| SGC技術(Server Gated Cryptography)是在現有的SSL憑證標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密演算法(128位元)出口限制的因素而推出的,由於出口管制的原因,2001年以前推出的流覽器版本(如:IE 5)和伺服器版本(Windows 2000 server)都只支持56位元或40位元加密演算法,但由於電腦硬體技術和CPU處理速度的快速提高,使得破解40位元加密演算法只需幾秒鐘,而破解56位元加密演算法也只需幾天時間。為了加強美國以外的國家的電子商務和網上銀行的安全,SSL憑證業界就在SSL憑證標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU),也就是說:即使受出口限制的40位或56位流覽器或伺服器,只要使用支援SGC技術的SSL憑證,就能不受限制的實現128位加密。這種強制實現128位高強度加密技術簡稱為SGC技術。 增強型密鑰用法(EKU)就是定義該憑證的用途,由一串十進位數字字組成,也稱 Object ID或OID,常見的OID有:伺服器驗證: 1.3.6.1.5.5.7.3.1 (serverAuth),用戶端驗證: 1.3.6.1.5.5.7.3.2 (clientAuth),代碼簽名: 1.3.6.1.5.5.7.3.3 (codeSigning),電子郵件加密: 1.3.6.1.5.5.7.3.4 (emailProtection)等等。
SGC技術就是增加了一個新的OID,NetScape提出的SGC OID為: 2.16.840.1.113730.4.1 (nsSGC),而由微軟提出的SGC OID為: 1.3.6.1.4.1.311.10.3.3 (msSGC),兩者都已經成為國際標準,所有系統都支援這兩個OID。瞭解了這些以後,您就不難檢查一個SSL憑證是否支援SGC技術了,根據微軟網站知識庫文檔(文檔1或文檔2),只要SSL憑證的“增強型密鑰用法”中含有以上兩個OID或含有兩個OID的其中一個則都是支援SGC技術的SSL憑證。
一、如何檢查
如下圖1所示,為 WoSign頒發的SGC SSL憑證(SGC超真SSL),可以看出:在憑證“詳細資訊”的“增強型密鑰用法”一欄比一般的SSL憑證多了兩個未知密鑰演算法:“未知密鑰演算法(2.16.840.1.113730.4.1)”和“未知密鑰演算法(1.3.6.1.4.1.311.10.3.3)”,這就是SGC強制128位元加密演算法的OID,表明此SSL憑證就是支持SGC技術的SSL憑證,可以實現高度安全的強制128位加密,而不管用戶端的流覽器是40位的還是56位的。
如下圖2所示,為 Thawte 頒發給Goolge的SGC憑證(SGC SuperCerts),可以看出:在憑證“詳細資訊”的“增強型密鑰用法”一欄比一般的SSL憑證多了一個“未知密鑰演算法(2.16.840.1.113730.4.1)”,這就是SGC的OID,表明此SSL憑證就是支持SGC技術的SSL憑證,可以實現高度安全的強制128位加密,而不管用戶端的流覽器是40位的還是56位的。
如下圖3所示,為 VeriSign 頒發給廣東電信的SGC憑證(Secure Site Pro),可以看出:在憑證“詳細資訊”的“增強型密鑰用法”一欄比一般的SSL憑證多了一個“未知密鑰演算法(2.16.840.1.113730.4.1)”,這就是SGC的OID,表明此SSL憑證就是支持SGC技術的SSL憑證,可以實現高度安全的強制128位加密,而不管用戶端的流覽器是40位的還是56位的。
請注意:VeriSign SSL憑證(全球伺服器憑證-8000元)支援SGC技術(安全伺服器憑證-5000元不支援SGC),Thawte只有SGC SuperCerts才支援SGC技術,GeoTrust所有SSL憑證都不支援SGC技術。而WoSign的 SGC超真SSL 全面支持SGC技術,同時也是業界唯一一個同時支持兩個 SGC OID 的SGC憑證。
二、如何驗證
如果您是技術人員,已經購買SGC憑證,您可以實際驗證一下是否真的支援128位加密。如下圖4所示,沒有升級的Windows 2000的IE流覽器只支援56位元加密演算法:
現在,把IIS設置為“要求128位加密”,如下圖5所示,如果您部署的是不支援SGC技術的SSL憑證,則對於使用只支援56位加密的IE 5流覽器的用戶流覽網站時,流覽器會提示:“該頁必須使用安全性較高的 Web 流覽器查看,您要訪問的資源使用了 128 位版本的“安全套接字層 (SSL)”安全保護。要查看該資源,您需要使用支援該版本 SSL 的流覽器。HTTP 錯誤 403.5 - 禁止訪問:需要使用 SSL 128 查看該資源”而無法正常流覽,如下圖6所示:
但是,如果您部署的是支援SGC技術的SSL憑證,則使用只支援56位加密的IE 5流覽器不會出現以上提示,能正常流覽網站。把滑鼠放到流覽器下方的“安全鎖”上會顯示“可靠的SSL(128位元)”,右擊頁面查看頁面屬性,會顯示“連接:SSL 3.0, RC4 (128 位加密(高)); RSA(1024 位交換)。”表明此頁面確實是128位元加密的,即使是使用只支援56位元加密演算法的流覽器。如下圖7所示。請注意:可能是IE 5的Bug,把滑鼠放到流覽器下方的“安全鎖”上時,有時會顯示“可靠的SSL(56位)”,但右鍵查看頁面屬性是128位元加密的。因為如果是56位加密的話,則由於伺服器已經設置為“要求128位加密”,會無法正常顯示頁面的,只要能正常顯示,則一定是128位加密的。
考慮到目前我國電腦用戶中 70% 以上的用戶還在使用IE 5.0或4.0流覽器(僅支援56位和40位加密),所以支援SGC技術的SSL憑證就顯得非常重要了!如果使用一般的不支援SGC技術的SSL憑證,則對於使用IE 5.0或4.0流覽器的用戶來講有SSL憑證就等同於沒有SSL憑證,因為40位的加密只需幾秒鐘就可以破解!這也說明了為何銀行網站都是使用VeriSign支援SGC技術的SSL憑證的原因。
WoSign 認為: 所有重視保護機密資訊的用戶、特別是涉及到金融類網站或有機密資訊有可能被破解危險的網站都應該部署支援SGC技術的SSL憑證,否則會誤導用戶以為流覽器下方有安全鎖就安全了!
WoSign SGC超真SSL憑證同時具有微軟和NetScape的SGC OID,而VeriSign/Thawte SGC憑證只有NetScape的SGC OID,這樣,WoSign SGC憑證能更好地支援微軟的流覽器和伺服器軟體,具有更好的通用性,歡迎選購!
。
|
