SSLを利用する際の特に注意が必要な事項についてご説明します。
SSL通信時に「このサイトは安全でない可能性があります。接続しますか ?」「はい/いいえ」が出力される場合の主な理由
(この場合でも「はい」を選択することにより暗号化通信を行うことが可能です。)
携帯電話の時計が正しく設定されていない場合
携帯電話の時計を正しく設定しないと証明書が確認できないためSSL対応携帯電話では警告画面が表示される場合があります。
WEBサーバにインストールしているルート証明書(以下、サーバ側ルート証明書)の有効期限が切れている場合
サーバ認証において、SSL対応携帯電話では、サーバ証明書に加え、サーバ証明書からサーバ側ルート証明書にチェーンを設定している場合、サーバ側ルート証明書の有効期限のチェックも行います。そのためサーバ側ルート証明書の期限が切れている場合、SSL対応携帯電話では警告画面が表示される場合があります。
本事象は、サーバ側ルート証明書を更新(有効期限の延長)していただくことにより回避することが可能です。また、ルート証明書の更新に時間がかかる場合は、サーバ証明書からサーバ側ルート証明書へのチェーンの設定を削除することにより一時的ですが、回避することが可能です。
サーバ証明書が期限切れの場合
アクセスしたサーバから送られてきたサーバ証明書の有効期限が切れている場合、警告画面を表示します。
携帯電話に搭載されている認証局以外の証明書の場合
送られてきたサーバ証明書が、携帯電話でサポートしていない認証局で発行されたものである場合、正当であるかどうかの判断ができないため、警告画面を表示します。
本事象は、携帯電話でサポートしていない認証局で発行されたサーバ証明書から携帯電話でサポートしている認証局で発行された中間証明書にチェーンを設定することにより回避することが可能です。
WEBサーバの各種設定に関しましては、各々のマニュアルなどをご参照ください。
SSL対象、SSL非対象混在ページの動作
外部コンテンツの取得について
SSL対象ページ内にSSL非対象の外部コンテンツ(HTTPSで指定されていない外部コンテンツ)が含まれている場合、または、通常ページ内にSSL対象の外部コンテンツが含まれている場合の外部コンテンツ取得、およびSSL通信中アイコン表示は、iモードブラウザバージョンにより表の動作のとおりになります。
iモードブラウザ1.0における外部コンテンツの自動取得処理
外部コンテンツの取得先 | SSL通信中 アイコン |
||||
httpsスキーム | httpスキーム | ||||
同ホストかつ 同ポート |
異ホストまたは 異ポート |
||||
ページ種別 | SSLページ | ![]() |
![]() |
![]() |
表示 |
通常ページ | ![]() |
![]() |
![]() |
非表示 |
(白丸)○:取得する (バツ)×:取得しない
iモードブラウザ2.0における外部コンテンツの自動取得処理
外部コンテンツの取得先 | SSL通信中 アイコン |
||||
httpsスキーム | httpスキーム | ||||
同ホストかつ 同ポート |
異ホストまたは 異ポート |
||||
ページ種別 | SSLページ | ![]() |
![]() |
![]() ![]() |
表示 |
通常ページ | ![]() |
![]() |
![]() |
非表示 |
(白丸)○:取得する (バツ)×:取得しない
1 httpスキームを検出した段階で取得確認の表示を行い、ユーザの選択により取得可能。ただし取得した場合はSSLアイコンは非表示となる。
フレームについて
iモードブラウザ2.0以降の機種ではフレームページを表示することができます。フレームページにてSSLを利用する場合、フレームの分割を指定するHTMLがHTTPSスキームで取得された場合にSSL通信中アイコンを表示します。この時、フレーム内に読み込まれるHTMLの取得がHTTPスキームである場合、取得確認の表示を行い、ユーザの選択により取得された場合、SSL通信中アイコンは非表示となります。
0バイトコードデータの暗号化について
iモードSSL対応携帯電話は0バイトデータの暗号化に対応していないため、OpenSSL 0.9.6dを利用した場合、iモードSSL対応携帯電話と正常に通信できないことがあります。OpenSSL 0.9.6e以降は、mod_sslとの組み合わせでは正常動作が確認できていますが、Apache-SSLとの組み合わせでは同様の問題が発生する事が当社試験環境にて確認されており、その動作については、以下の表の通りになります。
OpenSSLのバージョンの違いによる動作について
Apache1.3.x | Apache2.0.x | |||
mod_ssl | Apache-SSL | |||
OpenSSL バージョン |
OpenSSL0.9.6c以前 | ![]() |
![]() |
![]() |
