對于含筆者在內(nèi)的小白用戶來說，OpenSSL盡管與我們息息相關(guān)，但似乎我們并沒有太多機(jī)會關(guān)注和了解它。為數(shù)不多的對于OpenSSL的認(rèn)知，則是有關(guān)其“心臟流血”（Heartbleed）的漏洞被電視媒體和互聯(lián)網(wǎng)媒體報道；羅永浩以及其有關(guān)的錘子科技對OpenSSL的大筆捐助；以及最近的“界面”飽受爭議的那篇有關(guān)OpenSSL和羅永浩的文章。

但廣泛流傳的未必就是真相，而且眾說紛紜中的各種似是而非，實(shí)在不便于大家真正了解OpenSSL的廬山真面目。于是，筆者試圖從更詳細(xì)的角度梳理一下OpenSSL，以便大家更好圍觀。

OpenSSL為何物？

認(rèn)知OpenSSL得先從SSL說起，SSL可能是大家接觸比較多的互聯(lián)網(wǎng)安全協(xié)議之一，看到某個網(wǎng)站地址用了“https://”開頭，就是采用了SSL安全協(xié)議。根據(jù)百度百科的定義，SSL是Secure Sockets Layer（安全套接層協(xié)議）的縮寫，可以在Internet上提供秘密性傳輸。SSL標(biāo)準(zhǔn)由網(wǎng)景公司（Netscape）最早提出，Netscape在推出第一個Web瀏覽器的同時，提出了SSL協(xié)議標(biāo)準(zhǔn)。目的是保證兩個應(yīng)用間通信的保密性和可靠性，可在服務(wù)器端和用戶端同時實(shí)現(xiàn)支持。到目前SSL已經(jīng)成為Internet上保密通訊的工業(yè)級別標(biāo)準(zhǔn)。

OpenSSL 則是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。OpenSSL是一種開放源碼的SSL實(shí)現(xiàn)，用來實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密，現(xiàn)在被廣泛地用于各種網(wǎng)絡(luò)應(yīng)用程序中。

有關(guān)技術(shù)和標(biāo)準(zhǔn)的東西，從協(xié)議來看，總是不太易懂，有點(diǎn)云里霧里的感覺。再通俗一點(diǎn)講，OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，它通過一種開放源代碼的SSL協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密，目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。顯然，說到這里，大家自然就明白OpenSSL和我們自身息息相關(guān)了，只是具體怎么相關(guān)法我們很少關(guān)注。

如果理解起來還有困難的話，還可以在直白一點(diǎn)講。SSL可以理解為是一個高強(qiáng)度加密的安全鎖，而OpenSSL其實(shí)就是當(dāng)前互聯(lián)網(wǎng)上使用量最大的鎖。甚至不夸張的說，你能在網(wǎng)上看到每個“HTTPS”標(biāo)志，都意味著一個OpenSSL的使用實(shí)例。

OpenSSL的進(jìn)化史

主要版本進(jìn)化史，更詳盡的版本進(jìn)化可以參見http://www.openssl.org/news/

1998年12月23日，發(fā)布0.9.1c；

……

2010年3月29日，發(fā)布1.0.0，取代0.9.8x；

……

2015年1月22日，發(fā)布1.0.2，當(dāng)前版本，取代1.0.1，支持DTLS v1.2。

嚴(yán)格的說，OpenSSL只是由一伙黑客或者說愛好者，自發(fā)組織起來，跨國協(xié)助完成的開源項(xiàng)目，這些黑客中的大多數(shù)是以志愿者的身份參與的。寫到此處，應(yīng)該有掌聲，世界的某個角落，總有些在常人看起來默默無聞的“志愿者”們在干著偉大的事情。

OpenSSL在國內(nèi)逐漸走向廣為人知的標(biāo)志性事件

1、Heartbleed Bug（心臟流血漏洞）

發(fā)生于2014年4月8日，Google和網(wǎng)絡(luò)安全公司Codenomicon的研究人員發(fā)現(xiàn)，OpenSSL Heartbleed模塊存在一個BUG。簡單的說，黑客可以對使用https(存在此漏洞)的網(wǎng)站發(fā)起攻擊，每次讀取服務(wù)器內(nèi)存中64K數(shù)據(jù)，不斷的反復(fù)獲取，內(nèi)存中可能會含有用戶http原始請求、用戶cookie甚至明文帳號密碼等。大家經(jīng)常訪問的網(wǎng)銀、支付寶、微信、淘寶等網(wǎng)站也存在這個漏洞。

更通俗點(diǎn)講“心臟流血”，代表著最致命的內(nèi)傷。各種最敏感數(shù)據(jù)在網(wǎng)絡(luò)上可以被攻擊者隨意讀取，這種情況想想就讓人毛骨悚然。利用這一漏洞，黑客坐在自己家里的電腦前，就可以實(shí)時獲取到很多https開頭網(wǎng)址的用戶登錄賬號密碼，而且場地不限，比如說，黑客可以在自己的辦公室，也可以在其他國家實(shí)現(xiàn)數(shù)據(jù)盜用。

好在OpenSSL很快發(fā)布了1.0.1g版本，以修復(fù)這一問題，但網(wǎng)站對這一軟件的升級還需要一段時間，在這個窗口時間里，用戶的敏感數(shù)據(jù)實(shí)際是隨時可能被盜用的。所以在2014年這個漏洞爆發(fā)后的很長一段時間里，因?yàn)槊襟w連篇累讀地提及“心臟流血”，公眾也因此對OpenSSL有了一個感性的認(rèn)知，但顯然，這種認(rèn)知都是比較負(fù)面的，畢竟漏洞并不是什么好事兒。

《華爾街日報》撰文稱，震驚互聯(lián)網(wǎng)的“心臟流血”漏洞暴露出OpenSSL的一大軟肋：如此重要的項(xiàng)目多年來始終面臨著資金和人手不足的窘境，多數(shù)工作都要由為數(shù)不多的志愿者來完成。

不過基于OpenSSL的重要性，以及Heartbleed Bug的出現(xiàn)，也讓業(yè)界更加重視OpenSSL，或許正是因禍得福吧。

2014年4月24日Linux基金會宣布成立了核心基礎(chǔ)架構(gòu)聯(lián)盟，這是一個包含數(shù)百萬美元投入的龐大支持計(jì)劃，能為處在全球信息基礎(chǔ)架構(gòu)中的關(guān)鍵項(xiàng)目提供資金。出資人包括亞馬遜、戴爾、Facebook、富士通、Google、IBM、英特爾、微軟、NetApp、Rackspace、VMware等多個巨型IT企業(yè)、互聯(lián)網(wǎng)新銳和Linux基金會。 該聯(lián)盟旨在讓開發(fā)人員能全職在項(xiàng)目上工作，并且支付安全審計(jì)、硬件和軟件基礎(chǔ)設(shè)施，旅行及其他費(fèi)用。OpenSSL是該聯(lián)盟資金資助的首位獲得者候選人。

2、OpenSSL和羅永浩

小白用戶更多關(guān)注到OpenSSL，是因?yàn)榱_永浩自己提及錘子科技給OpenSSL捐助了200萬元人民幣事件，據(jù)稱這是OpenSSL歷史上獲得的最大一筆捐贈，而老羅和錘子科技則對OpenSSL予以高度贊譽(yù)，認(rèn)為其在情懷和理想主義上，與老羅和錘子科技一貫宣揚(yáng)的公眾形象，很有共鳴之處。

這種贊譽(yù)，在最近“界面”上的一篇文章：《隱形戰(zhàn)友》，再次將OpenSSL和羅永浩推向輿論的風(fēng)口浪尖。很多人質(zhì)疑羅永浩利用捐款事件炒作，認(rèn)為羅永浩和錘子科技的捐款只是錦上添花，而非雪中送炭。并提出在此之前其實(shí)也有不少組織和公司給OpenSSL捐款，即使沒有羅永浩極其錘子科技的捐款，OpenSSL也能正常運(yùn)轉(zhuǎn)。至于是或者不是，只能OpenSSL組織自己出來澄清了。但是從《華爾街日報》的報道來看，OpenSSL確實(shí)多年來始終面臨著資金和人手不足的窘境。

無論你喜歡或者討厭，都無法改變一個事實(shí)：羅永浩的情懷輿論站，讓廣大中國人，至少是網(wǎng)民更多地知道了OpenSSL的故事。而錘子科技在國內(nèi)第一個向OpenSSL捐獻(xiàn)“巨款”（相比之前的捐款而言）對OpenSSL組織的幫助，會讓更多的網(wǎng)民受益。從這個角度來說，對于羅永浩和錘子科技的捐款，我們應(yīng)該多些肯定。

最后，關(guān)于開源和捐助

關(guān)于以O(shè)penSSL為代表的開源項(xiàng)目，筆者想說，不管正解還是誤解，都無法阻擋那一群在常規(guī)世界里看起來默默無聞的人們，通過互聯(lián)網(wǎng)，跨越時空，相互協(xié)作，憑借自己的智慧和理想，一道完成著和大家息息相關(guān)的，“偉大”的事情。對于給予這些人們以幫助的任何行為，不管正解和誤解，都應(yīng)該多些寬容，少些質(zhì)疑，多些實(shí)際行動。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。