2024年10月

第一步:转换证书格式(.jks)

第二步: 进入Tomcat安装目录, d:/apache-tomcat-8.0.18, 把下载的jks文件放在tomcat安装目录即可。

d:/apache-tomcat-8.0.18/sslsky.com.jks
第三步: 打开tomcat配置文件 conf/server.xml

tomcat默认一般是8080端口或者 80端口,先找到这一段。

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
在这段下面插入下面配置:

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
clientAuth="false" sslProtocol="TLS" keystoreFile="sslsky.com.jks" keystorePass="123456" />

注意事项:

防火墙要允许443端口

使用CDN,需要让CDN服务商安装SSL

Tomcat 6.0上面配置如果无法启动,把protocol修改为 protocol=”HTTP/1.1″

windows平台运行tomcat , bin目录下必须有tcnative-1.dll

org.apache.coyote.http11.Http11Protocol - blocking Java connector
org.apache.coyote.http11.Http11NioProtocol - non blocking Java connector
org.apache.coyote.http11.Http11AprProtocol - the APR/native connector.
tomcat 修改DHE大小
-Djdk.tls.ephemeralDHKeySize=2048

第⼀步:转换证书格式(.pfx)

第⼆步:⾸先上传PFX格式证书到服务器桌⾯,打开IIS管理器,选择【服务器证书】

第三步:右键导⼊PFX证书, 输⼊证书密码。

第四步:把证书绑定到网站。 选择网站,右键 ,点击“编辑绑定”。

第五步:点击”添加”,选择 “HTTPS”,选择刚刚导⼊的证书名称,点击确定。

至此,SSL已配置完毕,如果通过https访问不了⽹站,需要确认防⽕墙是否拦截了443端口,如果没有开放请开放443端口。

如果IIS7下想绑定多个⼦域名,就需要⼿动配置了,因为IIS7下默认⽀持单个443端口。

配置方法如下:网上的资料⼤部分都是建议修改IIS7配置⽂件直接指定主机名,内容如下:

记事本打开C:\Windows\system32\inetsrv\config\applicationHost.config
通过ctrl+F 查找 定位到如下位置:

找到https的配置项⽬⾏(带有443端⼝的那⾏),修改为:

注意这里的www.sslcity.com要换成你自己的域名,之后保存即可。

此处列举了多个按需添加即可单域名证书只可添加⼀条,如果购买了通配符证书可以把⽹站下属所有子域名都加上即可。

注意:如果使用了CDN, 需在CDN上配置SSL证书。

HTTPS已大面积普及,相关的技术也已经非常成熟。要明白OCSP装订是什么,首先要明白OCSP是个啥。OCSP(英文全称Online1Certificate Status1Protoco),即在线证书状态协议,是用来检验证书合法性的在线查询协议。

翻译成人话:网站的每个访问者都会进行OCSP查询。OCSP装订,可代替在线证书状态协议(OCSP)来查询证书的状态。那就可以优化 HTTPS 速度,因为大部分CA的OSCP服务器都不在中国大陆内

了解这一切,先从CRL说起
当用户通过HTTPS访问您的站点时,服务器需要将您站点的TLS证书响应给用户。用户浏览器会检查证书的到期时间,并拒绝任何已过期/已无效的证书。

在某些情况下,服务器拥有者因为私钥泄漏,必须将证书标记为无效,此时就依赖证书颁发机构实施至少一种方法来吊销有问题的证书并通知浏览器拒绝这些已被吊销的证书。

CRL(英文全称Certificate Revocation List),即证书吊销列表,是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构已经吊销的证书的序列号及其吊销日期。用户在访问您的站点前,浏览器会先下载并解析CRL文件,而后通过CRL文件校验您的证书是否已经吊销。

随着HTTPS的普及,已发布的CRL文件越来越大,这无疑加大了每次链接的网络开销,CRL无法很好的扩展表现的越来越明显。

OCSP验证网站服务器的证书是否有效
OCSP(英文全称Online1Certificate Status1Protoco),即在线证书状态协议,是用来检验证书合法性的在线查询协议。当用户通过HTTPS访问您的网站的时候,客户浏览器会通过OCSP响应者验证网站服务器的证书是否有效。(浏览器现在可以与响应者联系,以请求CA颁发的单个证书的吊销状态,而不必获取和处理整个CRL。)

