为何 WoSign 新根证书将不再签发支持SGC技术的SSL证书?
熟悉 WoSign 数字证书产品线的老用户一定会问:为何 WoSign 新根证书不再签发支持SGC技术的SSL证书?这不是技术问题,而是一个CA应该如何真正为用户着想的问题.
根据Mozilla.org网站上提供的Bug更新日志: Bug 476807 - Remove SSL Step Up trust bits for all roots in root store,火狐浏览器已于2010年4月3日彻底删除已经有10年多没有起任何作用的实现SGC强制128位加密功能代码。
此Bug的发起人Gervase Markham有一句话很有意思:Anyone still using "It supports SGC/Step Up" as a marketing mechanism is either a) encouraging the use of long-outdated, insecure and standards - incompliant browsers, or b) using FUD. Neither is to be encouraged. I agree that this move is not necessary from a technical point of view but we can send a message that this is bad by allowing people to say "Firefox no longer supports Step Up".(任何公司如果仍然还在使用“SSL证书支持SGC技术”作为销售卖点的话,则只有两种可能:一是 鼓励用户使用老掉牙的、不安全的、与标准不兼容的老版本浏览器;二是 FUD(惧、惑、疑)。这两种情况都不鼓励。我同意删除此代码不仅是从技术角度来考虑,而且要告诉业界—不要散布什么火狐浏览器不支持SGC技术的谎言。)
这里要讲一下FUD是什么意思,根据 wikipedia 的解释是:FUD,即 Fear, Uncertainty, Doubt,英文意思为惧、惑、疑。最早出自一个原IBM公司工程师Gene Amdahl 之口,Gene Amdahl离开 IBM 后自行创立 Amdahl 公司,成为 IBM 竞争对手,FUD最早意指 IBM 销售人员对客户灌输关于Amdahl 和其他竞争公司产品的负面观念,也就是在顾客的头脑中注入疑惑与惧怕,然后,你说什么客户就可能信什么。这种行销手法现在经常用于电脑业界产品的销售。
总结一下以上Gervase Markham观点:现在用户使用的浏览器都已经支持128位加密,根本没有必要使用支持SGC强制128位加密技术的问题,这只是某些证书颁发机构销售其SSL证书的噱头而已,是一种FUD行为。这等于为了能卖出贵的SSL证书而鼓励用户使用不安全的低版本浏览器,而使用低版本浏览器的用户不仅极少(据 Hitslink.com统计数据:不支持128位加密的 IE5浏览器用户在0.05%以下,估计已经接近0),而且非常不安全,有许多安全漏洞。其观点已经得到火狐浏览器的认可,火狐浏览器已经于2010年4月3日彻底删除已经有10年多没有起任何作用的SGC功能代码。
可能有些用户不了解SGC/Step up的来历,SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU),主要是因为2000年以前美国政府对高强度加密算法(128位)出口限制而推出的,由于出口管制的原因,2001年以前推出的浏览器版本(如:IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法,也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。
微软于1999年推出的IE 5.01是需要SGC强制128位加密的最后版本,而且微软已经早就发布了让IE5.01升级支持128位加密的更新包。另一个支持SGC的浏览器是网景(Netscape)浏览器 4.74版本,网景公司早就不存在了,当然也绝对没有用户在使用此版本浏览器了。
现在已经是2011年了,各种浏览器经过了11年多的发展,早就已经全部支持128位加密,根本无需SGC技术来实现128位加密。2000 年1月美国政府就放开了128位加密技术的限制,也就是说,从2000年1月起,所有浏览器已经不再需要SGC技术来实现128位加密了,所以许多证书颁发机构也就不再销售支持SGC的SSL证书。
但是,由于 VeriSign 一直在强力推销其支持SGC技术的SSL证书Secure Site Pro,使得其他证书颁发机构也跟风销售此类SSL证书。大家从价格上就能找到答案:Secure Site Pro卖8000元,而自适应加密强度的Secure Site只卖5000元,价格相差将近一倍哦。所以,Gervase Markham 认为鼓吹推销SGC SSL证书就是一种FUD行为。
WoSign 在创建自己的顶级根证书和新的证书颁发系统时才彻底了解了SGC技术,作为一个技术型的公司和一个中国市场领先者,我们不能因为自身利益的原因而提供用户不需要的昂贵的产品。所以,我们决定不仅不再提供支持SGC技术的产品,而且公开发布此揭秘文章,是希望还广大SSL证书用户一个明明白白消费的真相,千万不要由于对于安全的疑惑与惧怕而听信了任何公司鼓吹SGC SSL证书的销售人员的话,要理智地消费:普通网站部署 OV SSL证书 就可以了(便宜不少);而对于电子商务网站,则强烈推荐选购浏览器地址栏显示为绿色的EV SSL证书。