如何查验SSL证书是否支持SGC强制128位加密技术?

SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU)，主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的，由于出口管制的原因，2001年以前推出的浏览器版本(如：IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法，但由于电脑硬件技术和CPU处理速度的快速提高，使得破解40位加密算法只需几秒钟，而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全，SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU)，也就是说：即使受出口限制的40位或56位浏览器或服务器，只要使用支持SGC技术的SSL证书，就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。

增强型密钥用法(EKU)就是定义该证书的用途，由一串十进制数字组成，也称 Object ID或OID，常见的OID有：服务器验证： 1.3.6.1.5.5.7.3.1 (serverAuth)，客户端验证： 1.3.6.1.5.5.7.3.2 (clientAuth)，代码签名： 1.3.6.1.5.5.7.3.3 (codeSigning)，电子邮件加密： 1.3.6.1.5.5.7.3.4 (emailProtection)等等。

SGC技术就是增加了一个新的OID，NetScape提出的SGC OID为： 2.16.840.1.113730.4.1 (nsSGC)，而由微软提出的SGC OID为： 1.3.6.1.4.1.311.10.3.3 (msSGC)，两者都已经成为国际标准，所有系统都支持这两个OID。了解了这些以后，您就不难检查一个SSL证书是否支持SGC技术了，根据微软网站知识库文档(文档1 或文档2 )，只要SSL证书的“增强型密钥用法”中含有以上两个OID或含有两个OID的其中一个则都是支持SGC技术的SSL证书。

一、如何检查

如下图1所示，为WoSign颁发的SGC证书(SGC超真SSL)，可以看出：在证书“详细信息”的“增强型密钥用法”一栏比一般的SSL证书多了两个未知密钥算法：“未知密钥算法(2.16.840.1.113730.4.1)”和“未知密钥算法(1.3.6.1.4.1.311.10.3.3)”，这就是SGC强制128位加密算法的OID，表明此SSL证书就是支持SGC技术的SSL证书，可以实现高度安全的强制128位加密，而不管用户端的浏览器是40位的还是56位的。

如下图2所示，为Thawte颁发给Goolge的SGC证书(超真SSL-S )，可以看出：在证书“详细信息”的“增强型密钥用法”一栏比一般的SSL证书多了一个“未知密钥算法(2.16.840.1.113730.4.1)”，这就是SGC的OID，表明此SSL证书就是支持SGC技术的SSL证书，可以实现高度安全的强制128位加密，而不管用户端的浏览器是40位的还是56位的。

如下图3所示，为VeriSign颁发给支付宝的SGC证书(超真SSL-V)，可以看出：在证书“详细信息”的“增强型密钥用法”一栏比一般的SSL证书多了一个“未知密钥算法(2.16.840.1.113730.4.1)”，这就是SGC的OID，表明此SSL证书就是支持SGC技术的SSL证书，可以实现高度安全的强制128位加密，而不管用户端的浏览器是40位的还是56位的。

请注意：VeriSign SSL证书(全球服务器证书-8000元)支持SGC技术(安全服务器证书-5000元不支持SGC)，Thawte只有SGC SuperCerts(超真SSL-S)才支持SGC技术，GeoTrust所有SSL证书都不支持SGC技术。而WoSign的SGC超真SSL全面支持SGC技术，同时也是业界唯一一个同时支持两个SGC OID的SGC证书。

二、如何验证

如果您是技术人员，已经购买SGC证书，您可以实际验证一下是否真的支持128位加密。如下图4所示，没有升级的Windows 2000的IE浏览器只支持56位加密算法：

现在，把IIS设置为“要求128位加密”，如下图5所示，如果您部署的是不支持SGC技术的SSL证书，则对于使用只支持56位加密的IE 5浏览器的用户浏览网站时，浏览器会提示：“该页必须使用安全性较高的 Web 浏览器查看，您要访问的资源使用了 128 位版本的“安全套接字层 (SSL)”安全保护。要查看该资源，您需要使用支持该版本 SSL 的浏览器。HTTP 错误 403.5 – 禁止访问：需要使用 SSL 128 查看该资源”而无法正常浏览，如下图6所示：

但是，如果您部署的是支持SGC技术的SSL证书，则使用只支持56位加密的IE 5浏览器不会出现以上提示，能正常浏览网站。把鼠标放到浏览器下方的“安全锁”上会显示“可靠的SSL(128位)”，右击页面查看页面属性，会显示“连接：SSL 3.0, RC4 (128 位加密(高)); RSA(1024 位交换)。”表明此页面确实是128位加密的，即使是使用只支持56位加密算法的浏览器。如下图7所示。请注意：可能是IE 5的Bug，把鼠标放到浏览器下方的“安全锁”上时，有时会显示“可靠的SSL(56位)”，但右键查看页面属性是128位加密的。因为如果是56位加密的话，则由于服务器已经设置为“要求128位加密”，会无法正常显示页面的，只要能正常显示，则一定是128位加密的。

考虑到目前我国电脑用户中80%以上的用户还在使用IE 5.0或4.0浏览器(仅支持56位和40位加密)，所以支持SGC技术的SSL证书就显得非常重要了!如果使用一般的不支持SGC技术的SSL证书，则对于使用IE 5.0或4.0浏览器的用户来讲有SSL证书就等同于没有SSL证书，因为40位的加密只需几秒钟就可以破解!这也说明了为何银行网站都是使用VeriSign支持SGC技术的SSL证书的原因。

WoSign认为：所有重视保护机密信息的用户、特别是涉及到金融类网站或有机密信息有可能被破解危险的网站都应该部署支持SGC技术的SSL证书，否则会误导用户以为浏览器下方有安全锁就安全了! WoSign SGC超真SSL证书同时具有微软和NetScape的SGC OID，而VeriSign/Thawte SGC证书只有NetScape的SGC OID，这样，WoSign SGC证书能更好地支持微软的浏览器和服务器软件，具有更好的通用性，欢迎选购!