OCSP看起来似乎是一种有效的解决方案,但新协议已被证明存在实用性问题。

性能问题,浏览器需要为每个新的HTTPS连接执行附加的HTTP请求,增加了网络开销;
安全问题,大多数实际的OCSP实施不够可靠(由于网络滞后,配置或应用程序错误),导致用户浏览器实施OCSP检查失败。如果无法访问OCSP服务器或服务器超时,浏览器将认为证书有效并继续进行HTTPS连接;
隐私问题,由于证书与密钥和域名相关联,并且浏览器在每个新的HTTPS连接之前请求吊销状态,这意味着浏览器会将其用户的网络历史的很大一部分泄漏给OCSP响应者。
OCSP装订是TLS证书状态查询扩展
OCSP装订 (OCSP Stapling)作为对OCSP协议缺陷的弥补,实现了服务器可以事先模拟浏览器对证书链进行验证,并将带有CA机构签名的OCSP验证结果响应保存到本地,最多可缓存7天。等到真正的握手阶段,再将OCSP响应和证书链一起下发给浏览器,以此避免增加浏览器的握手延时。由于浏览器不需要直接向 CA 站点查询证书状态,这个功能对访问速度的提升非常明显。

由于装订是在服务器中实现的,因此浏览器无法知道服务器是否真正支持装订,而且OCSP装订本身不能完全解决OCSP的软故障安全问题。

结果,具有持有被盗证书私钥的攻击者可以通过提供证书而无需OCSP装订来执行降级攻击。受害者的浏览器无法证实服务器是否真正支持装订,并无法像通常那样继续查询OCSP响应程序。然后,攻击者可以简单地阻止此OCSP查询,并有效地迫使浏览器接受证书有效。

OCSP必须装订(英文全称OCSP Must-Staple),即CA和浏览器供应商引入的防止OCSP装订被攻击的SSL证书扩展,该扩展要求必须对证书进行OCSP装订。如果浏览器遇到带有此扩展名的证书而未使用OCSP装订,则将被拒绝。

OCSP必须装订可以缓解上述降级攻击,还可以减少流向CA的OCSP响应程序的不必要的流量,这也帮组提高了OCSP的整体性能。

在Intel宣布全球大裁员的背景下,其在以色列也将裁掉大量员工,其中一部分被裁员工选择加入了NVIDIA。据LinkedIn资料显示,2024年至少有30名Intel员工加入NVIDIA在约克尼穆和特拉维夫的办公室,包括在Intel工作了十几年、二十年的老员工。
这些员工包括核心处理器开发工程师、硬件架构专业人员、电力管理人员以及芯片设计软件开发人员。

对于离开Intel转投NVIDIA的员工来说,他们的薪酬待遇有了提升,

根据levels.fyi网站的数据,NVIDIA初级硬件工程师的起薪为每年566000新谢克尔(约合108万元人民币),或每月47000新谢克尔(包括股票期权和奖金,约合每月9万元人民币),平均比Intel高33%。

最大的差距在于股票期权,Intel硬件工程师的股票期权套餐价值为每年19300新谢克尔(约合3.7万元人民币)起,而NVIDIA的年度股票期权套餐价值为56200新谢克尔(约合10.7万元人民币)起。

据估计,NVIDIA近期聘用的Intel员工总数在60至90人之间,未来几个月这一数字可能达到100人。

2024年10月26日,美国国家航空航天局(NASA)太阳动力学天文台(Solar Dynamics Observatory)的太阳耀斑记录到了一个强大的太阳耀斑,在美国东部时间凌晨3:19达到峰值。 这次强烈的事件被归类为 X1.8 耀斑,有可能破坏地球上的无线电信号、导航系统和电网,同时也会对宇航员和轨道上的航天器构成威胁。
2024 年 10 月 26 日,美国国家航空航天局的太阳动力学天文台捕捉到了这些太阳耀斑的图像--在三幅图像的每一幅中都可以看到耀斑的亮光。 这些图像显示了三个不同的极紫外光子集,它们突出显示了耀斑中的极热物质,并分别被染成茶色、金色和红色。 图片来源:NASA/SDO

太阳耀斑是源自太阳表面的突然、强烈的能量爆发,通常发生在磁场高度集中且不稳定的太阳黑子附近。 这些强大的爆发会释放出大量的电磁辐射,波谱包括无线电波、X 射线和伽马射线。

耀斑按其强度分类,"X 级"代表最强的耀斑,能够破坏地球上的通信、全球定位系统和电网。 耀斑还会给宇航员和航天器带来辐射风险。 太阳耀斑是太阳自然活动周期的一部分,经常与日冕物质抛射(CMEs)同时发生,后者将带电粒子送入太空,扩大了对地球技术和基础设施的潜在影响。

美国国家航空航天局的太阳动力学天文台(SDO)是一颗专门研究太阳活动及其对地球影响的卫星。 SDO 于 2010 年发射,提供有关太阳磁场、大气层和太阳辐射的连续、高分辨率图像和数据。

该观测站监测太阳黑子、太阳耀斑和日冕物质抛射(CMEs)等太阳现象,捕捉多个波长的细节,帮助科学家了解太阳的动态并预测空间天气。 SDO 的洞察力对于保护地球上的技术和基础设施以及确保宇航员在太空中的安全至关重