SSL証明書の関係で、「暗号化アルゴリズムの2010年問題」という話題を先日書きました。それでは、今(2010年7月現在)携帯電話にはどんなルート証明書が載っているのだろうか?
ドコモ、au、ソフトバンクの3キャリアに搭載されているルート証明書を日本で購入する場合の正規発行会社別に上げてみた。
エントラストジャパン http://japan.entrust.com/
Entrust.net Secure Server Certification Authority(Entrust Secure Server CA)
Entrust Root CA
サイバートラスト https://www.cybertrust.ne.jp/index.html
Baltimore CyberTrust Root
GTE CyberTrust Global Root
CyberTrust Global Root
セコムトラストシステムズ http://www.secomtrust.net/
Security Communication Root CA1
Security Communication RootCA2
コモドジャパン http://www.comodojapan.com/
AAA Certificate Service
AddTrust External CA Root
COMODO Certification Authority
日本ベリサイン https://www.verisign.co.jp/
VeriSign Class 3 Primary CA
VeriSign Class 3 Primary CA – G2
VeriSign Class 3 Primary CA – G3
VeriSign Class 3 Primary CA – G5
VeriSign Universal Root CA
(以下GeoTrustブランド)
Equifax Secure Certificate Authority
Equifax Secure eBusiness CA-1
GeoTrust Global CA
GeoTrust Universal CA
GMOグローバルサイン http://jp.globalsign.com/
GlobalSign Root CA
GlobalSign Root CA-R1
GlobalSign Root CA-R2(GlobalSign)
RSAセキュリティ http://japan.rsa.com/
RSA Secure Server Certification Authority
RSA Security 2048 V3
Valicert Class 3 Policy Validation Authority
ジェイサート http://www.jcert.co.jp/
Starfield Technologies, Inc.
The Go Daddy Group, Inc.
メディックス http://www.jp.thawte.com/
Thawte Premium Server CA
Thawte Server CA
全部で29個ありますが、auはLink to Link方式用に自社SSL証明書(KDDI SECURE NETWORK ROOT CA)を搭載しています。
これらはすべて使用されているわけではなく、将来のために搭載されているものもあります。つまり、暗号アルゴリズムが違うものだったりします。
ルート証明書というのは、SSL証明書毎に用意されているものかと思っていましたが、調べてみるとそうではありませんでした。
例えば、ベリサインでは、
「EV SSL証明書」でも「グローバル・サーバID」や「セキュア・サーバID」でも公開鍵長1024bit以下ではすべて「VeriSign Class 3 Primary CA – G2」を使用します。公開鍵長2048bitになると「VeriSign Class 3 Primary CA – G5」が使用されます。
ジオトラストでは、
公開鍵長1024bit以下では「Equifax Secure Certificate Authority」を使用し、2048bitでは「GeoTrust Global Root CA」を使用します。
コモドでは、
公開鍵長1024bit以下では「Equifax Secure Certificate Authority」を使用し、2048bitでは「COMODO Certification Authority」を使用します。1024bitまではジオトラストのルート証明書を借りて署名されていたため、携帯対応率が非常に高かったわけですが、2048bitになると自社ルート証明書に変更されるために対応率がかなり下がることになります。
今のところ調査していて1024bitと2048bitで同じルート証明書を使用するのは、セコムトラストの「Security Communication Root CA1」ぐらいですね。