Server-Gated Cryptography ( SGC ), también conocido como International Step-Up por Netscape , es un mecanismo obsoleto que se utilizó para pasar de conjuntos de cifrado de 40 o 56 bits a 128 bits con SSL . Fue creado en respuesta a la legislación federal de los Estados Unidos sobre la exportación de criptografía fuerte en la década de 1990. [1] La legislación había limitado el cifrado a algoritmos débiles y longitudes de clave más cortas en el software exportado fuera de los Estados Unidos de América . Cuando la legislación agregó una excepción para las transacciones financieras, SGC se creó como una extensión de SSL y los certificados se restringieron a las organizaciones financieras. En 1999, esta lista se amplió para incluir comerciantes en línea, organizaciones de atención médica y compañías de seguros. [2] Esta legislación cambió en enero de 2000, lo que provocó que los proveedores ya no enviaran navegadores de grado de exportación y los certificados SGC pasaran a estar disponibles sin restricciones.
Internet Explorer admitió SGC a partir de las versiones parcheadas de Internet Explorer 3. SGC se volvió obsoleto cuando Internet Explorer 5.01 SP1 e Internet Explorer 5.5 comenzaron a admitir cifrado fuerte sin la necesidad de un paquete de cifrado alto separado (excepto en Windows 2000 , que necesita su propio paquete de cifrado alto que se incluyó en Service Pack 2 y posteriores). [3] Los navegadores "de nivel de exportación" no se pueden usar en la Web moderna debido a que muchos servidores deshabilitan los conjuntos de cifrado de exportación. Además, estos navegadores no pueden usar algoritmos de hash de firma de la familia SHA-2 como SHA-256. Las autoridades de certificación están tratando de eliminar gradualmente la nueva emisión de certificados con el antiguo algoritmo de hash de firma SHA-1.
El uso continuo de SGC facilita el uso de navegadores web obsoletos e inseguros con HTTPS. [4] [5] Sin embargo, aunque los certificados que utilizan el algoritmo de hash de firma SHA-1 siguen estando disponibles, algunas autoridades de certificación siguen emitiendo certificados SGC (a menudo cobrando una prima por ellos) aunque estén obsoletos. La razón por la que las autoridades de certificación pueden cobrar una prima por los certificados SGC es que los navegadores solo permitían que un número limitado de raíces admitieran SGC.
Cuando se produce un protocolo de enlace SSL, el software (por ejemplo, un navegador web ) enumera los cifrados que admite. Aunque los navegadores exportados más débiles solo incluirían cifrados más débiles en su protocolo de enlace SSL inicial, el navegador también contenía algoritmos de criptografía más fuertes. Hay dos protocolos involucrados para activarlos. Netscape Communicator 4 usaba International Step-Up, que usaba la ahora obsoleta renegociación insegura para cambiar a un conjunto de cifrados más fuerte. Microsoft usaba SGC, que envía un nuevo mensaje Client Hello que enumera los conjuntos de cifrados más fuertes en la misma conexión después de que se determina que el certificado es compatible con SGC, y también admitía Netscape Step-Up por compatibilidad (aunque esta compatibilidad en la versión NT 4.0 SP6 e IE 5.01 tenía un error en el que cambiar los algoritmos MAC durante Step-Up no funcionaba correctamente). [ cita requerida ]