百度正式开放https站点收录,启用HTTPS准备好了吗?

百度站长平台今日发布公告,称将正式开放对HTTPS站点的收录。此前,百度搜索引擎并不主动抓取https网页,导致大部分https网页的无法收录。

开放收录https站点的公告,这意味着https站点不再需要做任何额外的工作,就能被百度抓取。

公告详情:

百度此举无疑是广大https网站站长的福音,百度在推出全站HTTPS安全加密服务后,又正式开放收录https站点功能,正逐日对https “另眼相看”,在网络充斥着大量欺诈、非法恶意获取网络信息的今天,更安全HTTPS无疑必将成为明日主流!

HTTPS恒久远,一朝开启永流传!

本文链接地址:https://www.chinassl.net/ssl_industry_news/n582.html

Tomcat 访问http强制 https 访问配置方法

对于Tomcat服务器,如果需要支持使用https访问,可以将服务器证书生成以后,配置server.xml文件,开放https访问方式。但有些时候,可能我们需要将整站或者一些特定的URL限制为只能使用https方式进行访问,那么需要在WEB应用的web.xml文件中进行进一步的配置。

在 tomcat /conf/web.xml 中的 后面加上下面代码

	<login-config>  
	    <!-- Authorization setting for SSL -->  
	    <auth-method>CLIENT-CERT</auth-method>  
	    <realm-name>Client Cert Users-only Area</realm-name>  
	</login-config>  
	<security-constraint>  
	    <!-- Authorization setting for SSL -->  
	    <web-resource-collection >  
	        <web-resource-name >SSL</web-resource-name>  
	        <url-pattern>/*</url-pattern>  
	    </web-resource-collection>  
	    <user-data-constraint>  
	        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
	    </user-data-constraint>  
	</security-constraint>  

完成以上步骤后,在浏览器中输入http的访问地址也会自动转换为https了

Tomcat配置HTTPS

如果Tomcat还未配置安装SSL证书,点击查看Tomcat安装SSL证书

如果使用SHA1生成CSR文件,那么签发SHA2的SSL证书,这样使用是否有问题呢?

如果使用SHA1生成CSR文件,那么签发SHA2的SSL证书,签发的是SHA2也就是SHA-256的 SSL证书,这样SHA1算法的KEY 和SHA2算法的证书一起使用起来是否有问题呢? 还是说如果使用SHA1算法生成的CSR,那么必须签发SHA1算法的证书, 使用SHA2 生成CSR文件必须签发SHA2算法的SSL证书呢? 希望资深有实战经验的专家给个答案!修改

Citrix NetScaler安装SSL证书时出现Not yet valid怎么办?

当在Citrix NetScaler中Install certification时,如果出现Not yet valid的错误提示:
出现这样的提示,一般是因为时区或时间与CA的时间不匹配所致,相差时间控制在3分钟以内,最好是同步。
如果此时的NetScaler的是MDX中硬件中配置,那就用ssh登录NS命令行,shell, 用date 1435下午14:35分钟设置时间或启用NTP同步
如果是在NetScaler VPX中部署,那要检查你的Hypervisor时间是否正确,很多时间是Hypervisor时间不对引起,改好时间后,请将VPX虚拟机重启,一般就可以安装CA并Valid。

SSL/TLS协议运行机制的概述

互联网的通信安全,建立在SSL/TLS协议之上。

本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档

SSL证书,EV SSL证书,通配符证书

一、作用

不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。

(1) 窃听风险(eavesdropping):第三方可以获知通信内容。

(2) 篡改风险(tampering):第三方可以修改通信内容。

(3) 冒充风险(pretending):第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的,希望达到:

(1) 所有信息都是加密传播,第三方无法窃听。

(2) 具有校验机制,一旦被篡改,通信双方会立刻发现。

(3) 配备身份证书,防止身份被冒充。

互联网是开放环境,通信双方都是未知身份,这为协议的设计带来了很大的难度。而且,协议还必须能够经受所有匪夷所思的攻击,这使得SSL/TLS协议变得异常复杂。

二、历史

互联网加密通信协议的历史,几乎与互联网一样长。

1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。

1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。

1996年,SSL 3.0版问世,得到大规模应用。

1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。

2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2011年TLS 1.2的修订版

目前,应用最广泛的是TLS 1.0,接下来是SSL 3.0。但是,主流浏览器都已经实现了TLS 1.2的支持。

TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。

三、基本的运行过程

SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。

但是,这里有两个问题。

(1)如何保证公钥不被篡改?

