた」(chained)証明書のうち安いものを探す。 au (6.0) で少々苦労することは覚悟の上で。
GTE CyberTrust Global Root を使う場合、 auのバージョン6.0についてはサポートを捨てるか、 Link-by-Linkを強制するトリックを使って救うかすることになる。 このトリックについては セコムトラスト提供の資料(pdf)が詳しい。
Equifax Secure Certificate Authorityから 「つながれた」証明書のうち安い物を探す。 Softbankの旧機種では厳しいが、 au, DoCoMoであれば2005年以降発売の端末で使い物になる。
かつてはQuickSSL Premiumを選ぶ必要があったが、 2009年5月29日以降はRapidSSLを選べばよい。 ルート証明書変更のお知らせ ルート変更作業遅延のお知らせ ルート変更作業状況について
servertastic.com($13/年・再発行保険選択可) ・ エスロジカル(2880円/年 2009年6月現在クレジット決済不可・再発行保険選択不可) ・ トラスティワークス(3140円/年・再発行保険付き)がリセラーの候補になる。
サポートを重視するならば アシアルが候補。 12,800円/年・再発行保険付き、 追加3000円で有償サポート3ヶ月(最高3回まで)がつく。 テストページからSubjectのOUを確認すればRapidSSLであることは推測可能(RapidSSLと明記はしていない)。
2009年5月29日以降は無印QuickSSL(Premium無し)でもOKだが、 値段に見合うメリットは見当たらない。 QuickSSLやQuickSSL Premiumの詳細は Compare SSL Certificates - Geotrustを参照のこと。
最低限必要なRoot CAを表から求め、最安のものを買えばよい。 ただし、2009年5月29日以降はRapidSSLで十分である。 他のRoot CAからつながれた証明書では予算的にも対応機種的にもうまみがほとんど無い。
少々の手間をかけてさらに安く買う方法については後述。
/
/
まずは安い代理店を探すこと。個人的にはservertastic.comをよく使用している。
SSLに限らず新しく業者を使うときはcoupon codeを探すことを忘れてはいけない。基本はcouponやcoupon codeでググること。 時間に余裕があるならキャンペーンの告知を見逃さない体制も作る。
QuickSSL Premium, RapidSSLは更新や競合置換を使うことにより期間を延ばすことができる。「更新」と「競合置換」とは排他的であり、どちらか一方だけ選択できる。
QuickSSL PremiumはSSL123からの競合置換で1年間延長。 RapidSSLはFreeSSLからの更新で2ヶ月延長。RapidSSLの競合置換元として金銭的に有利なものはまだ見つけていない。
SSL123からQuickSSL Premiumへの競合置換はいつ使えなくなってもおかしくない。 どちらもgeotrust.comに申込みフォームが置いてある。 この状態で競合置換が有効というのは移行時期のバグと判断できる。 しっかり事前調査をするか諦めるかすること。 2008年6月現在、(逆方向の)QuickSSL PremiumからSSL123への競合置換はできない。 RapidSSLからSSL123への競合置換もできない。
追記: QuickSSL Premiumへの競合置換はGoDaddyが安定して使える。 クーポン利用で半額($14.99/year)。 ただし自動更新があるため購入後に確認して自動更新を切る、もしくは決済クレジットカードの登録を解除しておくことをオススメする。