Недавно у меня была возможность поговорить с Эндрю Кеннардом из Thawte ( www.thawte.com ), который ответил на некоторые вопросы, касающиеся шифрования ssl и браузера, в продолжение моей недавней статьи « Защита Apache 2 с помощью SSL» .
В качестве предисловия к комментариям Эндрю следует отметить, что использование более старых 40- и 56-разрядных браузеров с шифрованием сокращается на международном уровне, поскольку приобретаются более новые и недорогие компьютеры с новейшими браузерами. Тем не менее, Кеннард действительно имеет смысл довести это до нашего сведения.
Предположение, которое я сделал в статье, которая привлекла внимание Эндрю, заключалось в том, что я не упомянул, что уровень шифрования даже 128-битного SSL-сертификата может варьироваться в зависимости от браузера, обращающегося к защищенному серверу.
«Это означает, что пользователи могут подключаться на 40-битном, 56-битном или 128-битном режиме в зависимости от версии браузера, которую они используют», — сказал он.
Большинство цифровых сертификатов работают таким образом — обеспечивая поддерживаемое шифрованное соединение от браузера к серверу и обратно.
«Важно понимать это различие, так как многие СА продвигают свои сертификаты как 128-битные, тогда как на самом деле они будут поддерживать сеансы с разной степенью шифрования (128-битный — самый сильный уровень шифрования)», — добавил Кеннард.
Немного истории
Прошлое законодательство США запрещало экспорт 128-битной технологии шифрования, в результате чего браузеры, которые Кеннард назвал «экспортными» браузерами, поддерживают 40-битное и 56-битное шифрование.
В 1997 году правительство США отменило запрет на 128-битное шифрование. Однако сегодня все еще существует значительное количество браузеров экспортных версий, в основном на международном уровне, но также и в Соединенных Штатах.
Серверная криптография
По словам Кеннарда, CA ответила разработкой серверной криптографии, которая увеличивает экспорт браузеров до 128-битного шифрования.
«Лишь немногие центры сертификации предоставляют эти сертификаты, поэтому, если вам требуется возможность повышения уровня 128-битного шифрования, обязательно попросите технологию SGC», — сказал Кеннард.
Специализированные отраслевые потребности
Кеннард считает, что SGC может также удовлетворить потребности компаний в отраслях с юридическими или нормативными требованиями для обеспечения надежного шифрования.
«В этом случае использование сертификатов с поддержкой SGC будет предпочтительным продуктом (а не стандартным цифровым сертификатом), поскольку сертификат SGC представляет собой наиболее активную попытку обеспечить соблюдение требования 128-битного шифрования», — добавил он.