Server-Gated Cryptography ( SGC ), также известная как International Step-Up от Netscape , — это несуществующий механизм, который использовался для перехода с 40-битных или 56-битных на 128-битные наборы шифров с SSL . Он был создан в ответ на федеральное законодательство США об экспорте стойкой криптографии в 1990-х годах. [1] Законодательство ограничивало шифрование слабыми алгоритмами и более короткой длиной ключей в программном обеспечении, экспортируемом за пределы Соединенных Штатов Америки . Когда законодательство добавило исключение для финансовых транзакций, SGC был создан как расширение SSL с сертификатами, ограниченными финансовыми организациями. В 1999 году этот список был расширен и включил онлайн-торговцев, организации здравоохранения и страховые компании. [2] Это законодательство изменилось в январе 2000 года, в результате чего поставщики больше не поставляли браузеры экспортного класса, а сертификаты SGC стали доступны без ограничений.
Internet Explorer поддерживал SGC, начиная с исправленных версий Internet Explorer 3. SGC устарел , когда Internet Explorer 5.01 SP1 и Internet Explorer 5.5 начали поддерживать надежное шифрование без необходимости в отдельном пакете высокого шифрования (за исключением Windows 2000 , которому нужен собственный пакет высокого шифрования, включенный в Service Pack 2 и более поздние версии). [3] Браузеры «экспортного уровня» непригодны для использования в современном Интернете из-за того, что многие серверы отключают наборы экспортных шифров. Кроме того, эти браузеры не могут использовать алгоритмы хэширования подписей семейства SHA-2, такие как SHA-256. Центры сертификации пытаются постепенно отказаться от новой выдачи сертификатов со старым алгоритмом хэширования подписей SHA-1.
Продолжающееся использование SGC облегчает использование устаревших, небезопасных веб-браузеров с HTTPS. [4] [5] Однако, хотя сертификаты, использующие алгоритм хэширования подписи SHA-1, остаются доступными, некоторые центры сертификации продолжают выдавать сертификаты SGC (часто взимая за них дополнительную плату), хотя они устарели. Причина, по которой центры сертификации могут взимать дополнительную плату за сертификаты SGC, заключается в том, что браузеры разрешают поддерживать SGC только ограниченному числу корней.
Когда происходит SSL-рукопожатие, программное обеспечение (например, веб-браузер ) перечисляет шифры , которые оно поддерживает. Хотя более слабые экспортированные браузеры включают только более слабые шифры в свое первоначальное SSL-рукопожатие, браузер также содержит более сильные алгоритмы криптографии. Для их активации задействованы два протокола. Netscape Communicator 4 использовал International Step-Up, который использовал теперь устаревший небезопасный повторный поиск для перехода на более сильный набор шифров. Microsoft использовал SGC, который отправляет новое сообщение Client Hello, перечисляющее более сильные наборы шифров по тому же соединению после того, как сертификат определяется как совместимый с SGC, а также поддерживал Netscape Step-Up для совместимости (хотя эта поддержка в версиях NT 4.0 SP6 и IE 5.01 имела ошибку, из-за которой изменение алгоритмов MAC во время Step-Up работало неправильно). [ необходима цитата ]