为什么使用自签的ssl证书不安全?-转载

如今还有很多可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。主要问题有:
1. 自签SSL证书很容易被假冒和伪造,被欺诈钓鱼网站所利用
自签证书,就是自己做的证书,既然你可以自己做,那别人可以做,可以做成与你一模一样的证书,很容易的伪造一张证书然后就可以做一个与你一样的网站,同样有证书。
而使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一样),浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
2. 自签证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可乘之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,非常危险,所以,重要的网银系统绝对不能用自签SSL证书
小结:第1点和第2点都是由于自签证书不受浏览器信任,网站却要告诉用户要信任而造成!所以,作为用户,当遇到警告时千万不要继续浏览浏览器;而作为网站主人,千万不要因为部署了自签证书而让广大用户蒙受被欺诈网站所攻击的危险,小则丢失密码而增加你为客户找回密码的客服工作量,大则可能让用户银行账户不翼而飞,可能要赔偿用户的经济损失!
也许你或者你的系统集成商会说:这不是什么大不了的事,只要用户安装了我的根证书,下次就不会提示了。理论上是的,但是,由于用户有过要求点击信任证书的经历,再次遇到要求点击信任证书时一定会继续点信任而遭遇了上了黑客的当!
即使你是在给用户安装USB Key管理软件时悄悄安装你的根证书,也是有问题的,自签证书无法保证证书的唯一性,你的自签根证书和用户证书一样有可能被黑客伪造。
不仅如此,除了以上两个大问题外,由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识,并没有跟踪最新的PKI技术发展,还存在其他重要安全问题。
3. 自签证书支持不安全的SSL通信重新协商机制
据中国证书CHINASSL安全专家检测,几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信,这是SSL协议的安全漏洞,由于自签证书系统并没有跟踪最新的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息。
4. 自签证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是简单的事情。要保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。同时,浏览器在访问时会有安全警告:吊销列表不可用,是否继续?,并且会大大延长浏览器的处理时间,影响网页的流量速度。

中国证书CHINASSL发布免费SSL证书在线工具-Free SSL Tools

中国证书CHINASSL发布免费SSL证书在线工具,为方便所有用户,我们特别开发出在线SSL证书工具,供所有用户免费使用,一共发布6款SSL证书在线工具,欢迎体验,有任何错误或BUG请提交给我们,谢谢!

中国证书CHINASSL拥有6年SSL证书行业服务经验,我们代理全球著名8大SSL证书品牌,其中包括:comodo / RapidSSL / GeoTrust / Thawte / VeriSign / Symantec / GlobalSign / Godaddy 等SSL证书品牌,可以满足所有用户的SSL证书需求,如有需要请随时联系我们!

Symantec SSL 证书

赛门铁克是领先的安全套接字层 (SSL) 证书认证机构,为网站、内联网和外联网的电子商务及通讯提供安
全保护。赛门铁克通过强大的加密功能和严格的鉴权措施,保护着全世界超过 500000 台 Web 服务器的安
全。我们选择代表着互联网高度安全性的可信任标志,并为每一位网站访问者启用最强大的 SSL 加密功能。

Zimbra简介-转载

公司

Zimbra是一家提供专业的电子邮件软件开发供应商,主要提供Zimbra Collaboration Server协作服务器套件、Zimbra Desktop邮件管理软件等邮件方面的软件。2007年9月,雅虎用3.50亿美元收购Zimbra。Zimbra提供的品牌电子邮件软件包含日历和移动功能以及离线工作功能。这家公司拥有200个教育行业、商业和互联网服务提供商合作伙伴,其中包括Comcast公司。该公司向大约900万用户提供品牌的电子邮件服务。

2010年2月份,Yahoo以1.7亿左右的价格将Zimbra出售给VMWare公司。现在Zimbra是VMWare公司的全资子公司

软件

Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,SafariIE浏览器

2功能

简介

Zimbra与众不同的特点是其“Zimlet”网络服务提供了更多的电子邮件功能。例如,人们可以简单地用鼠标点击电子邮件程序中的航班信息以检查航班的状况。用户还可以在电子邮件中跟踪FedEx公司的投递情况并且获得地图、股票和其它信息。

