¿Qué es SGC?

Evaluación de la necesidad de la implicaciones de SGC


Orígenes de la SGC

SGC surgió en respuesta a la legislación federal de los EE.UU. en relación con las restricciones a la exportación de criptografías complejas (por encima de 40 bits) en la década de 1990. La legislación afectó a los principales proveedores de navegadores comerciales de los EE.UU. (Microsoft y Netscape), cuyos paquetes de software de navegación ya estaban siendo exportados fuera del país. Sin embargo, en reconocimiento a la necesidad legítima de dotar a las transacciones financieras internacionales de una encriptación compleja, se aprobó una excepción que permitía a las organizaciones financieras utilizar este tipo de encriptación para sus certificados SSL y que se ofrecería a través de una tecnología denominada SGC (Criptografía Activada por Servidor). La legislación en materia de exportación de datos encriptados se relajó en 2000, y en la actualidad ha dejado de estar vigente. El año 2000 estuvo además marcado por el nacimiento de los nuevos navegadores, que incluían versiones de exportación, compatibles con niveles de encriptación compleja de 128 bits o más sin necesidad de contar con una SGC.

¿En qué consiste exactamente la SGC?

Las restricciones a la exportación de datos encriptados de los EE.UU. de mediados de la década de 1990 hasta 2000 obligaron a que algunas de las versiones de exportación más antiguas de Internet Explorer y Netscape solo fuesen compatibles con niveles de encriptación SSL de 40 bits. La potencia de los ordenadores actuales permite violar fácilmente las encriptaciones de 40 bits. La SGC, o Criptografía Activada por Servidor, se diseñó para forzar a estas versiones de navegadores con una encriptación débil a utilizar una encriptación más compleja de 128 bits. Los navegadores compatibles con la SGC son las versiones de exportación de:

- Versiones 3.02 a 5.01 del navegador exportado Internet Explorer
- Versiones 4.02 a 4.72 del navegador exportado Netscape
- Los sistemas Windows 2000 comercializados antes de marzo de 2001 en los que no se haya descargado High Encryption Pack o Service Pack 2 de Microsoft y que son capaces de usar Internet Explorer.

En lo sucesivo nos referiremos a los navegadores anteriores como “navegadores SGC”.

Razones que desaconsejan el uso de la SGC

1. Compatible con el uso de software no seguro: las Autoridades de Certificación, los proveedores de navegadores y los propietarios de páginas web responsables deberían animar a sus clientes a utilizar el software más actualizado y reciente y no facilitar el uso de software no seguro y no protegido. La tecnología SGC permite actualizar las encriptaciones más débiles, pero no aborda las diversas vulnerabilidades de seguridad presentes en los navegadores SGC. Estos paquetes de software facilitan los ataques a los navegadores SGC por parte de intrusos, las infecciones de botnet, las explotaciones de keylogging y las infecciones de malware.

Importantes proveedores de servicios de comercio electrónico, como PayPal, reiteran lo paradójico que resulta que las transacciones financieras sigan siendo compatibles con navegadores inseguros, y afirman que equivale a que un fabricante de coches permita a los conductores comprar uno de sus vehículos sin cinturones de seguridad.

2. Los navegadores SGC no son compatibles con las últimas revisiones de los protocolos SSL/TLS: por su propia naturaleza, los navegadores SGC están obsoletos y no son compatibles con las continuas revisiones de la implantación del protocolo SSL del lado del cliente, revisiones que incluyen parches para nuevas vulnerabilidades y mejoras constantes del propio protocolo.

3. Los navegadores SGC no son compatibles con la última clasificación de certificados SSL: en 2007 los miembros del Foro de Navegadores y Autoridades de Certificación ratificaron una nueva norma para los certificados SSL: Validación ampliada o EV SSL. La nueva norma incorpora una serie de requisitos de verificación de la identidad específicos, representados en una estructura de certificados SSL distinta. Los navegadores son capaces de identificar los certificados SSL con validación ampliada y distinguir estos certificados mejorados haciendo que la barra de direcciones del navegador cambie a verde, lo que ofrece al usuario una mayor garantía de identidad. Los certificados SSL con validación ampliada se presentaron hace alrededor de siete años, después del lanzamiento del último navegador SGC. Por ello, los navegadores SGC no son capaces de ofrecer al usuario las ventajas mejoradas de dar con un certificado SSL con validación ampliada. Los propietarios de páginas web que inviertan en un certificado SSL con validación ampliada deberían además animar a los visitantes a actualizar su navegador con el fin de obtener el máximo rendimiento de su inversión.

4. Cada vez son menos los navegadores que necesitan SGC: La SGC solo resulta ventajosa si el cliente utiliza una versión del navegador SGC anterior al año 2000. En la cronología de las revisiones de los navegadores, esto implica utilizar una versión de navegador arcaica.

La posición de GlobalSign con respecto a la SGC

GlobalSign es uno de los primeros proveedores de servicios de confianza en Internet, y trabaja para salvaguardar su reputación. Contribuye activamente al ecosistema SSL mediante herramientas, información y orientación, y su posición con respecto a la SGC es coherente con su misión de mejorar la seguridad y el uso de los servicios SSL para todos.

GlobalSign cree firmemente que la SGC oculta vulnerabilidades más serias. El objetivo de la SGC queda anulado en el momento en el que un posible atacante es capaz de aprovechar una brecha de seguridad en el navegador o el protocolo no vinculada con la solidez de la encriptación. Los usuarios que desean disfrutar de una seguridad más robusta deben mantener sus paquetes de software actualizados y, siempre que sea posible, optar por la última versión de navegador para poder beneficiarse de las mejoras de seguridad ofrecidas por estas versiones más recientes.

GlobalSign no cree que la SGC ofrezca una ventaja real en el ecosistema de Internet actual, por lo que no aconseja su uso.

Algunas Autoridades de Certificación cobran una prima por la SGC. Esta política de precios parece indicar que históricamente había existido una visión mercantilista muy extendida que defendía el valor de la SGC. Debido a que solo algunas Autoridades de Certificación son capaces de ofrecer SGC, las que sí podían, lo utilizaban como ventaja competitiva frente a otras Autoridades de Certificación no capacitadas para ofrecer SGC. GlobalSign cree que este periodo ya ha terminado.

Puesto que GlobalSign no considera que la SGC aporte un valor significativo, y lo que resulta más importante, con el fin de adoptar las mejores prácticas en materia de seguridad, la empresa ha dejado de ofrecer SGC como opción en sus certificados. Por el contrario, GlobalSign recomienda a sus socios y clientes que dediquen su tiempo y sus esfuerzos a fomentar las actualizaciones con el fin de solucionar los principales fallos de seguridad. Asimismo, GlobalSign le anima a adoptar las buenas prácticas en materia de seguridad SSL en el lado del servidor, puesto que este enfoque es mucho más eficaz para conseguir la máxima seguridad que el uso de la SGC.

Visite con regularidad el Centro de Información SSL de GlobalSign para consultar los nuevos recursos y herramientas que le ayudarán a implantar las buenas prácticas SSL.