Evaluation des Nutzens und der Auswirkungen von Server

Grenzen der SGC-Technologie

Ursprünge von SGC

sgc-infographic

GC wurde als Reaktion auf die US-Bundesgesetzgebung zu Einschränkungen rund um den Export von starker Kryptographie (alles über 40 Bit) in den 1990er Jahren eingeführt. Die Gesetzgebung betraf die damaligen großen US Browserhersteller - Microsoft und Netscape - deren Browsersoftware außerhalb der USA exportiert wurde. Allerdings wurde, aufgrund der Erkenntnis eines legitimen Bedürfnisses nach starker Verschlüsselung für internationale Finanztransaktionen, eine Ausnahmeregelung geschaffen, um eine starke Verschlüsselung für SSL Zertifikate für Finanzorganisationen zu erlauben, die durch eine Technologie namens SGC (Server Gated Cryptography) erbracht wurde. Die Gesetzgebung zum Verschlüsselungsexport wurde im Jahr 2000 gelockert, und existiert heute nicht mehr. 2000 markierte den Start von ganz neuen Browsern, inklusive Exportversionen, die starke Verschlüsselungsstufen von 128 Bit und mehr unterstützten, ohne die Notwendigkeit von SGC.

Was macht SGC eigentlich?

Die US-Kryptographie Ausfuhrbeschränkungen von Mitte der 1990er Jahre bis 2000 bedeuteten, dass einige alte Exportversionen der Internet Explorer- und Netscape-Browser nur SSL-Verschlüsselungsstufen von 40 Bit leisten konnten. 40-Bit-Verschlüsselung ist mit der heutigen Rechenleistung knackbar. SGC, oder Server Gated Cryptography, wurde entwickelt, um diese Browserversionen mit schwacher Verschlüsselung zu zwingen, die stärkere 128-Bit-Verschlüsselung zu verwenden. Die Browser, die von SGC profitieren können, sind beschränkt auf die exportierten Versionen von:

  • Internet Explorer Export-Browserversionen von 3.02 bis 5.01

  • Netscape Export-Browserversionen von 4.02 bis 4.72

  • Windows 2000-Systeme, die vor März 2001 ausgeliefert wurden, die nicht Microsofts High Encryption Pack oder Service Pack 2 heruntergeladen haben und die Internet Explorer verwenden

Zur leichteren Orientierung wird die obige Liste im Rest dieses Artikels als "SGC Browser" bezeichnet.

Warum SGC schlecht sein kann?

1. Unterstützt die Nutzung von unsicherer Software

Zertifizierungsstellen, Browser-Hersteller und verantwortungsvolle Website-Besitzer sollten Ihre Kunden auffordern, die neueste, gepatchte Software zu verwenden und nicht die Verwendung von unsicherer, gefährlicher Software erleichtern. SGC rüstet schwache Verschlüsselung nach, widmet sich aber nicht den vielen Sicherheitsschwachstellen, die in den SGC Browsern vorhanden sind. Solche Exploits machen die SGC Browser anfällig für Man in the Middle-Attacken, Botnet-Infektion, Keylogger Exploits und Malware-Infektion.

Große E-Commerce-Anbieter wie PayPal äußern sich aktiv zur anhaltenden Unterstützung von unsicheren Browsern, die für Finanztransaktionen verwendet werden. Sie sagen, dass es "genauso ist, als wenn ein Autohersteller Fahrern erlaubt, eines seiner Fahrzeuge ohne Sicherheitsgurte zu kaufen." (PayPal Chief Information Security Officer Michael Barrett, http://www.eweek.com/c/a/Security/PayPal-Plans-to-Ban-Unsafe-Browsers/)

Benutzer und Website-Besitzer anzuhalten, ihre Besucher dazu zu erziehen, die neuesten gepatchten Browser zu verwenden, ist kein neues Konzept und wird seit vielen Jahre stark unterstützt:https://www.thepaypalblog.com/wp-content/uploads/2008/07/a_practical_approach_to_managing_phishing_april_2008.pdf.

2. SGC Browser unterstützen nicht die neuesten Überarbeitungen der SSL/TLS-Protokolle

Aufgrund ihrer Art sind SGC Browser veraltet und können nicht die aktuellen Überarbeitungen der clientseitigen Implementierung des SSL-Protokolls unterstützen, wie z.B. Fixes für neue Schwachstellen und aktuelle Verbesserungen am Protokoll selbst.

