OpenSSL 安全套接字层密码库

OpenSSL 是一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。
在OpenSSL被曝出现严重安全漏洞后，发现多数通过SSL协议加密的网站使用名为OpenSSL的开源软件包。由于这是互联网应用最广泛的安全传输方法，被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用，所以该漏洞影响范围广大。
OpenSSL漏洞不仅影响以HTTPS开头的网站，黑客还可利用此漏洞直接对个人PC发起“心脏出血”（Heartbleed）攻击。据分析，Windows上有大量软件使用了存在漏洞的OpenSSL代码库，可能被黑客攻击抓取用户电脑上的内存数据。

SSL是Secure Sockets Layer（安全套接层协议）的缩写，可以在Internet上提供秘密性传输。网景Netscape公司在推出第一个Web浏览器的同时，提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。
安全套接层协议能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

OpenSSL 改变开发策略：转用 GitHub issue 讨论补丁: OpenSSL 开发团队宣布了一些关于项目开发策略的变化。其中包括关闭 openssl-dev 列表，选择在 GitHub 上讨论所有的补丁。此外，增加了一个新的面向全世界用户的只读邮件列表 openssl-project(https://mta.openssl.org/mailman/listinfo/openssl-project)。他们还表示，目前正在改变发布时间表，所以，除非出现紧急的情况，
发布于 2018-01-22 00:55:52 | 221 次阅读
OpenSSL 宣布将开源许可证更改为 Apache 2.0: OpenSSL 宣布将其许可证更改为 Apache License v 2.0，并启用了一个新网站。该网站将帮助 OpenSSL 团队联系迄今所有为该项目做出贡献的人完成许可证的更换。OpenSSL 是目前非常流行的加密程序库，此前采用的许可证是 OpenSSL License 和 SSLeay License，其中 OpenSSL License 是 Apache License 1.0 许可证，而 SSLeay Lic
发布于 2017-03-25 00:56:31 | 83 次阅读
OpenSSL 1.1 API 的迁移问题: 很多人都知道，OpenSSL 1.1.0版本有意介绍了从以前的版本引入了重大的API更改，以前公开可见的大量数据结构已经变得不透明，添加了访问器函数以获取和设置这些现在不透明结构中的一些字段。值得注意的是，使用不透明数据结构对库通常是有益的，因为可以改变这些数据结构而不破坏ABI。因此，这些变化的总体方向在很大程度上
发布于 2016-12-31 14:32:50 | 155 次阅读
锤子再捐款，OpenSSL 基金会150万赠款已到账: OpenSSL 基金会12月7日发布公告称，再次收到来自锤子科技捐赠的212000美元（20万欧元，150万元人民币）捐赠款，突破了以前的记录（由锤子两年前捐赠）。今年10月18日，锤子科技CEO罗永浩在锤子手机发布会上，宣布将200多万元门票收入，以及原计划成立的 Smartisan 公益基金近100万元，全部捐赠给 OpenSSL 基金会和 OpenBSD
发布于 2016-12-08 11:50:47 | 144 次阅读
“OpenSSL 红色警戒”漏洞公告: 来自Qihoo 360 Gear Team的安全研究员石磊（360信息安全部）发现OpenSSL中存在一个影响广泛的远程匿名拒绝服务漏洞，该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞)，通用漏洞编号CVE-2016-8610。目前已确认该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx，OpenSSL官方已经于2016-09
发布于 2016-10-25 05:58:03 | 226 次阅读
OpenSSL 公布高危漏洞，建议升级: 昨日，OpenSSL公布了一些关于高危漏洞的安全信息，部分信息如下：OCSP状态请求延期导致无限的内存增长(CVE-2016-6304)严重级别：高等恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商，每次发送大量OCSP状态请求延期，这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致DoS攻击。使
发布于 2016-09-23 04:19:14 | 137 次阅读
研究人员发现 OpenSSL 随机数生成器弱点: 研究人员发表报告，称发现了OpenSSL随机数生成器的多个弱点。OpenSSL开源加密库被全世界互联网公司广泛使用，但曾多次曝出严重漏洞，并因此催生了多个新的开源加密库项目，其中包括Google的BoringSSL和OpenBSD的LibreSSL。研究人员发现，低熵态的OpenSSL随机数生成器可能会在输出中泄漏低熵秘密。BoringSSL和LibreSSL的
发布于 2016-04-14 00:53:06 | 225 次阅读
OpenSSL 新漏洞，超过1100万https站点受影响: 据了解，最近有研究人员在OpenSSL中发现了一个新的安全漏洞，这个漏洞将会对SSL（安全套接层）安全协议产生巨大的影响，而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。影响超过1100万网站我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”（ DecryptingRSA with Obsole
发布于 2016-03-02 04:57:21 | 232 次阅读
OpenSSL 高危漏洞允许攻击者解密 HTTPS 流量: OpenSSL的维护者修复了一个高危漏洞，该漏洞允许攻击者能获得解密HTTPS等加密流量的密钥。漏洞的潜在影响虽然严重，但需要满足多个条件才能被利用：漏洞只存在于OpenSSL 1.0.2中；依靠OpenSSL的应用程序必须配置使用基于DSA的group去生成基于Diffie Hellman密钥交换的临时密钥。在默认情况下它将容易受到密钥恢复攻击。
发布于 2016-02-02 00:56:18 | 202 次阅读
荷兰政府向OpenSSL捐赠50万欧元反对加密后门: 尽管英国和美国等政府部门正忙于用各种首段来破坏核心网络安全功能，但荷兰今天公布的最新声明对数据加密给予支持，并强烈反对政府主导的后门行为。在全球范围内荷兰以注重隐私而闻名，该国有丰富的服务来处理网站上
发布于 2016-01-05 01:43:16 | 196 次阅读
OpenSSL 将终止支持旧版本: OpenSSL软件基金会发布了安全更新，修正了几个中低危险级别的漏洞。OpenSSL释出了更新0.9.8zh、1.0.0t、1.0.1q和1.0.2e，其中0.9.8zh和1.0.0t 将是各自分支的最后一个更新，OpenSSL将于12月31日终止支持0.9.8和1.0.0分支。1.0.1分支将于2016年12月31日终止支持，1.0.2则是2019年。仍然使用 OpenSSL 0.9.8或1.0.0的应用需要
发布于 2015-12-06 00:50:12 | 177 次阅读
OpenSSL 将迁移到 Apache 2.0 许可: 在 OpenSSL 的博客中，Rich Salz 宣布项目决定将许可从“唯一且特别” OpenSSL license 迁移到 Apache 2.0 license。为了在接下来的发布中做出变化，项目将“尽快要求每个贡献者签署一份贡献许可协议（Contributor License Agreement）”。个人和公司版本的 CLA 已经发布。而琐碎的补丁则不会要求提交者签署协议。Sa
发布于 2015-08-02 01:59:16 | 150 次阅读
OpenSSL新漏洞影响最新版的Firefox和Chrome: OpenSSL 公开了多个中等或低危险性的安全漏洞。其中一个漏洞允许中间人攻击者降低TLS安全连接使用的Diffie-Hellman密钥交换系统的加密强度，该漏洞被命名为Logjam，影响最新版的Chrome、Firefox和Safari浏览器，你可以访问 weakdh.org
发布于 2015-06-12 08:40:30 | 192 次阅读
OpenSSL再曝一批新漏洞安全专家认为影响不大: 据路透社报道，知名加密软件OpenSSL周四再被曝光一批新漏洞。不过相比一年前让整个计算机行业陷入恐慌的“心脏流血”（Heartbleed），安全专家们认为此一批新漏洞将不足以造成同等效果的轰动，况且OpenSSL项目维护组早在一
发布于 2015-03-19 22:37:15 | 175 次阅读
开源软件和 OpenSSL 的真实故事，到底谁才是真正的隐形战友: 前几天，在朋友圈看到转来的原发于“界面“关于OpenSSL和开源项目的“隐形战友” 一文。开始觉得不过是炒冷饭，“心脏出血”这个OpenSSL严重漏洞，从去年（2014）4月初被公众知道，
发布于 2015-02-06 05:57:57 | 189 次阅读