Zimbra的核心产品是Zimbra协作套件(Zimbra Collaboration Suite,简称ZCS)。除了它的核心功能是电子邮件日程安排服务器,当然还包括许多其它的功能,就象是下一代的微软Exchange。在电子邮件日程安排之外,它还提供文档存储和编辑、即时消息以及一个利用获奖技术开发的全功能的管理控制台。ZCS同时也提供移动设备的支持,以及与部署于WindowsLinuxapple操作系统中的桌面程序的同步功能。

lZ

核心功能

电子邮件服务

它打破传统电子邮件的限制,提供集成的信息和协作办公,以提高工作效率,通过自动整理的邮箱、标签以及对话视图,zimbra让电子邮件易于管理,提供即时信息、共享日历以及快捷的文档创作和协作功能,改变由他人协作的方式,使用zimbra可以在任何地点从任意计算机访问自己的账户,而无论使用的是windowsapple还是linux操作系统,zimbra还可以与blackberryiphone等手持设备同步,即使在路上也能时刻掌握最新资讯,zimbra可以作为个人电子邮件操作系统,也可以用于整个组织。既可以本地部署,也可以部署在托管服务器上。

电子邮件具体功能 1、收件箱、邮件、搜索(inbox, mail&search)

功能图示

功能图示(8张)

2、插件(mashups)

3、日历(calendar)

4、文档协作(document collaboration)

5、即时消息、任务、公文包(im,task,briefcase)

6、zimbra桌面(zimbra desktop)

7、与outlook或apple同步(outlook&apple sync)

8、移动访问(zimbra mobile)Zimbra协作套件(Zimbra Collaboration Suite)

版本

ZCS共有三个版本可供选择:

ZCS开源版(免费)

ZCS 网络版(Network Edition)

ZCS 租用版,由合作伙伴提供

ZCS的安装

系统要求

安装Zimbra的系统要求并不太高:1GB RAM、5GB磁盘空间以及一个支持Linux的产品(RedHat Linux企业版、FedoraSuSE Linux企业版、openSUSEUbuntu)或OS X 10.4.7。不支持BSD

中国证书CHINASSL正式启用中国证书.com

为了方便用户记忆我们网站,chinassl.net正式启用www.中国证书.com,用户可以直接输入中国证书.com访问我们的chinassl.net官方网站,chinassl.net也会一直保留,感谢广大用户对我们的支持!

中国证书CHINASSL
http://中国证书.com
http://chinassl.net
http://XN–FIQ4EU8Y150D.COM

EV SSL证书与普通的SSL证书最大区别是什么?

EV SSL证书与普通的SSL证书的最主要的区别在于发证的认证标准不同。
  在申请普通的SSL证书的时候,各个CA都有自己各自不同的认证方式,有的比较严格,有的不太严格。而对于EV SSL证书的申请,CA必须严格按照CA/Browser From 发布的《EV_Certificate_Guidelines》标准对用户进行认证。遵循EV标准的每个CA都将拥有统一的认证策略和唯一的策略对象标识符(Policy Object Identifier )即OID。浏览器可以实时证实该EV SSL证书的根证书的OID是已经被认证过并且是有效的,然后显示EV界面特性。这种架构也使CA实时调整EV SSL证书的状态成为可能。例如,如果CA总是不能可靠地执行EV验证,浏览器可以不再将其作为EV SSL证书来对待,从而保护EV SSL的总体可信性。

