ieasy.org上的jabber服务开始支持SSL了,它的SSL证书由CAcert.org签署。 CAcert.org是一个提供免费安全认证的站点。这也是我选择它的原因。
但是,问题在于CAcert.org的根证书并没有为大部分软件所包含,像Firefox、IE都没有包含,所以你得去https://www.cacert.org/cacert.crt 来安装证书才行。当然常用的jabber客户也没有包含,你需要手工的设置才行。
对于Psi的用户,可以简单的安装这个文件cacert.org.xml到psi所安装的目录(一般是c:\program files\psi\)下certs目录就可以了,关于这份证书的正确性,你可以到https://www.cacert.org/index.php?id=3下载CAcert.org的根证书对比一下即可。你也可以手工添加:)
关于CAcert.org 还想说两句,它提供了客户端证书用于验证客户,也提供了服务器证书。挺不错的。不过好像客户端的证书用于加密邮件在thunderbird 和 outlook上都没有成功。主要是导入证书的问题。回头有时间再仔细研究:)
嗯,如何保证这个“CAcert.org”是可信的呢?
我向某人推荐此网站,他说:“根据ssl协议的规定,你这样随便找一个证书签发者作根证书时没有意义的。”
而且貌似你文中的链接有问题。
我点击以后出现错误,接收到错误或未期望的消息,错误号-12227
to giogio:
我觉得是这样的:一个站点(比如ieasy.org)是否可信是由CA来提供保障的。那么哪些ROOT CA可信呢?
1。与你有直接关系的CA,比如你的学校、公司提供CA,要求你把它们作为root ca。你肯定得信。
2。知名CA。比如VeriSig公司的CA, 他们花的大笔钱来保证CA的安全性,他们的客户也花了大笔钱来获得签发。值得你信任。
3。浏览器中预置的Root CA, 一般来说它们都是第二种,值得我们相信的。(但是注意浏览器软件这个预置CA可以修改的,没准从哪个第三方下载的浏览器就把一个做坏事儿的CA作为root CA了:P)
CACert.org 并不那么出名,但也不是随便找来的一个签发者。它已经签发了5万多个证书,这也说明有很多人信任它的。
CACert.org与 VeriSign等公司的区别在于它是免费的,我觉得这正是我们需要的,像我们这些个人站点想从那些知名CA处购买一个证书还不那么现实。
我看好CACert.org,也祝愿它早日进入浏览器的预置CA中。
附上CACert.org的一简介:
我们已经等了很久,但是我们没有白等,我们终于可以以合理的价格得到安全了--免费的!
多少年来,各安全认证机构都要向我们收取大量金钱。他们所作的根本不值这个价钱,我们没有必要为安全花这么多钱。
主要目标是:
* 争取被主流浏览器认可!
* 为加密安全性提供一个信任机制。
我觉得,还是选择国际标准的SSL证书好,比较现在国际标准证书的价格便宜了。
GeoTrust提供2类SSL证书: QuickSSL Premium、RapidSSL。
1)QuickSSL Premium适合大中型电子商务网站,只要拥有域名对于的管理员邮箱就可以快速申请(付款后几分钟就可以获得证书),支持证书免费重发、网站签章等功能。128/256位的加密证书1980元/年。
2)RapidSSL适合中小型电子商务网站,只要拥有域名对于的管理员邮箱就可以快速申请(付款后几分钟就可以获得证书),证书重发需另外付费。128/256位的加密证书558元/年。
国内用户可以向Geotrust的中国合作伙伴“迅通诚信”www.myssl.cn 申请。
如果不是默认的 root ca,使用 CAcert.org 和使用 Windows CA 服务器签发一个证书没什么区别。