OpenSSL0.9.6d | ![]() |
![]() |
![]() |
|
OpenSSL0.9.6e以降 | ![]() |
![]() |
![]() |
|
OpenSSL0.9.7系以降 | ![]() |
![]() |
![]() |
(白丸)○:動作する (バツ)×:動作しない
その他SSLアクセラレータなどを使ってSSL通信をするネットワーク構成の場合にも同様に0バイトデータの暗号化に起因して、iモードSSL対応携帯電話と正常に通信ができない場合があります。
上記動作は、2004年9月6日時点の当社環境での確認になります。
各種設定に関しましては、ご利用のマニュアルなどをご参照ください。
Windows® NTとInternet Information Server 4.0の組み合わせによる動作
Windows® NTとIISver4.0の組み合わせにおいて、サーバ証明書にSSL証明書ver3.0かつアルゴリズム鍵1024bitを利用した環境でのSSL通信はサポートしておりません。
サーバ証明書のCNとHTTPリクエストラインの比較について
機種によってはサーバより送信されるサーバ証明書のCNとHTTPリクエストライン中のドメイン名(FQDN)の比較において、大文字、小文字を区別して扱っているものがあります。この比較において不一致と判断された場合はエラーメッセージが表示されます。サーバ証明書のCNとリクエストライン中のドメイン名が完全一致するように設定してください。
なお、HTTPリクエストライン中のドメインはHTMLの大文字、小文字の記述に関わらず、小文字に置き換えられる場合がございますので、サーバ証明書のCNは小文字で設定することを推奨致します。
最大公開鍵長について
各機種が対応している最大公開鍵長を超える証明書(中間証明書含む)を利用した場合、SSL通信を行うことができません(機種により「SSL通信が切断されました」「SSL通信が無効です」などが表示され、ページ遷移できません)。
SSL対応機種全てに対してSSL通信に対応する場合は、公開鍵長が1024bit以下の証明書をご利用ください。
公開鍵長1024bitのサーバ証明書について
米国標準技術研究所(NIST)が定める2011年以降の暗号アルゴリズムの基準により、各認証局にて新基準に適合するサーバ証明書の対応が行われています。この基準では、いくつかの暗号アルゴリズムの利用廃止、新たな暗号アルゴリズムへの移行が示されており、公開鍵長については2010年末を期限に1024bit以下の利用を中止する(2048bit以上を利用する)ことが示されています。
SSL対応機種では、機種により対応する最大公開鍵長に違いがあるため、公開鍵長2048bitのサーバ証明書ではSSL通信できない機種があります。2048bitに対応していない機種は以下の通りです。
FOMA | D2101V |
上記機種にて搭載されている、有効なルート証明書は以下となります。
「VeriSignクラス3 Primary CAルート証明書」
「VeriSignクラス3 Primary CAルート証明書G2(セカンド・ジェネレーション)」
「GTE CyberTrust Global Root」
これらのルート証明書にチェーンするサーバ証明書を提供している認証局は「日本ベリサイン株式会社」「サイバートラスト株式会社」となり、今後のサーバ証明書の販売についてそれぞれ情報提供しています。
認証局の最新の動向については各社のWebサイトなどでご確認ください。
提供するサービス内容や各機種の対応状況、認証局の動向などを総合的に考慮して、SSL通信をご利用ください。
「Entrust CA(2048)」ルート証明書について
SSL対応機種の一部は「Entrust CA(2048)」を搭載しています。搭載されているルート証明書は有効期限が2029年7月の新ルート証明書ですが、同一名の旧ルート証明書が存在します。旧ルート証明書にチェーンするサーバ証明書の場合、「Entrust CA(2048)」を搭載しているSSL対応機種では、「SSL/TLS通信が無効です」が表示され、サイトにアクセスできませんので、新ルート証明書にチェーンするサーバ証明書をご利用いただくようお願いします。
本件につきましては、EntrustのWebサイトもあわせてご確認ください。
利用可能なサーバ証明書の署名ハッシュアルゴリズムについて
署名ハッシュアルゴリズム:SHA-2,SHA-1
サーバ証明書のSHA2の対応状況は、機種によって異なります。各機種毎の対応状況については端末スペック一覧をご参照ください。
サーバ証明書に関するその他制約について
ワイルドカード証明書(*.example.com等)には対応しておりません。
マルチドメイン証明書(SubjectAltName拡張)には対応しておりません。
Windows は米国 Microsoft Corporation の米国およびその他の国における登録商標です。