为何 WoSign 新根证书将不再签发支持SGC技术的SSL证书？

熟悉 WoSign 数字证书产品线的老用户一定会问：为何 WoSign 新根证书不再签发支持SGC技术的SSL证书?这不是技术问题，而是一个CA应该如何真正为用户着想的问题.

根据Mozilla.org网站上提供的Bug更新日志： Bug 476807 - Remove SSL Step Up trust bits for all roots in root store，火狐浏览器已于2010年4月3日彻底删除已经有10年多没有起任何作用的实现SGC强制128位加密功能代码。

此Bug的发起人Gervase Markham有一句话很有意思：Anyone still using "It supports SGC/Step Up" as a marketing mechanism is either a) encouraging the use of long-outdated, insecure and standards - incompliant browsers, or b) using FUD. Neither is to be encouraged. I agree that this move is not necessary from a technical point of view but we can send a message that this is bad by allowing people to say "Firefox no longer supports Step Up".(任何公司如果仍然还在使用“SSL证书支持SGC技术”作为销售卖点的话，则只有两种可能：一是 鼓励用户使用老掉牙的、不安全的、与标准不兼容的老版本浏览器;二是 FUD(惧、惑、疑)。这两种情况都不鼓励。我同意删除此代码不仅是从技术角度来考虑，而且要告诉业界—不要散布什么火狐浏览器不支持SGC技术的谎言。)

这里要讲一下FUD是什么意思，根据 wikipedia 的解释是：FUD，即 Fear, Uncertainty, Doubt，英文意思为惧、惑、疑。最早出自一个原IBM公司工程师Gene Amdahl 之口，Gene Amdahl离开 IBM 后自行创立 Amdahl 公司，成为 IBM 竞争对手，FUD最早意指 IBM 销售人员对客户灌输关于Amdahl 和其他竞争公司产品的负面观念，也就是在顾客的头脑中注入疑惑与惧怕，然后，你说什么客户就可能信什么。这种行销手法现在经常用于电脑业界产品的销售。

总结一下以上Gervase Markham观点：现在用户使用的浏览器都已经支持128位加密，根本没有必要使用支持SGC强制128位加密技术的问题，这只是某些证书颁发机构销售其SSL证书的噱头而已，是一种FUD行为。这等于为了能卖出贵的SSL证书而鼓励用户使用不安全的低版本浏览器，而使用低版本浏览器的用户不仅极少(据 Hitslink.com统计数据：不支持128位加密的 IE5浏览器用户在0.05%以下，估计已经接近0)，而且非常不安全，有许多安全漏洞。其观点已经得到火狐浏览器的认可，火狐浏览器已经于2010年4月3日彻底删除已经有10年多没有起任何作用的SGC功能代码。

可能有些用户不了解SGC/Step up的来历,SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU)，主要是因为2000年以前美国政府对高强度加密算法(128位)出口限制而推出的，由于出口管制的原因，2001年以前推出的浏览器版本(如：IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法，但由于电脑硬件技术和CPU处理速度的快速提高，使得破解40位加密算法只需几秒钟，而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全，SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法，也就是说：即使受出口限制的40位或56位浏览器或服务器，只要使用支持SGC技术的SSL证书，就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。

微软于1999年推出的IE 5.01是需要SGC强制128位加密的最后版本，而且微软已经早就发布了让IE5.01升级支持128位加密的更新包。另一个支持SGC的浏览器是网景(Netscape)浏览器 4.74版本，网景公司早就不存在了，当然也绝对没有用户在使用此版本浏览器了。

现在已经是2011年了，各种浏览器经过了11年多的发展，早就已经全部支持128位加密，根本无需SGC技术来实现128位加密。2000 年1月美国政府就放开了128位加密技术的限制，也就是说，从2000年1月起，所有浏览器已经不再需要SGC技术来实现128位加密了，所以许多证书颁发机构也就不再销售支持SGC的SSL证书。

但是，由于 VeriSign 一直在强力推销其支持SGC技术的SSL证书Secure Site Pro，使得其他证书颁发机构也跟风销售此类SSL证书。大家从价格上就能找到答案：Secure Site Pro卖8000元，而自适应加密强度的Secure Site只卖5000元，价格相差将近一倍哦。所以，Gervase Markham 认为鼓吹推销SGC SSL证书就是一种FUD行为。

WoSign 在创建自己的顶级根证书和新的证书颁发系统时才彻底了解了SGC技术，作为一个技术型的公司和一个中国市场领先者，我们不能因为自身利益的原因而提供用户不需要的昂贵的产品。所以，我们决定不仅不再提供支持SGC技术的产品，而且公开发布此揭秘文章，是希望还广大SSL证书用户一个明明白白消费的真相，千万不要由于对于安全的疑惑与惧怕而听信了任何公司鼓吹SGC SSL证书的销售人员的话，要理智地消费：普通网站部署 OV SSL证书 就可以了(便宜不少);而对于电子商务网站，则强烈推荐选购浏览器地址栏显示为绿色的EV SSL证书。