解决方法:将公钥放在SSL数字证书中。只要证书是可信的,公钥就是可信的。

(2)公钥加密计算量太大,如何减少耗用的时间?

解决方法:每一次对话(session),客户端和服务器端都生成一个”对话密钥”(session key),用它来加密信息。由于”对话密钥”是对称加密,所以运算速度非常快,而服务器公钥只用于加密”对话密钥”本身,这样就减少了加密运算的消耗时间。

因此,SSL/TLS协议的基本过程是这样的:

(1) 客户端向服务器端索要并验证公钥。

(2) 双方协商生成”对话密钥”。

(3) 双方采用”对话密钥”进行加密通信。

上面过程的前两步,又称为”握手阶段”(handshake)。

四、握手阶段的详细过程

SSL证书,EV SSL证书,通配符证书

“握手阶段”涉及四次通信,我们一个个来看。需要注意的是,”握手阶段”的所有通信都是明文的。

4.1 客户端发出请求(ClientHello)

首先,客户端(通常是浏览器)先向服务器发出加密通信的请求,这被叫做ClientHello请求。

在这一步,客户端主要向服务器提供以下信息。

(1) 支持的协议版本,比如TLS 1.0版。

(2) 一个客户端生成的随机数,稍后用于生成”对话密钥”。

(3) 支持的加密方法,比如RSA公钥加密。

(4) 支持的压缩方法。

这里需要注意的是,客户端发送的信息之中不包括服务器的域名。也就是说,理论上服务器只能包含一个网站,否则会分不清应该向客户端提供哪一个网站的SSL数字证书。这就是为什么通常一台服务器只能有一张数字证书的原因。

对于虚拟主机的用户来说,这当然很不方便。2006年,TLS协议加入了一个Server Name Indication扩展,允许客户端向服务器提供它所请求的域名。

4.2 服务器回应(SeverHello)

服务器收到客户端请求后,向客户端发出回应,这叫做SeverHello。服务器的回应包含以下内容。

(1) 确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。

(2) 一个服务器生成的随机数,稍后用于生成”对话密钥”。

(3) 确认使用的加密方法,比如RSA公钥加密。

(4) 服务器证书

除了上面这些信息,如果服务器需要确认客户端的身份,就会再包含一项请求,要求客户端提供”客户端证书”。比如,金融机构往往只允许认证客户连入自己的网络,就会向正式客户提供USB密钥,里面就包含了一张客户端证书。

4.3 客户端回应

客户端收到服务器回应以后,首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,就会向访问者显示一个警告,由其选择是否还要继续通信。

如果证书没有问题,客户端就会从证书中取出服务器的公钥。然后,向服务器发送下面三项信息。

(1) 一个随机数。该随机数用服务器公钥加密,防止被窃听。

(2) 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。

(3) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

上面第一项的随机数,是整个握手阶段出现的第三个随机数,又称”pre-master key”。有了它以后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把”会话密钥”。

至于为什么一定要用三个随机数,来生成”会话密钥”,

“不管是客户端还是服务器,都需要随机数,这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的,因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性。

对于RSA密钥交换算法来说,pre-master-key本身就是一个随机数,再加上hello消息中的随机,三个随机数通过一个密钥导出器最终导出一个对称密钥。

pre master的存在在于SSL协议不信任每个主机都能产生完全随机的随机数,如果随机数不随机,那么pre master secret就有可能被猜出来,那么仅适用pre master secret作为密钥就不合适了,因此必须引入新的随机因素,那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了,一个伪随机可能完全不随机,可是是三个伪随机就十分接近随机了,每增加一个自由度,随机性增加的可不是一。”

此外,如果前一步,服务器要求客户端证书,客户端会在这一步发送证书及相关信息。

4.4 服务器的最后回应

服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的”会话密钥”。然后,向客户端最后发送下面信息。

(1)编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。

(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。

至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用”会话密钥”加密内容。

SSL证书,EV SSL证书,通配符证书

五、参考链接

原文作者:阮一峰

EV SSL证书与标准SSL证书的区别?