中国证书CHINASSLhttp://www.chinassl.net

MD5算法说明

1、MD5算法是对输入的数据进行补位,使得如果数据位长度LEN对512求余的结果是448。
  即数据扩展至K*512+448位。即K*64+56个字节,K为整数。
  具体补位操作:补一个1,然后补0至满足上述要求
2、补数据长度:
  用一个64位的数字表示数据的原始长度B,把B用两个32位数表示。这时,数据就被填
  补成长度为512位的倍数。
3. 初始化MD5参数
  四个32位整数 (A,B,C,D) 用来计算信息摘要,初始化使用的是十六进制表示的数字
    A=0X01234567
    B=0X89abcdef
    C=0Xfedcba98
    D=0X76543210
4、处理位操作函数
    X,Y,Z为32位整数。
    F(X,Y,Z) = X&Y|NOT(X)&Z
    G(X,Y,Z) = X&Z|Y&not(Z)
    H(X,Y,Z) = X xor Y xor Z
    I(X,Y,Z) = Y xor (X|not(Z))
5、主要变换过程:
  使用常数组T[1 … 64], T为32位整数用16进制表示,数据用16个32位的整
  数数组M[]表示。
  具体过程如下:
/* 处理数据原文 */
For i = 0 to N/16-1 do
/*每一次,把数据原文存放在16个元素的数组X中. */
For j = 0 to 15 do
Set X[j] to M[i*16+j].
end  /结束对J的循环
/* Save A as AA, B as BB, C as CC, and D as DD. */
AA = A
BB = B
CC = C
DD = D
/* 第1轮*/
/* 以 [abcd k s i]表示如下操作
a = b + ((a + F(b,c,d) + X[k] + T) <<< s). */
/* Do the following 16 operations. */
[ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4]
[ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8]
[ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12]
[ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16]
/* 第2轮* */
/* 以 [abcd k s i]表示如下操作
a = b + ((a + G(b,c,d) + X[k] + T) <<< s). */
/* Do the following 16 operations. */
[ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20]
[ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24]
[ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28]
[ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32]
/* 第3轮*/
/* 以 [abcd k s i]表示如下操作
a = b + ((a + H(b,c,d) + X[k] + T) <<< s). */
/* Do the following 16 operations. */
[ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36]
[ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40]
[ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44]
[ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48]
/* 第4轮*/
/* 以 [abcd k s i]表示如下操作
a = b + ((a + I(b,c,d) + X[k] + T) <<< s). */
/* Do the following 16 operations. */
[ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52]
[ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56]
[ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60]
[ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64]
/* 然后进行如下操作 */
A = A + AA
B = B + BB
C = C + CC
D = D + DD
end /* 结束对I的循环*/
6、输出结果。

GeoTrust SSL证书兼容浏览器/服务器软件列表

Web浏览器

  • Microsoft Internet Explorer 5.01及以上版本
  • Netscape Communicator 4.51及以上版本
  • Mozilla Firefox所有版本
  • Mozilla Suite所有版本
  • AOL 5及以上版本
  • Opera 7及以上版本
  • Apple Safari所有版本
  • Red Hat Linux Konqueror
  • Sony Playstation
  • Microsoft WebTV

便携式移动设备浏览器(手机、PDA等)

  • Netfront 3.0及以上版本
  • Opera 7.0及以上版本
  • Palm / Handspring Blazer 2.0及以上版本
  • Microsoft Windows CE 2003及以上版本
  • Microsoft Internet Explorer Pocket PC 2003及以上版本
  • Microsoft Internet Explorer Smartphone 2003及以上版本
  • Blackberry 4.0及以上版本
  • AT&T
  • Sony Playstation Portable
  • Sony Netjuke audio
  • Brew
  • Openwave
  • NTT Do Co Mo
  • Vodaphone

电子邮件客户端(S/Mime)

  • Microsoft Outlook 99及以上版本
  • Netscape Communicator 4.51及以上版本
  • Mozilla Thunderbird所有版本
  • Qualcomm Eudora 6.2及以上版本
  • Mulberry Email 3.1.6及以上版本
  • Lotus Notes

