FAQ zum Thema SGC SuperCerts (Häufig gestellte Fragen)

General Information ID:    INFO1116
Version:    3.0
Published:    05/11/2009
Updated:    07/16/2015

Description

Warum benötige ich ein SGC SuperCert für SSL?

Vor dem Jahr 2001 hatte die US-Regierung Beschränkungen für den Export sogenannter "starker Verschlüsselungssoftware" erlassen. Als Ergebnis hatten Netscape und Microsoft zwei Versionen ihrer Browser veröffentlicht: eine für die USA, die eine 128-Bit-Verschlüsselung unterstützt und eine für die restliche Welt, die zunächst nur 40-Bit- und später 56-Bit-Verschlüsselung unterstützte. 

Die Verwendung eines Thawte SuperCert ermöglicht eine 128-Bit-Verschlüsselung für die Nicht-US-Versionen. Wenn Sie ein SGC SuperCert installiert haben, werden alle unterstützten Browser "gezwungen", bei der Kommunikation mit Ihrem sicheren Server einen 128-Bit-Sitzungsschlüssel zu verwenden. Wenn Sie daher für Ihre Kunden die stärkste verfügbare Sicherheit wünschen, insbesondere für diejenigen mit Nicht-US-Browsern, benötigen Sie ein Thawte SGC SuperCert. Diese funktionieren auf die gleiche Art und Weise, wie die Standard-SSL-Zertifikate, enthalten aber eine zusätzliche Kennzeichnung, die von Netscape- und Microsoft-Browsern erkannt wird, damit diese auf ihre (verborgenen) starken Verschlüsselungsfähigkeiten zugreifen können.

Können normale SSL-Zertifikate eine 128-Bit-Sicherheit zur Verfügung stellen?

Ja, können Sie. SSL-Sitzungen werden zwischen Server und Browser ausgehandelt. Wird von beiden Seiten 128-Bit unterstützt, verwendet die Sitzung eine 128-Bit-Verschlüsselung. Unterstützt entweder der Server oder der Browser nur 40-Bit, erfolgt die Sitzung mit 40-Bit. Solange Ihr Server 128-Bit-fähig ist, erhalten Sie mit jedem geeigneten Browser eine 128-Bit-Sitzung. Beispiel: US-Versionen aller Browser unterstützen 128-Bit-Sicherheit.

Mit welchen Browsern arbeitet mein SGC SuperCert zusammen?

SGC SuperCerts werden erkannt von Internet Explorer 4.x und Netscape 4.06 und höher. Ältere Browser erstellen dennoch eine sichere SSL-Verbindung zu Ihrem Server, aber mit 40, 56 oder 128-Bit, je nach Browser.

Warum wird dieses Zertifikat von einem anderen Stammzertifikat ausgestellt, als die SSL-Webserver-Zertifikate und SSL123-Zertifikate?

Das SGC SuperCert wird von einem Zwischenzertifikat ausgestellt, damit Kunden den Unterschied zwischen einem SGC-Zertifikat (Step-up) und einem regulären SSL-Webserverzertifikat erkennen können. 

Hinweis: 

Damit das SGC SuperCert korrekt von allen Browsern authentifiziert werden kann, muss das Zwischenzertifikat (Thawte SGC CA) auf dem Server installiert sein. 

Das SGC SuperCert wird signiert durch das SGC-CA-Zwischenzertifikat, welches wiederum signiert wird durch das VeriSign Class 3 Public Primary CA-Root-Zertifikat (Root Certificate > Intermediate Certificate > issued Certificate). Da das Zwischenzertifikat nicht mit dem Browser ausgeliefert wird und daher nicht vertrauenswürdig ist, müssen Sie sowohl das an Sie ausgestellte Serverzertifikat als auch das Zwischenzertifikat auf dem Server installieren, damit, wenn eine SSL-Sitzung aufgerufen wird, der Server die Zertifikatskette dem Browser präsentiert (Intermediate Certificate > issued Certificate) und der Browser die vollständige Kette bis zum im Browser enthaltenen Stammzertifikat überprüfen und dem Zertifikat vertrauen kann. 

