2007/03/20 Category : review SSLと携帯電話 ちょっとした技術メモ。忘れないうちに。 いまさら感たっぷり。 ■SSLの仕組み 言わずもがな(だけど詳しくは説明できないが…) ブラウザ ← [SSL] → サービスサーバ側 サーバ側のSSL証明書は、ブラウザ側に「搭載」されている証明書と 合致してればSSL通信OK、そうでなければNG扱い。 ブラウザ側では、認証局(CA)が発行した、信頼できる証明書を搭載済み。 サーバ側では、同じようにCAが発行した証明書を持っていれば話が早い。 自分が持ってる証明書と合致しない場合はIEとかFireFoxでは「どうしますか」と聞いてくる。 ここで思い切って追加しちゃっても可。 ※注:こんな簡単では話ではない。 ■携帯電話 a)Link-By-Link 一部の携帯電話では、証明書を持たない。 その場合、携帯キャリア側でSSLをほどいてしまう。 移動機ブラウザ ← [平文] → 中継サーバ ← [SSL] → サービスサーバ側 いずれにせよ、携帯電話側で持つ証明書は固定。追加出来ない。 中継サーバも同様。 b)End-to-End 最近の携帯電話は証明書搭載。オレのもそう。 一部の携帯電話では、証明書を持たない。 その場合、携帯キャリア側でSSLをほどいてしまう。 移動機ブラウザ ← [SSL] → サービスサーバ側 いずれにせよ、携帯電話側で持つ証明書は固定。追加出来ない。 中継サーバも同様。 最終的に、移動機側で持っているCAが発行した証明書と同じ証明をもらった 証明書を使わざるを得ない、よってプライベート証明書は、携帯電話には利用できない。 どうしますか?と聞いてくるか来ないかは移動機仕様。 ■オレオレ証明書 クライアント側で認証パスを辿れない(検証できない)証明書 具体的には書かないが、DoCoMoの移動機のほうが、auよりも判定が甘い可能性あり。 やはりauが安全か。 ■参考 http://www.nttdocomo.co.jp/service/imode/make/content/ssl/ http://www.au.kddi.com/ezfactory/tec/spec/ssl.html http://developers.softbankmobile.co.jp/dp/tech_svc/web/ssl.php ちょっと中途半端な記事になったことを反省。 PR Comment0 Comment Comment Form お名前name タイトルtitle メールアドレスmail address URLurl コメントcomment パスワードpassword