应用程序客户端和服务器端软件

  • Sun J2SE 1.4.2_02及以上版本
  • Sun J2EE 1.4.2_02及以上版本
  • IBM Web Sphere Micro Environment (WME)
  • IBM Web Sphere Custom Environment (WCE)

EV SSL证书:http://ev.chinassl.net

GeoTrust SSL证书兼容浏览器/服务器软件列表

Web浏览器

  • Microsoft Internet Explorer 5.01及以上版本
  • Netscape Communicator 4.51及以上版本
  • Mozilla Firefox所有版本
  • Mozilla Suite所有版本
  • AOL 5及以上版本
  • Opera 7及以上版本
  • Apple Safari所有版本
  • Red Hat Linux Konqueror
  • Sony Playstation
  • Microsoft WebTV

便携式移动设备浏览器(手机、PDA等)

  • Netfront 3.0及以上版本
  • Opera 7.0及以上版本
  • Palm / Handspring Blazer 2.0及以上版本
  • Microsoft Windows CE 2003及以上版本
  • Microsoft Internet Explorer Pocket PC 2003及以上版本
  • Microsoft Internet Explorer Smartphone 2003及以上版本
  • Blackberry 4.0及以上版本
  • AT&T
  • Sony Playstation Portable
  • Sony Netjuke audio
  • Brew
  • Openwave
  • NTT Do Co Mo
  • Vodaphone

电子邮件客户端(S/Mime)

  • Microsoft Outlook 99及以上版本
  • Netscape Communicator 4.51及以上版本
  • Mozilla Thunderbird所有版本
  • Qualcomm Eudora 6.2及以上版本
  • Mulberry Email 3.1.6及以上版本
  • Lotus Notes

应用程序客户端和服务器端软件

  • Sun J2SE 1.4.2_02及以上版本
  • Sun J2EE 1.4.2_02及以上版本
  • IBM Web Sphere Micro Environment (WME)
  • IBM Web Sphere Custom Environment (WCE)

EV SSL证书:http://ev.chinassl.net

JDK和JRE的区别-转载

Path —-外部命令搜索路径。

CLASSPATH —-类资源位置搜索路径。

在classpath变量的最后加上.;C:\jdk1.3\lib\tools.jar;C:\jdk1.3\lib\dt.jar

就可以了,注意点不要不复制进去。  

“path”,设置jdk中各个程序的路径,“%java_home%\bin;%java_home%\jre\bin;”

“classpath”,设置java各个类的路径,“.;%java_home%\lib;%java_home%\lib\tools.jar”。

前面的“.”不可少,它代表了我们为自己的java类建立的工作路径,其它的是

jdk自带的标准类库路径。

JRE与JDK的区别:

JRE是个运行环境,JDK是个开发环境。因此写Java程序的时候需要JDK,而运行

Java程序的时候就需要JRE。而JDK里面已经包含了JRE,(JDK包含了java虚拟

机,java编译器等等)因此对JAVA_HOME设置为JDK的路径时也可以正常运行

Java程序,但是JDK比较大包括了许多与运行无关的内容,因此运行普通的Java

程序无须安装JDK。

但是用了Eclipse又有了疑问,为什么这个开发环境JRE就可以正常运行呢?其

实在Eclipse中内嵌了Java编译器,并且与JDK中的javac完全相容,因此无须使用

JDK也可以直接编译Java程序。
学习J2EE的时候又开始不明白,为什么Tomcat和Apusic用JRE就可以启动,

Weblogic用JDK才能启动呢?原因是Tomcat和Apusic 4都已经包括了一个源代码编

译器,而Weblogic没有包括这个编译器包。
那么为什么需要编译器呢?因为在WEB应用中JSP文件是需要转换成Servlet,

这个Servlet文件还需要编译成可以在JRE上执行的class文件,因此必须提供有编

译能力的JDK,将JAVA_HOME设置为JDK的路径就可以了。

   java虚拟机:

原文地址:http://www.cnblogs.com/nuke/archive/2010/03/02/1676326.html