SSLサーバ証明書をベリサインからグローバルサインに乗り換える際の影響調査
Last-modified: 2017-04-13 (木) 07:43:54 (285d)

Tag: it ssl 証明書 ベリサイン Verisign グローバルサイン GlobalSing 比較 調査 SHA-2

概要

シマンテック(ベリサイン)証明書から、グローバルサインの証明書に乗り換える場合、
利用端末などデメリットがないか調査した結果をまとめる。

※実機での検証は行っていないので、あくまでも参考程度で。

menu

費用比較

通常のSSLサーバ証明書の場合。
※ ワイルドカードやマルチドメイン証明書は除く。

証明書発行会社商品名購入枚数1枚あたりの費用備考
Symantec(Verisign)グローバル・サーバ ID (SSL)サーバ台数分(仮想サーバも含む)81,000やはりサーバ台数分の購入がコストに響く
GlobalSign企業認証SSLFQDN分59,800
サイバートラストSureServer for クラウドFQDN分150,000参考程度に記載。

あとは補償金額、付加サービス(シマンテックはマルウェア試験サービス)なども差があるので、
一概にグローバルサインをおススメするわけではない。用途にあった選び方をすべし。

Comodo系の証明書はさらに安価だが、補償金額などが大きく異なるので、
あまり大規模なユーザサービス利用に適さないのではと考えている。

対応機種

PC

スマートフォン

SHA-1証明書について、スマートフォンは100%対応済み = 全スマートフォンにGlobalSignのRoot証明書は導入済み。
そのため、SHA-2対応端末については、Verisignと同様と考える。
https://jp.globalsign.com/support/faq/519.html?service=ssl

フィーチャーフォン

以下の2端末以外は恐らく大丈夫だと思われる。

・softbank 840N
 GlobalSignとSoftbankのサイトを見た限り、唯一NGだった端末。

・softbank 942P
 サイト上に情報がなく、OKかNGか不明。

確認方法

基本的に、SHA-2の対応有無は携帯機種依存なので、(恐らく)認証局には依存しない(はず)。
あとは各端末にグローバルサインのRoot証明書がインストールされているか否かの確認になる。

以下の手順で、対応リストを作成。

  1. シマンテックのSHA-2対応端末リストを取得。

  2. グローバルサインのサイトのSHA-2対応端末リストと比較。

  3. グローバルサインのサイトでOKになっていない端末は、各キャリアのRoot証明書対応リストを確認。

確認結果

docomo

※1 アップデート実施後、可能  ※2 クロスルート設定有のみ

キャリア機種名GlobalSignverisign実機テスト確認情報サイト備考
docomoCA-01CGlobalSign
docomoF-01BGlobalSign
docomoF-01EGlobalSign
docomoF-01CGlobalSign
docomoF-02BGlobalSign
docomoF-02CGlobalSign
docomoF-02DGlobalSign
docomoF-03BGlobalSign
docomoF-03CGlobalSign
docomoF-04BGlobalSign
docomoF-04CGlobalSign
docomoF-04DGlobalSign
docomoF- 05CGlobalSign
docomoF-06BGlobalSign
docomoF-06DGlobalSign
docomoF-07BGlobalSign
docomoF-07CGlobalSign
docomoF-07FGlobalSign
docomoF-08BGlobalSign
docomoF-09CGlobalSign
docomoF-10BGlobalSign
docomoF-10CGlobalSign
docomoF-11CGlobalSign
docomoL-02B-GlobalSign
docomoL-03B-GlobalSign
docomoL-03C-GlobalSign
docomoN-01BGlobalSign
docomoN-01CGlobalSign
docomoN-01EGlobalSign
docomoN-01FGlobalSign
docomoN-01GGlobalSign
docomoN-02BGlobalSign
docomoN-02CGlobalSign
docomoN-02DGlobalSign
docomoN-03B-GlobalSign
docomoN-03CGlobalSign
docomoN-03DGlobalSign
docomoN-04BGlobalSign
docomoN-05BOKGlobalSign
docomoN-05CGlobalSign
docomoN-07BGlobalSign
docomoN-08BGlobalSign
docomoP-01BGlobalSign
docomoP-01CGlobalSign
docomoP-01EGlobalSign
docomoP-01FGlobalSign
docomoP-01GGlobalSign
docomoP-02BGlobalSign
docomoP-02CGlobalSign
docomoP-03BGlobalSign
docomoP-03CGlobalSign
docomoP-03DGlobalSign
docomoP-04BOKGlobalSign
docomoP-04CGlobalSign
docomoP-05BGlobalSign
docomoP-05CGlobalSign
docomoP-06BGlobalSign
docomoP-06CGlobalSign
docomoP-07BGlobalSign
docomoSH-01CGlobalSign
docomoSH-02B-GlobalSign
docomoSH-02CGlobalSign
docomoSH-03DGlobalSign
docomoSH-03EGlobalSign
docomoSH-04B-GlobalSign
docomoSH-04CGlobalSign
docomoSH-05B-GlobalSign
docomoSH-05CGlobalSign
docomoSH-05DGlobalSign
docomoSH-06CGlobalSign
docomoSH-07BGlobalSign
docomoSH-07FGlobalSign
docomoSH-08CGlobalSign
docomoSH-09Cdocomo
docomoSH-10CGlobalSign
docomoSH-11CGlobalSign

