携帯電話でのSSLについて(参考資料)。
SSLとは。
SSL(セキュア・ソケット・レイヤ)とは、いわゆる暗号化されたプロトコルです。
クライアントとサーヴァの間でやり取りする全てのデータが暗号化されるため、外部から情報を盗まれる恐れは全くと言って良いほどありません。
具体的には、https:// スキーム名で始まるURLを入力(或いはリンクを指定)すると、先ず暗号化のための手続きが行われ、その上で HTTP の通信が行われます。
このため、クライアント側から送るデータはアドレスバーに打ち込んだURLからフォームで送信する全てのデータまでの全てが、またサーヴァから送られてくるコンテンツも漏れなく暗号化される事となります。
- 実はSSLで使われている暗号アルゴリズムは厳密には絶対に解けない暗号では無いのですが、暗号を解読するのに極めて長い時間が掛かるため(単純計算で何千年など)、解読出来たときには既に何の役にも立たない無駄なデータと化していると言う訳です。
SSL証明書とは。
SSLを用いたプロトコルでは外部から情報を盗まれる心配は殆ど無いのですが、肝心の先方はどうでしょうか。
先方そのものが"悪"であった場合、先方に犯罪に使える重要な情報を手渡してしまう事となります。
- 事実、フィッシング詐欺と呼ばれる詐欺はまさにこの問題が当たり前にある事を示しております。
また、サーヴァとクライアントの間にクラッカが介入してクライアントに成りすまして情報を盗聴すると言う恐れも否定出来ません。
このため、暗号化の際には暗号化に使う鍵がサーヴァから発行された信頼出来るものである必要があります。
SSLでは、SSL証明書と呼ばれるデータを特定の認証業者(認証局)が発行し、それをユーザエージェントが確認すると言う方法を採っております。
具体的には、以下のようになります。
- まず、サイトを運営する企業は予めヴェリサイン社(日本法人・日本ベリサイン社)など認証局に自社が信頼出来る企業である事を認めてもらったうえでSSL証明書を発行してもらいます。
- ジオトラスト(日本法人・グローバルサイン社)のように個人に対しても証明書を発行してくれる認証局もあります。
- 証明書を受取った企業はサーヴァにそれを登録しておきます。
- 一方、ブラウザ側も主要な認証局の情報を登録しております。
- 要は証明書を発行する認証局が信頼に値しなかったらその証明書の意味が無いからです。
- 実際にSSLを用いてアクセスする場合、ユーザエージェントはサーヴァに登録された証明書を確認し、それが正当であると判断したらその証明書のお墨付きがある鍵を受け取り、それを用いて暗号化して通信を継続します。
- 証明書が確認出来なかったり、証明書が失効しているなどの場合には通信を途絶したり、信頼出来ない相手である旨をダイアログで通告します。
参考までに、SSLを使ってみたページのサンプル(https://www.marguerite.jp/)です。
- 証明書を取っておりませんので、EZウェブなど一部携帯電話ではアクセス出来ませんし、アクセス出来た場合でも警告などが必ず表示されます。
SSLが利用出来る携帯電話。
SSLが利用出来る携帯電話は以下の通りです。
iモードでのSSL。
iモードでSSLに対応していない機種。
以下のiモード機種ではSSLは利用出来ません。
- 501, 502, 209, 210, 821, 651, 691, F671i(※F671iSは対応), 及びSH251i/iS
iモードで対応しているSSL認証局と証明書。
また、iモード端末では以下の認証局及び証明書に対応しております。
- この情報は制作者が各認証局について独自に調べたもので、エヌ・ティ・ティ・ドコモ社の公式な情報とは異なります。ご利用の際には各認証局とご相談の上ご利用下さい。
- リンクとなっている項目は日本法人が発売している証明書及び証明書発行サーヴィス商品名です。リンクとなっていない項目は証明書名です。
- SSL対応ムーヴァ全機種/900シリーズかそれ以前のフォーマ
-
- ヴェリサイン社
-
- グローバル・サーバID
- セキュア・サーバID
- VeriSign クラス3 Primary CA ルート証明書
- VeriSign クラス3 Primary CA ルート証明書 G2
- RSA セキュアーサーバ・ルート証明書
- サイバートラスト社
-
- SureServer
- GTE Global Root
- セコム社
- 901シリーズ以降のフォーマ
-
- ヴェリサイン社
-
- グローバル・サーバID
- セキュア・サーバID
- VeriSign クラス3 Primary CA ルート証明書
- VeriSign クラス3 Primary CA ルート証明書 G2
- RSA セキュアーサーバ・ルート証明書
- サイバートラスト社
-
- SureServer
- GTE Global Root
- Baltimore CyberTrust Root
- ジオトラスト(グローバルサイン社)
-
- Equifax Secure Certificate Authority
- Equifax Secure eBusiness CA-1
- GeoTrust Global CA
- セコム社
902iS/702iS以降では以下の証明書にも対応しております。
EZウェブでのSSL。
EZウェブ端末では、全機種がSSLに対応しております。
- 尚、HDMLで書かれたコンテンツでは、端末側サーヴァと端末の間はSSLとは別の独自の暗号化通信が行われます。この場合端末ではなく、端末側サーヴァに登録されている証明書を利用します。
EZウェブで対応しているSSL認証局と証明書。
また、EZウェブ端末では以下の認証局及び証明書に対応しております。