扩展验证EV SSL证书,英文名称为Extended Validation SSL Certificate,是普通SSL证书升级版,应用了普通SSL证书后,浏览器将会出现安全锁型标记,提示消费者网站采用了加密链接技术。而扩展验证EV SSL证书最显著区别特点是绿色地址栏,客户登陆网站时将更加清晰识别网站真实身份。而且在地址栏右侧还会动态显示企业名称和SSL证书签发机构信息,而欺诈钓鱼网站根本无从获得该类SSL证书。建议你们还是申请扩展验证EV SSL证书吧,现在公司一般也都申请扩展验证EV SSL证书了。

GeoTrust SSL证书主要有 5 种: QuickSSL Premium、True Business ID 、True BusinessID Wildcard 与 True Business ID with EV

 

aa

查询GeoTrust SSL证书全系列产品:http://www.chinassl.net/geotrust/

SSL证书验证详解

如果没有SSL和SSL证书,我们都知道电子商务是不可能出现的。所有的SSL证书在浏览器和服务器之间提供了一个安全的连接。所有传送的消息都使用公共密钥加密(PKI)技术进行加密。

那么,为什么有那么多不同价格的SSL产品呢?创新产品系列如保护子域安全的通配型SSL和与其他服务捆绑如漏洞扫描服务Hackerguardian,都是决定价格的因素。

然而,SSL证书的费用有价格的区别主要是在于证书颁发机构进行不同级别的身份验证。身份认证可以确保网站访问者可以信任该网站进行在线交易。因此,了解不同级别的验证是选择最合适您的网站安全证书的重要条件。

证书验证主要分为3大类:域名验证(DV SSL证书)组织验证(OV SSL证书)扩展验证(EV SSL证书)。未经过验证而创建的证书被称为“自签名证书”。这是因为该证书是由申请证书的组织而不是第三方证书颁发机构(CA)验证的。

 

自签名证书

您可以创建自己的“自签名”SSL证书。虽然这是免费的,但却没有身份验证。当用户访问使用自签名证书时,浏览器将显示安全警告,告诉用户该网站不受信任。就因为他们是免费的,为了节省开支,所以经常被内联实验室在开发网页和系统时使用。

 

域名验证(DV SSL证书)

DV SSL 证书是 Domain Validation SSL Certificate 英文全称的简写,翻译成中文是域名型 SSL证书 或 域名验证 SSL证书。1-2个小时左右就可完成域名确认和快速颁发证书,,无需递交纸质文件,仅验证域名管理权,无需人工验证申请单位真实身份。

DV SSL 证书不在证书中显示申请单位名称,只显示网站域名。证书购买后,一般 1-2个小时左右即可获得来自证书颁发机构签发的 SSL 证书。

 

组织验证(OV SSL证书)

这些证书包括了完整的业务及公司验证。该证书验证是来自证书颁发机构,使用目前被认可和接受的手动审批程序。就是因为这个要求,这种证书提供比DV SSL证书更高水平的信任和安全性。但是,该这种证书并没有通过由CA/B论坛的设定的发行标准,也不会使最新版本浏览器的地址栏变成绿色。这主要是要告诉您该网站的组织已经通过认证,您可以安全地进行任何交易。

 

扩展验证(EV SSL证书)

EV证书是通过CA/B论坛设定的严格指导方针而被验证的。CA/B论坛是一个独立的标准组织,在颁发证书前,会对企业进行深入的合法性核查。正因如此,EV证书提供最高级别的安全性和信任给终端用户。为了显示更高的信任级别,如果您正访问使用扩展验证的网站,那么浏览器将地址栏变成绿色并直接显示网站所属企业名称。

用户可以在“设置”》 “显示高级设置” 链接中HTTPS/SSL的部分,启用或禁用此功能。

背景资料:

