Histoire du certificat SGC
L'histoire du SGC nous éclaire sur les raisons de sa disparition prochaine.
Contexte historique
C'est pendant la seconde guerre mondiale que la cryptographie devient incontournable (notamment via Enigma). Cette dernière est depuis lors, et jusqu'en 1992, considérée par les États-Unis comme une technologie militaire. En conséquence, au début de la guerre froide, le gouvernement US met en place une loi visant à empêcher une technologie de pointe de tomber aux mains du Bloc de l'Est.
Cette dernière interdit l'exportation de toute forme de cryptographie à haut niveau. Le matériel (navigateurs, logiciels...) destiné à être utilisé en dehors du pays était alors bridé à 40-bit (quand le même matériel destiné à l'usage sur le sol américain effectuait déjà des sessions 128-bit).
C'est en réaction à cette loi que le SGC est créé.
La naissance
Les organismes financiers travaillant à une échelle internationale devaient pouvoir bénéficier du plus haut niveau de chiffrement, les données en transit étant extrêmement sensibles.
C'est à ce moment qu'entre en piste le SGC - Server Gated Cryptography. Il ne s'agit pas d'un nouveau type de certificat SSL mais d'une extension pouvant être appliquée aux certificats existants.
Ces derniers n'étaient alors émis que par quelques rares Autorités de Certification triées sur le volet et approuvées par le gouvernement américain à des organismes financiers eux aussi très peu nombreux.
Le SGC était donc réservé à une certaine 'Élite' et utilisé dans un cadre très strict.
L'âge d'or
En janvier 2000 la loi spécifique à l'export de matériel cryptographique est révoquée et le chiffrement 128-bit mis à disposition de tous.
Deux conséquences majeures :
- Les constructeurs de matériel débrident leurs produits. Les navigateurs et logiciels sortis après janvier 2000 sont donc capables de gérer des sessions 128-bit par défaut et ce, sans le support d'un certificat SGC.
- Les ventes de certificat SGC explosent. Ils permettent alors d'établir des connexions à haut niveau de chiffrement sur les navigateurs sortis avant 2000 pour passer outre le bridage du matériel non à jour.
Le déclin
La durée de vie du SGC est, par essence, liée à celle des navigateurs utilisés avant janvier 2000. Une fois ces navigateurs disparus, le SGC n'aura plus de raison d'être.
Or ce déclin a été amorcé le jour même de la mise à disposition de la technologie SGC au grand public qui devenait moins utile à mesure que de nouvelles versions des navigateurs sortaient.
Aujourd'hui les navigateurs ayant besoin du SGC pour établir des sessions 128-bit représentent moins de 1% du marché et le niveau de chiffrement n'est pas prioritaire sur ces navigateurs au vue des nombreuses failles de sécurité que ces derniers présentent.
Le choix de TBS INTERNET
Nous avons choisi le conserver les produits SGC au catalogue. Toutefois ces certificats ont été mis légèrement en retrait et présentés comme une technologie obsolète.
À une date non encore déterminée ils disparaitront définitivement pour la simple raison qu'ils ne sont plus utiles et qu'ils encouragent les utilisateurs de très vieux navigateurs à ne pas mettre à jour leurs logiciels.
EDIT : 20150129 - Disparition définitive du SGC
Depuis quelques mois déjà nous préparons la fin du SHA1 pour passer progressivement à SHA256 (obligatoire à partir du 1er janvier 2017). Or les navigateurs sortis avant 2001 et nécessitant le SGC ne supportent pas SHA256. C'est la raison pour laquelle les certificats SHA256 SGC n'existent pas.
SHA256 devenant le norme, les certificats SGC sont donc condamnés à disparaître.
(Voir notre communication : Le glas a sonné pour le SGC)
La situation des autorités de certification
GlobalSign
GlobalSign a abandonné les certificats SGC en septembre 2011.
Comodo / TBS X509
Les certificats SGC TBS X509 et Comodo disparaîtront en même temps que les certificats SHA1, c'est à dire à la fin de l'année 2015.
Pour les détenteurs de certificats SGC en cours de validité, nous mettons à disposition de nos clients impactés des codes promotionnels pour la migration :
migrat2014shaTbs
migrat2014shaCom
Détails de l'offre :
- Valide pour le remplacement d'un certificat acheté chez TBS INTERNET
- Code promo de 20% applicable uniquement pour la migration de produits SHA1 vers SHA256 en cours de validité et commandés avant le 18/09/2014
- Uniquement applicable pour le remplacement d'un certificat à l'identique (même CN, même organisation)
- Code TBS X509 : valide pour le passage d'un produit TBS X509 SHA1 vers son équivalent SHA256
- Code Comodo : valide pour le passage d'un produit Comodo SHA1 vers son équivalent SHA256
- Code valide à partir du 18/09/2014
Thawte
Thawte prend les devants et prévoit la disparition de sa gamme Supercert (SGC) pour mi-2015 (date non arrêtée pour le moment mais probablement à prévoir pour début juillet).
Les détenteurs d'un certificat Thawte SuperCert en cous de validité seront notifiés de la disparition de ces produits par email. Ils devront se tourner vers un produit de remplacement. Le conseil de TBS :
- Vous souhaitez conserver la même racine ?
Dans ce cas optez pour le certificat Symantec Secure Site (434 €HT) - Vous souhaitez privilégier la sécurité ?
Alors choisissez le Thawte SSL EV SHA256 (252 € HT) - audit poussé, chiffrement jusqu'à 256-bit et signature SHA256 - hachage le plus performant actuellement - Vous souhaitez conserver votre autorité de certificat ?
Alors le Thawte SSL Standard (139 € HT) répondra à vos besoins
Si votre compte jetons est créditeur pour ce type de produit, il faudra effectuer une conversion de jetons. Pour ce faire contactez notre service commercial (marianne.bonjour@tbs-certificats.com) pour obtenir une proposition. Précisez simplement quels jetons vous souhaitez convertir.
Liens utiles
- LE GLAS A SONNÉ POUR LE SGC
- SHA1 : Dépréciation de l'algorithme SHA1 prévue en 2015, 2016, 2017 ?
- Disparition de SHA1 : quelle est la situation ?
- Navigateurs supportant les certificats SSL avec l'algorithme de hachage SHA256
- Serveurs supportant les certificats SSL avec l'algorithme de hachage SHA256
- Mettre plusieurs certificats SSL sur la même machine / IP : TLS SNI