So sieht der Zertifikatspfad in Ihrem Zertifikat aus: 

VeriSign Class 3 Public Primary CA  
   Thawte SGC CA  
     www.meinedomain.de

Wie funktioniert ein SGC SuperCert?

Neue Browser von Netscape und Microsoft beinhalten "SGC" oder "Step-Up" Erweiterungen neben dem grundlegenden SSL-Protokoll. Diese Erweiterungen wurden dafür entworfen, Fremdfirmen Zugang zur starken Verschlüsselung für Websicherheit zu ermöglichen, während dem umfassenden Druck von US-Exportregulierungen entsprochen wurde. Der Browser leitet eine normale (schwache) SSL-Verbindung ein. Sobald der Browser die Spezialmarkierung im SGC SuperCert erkennt und überprüft, dass das SGC SuperCert von einer anerkannten "lizenzierten" Zertifizierungsstelle ausgestellt wurde, wird die Verbindung neu gestartet. Dieses Mal aber fungiert dieser als sicherer, 128-Bit-fähiger Browser, der zum Schutz Ihrer Kommunikationen durch die höchstmögliche Verschlüsselung mit dem Webserver einen 128-Bit-Schlüssel erstellt.

Kann ich ein Test-SGC SuperCert anfordern?

Das Testsystem kann Zertifikate anfordern, die mit Netscape kompatibel sind und Microsoft erfordert SGC- oder Step-Up-Zertifikate. Sie können jedoch nicht ein Test SGC SuperCert anfordern, da das Thawte Test-Stammzertifikat für SGC nicht vertrauenswürdig ist. Daher startet der Browser die Verbindung nicht neu, um die Sitzung auf 128-Bit-Verschlüsselung zu erhöhen.

Welche Server sind mit dem SGC Super Cert kompatibel?

Bitte lesen Sie in der folgenden Knowledge Base-Lösung über die Serverkompatibilität der Thawte SuperCert: SO785

Wie installiere ich ein SGC SuperCert?

Für die Installation eines SGC SuperCert auf Ihrer Serverplattform lesen Sie bitte die Anweisungen in der folgenden Knowledge Base-Lösung: SO3047

SGC SuperCert Technologie

Thawte hat durch das US Bureau of Export Administration (BXA) eine Lizenz erhalten, die es uns gestattet, Zertifikate auszustellen, die es ihnen ermöglichen, eine 128-Bit-SSL-Sitzung in älteren Exportversionen des Browsers zu erzwingen, die eigentlich auf eine 40/56-Bit-Verschlüsselung beschränkt sind. Der Unterschied zwischen Supercerts und normalen SSL-Zertifikaten ist der, dass wenn sich eine Browser-Exportversion (IE4.x und Netscape 4.06 und später) mit einer Seite verbindet, die ein SGC Supercert verwendet, die SSL-Sitzung auf 128-Bit erhöht wird, anstatt dass auf einer Verschlüsselungsebene verhandelt wird, die der Browser handhaben kann (40/56-Bit).

So erhalten Sie ein SGC SuperCert

Sie senden uns eine CSR (Certificate Request File). Thawte überprüft dann Ihre in dem Zertifikat enthaltene Identität und signiert bei positiver Überprüfung die angeforderte Datei unter Verwendung des vertrauenswürdigen Stamm-Schlüssels und stellt es Ihnen als Ihr Zertifikat aus.

Thawte SGC SuperCert Support

Thawte ist ein vertrauenswürdiger Anbieter von Zertifikaten. Wir stellen keine Software her und bieten keinen Support für Software. Wir freuen uns, Sie bei der Verwendung von Zertifikaten zu unterstützen, im Falle softwarespezifischer Probleme wird es uns aber nicht immer möglich sein, Ihnen zu helfen. Die optimale Lösung liegt im Kontaktieren Ihrer Server-Software-Anbieter.

Knowledge Center


Search Tips