SGC対応SSLサーバ証明書に潜むセキュリティの落とし穴

SGCとは

暗号化強度の低いブラウザのまま強度の高い暗号化通信を実現する技術です

SGCとは、Server Gated Cryptography（サーバーゲート暗号化）の略で、40ビットや56ビットのSSL暗号化しかできないブラウザで、安全性の高い128/256ビット暗号化通信を実現する技術です。SGCによりユーザは128/256ビット暗号化に対応していない古いブラウザを使用したまま安全性の高い暗号化通信を利用することができます。

SGC誕生の背景

アメリカの輸出規制という一時的特殊事情により派生した技術です

アメリカ政府は長年にわたり、高い暗号化強度に対応した製品の販売を禁止する輸出規制を強いてきましたが、1996年頃から徐々にこの規制を緩和し始め、1997年6月Microsoft社とNetscape Communications社に対して、128ビット暗号を含むブラウザやサーバ製品などの輸出を許可しました。
当時、輸出規制によりアメリカ国外に大量に広まっていた40ビットや56ビット暗号化にしか対応できないブラウザを128ビット暗号化に対応できるよう開発された技術がSGCです。Microsoft社は輸出規制を遵守しSGCを考案、Internet Explorer 4.0などに実装したのが導入の始まりです。

SGC導入後の状況

規制は撤廃されSGCの必要性はなくなりました

その後、2000年にはこの規制がほぼ全廃されSGCの必要もなくなりましたが、当時出荷されたウェブラウザ（IE4.x～IE5.xおよび同時期SGCに対応したブラウザ）のために、現在もSGCサービスが継続されています。

SGC対応SSLサーバ証明書のリスク

サポートの終了したブラウザの継続使用は非常に危険です

IE4.x～IE5.xは、Windows 2000 の延長サポート期限である2010年7月13日にサポートが終了しました。昨今、IEをはじめとしたさまざまなブラウザにおいてセキュリティホールが発見されては繰り返し修正が行われています。IE4.x～IE5.xなどの古いブラウザにおいてはサポート終了後一切のセキュリティに関する脆弱性が修正されていないため、極めて危険な状態にあると言えます。

せっかくSGC技術により安全性の高い128/256ビット暗号化通信を実現しても、同時に古いブラウザの脆弱性を突いたセキュリティリスクを助長させることになってしまいます。

グローバルサインとしての考え方

お客様の安全性を総合的に考えるサービス事業者として

SGCに対応した SSLサーバ証明書の発行に別料金を請求する認証局もあります。確かにSGC技術が適用された当時には以下の側面もあったと思われます。

SGC技術を求めるニーズが大きいという認識から設定された
SGCに対応したSSLサーバ証明書を提供可能な認証局の数が限られていた(提供不可能な認証局に対して有利だと思われていた)

しかし、グローバルサインでは既にこのような時代は終わったと考えており、以下の思いを持っています。

既に暗号技術の輸出規制は撤廃され、最新バージョンのブラウザにより安全性の高いSSL暗号化が可能である
SGCに対応しているブラウザは既にサポートが中止され、最新のセキュリティ対策が施されておらず使用するのは危険である

そのため古いブラウザを利用しているユーザに継続して当該ブラウザの使用を促す面があるSGCに対応した SSLサーバ証明書の提供を行うことは、当該ユーザのセキュリティリスクを高めることになると判断しました。そこで、グローバルサインは、2011年8月29日にそれまで無償で提供してきたSGCに対応したSSLサーバ証明書の提供サービスを停止いたしました。

より安全な環境で安全な通信を行って頂くために

証明書をご利用あるいはご検討中の皆さまへ

SGCに対応したSSLサーバ証明書をご利用あるいはご検討の際には、SGC未対応のSSLサーバ証明書をご利用ください。
グローバルサインのSSLサーバ証明書をご利用いただいている場合は再発行手続きを行っていただくことで、無償でSGC未対応のSSLサーバ証明書をご利用いただけます。

現在古いブラウザをご利用の皆さまへ

最新のブラウザにアップデートのうえ安全な環境で各種インターネットサービスをご利用ください。