DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. SGC 対応サーバ証明書は不要

SGC 対応サーバ証明書は危険を助長

DigiCertはSGC対応サーバ証明書をあえて発行しません

Server Gated Cryptograpy(SGC)とは

SGC証明書は、1990年代に米国政府の暗号ソフトウェア輸出規制によって128bitの暗号が利用できないブラウザを救済する技術として導入されました。
Server Gated Cryptograpy(SGC)対応のSSLサーバ証明書(SGC証明書)は当時、米国外に輸出されたブラウザを使ったトランザクション用に、金融機関のWebサーバー専用で発行されました。この技術を使うと、SSL接続の暗号強度を40bitや56bitから128bitに変更できます。

memoSGC証明書ができた背景
当時は、米国外で利用するInternet Explorer、Netscape Navigatorには暗号強度の制限がありました。
IE、Netscape NavigatorではSGC証明書が設定されている米国金融機関のサーバーにアクセスした場合のみ、暗号強度制限を解除する鍵を受け取ることが出来ました。このことから、「サーバー暗号化の関所」という意味で、Server-Gated Cryptographyの名称がつけられたといわれています。

その後、米国政府の暗号技術の輸出規制が緩和され、1990年代後半には米国外のブラウザでも128bitの暗号が使えるようになったことでSGC証明書は不要となり、ベンダーはSGC証明書に対応したブラウザを廃止しました。
しかし、ごく少数のユーザーはいまだにこうした古いブラウザを使い続けています。
これらのユーザーのために、SGC証明書が必要だということもできますが、その利用を奨励することによって古いブラウザが利用され続けられるリスクは、潜在的な利益をはるかに上回っています。

SGC証明書の使用は、単に古いブラウザを使い続けることを助長しているというだけでなく、ベンダーが十年以上前にサポートを停止したセキュリティホールだらけのブラウザを通じて増殖する悪意あるソフトウェアの普及を支援しているともいえます。
もし、現在もSGC証明書を利用し続けている場合は、DigiCertのEV サーバ証明書に乗り換えることで、サーバーの安全性を確保すると同時にインターネット空間全体のセキュリティ向上に貢献することができます。

旧タイプのWebブラウザの使用が孕んでいる危険

米国内での強力な暗号ソフトウェアの輸出を規制する法律は、1999年以降段階的に廃止されました。
それ以降も以下のような状態でレガシーブラウザ(Web標準に準拠していないブラウザ)を利用することは、インターネット社会でのマナーに違反していることになります。

  • ブラウザとOSの双方あるいは片方が1999年12月以降セキュリティアップデートをされていない。

古いブラウザを利用し続けることは、以下のような危険を常に孕んでいます。

  • ブラウザとOSの最後のセキュリティ更新以降、何十万ものウイルス、キーロガー、マルウェアが作られ、Webサイトやメールを介してインターネット上にばらまかれている。
  • 古いブラウザ特有の脆弱性は、Webサイトの管理者が様々な安全対策をしている場合においても、入力フォームに入力された個人情報・機密情報漏洩のリスクを高める。
  • レガシーブラウザは、きちんとアップグレードされたモダンブラウザの何倍も悪意のある攻撃に対して脆弱である。

SGC証明書を使用してサーバーに接続できるようにしているサーバー管理者は、レガシーブラウザからWebサイトにアクセスする非常に少数のユーザー対して、利便性を提供していると言えるかもしれません。
しかし、そうしたユーザーを受け入れることで、サーバーへの悪意ある攻撃による侵入成功の確率を高めているのです。

高度な暗号化が標準になった今、SGCは不要

1990年代後半にSGC証明書が128bit暗号化を提供していた当時、SGC証明書を発行する認証局は代替手段のないすぐれた技術の提供者として、サーバー管理者とWebユーザーの賞賛を受けました。

しかし今日では世界中のブラウザで256bit暗号化を提供するのが当たり前となりました。
時代はすでに高度な暗号化に移行しており、SGC証明書を使用して40bit、56bitから128bitへ橋渡しする必要性はありません。

SGC証明書を高級なSSLサーバ証明書として販売している認証局も多くありますが、サーバ管理者が行うべきは、256bitのセキュアな接続を要求することで、レガシーブラウザユーザーに安全なバージョンへのアップグレードを奨励し、ユーザーをより安全なコンピュータ環境へ誘導することであるとDigiCertは考えます。
機密情報を扱うサーバーを安全に運営する点からは、より安全な接続を求めないといけないのは自明の理です。
従って、古いブラウザをいつまでも利用し続けられる証明書の提供は、DigiCertでは行いません。

DigiCertは、より安全性の高い証明書として、EV サーバ証明書を業界最安値といっても良いレベルで提供しています。

この価格設定は、SSLサーバ証明書への信頼性の確保と、インターネット環境の安全性の向上に貢献したいという企業理念に基づき、安全なEVサーバ証明書を普及させたいという方針によるものです。
現在もSGC証明書を利用しているサーバーも、安全なEVサーバ証明書に切り替え、古いブラウザでサーバーに接続しているユーザーに【情報を安全に取り扱うためには新しいブラウザへのアップグレードが必要である】ことをご通知ください。

SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース