A resposta mais simples - os desenvolvedores do Glassfish não fornecem checksums para verificação de download, como slhck disse - pode estar correta.
md5sums e assinaturas não vêm automaticamente, eles precisam ser criados por quem publica os arquivos, desperdiçando minutos de seu precioso tempo de beber café por muito pouco ganho em segurança (hashes simples MD5 servidos por HTTP inseguro são inúteis) ou integridade (os arquivos ZIP já possuem checksums CRC32, os instaladores 'sh' carregam os mesmos arquivos ZIP e os instaladores EXE podem estar verificando-se).