要确定SSL证书是否可以进行安全交易,在颁发证书之前,必须完成以下2个重要的步骤

1。 对有域名控制权的证书申请人进行验证。

2。确认该证书申请人是合法,并具有法律责任业务的。

DV证书只对步骤1进行认证,而OV和EV证书证实了步骤1和2

只有完成以上两个验证,浏览器使用者和被连接的网站之间才能出现信任。步骤2,是由证书颁发机构(CA)如科摩多或VeriSign进行的。CA采用人体操作对申请的商人和该合法的身份进行严格审查。只有当这步骤2的公司认证完成后,该网站才能属于真正的“可信”。

高度可信的证书会显示完整的公司名称和地址表示该在颁发证书给该公司之前,其背景已经被调查。

 

原文链接:  http://blog.comodo.cn/understanding-ssl/

Zimbra简介-转载

公司

Zimbra是一家提供专业的电子邮件软件开发供应商,主要提供Zimbra Collaboration Server协作服务器套件、Zimbra Desktop邮件管理软件等邮件方面的软件。2007年9月,雅虎用3.50亿美元收购Zimbra。Zimbra提供的品牌电子邮件软件包含日历和移动功能以及离线工作功能。这家公司拥有200个教育行业、商业和互联网服务提供商合作伙伴,其中包括Comcast公司。该公司向大约900万用户提供品牌的电子邮件服务。

2010年2月份,Yahoo以1.7亿左右的价格将Zimbra出售给VMWare公司。现在Zimbra是VMWare公司的全资子公司

软件

Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,SafariIE浏览器

2功能

简介

Zimbra与众不同的特点是其“Zimlet”网络服务提供了更多的电子邮件功能。例如,人们可以简单地用鼠标点击电子邮件程序中的航班信息以检查航班的状况。用户还可以在电子邮件中跟踪FedEx公司的投递情况并且获得地图、股票和其它信息。

Zimbra的核心产品是Zimbra协作套件(Zimbra Collaboration Suite,简称ZCS)。除了它的核心功能是电子邮件日程安排服务器,当然还包括许多其它的功能,就象是下一代的微软Exchange。在电子邮件日程安排之外,它还提供文档存储和编辑、即时消息以及一个利用获奖技术开发的全功能的管理控制台。ZCS同时也提供移动设备的支持,以及与部署于WindowsLinuxapple操作系统中的桌面程序的同步功能。

lZ

核心功能

电子邮件服务

它打破传统电子邮件的限制,提供集成的信息和协作办公,以提高工作效率,通过自动整理的邮箱、标签以及对话视图,zimbra让电子邮件易于管理,提供即时信息、共享日历以及快捷的文档创作和协作功能,改变由他人协作的方式,使用zimbra可以在任何地点从任意计算机访问自己的账户,而无论使用的是windowsapple还是linux操作系统,zimbra还可以与blackberryiphone等手持设备同步,即使在路上也能时刻掌握最新资讯,zimbra可以作为个人电子邮件操作系统,也可以用于整个组织。既可以本地部署,也可以部署在托管服务器上。

电子邮件具体功能 1、收件箱、邮件、搜索(inbox, mail&search)

功能图示

功能图示(8张)

2、插件(mashups)

3、日历(calendar)

4、文档协作(document collaboration)

5、即时消息、任务、公文包(im,task,briefcase)

6、zimbra桌面(zimbra desktop)

7、与outlook或apple同步(outlook&apple sync)

8、移动访问(zimbra mobile)Zimbra协作套件(Zimbra Collaboration Suite)

版本

ZCS共有三个版本可供选择:

ZCS开源版(免费)

ZCS 网络版(Network Edition)

ZCS 租用版,由合作伙伴提供

ZCS的安装

系统要求

安装Zimbra的系统要求并不太高:1GB RAM、5GB磁盘空间以及一个支持Linux的产品(RedHat Linux企业版、FedoraSuSE Linux企业版、openSUSEUbuntu)或OS X 10.4.7。不支持BSD

中国证书CHINASSL正式启用中国证书.com

为了方便用户记忆我们网站,chinassl.net正式启用www.中国证书.com,用户可以直接输入中国证书.com访问我们的chinassl.net官方网站,chinassl.net也会一直保留,感谢广大用户对我们的支持!

中国证书CHINASSL
http://中国证书.com
http://chinassl.net
http://XN–FIQ4EU8Y150D.COM