某些 SSL 服务器证书具有称为 SGC(自动加密强度增加)的功能。
正式名称是“Server Gate Cryptography”,在日语中似乎有时也译为“Server Gate Cryptography”。然而,它经常被用作“SGC”。
总之,SGC是一个“强制老浏览器加密强度”的功能。但是,目前有被废除的趋势。
目录
- 1 什么是密码强度?
- 2即使使用较旧的浏览器也能实现高度安全的加密通信
- 3目前,“旧浏览器本身的安全漏洞”是个问题
- 4总结-完成任务的SGC-
什么是密码强度?
首先,什么是加密强度?它显示了通过SSL对通信进行加密时的加密强度。强度以数字和位表示,例如 128 位。
加密强度有几个级别,但很简单,数字越大,越强(越难破解密码)。随着时间的推移,互联网上使用的密码强度逐渐增加,例如40 位/56 位/128 位/256 位。
即使使用较旧的浏览器也能实现高度安全的加密通信
但是,无论服务器端的加密功能有多强,除非浏览器端支持,否则它是没有意义的。
举一个具体的例子,假设您有一个 SSL 服务器证书,允许在网站上进行 128 位加密。但是,假设使用该站点的用户的浏览器很旧,只能支持 56 位。那么,最终,通信将不得不使用 56 位加密来完成,这将是不够安全的通信。
* 由于现在明确 128 位或更少的加密存在风险,新发行的服务器证书原则上将是 256 位或更多。
* 由于现在明确 128 位或更少的加密存在风险,新发行的服务器证书原则上将是 256 位或更多。
因此,创建了一个功能,即使在旧浏览器访问时也能使用 128/256 位进行加密通信。那就是“SGC”。
SGC好像也叫“自动加密强度增加”,因为它好像增加了浏览器的加密强度(在SSL服务器证书端)。
目前,“旧浏览器本身的安全漏洞”是个问题
一个叫做 SGC 的功能就是在这样的背景下诞生的,但现在它变得不符合主要证书颁发机构的要求,或者更确切地说是“不推荐”。
这是因为 Microsoft 和其他公司不再正式支持 SGC 所针对的旧浏览器(特别是 Internet Explorer 4.x-5.x 等)。换句话说,即使 SSL 加密的部分是安全的(使用 SGC),还有无数其他“包含在浏览器应用程序本身中的安全漏洞”。
从“继续接受旧浏览器使用的想法存在安全问题”的角度来看,各大认证机构倾向于取消该功能。比如,以号称渗透率最高的GlobalSign为例,我们也详细讲解了SGC是如何诞生的,以及目前的应对政策。
・ 参考文章:隐藏在 SGC 兼容 SSL 服务器证书中的安全坑 – GlobalSign
总结-完成任务的SGC-
当然,在浏览器端SSL支持趋于滞后的时代,SGC有一定的便利性。
不过目前各种浏览器也都支持256位加密,由于有自动更新功能,很容易随时保持最新版本。当然,有些浏览器太旧而无法自动更新,但这些应用程序不再受支持,应避免使用。
为此,名为 SGC 的函数几乎完成了它的作用。以后选择SSL服务器证书时,不需要考虑是否支持SGC。