au

※1 アップデート実施後、可能  ※2 クロスルート設定有のみ

キャリア機種名GlobalSignverisign実機テスト確認情報サイト備考
auCA001〇 ※1〇 ※1au
auCA002〇 ※1〇 ※1au
auCA003〇 ※1〇 ※1au
auCA004〇 ※1〇 ※1au
auCA005〇 ※1〇 ※1au
auCA006〇 ※1〇 ※1au
auCA007〇 ※1〇 ※1au
auCAY01〇 ※1〇 ※1auG'zOne TYPE-X
auE05SH〇 ※1〇 ※1au
auE06SH〇 ※1〇 ※1au
auE07K〇 ※1〇 ※1au
auE08T〇 ※1〇 ※1au
auE09F〇 ※1〇 ※1au
auE10K〇 ※1〇 ※1au
auF001GlobalSign
auH001〇 ※1〇 ※1au
auHIY01〇 ※1〇 ※1au
auHIY02〇 ※1〇 ※1aubeskey
auK001〇 ※1〇 ※1au
auK002〇 ※1〇 ※1au
auK003〇 ※1〇 ※1au
auK004〇 ※1〇 ※1au
auK005〇 ※1〇 ※1au
auK006〇 ※1〇 ※1au
auK007〇 ※1〇 ※1au
auK008〇 ※1〇 ※1au
auK009〇 ※1〇 ※1au
auK010〇 ※1〇 ※1au
auK011GlobalSign
auK012GlobalSign
auKYX02〇 ※1〇 ※1au
auKYX03〇 ※1〇 ※1au
auKYX04〇 ※1〇 ※1au
auKYY06GlobalSign
auKYY08GlobalSign
auKYY09auMARVERA 2
auKYY10auGRATINA2
auNS01〇 ※1〇 ※1au
auNS02〇 ※1〇 ※1au
auP001〇 ※1〇 ※1au
auPT002〇 ※1〇 ※1au
auPT003GlobalSign
auS001〇 ※1〇 ※1au
auS002〇 ※1〇 ※1au
auS003〇 ※1〇 ※1au
auS004〇 ※1〇 ※1au
auS005〇 ※1〇 ※1au
auS006〇 ※1〇 ※1au
auS007〇 ※1〇 ※1au
auSA001〇 ※1〇 ※1au
auSA002〇 ※1〇 ※1au
auSH001〇 ※1〇 ※1au
auSH002〇 ※1〇 ※1au
auSH003〇 ※1〇 ※1au
auSH004〇 ※1〇 ※1au
auSH005〇 ※1〇 ※1au
auSH006〇 ※1〇 ※1au
auSH007〇 ※1〇 ※1au
auSH008〇 ※1〇 ※1au
auSH009〇 ※1〇 ※1au
auSH010〇 ※1〇 ※1au
auSH011〇 ※1〇 ※1au
auSHY01〇 ※1〇 ※1au
auSOX01〇 ※1〇 ※1au
auSOX02〇 ※1〇 ※1au
auSOY01〇 ※1〇 ※1au
auSOY02〇 ※1〇 ※1au
auSOY03〇 ※1〇 ※1au
auSOY04〇 ※1〇 ※1OKauURBANO MOND
auSOY05〇 ※1〇 ※1au
auT001〇 ※1〇 ※1au
auT002〇 ※1〇 ※1au
auT003〇 ※1〇 ※1au
auT004〇 ※1〇 ※1au
auT005〇 ※1〇 ※1au
auT006〇 ※1〇 ※1au
auT007〇 ※1〇 ※1au
auT008〇 ※1〇 ※1au
auTSX04〇 ※1〇 ※1au
auTSX05〇 ※1〇 ※1au
auTSX06〇 ※1〇 ※1au
auTSY01〇 ※1〇 ※1au

softbank

※1 アップデート実施後、可能  ※2 クロスルート設定有のみ

キャリア機種名GlobalSignverisign実機テスト確認情報サイト備考
softbank001PGlobalSign
softbank001SCGlobalSign
softbank002PSoftbank
softbank002P for BizSoftbank
softbank002SHGlobalSign
softbank004SHSoftbank
softbank103PGlobalSign
softbank105SHGlobalSign
softbank108SHGlobalSign
softbank109SHGlobalSign
softbank202SHGlobalSign
softbank202SH for BizGlobalSign
softbank301POKGlobalSign
softbank301SHGlobalSign
softbank840N×Softbank
GlobalSign
2010年 夏モデル
softbank841N〇 ※2GlobalSign
softbank841SHSoftbank
softbank841SHsSoftbank
softbank842SHSoftbank
softbank942P-情報なし
2010年 夏モデル
softbank944SHGlobalSign
softbank945SHSoftbank
softbank945SH GSoftbank

参考URL

証明書発行会社

GlobalSign

https://jp.globalsign.com/support/faq/541.html?service=ssl

Verisign (2016/2/28)

https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=SO23044&actp=search&viewlocale=ja_JP&searchid=1389342973989&locale=ja_JP&redirected=true#attachment

携帯キャリア

docomo

https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html#p04

au

http://www.au.kddi.com/ezfactory/web/index.html

softbank

http://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html

実際に切り替えた結果

2017/4/12 追記

切り替え後、1年程度経過したが、会社のサイトとしては特に問い合わせもなく、証明書を変更したことによる影響はなさそう。
古いフィーチャーフォンやOS、ブラウザは、グローバルサインのRoot証明書をインストールしていない可能性もあったが、SHA-2対応でほぼ駆逐されている。

サーバ間通信においても、今のところ特に問題も起きていない。恐らくEOLとなっていないOSについては、グローバルサインのRoot証明書はほぼほぼインストールされているかと思われる。

とはいえ、サーバ間通信については、あらかじめ各所に連絡し、ステージング環境等で事前検証はすべきである。