その他注意点

携帯電話の時計を正しく設定しないと証明書が確認できないためSSL対応携帯電話では警告画面が表示される場合があります。

サーバ認証において、SSL対応携帯電話では、サーバ証明書に加え、サーバ証明書からサーバ側ルート証明書にチェーンを設定している場合、サーバ側ルート証明書の有効期限のチェックも行います。そのためサーバ側ルート証明書の期限が切れている場合、SSL対応携帯電話では警告画面が表示される場合があります。

本事象は、サーバ側ルート証明書を更新（有効期限の延長）していただくことにより回避することが可能です。また、ルート証明書の更新に時間がかかる場合は、サーバ証明書からサーバ側ルート証明書へのチェーンの設定を削除することにより一時的ですが、回避することが可能です。

アクセスしたサーバから送られてきたサーバ証明書の有効期限が切れている場合、警告画面を表示します。

送られてきたサーバ証明書が、携帯電話でサポートしていない認証局で発行されたものである場合、正当であるかどうかの判断ができないため、警告画面を表示します。

本事象は、携帯電話でサポートしていない認証局で発行されたサーバ証明書から携帯電話でサポートしている認証局で発行された中間証明書にチェーンを設定することにより回避することが可能です。

WEBサーバの各種設定に関しましては、各々のマニュアルなどをご参照ください。

SSL対象ページ内にSSL非対象の外部コンテンツ（HTTPSで指定されていない外部コンテンツ）が含まれている場合、または、通常ページ内にSSL対象の外部コンテンツが含まれている場合の外部コンテンツ取得、およびSSL通信中アイコン表示は、iモードブラウザバージョンにより表の動作のとおりになります。

		外部コンテンツの取得先			SSL通信中 アイコン
		httpsスキーム		httpスキーム
		同ホストかつ 同ポート	異ホストまたは 異ポート
ページ種別	SSLページ				表示
	通常ページ				非表示

（白丸）○：取得する  （バツ）×：取得しない

		外部コンテンツの取得先			SSL通信中 アイコン
		httpsスキーム		httpスキーム
		同ホストかつ 同ポート	異ホストまたは 異ポート
ページ種別	SSLページ			1	表示
	通常ページ				非表示

（白丸）○：取得する  （バツ）×：取得しない

1 httpスキームを検出した段階で取得確認の表示を行い、ユーザの選択により取得可能。ただし取得した場合はSSLアイコンは非表示となる。

iモードブラウザ2.0以降の機種ではフレームページを表示することができます。フレームページにてSSLを利用する場合、フレームの分割を指定するHTMLがHTTPSスキームで取得された場合にSSL通信中アイコンを表示します。この時、フレーム内に読み込まれるHTMLの取得がHTTPスキームである場合、取得確認の表示を行い、ユーザの選択により取得された場合、SSL通信中アイコンは非表示となります。

iモードSSL対応携帯電話は0バイトデータの暗号化に対応していないため、OpenSSL 0.9.6dを利用した場合、iモードSSL対応携帯電話と正常に通信できないことがあります。OpenSSL 0.9.6e以降は、mod_sslとの組み合わせでは正常動作が確認できていますが、Apache-SSLとの組み合わせでは同様の問題が発生する事が当社試験環境にて確認されており、その動作については、以下の表の通りになります。

		Apache1.3.x		Apache2.0.x
		mod_ssl	Apache-SSL
OpenSSL バージョン	OpenSSL0.9.6c以前
	OpenSSL0.9.6d
	OpenSSL0.9.6e以降
	OpenSSL0.9.7系以降

（白丸）○：動作する  （バツ）×：動作しない

その他SSLアクセラレータなどを使ってSSL通信をするネットワーク構成の場合にも同様に0バイトデータの暗号化に起因して、iモードSSL対応携帯電話と正常に通信ができない場合があります。

• 上記動作は、2004年9月6日時点の当社環境での確認になります。
• 各種設定に関しましては、ご利用のマニュアルなどをご参照ください。

Windows® NTとIISver4.0の組み合わせにおいて、サーバ証明書にSSL証明書ver3.0かつアルゴリズム鍵1024bitを利用した環境でのSSL通信はサポートしておりません。

機種によってはサーバより送信されるサーバ証明書のCNとHTTPリクエストライン中のドメイン名（FQDN）の比較において、大文字、小文字を区別して扱っているものがあります。この比較において不一致と判断された場合はエラーメッセージが表示されます。サーバ証明書のCNとリクエストライン中のドメイン名が完全一致するように設定してください。

なお、HTTPリクエストライン中のドメインはHTMLの大文字、小文字の記述に関わらず、小文字に置き換えられる場合がございますので、サーバ証明書のCNは小文字で設定することを推奨致します。

各機種が対応している最大公開鍵長を超える証明書（中間証明書含む）を利用した場合、SSL通信を行うことができません（機種により「SSL通信が切断されました」「SSL通信が無効です」などが表示され、ページ遷移できません）。
SSL対応機種全てに対してSSL通信に対応する場合は、公開鍵長が1024bit以下の証明書をご利用ください。

米国標準技術研究所（NIST）が定める2011年以降の暗号アルゴリズムの基準により、各認証局にて新基準に適合するサーバ証明書の対応が行われています。この基準では、いくつかの暗号アルゴリズムの利用廃止、新たな暗号アルゴリズムへの移行が示されており、公開鍵長については2010年末を期限に1024bit以下の利用を中止する（2048bit以上を利用する）ことが示されています。

SSL対応機種では、機種により対応する最大公開鍵長に違いがあるため、公開鍵長2048bitのサーバ証明書ではSSL通信できない機種があります。2048bitに対応していない機種は以下の通りです。

上記機種にて搭載されている、有効なルート証明書は以下となります。
「VeriSignクラス3 Primary CAルート証明書」
「VeriSignクラス3 Primary CAルート証明書G2（セカンド・ジェネレーション）」
「GTE CyberTrust Global Root」

これらのルート証明書にチェーンするサーバ証明書を提供している認証局は「日本ベリサイン株式会社」「サイバートラスト株式会社」となり、今後のサーバ証明書の販売についてそれぞれ情報提供しています。

• （別ウインドウが開きます）日本ベリサイン株式会社へ
• （別ウインドウが開きます）サイバートラスト株式会社へ

認証局の最新の動向についてはそれぞれのWebサイトなどでご確認ください。

提供するサービス内容や各機種の対応状況、認証局の動向などを総合的に考慮して、SSL通信をご利用ください。

SSL対応機種の一部は「Entrust CA（2048）」を搭載しています。搭載されているルート証明書は有効期限が2029年7月の新ルート証明書ですが、同一名の旧ルート証明書が存在します。旧ルート証明書にチェーンするサーバ証明書の場合、「Entrust CA（2048）」を搭載しているSSL対応機種では、「SSL／TLS通信が無効です」が表示され、サイトにアクセスできませんので、新ルート証明書にチェーンするサーバ証明書をご利用いただくようお願いします。
本件につきましては、EntrustのWebサイトもあわせてご確認ください。

（別ウインドウが開きます）Entrust, Incへ