3. SGC Browser unterstützen nicht die neuesten Klassifikationen der SSL-Zertifikate

2007 wurde ein neuer Standard für SSL von den Mitgliedern des CA/B Forums ratifiziert – Extended Validation, oder EV SSL. Der neue Standard beinhaltet eine Reihe von spezifischen Identitätsprüfungsanforderungen, die durch eine andere SSL-Zertifikatsstruktur wiedergegeben werden. Browser können EV SSL-Zertifikate identifizieren und stellen die verbesserten Zertifikate durch Grünfärbung der Adressleiste des Browsers dar und bieten dem Anwender vertrauenswürdigere Identitätszusicherung. EV SSL wurde etwa 7 Jahre nach dem letzten SGC Browser eingeführt. Daher können SGC Browser dem Anwender die erweiterten Vorteile der Begegnung mit einem EV SSL-Zertifikat nicht bieten. Besitzer von Websites, die in EV SSL investieren, sollten auch Besucher auffordern, auf Browser zu aktualisieren, die die zusätzlichen Vorteile, in die sie investiert haben, übermitteln können.

4. So wenige Browser benötigen noch SGC

SGC ist nur sinnvoll, wenn der Client noch eine Version des SGC Browsers vor 2000 verwendet. Nach Überarbeitungszeiträumen für Browser sind dies archaische Versionen der Browser.

Zum Beispiel:

  • Im Juli 2012 steht der Internet Explorer bei Version 9. Microsoft hat die gesamte Unterstützung und Verbreitung von Internet Explorer 5.01 und früheren Versionen seit vielen Jahren eingestellt. Im Dezember 2008 lag die IE5 Nutzung nur noch bei 0,3% (www.w3schools.com).

  • In 2007 stellte Netscape seinen Netscape Browser ein. Im Dezember 2009 lag die Netscape Nutzung nur noch bei 0,07% (www.statowl.com).

  • Weder Netscape noch IE 5.01 (oder früher) stehen bei ihren Herstellerfirmen zum Download bereit.

Obwohl eine Quantifizierung schwierig ist, sollten Besitzer von Websites auch die Wahrscheinlichkeit berücksichtigen, ob ein Kunde, der einen SGC Browser benutzt, ein ernsthafter Kunde ist. Überlegen Sie, wie wahrscheinlich es ist, dass ein Browser, der seit 10 Jahre nicht mehr aktuell ist, für legitime Transaktionen verwendet wird. Und was noch wichtiger ist: Wollen Sie mit einem Browser Geschäfte machen / sensible Informationen austauschen, der bekannt dafür ist, viele Sicherheitslücken zu enthalten und der nicht in der Lage ist, die neuesten SSL/TLS-Überarbeitungen zu verwenden?

GlobalSigns Haltung zu SGC

GlobalSign ist einer der ursprünglichen Vertrauensanbieter im Internet, und wir nehmen unsere Rolle sehr ernst. Wir leisten durch Tools, Informationen und Beratung bedeutende Beiträge zur SSL-Landschaft, und unsere Haltung zu SGC steht im Einklang mit unserer Mission, die Sicherheit und Verwendung von SSL für alle zu verbessern.

Wir glauben fest daran, dass SGC schwerwiegendere Schwachstellen überdeckt. Der Zweck von SGC wird unterlaufen, wenn ein potenzieller Angreifer eine Sicherheitslücke im Browser oder im Protokoll, das nicht zur Verschlüsselungsstärke in Beziehung steht, ausnutzen kann. Benutzer, die eine höhere Sicherheit wollen, müssen ihre Software auf dem neuesten Stand halten, und wenn möglich, auf die neuesten Browserversionen aktualisieren, um von den in diesen neueren Versionen angebotenen Sicherheitsverbesserungen zu profitieren.

GlobalSign glaubt nicht, dass SGC einen wirklichen Wert in der heutigen Internet-Landschaft bietet, und wir raten von seiner Verwendung ab. Im Einzelnen:

  • Einige Zertifizierungsstellen verlangen einen Aufpreis für SGC. Diese Preispolitik legt nahe, dass es in der Vergangenheit eine weit verbreitete Markterwartung gab, dass SGC sinnvoll wäre und aufgrund der begrenzten Anzahl von CAs, die SGC anbieten durften, nutzten sie es als Wettbewerbsvorteil gegenüber nicht SGC-fähigen CAs. Wir glauben, dass diese Zeit vorbei ist.

  • Da wir nicht glauben, dass SGC einen signifikanten Wert hat, empfehlen wir stattdessen Partnern und Kunden Ihre Zeit und Mühe dazu zu verwenden, Upgrades anzuregen, um große Sicherheitslücken zu füllen, statt belanglose Sicherheitsprobleme zu beheben.

  • Wir empfehlen Ihnen auch serverseitige SSL Best Practices (demnächst mehr zu diesem Thema) zu erzwingen. Das ist viel effektiver bei der Bereitstellung hoher Sicherheit als SGC zu verwenden. Schauen Sie häufig beim GlobalSign SSL-Informationszentrum vorbei, da wir neue Ressourcen und Tools ergänzen, damit Sie Best Practices bei der SSL-Implementierung erreichen.