Zvyšte bezpečnost starších systémů s SGC certifikátem
15.7.2013 | Jindřich Zechmeister
SGC certifikát sloužil v době svého vzniku pro zvýšení úrovně šifrování, a to až kvadriliónkrát! Dnes je tato úroveň šifrování standardem a SGC certifikáty se používají převážně pro dosažení kompatibility se zastaralými systémy. Jejich úlohu nejsilnějšího možného zabezpečení nahradily EV certifikáty s rozšířeným ověřením.
Co znamená SGC a proč vzniklo?
Zkratka SGC (Server Gated Cryptography) označuje rozšíření SSL protokolu, které bylo vyvinuto začátkem 90. let. Důvodem vytvoření tohoto rozšíření byla legislativa spojených států a exportní omezení. Bylo zakázáno exportování silných algoritmů mimo území Spojených států (tzv. exportní šifry); produkty exportované mimo Spojené státy musely používat slabší algoritmy a kratší klíče.
Prohlížeče musely používat nízkou úroveň šifrování 40 či 56 bitů, což se však neshodovalo s požadavky bezpečnosti obecně, ale zejména s požadavky zabezpečení finančních transakcí. Finančním institucím legislativa povolovala použití silnějšího šifrování právě prostřednictvím SGC certifikátů. Vzniklo tedy rozšíření SSL protokolu, které umožnilo prohlížečům používat silnější šifrování, které jinak nebylo k dispozici. Tímto byl problém vyřešen až do doby zrušení dotyčné legislativy koncem 90. let. Nyní může SGC certifikát používat každá organizace.
SGC umí "zapnout" silnější šifrování prohlížeče
Jak bylo zmíněno výše, rozšíření Server Gated Cryptography umožňuje zvýšit úroveň šifrování komunikace ze 40 či 56 bitů na silnější šifrování o 128 bitech. To je kvadriliónkrát silnější, než šifrování 40bitové (kvadrilion, v USA septilion =1x10^24).
Nižší bitová hloubka šifrování než 128 bitů je již dlouho nedostačující, protože takové šifrování je snadné dnešními prostředky prolomit. Tato nedostačující hloubka šifrování se již prakticky nepoužívá; od přelomu tisíciletí začaly prohlížeče používat silnější 128bitové šifrování. Dnes vydávané certifikáty podporují 128bitové šifrování a je možné využít i šifrování 256bitové.
Pro jaké použití je SGC certifikát vhodný?
SGC své uplatnění nachází všude tam, kde se používají starší systémy, nebo kde je nutné zajistit vysokou bezpečnost přenosu a zároveň kompatibilitu se staršími prohlížeči a operačními systémy. Z historických důvodů se SGC používalo zejména ve finančním sektoru, kde byla nízká bitová hloubka šifrování velkým rizikem.
SGC certifikáty lze doporučit hlavně k zajištění standardní úrovně šifrování pro návštěvníky, jejichž zařízení není kompatibilní s moderními SSL certifikáty a nemohou dosáhnout silného 128bitového šifrování s běžnými SSL certifikáty. Jedná se zejména o software z 90. let a přelomu tisíciletí, který je vzhledem ke stáří bezpečnostním rizikem sám o sobě. Používání operačního systému Windows XP je dnes považován za bezpečnostní riziko, nemluvě o starších systémech Windows 95, 98 a 2000.
Podpora SGC na serverech a v prohlížečích
Rozšíření SGC podporují webové servery IIS od verze 4.0,. Internet Explorer používal SGC od verze 3.02. Vdnešní době již všechny prohlížeče umí používat 128b šifrování a SGC certifikáty jsou v podstatě zbytečné. Mohou však stále zajistit kompatibilitu se staršími prohlížeči a systémy, které 128b šifrování nepodporují.
Tyto prohlížeče dokáží dočasně využít 128b šifrování s SGC certifikátem:
- Internet Explorer 3.02 až 5.5
- Netscape 4.02 až 4.72
- Systémy s Windows 2000 s IE, nepoužívající High Encryption Pack nebo Service Pack 2
Internet Explorer ve verzi nižší než 3.02 a Netscape ve verzi nižší než 4.02 neumí použít 128b šifrování vůbec.
Místo SGC používejte EV certifikáty
Server Gated Cryptography je technologií 90. let a v novém tisíciletí již není zapotřebí. V nabídce certifikačních autorit SGC certifikáty nadále zůstávají; jsou připomínkou toho, jak výrazně pokročilo šifrování a webové prohlížeče od devadesátých let.
Pokud chcete svým návštěvníkům zajistit silné šifrování a neprostou důvěryhodnost, použijte raději EV certifikát srozšířeným ověření. Tyto certifikáty jsou stejně jako SGC certifikáty v 90. letech nejbezpečnější volbou. Podporují silné 128bitové a 256bitové šifrování, a díky komplexnímu procesu ověření jsou důvěryhodné a na první pohled rozpoznatelné.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz