SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU),主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的浏览器版本(如:IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU),也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。
增强型密钥用法(EKU)就是定义该证书的用途,由一串十进制数字组成,也称 Object ID或OID,常见的OID有:服务器验证: 1.3.6.1.5.5.7.3.1 (serverAuth),客户端验证: 1.3.6.1.5.5.7.3.2 (clientAuth),代码签名: 1.3.6.1.5.5.7.3.3 (codeSigning),电子邮件加密: 1.3.6.1.5.5.7.3.4 (emailProtection)等等。
SGC技术就是增加了一个新的OID,NetScape提出的SGC OID为: 2.16.840.1.113730.4.1 (nsSGC),而由微软提出的SGC OID为: 1.3.6.1.4.1.311.10.3.3 (msSGC),两者都已经成为国际标准,所有系统都支持这两个OID。了解了这些以后,您就不难检查一个SSL证书是否支持SGC技术了,根据微软网站知识库文档(文档1或文档2),只要SSL证书的“增强型密钥用法”中含有以上两个OID或含有两个OID的其中一个则都是支持SGC技术的SSL证书。
SGC 技术的 128 位或更高位加密技术的 SSL 证书 :确保最终用户有高强度的安全保护,但又不会要求用户必须升级操作系统和浏览器。也许专业人士懂得公钥加密技术,但一般用户不知道什么是 128 位或 40 位,部署支持 SGC 技术的 SSL 证书不需要用户关心该网站的 SSL 是否支持 128 位。
相对于低版本的浏览器,SGC技术显的非常的重要,如果用户的浏览器版本较低,普通的SSL证书是不能满足128位的加密需要相对于资金交易系统来说这是非常的危险。因此选用SGC技术的SSL证书是资金交易系统所必顺。
国内CA暂时不能提供SGC服务,目前支持SGC技术的服务器证书品牌有VeriSign thawte 的SGC证书实际上是VeriSign根证书颁发!(可以参考verisign.itrus.com.cn thawte.itrus.com.cn了解产品的应用)
对于究竟SGC实现情况业内存在部分争议,但技术上最为成熟的还是VeriSign系列,其部署情况较高。