- この情報は制作者が各認証局について独自に調べたもので、KDDI社の公式な情報とは異なります。ご利用の際には各認証局とご相談の上ご利用下さい。
- リンクとなっている項目は日本法人が発売している証明書及び証明書発行サーヴィス商品名です。リンクとなっていない項目は証明書名です。
- ヴェリサイン社
-
- グローバル・サーバID
- セキュア・サーバID
- VeriSign Class 3 Primary CA
- RSA セキュアーサーバ・ルート証明書
- サイバートラスト社
- SureServer
- 但し、ブラウザヴァージョンが 6.0 のWAP 2.0端末(現行端末は 6.2以上)では、HDMLで記述されたコンテンツで無いとアクセス出来ません。
- RSA セキュリティ社
- パブリック・ウェブサーバ証明書
- 但し、現行端末のみ対応です。
- セコム社
-
- 但し、上記サーヴィスではブラウザヴァージョンが 6.0 のWAP 2.0端末(現行端末は 6.2以降)では、HDMLで記述されたコンテンツで無いとアクセス出来ません。
- 但し、上記サーヴィスは現行端末のみ対応です。
EZウェブでSSL証明書が確認出来ない場合。
EZウェブ端末でSSL通信を行おうとして、
- 対応している証明書で無い場合
- 証明書が失効している場合(端末の時計が不正確だと失効と誤認する事があります)
- 証明書が確認出来なかった場合
にはエラーダイアログが表示されてアクセスが遮断されます。
- PCなどでは証明書無しでも警告が表示されるもののSSLでの通信は可能ですが、EZウェブでは対応している証明書がない場合には完全にアクセス出来なくなります。
ソフトバンクでのSSL。
ソフトバンク端末では、パケット機全機種がSSLに対応しております。
- 実は非パケット機でもSSLの利用は可能ですが、端末側サーヴァと端末の間が平文通信となるため危険です。
ソフトバンクで対応しているSSL認証局と証明書。
また、ソフトバンク端末では以下の認証局及び証明書に対応しております。
- この情報は制作者が各認証局について独自に調べたもので、ソフトバンクモバイル社の公式な情報とは異なります。ご利用の際には各認証局とご相談の上ご利用下さい。
- リンクとなっている項目は日本法人が発売している証明書及び証明書発行サーヴィス商品名です。リンクとなっていない項目は証明書名です。
- ヴェリサイン社
-
- グローバル・サーバID
- セキュア・サーバID
- VeriSign クラス3 Primary CA ルート証明書
- VeriSign クラス3 Primary CA ルート証明書 G2
- RSA セキュアーサーバ・ルート証明書
- サイバートラスト社
-
- SureServer
- GTE Global Root
- Baltimore CyberTrust Root (801シリーズなど一部を除く第三世代機のみ)
- セコム社
-
以下は非パケット機と801シリーズなど一部を除く第三世代機のみ対応。
- セコムパスポート for Web SR
- ホームページ SECOM パック SR
- Security Communication RootCA1
- ジオトラスト(グローバルサイン社)
-
- 原則として801シリーズなど一部を除く第三世代機のみ対応。
- エントラスト社
- Entrust.net Secure Server CA
ウィルコムでのSSL。
ウィルコム端末では、エアーエッジフォン以降の全機種がSSLに対応しております。
- H"リンクはSSLを一切サポートしておりません。
ウィルコムで対応しているSSL認証局と証明書。
ウィルコム端末は機種ごとに実装している証明書が異なりますが、以下の証明書であれば問題は無いでしょう。
- 特にフルブラウザ搭載端末であれば、PCとほぼ同等の認証が可能になります。
SSL通信を行うモバイルサイトを作るに当たって注意すべき事。
携帯電話で利用出来る認証局・証明書はどれか。
EZウェブでは、対応していない証明書のサーヴァには全くアクセスが出来ません。
現状、どのSSL端末でも問題が無いと判断出来るのは、以下の証明書となるでしょう。
- ヴェリサイン社
-
- グローバル・サーバID
- セキュア・サーバID
- VeriSign クラス3 Primary CA ルート証明書
- VeriSign クラス3 Primary CA ルート証明書 G2
- RSA セキュアーサーバ・ルート証明書
- サイバートラスト社
- SureServer
- 但し、EZウェブ端末でブラウザヴァージョンが 6.0 の端末(現行端末は 6.2以降)では、HDMLで記述されたコンテンツで無いとアクセス出来ません。
- セコム社
これら以外の証明書は、PC向けブラウザ90%以上の対応率
を謳っていても携帯端末では利用出来ない場合がある事になります。
- 最新の携帯端末は大半の証明書を受容れるようになっておりますが、少しでも前の端末だとアクセス出来なくなります。
- 海外で発行された証明書を格安で販売する業者もありますが、PC専用サイトでならともかく、携帯電話ではアクセス出来ない場合があります。
画像などを埋め込む場合の注意。
SSL通信を行うモバイルサイトのコンテンツではそのコンテンツ内に埋め込まれる画像・動画・音声などのマルティメディアも全て同じドメインのSSL通信で取得しなければなりません。
例えば、https://www.no-phishing.co.jp と言うドメインでのページでは、画像などのマルティメディアも全て https://www.no-phishing.co.jp ドメインでないといけません。
- 簡単に言えば、相対パスで記述出来る画像等を使わなければいけないと言う事です。
そうしないと、携帯端末では画像が表示されないなどの問題が生じます。