OpenSSL-fips 2.0.16 发布，安全套接字层密码库: OpenSSL-fips 2.0.16 发布了。OpenSSL是一个强大的安全套接字层密码库，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，但是，你不应该只将其作为一个库来使用，它还是一个多用途的、跨平台的密码工具。该版本更新可以请自行查看提交记录，或关注发布说明。下载地址：Source code (zip)Source code (tar.gz)
发布于 2017-09-01 07:56:15 | 181 次阅读
OpenSSL 1.0.2k 发布: OpenSSL 1.0.2k 发布，更新和修复的问题如下：截断的数据包通过 OOB 读取可能会崩溃（Truncated packet could crash via OOB read） (CVE-2017-3731)BN_mod_exp 可能在 x86_64 上产生不正确的结果 (CVE-2017-3732)蒙哥马利乘法可能会产生不正确的结果 (CVE-2016-7055)对 Node.js 的影响评估可点此进行查看发布主页和发
发布于 2017-01-27 23:47:48 | 190 次阅读
OpenSSL 1_1_0c 发布: OpenSSL 1_1_0c 发布了。主要改进如下：ChaCha20/Poly1305 从堆缓冲区中溢出CMS 空解除引用蒙哥马利乘法可能会产生不正确的结果删除了在共享库和可执行文件中自动添加 RPATH，因为这是 OpenSSL 1.0.x的剩余
发布于 2016-11-14 08:19:11 | 225 次阅读
OpenSSL 1_1_0b 和 1_0_2j 发布: OpenSSL 1_1_0b 和 1_0_2j 发布了。更新内容：OpenSSL 1_1_0b：暂无更新内容。更多消息点击发行日志和提交记录查看。OpenSSL 1_0_2j：暂无更新内容。更多消息点击发行日志和提交记录查看。下载链接：OpenSSL 1_1_0b：Source code (zip)Source code (tar.gz)OpenSSL 1_0_2j：Source code&nbs
发布于 2016-09-29 03:33:52 | 181 次阅读
OpenSSL 1-1-0a 1-0-2i和1-0-1u 发布: 昨日，OpenSSL公布了一些关于高危漏洞的安全信息，参考这条新闻，发布的这几个版本修复了一些重大的漏洞，建议升级。下载地址：OpenSSL_1_1_0aSource code (zip)Source code (tar.gz)OpenSSL_1_0_2iSource code (zip)Source code (tar.gz)OpenSSL_1_0_1uSource code (zip)Source code (tar.g
发布于 2016-09-23 09:22:40 | 177 次阅读
OpenSSL 1.1.0 系列发布更新: OpenSSL 1.1.0 系列发布了更新，主要更新如下：Windows command-line tool supports UTF-8 opt-in option for arguments and console input. Setting OPENSSL_WIN32_UTF8 environment variable (to any value) allows Windows user to access PKCS#12 file generated with Windows CryptoAPI and protected
发布于 2016-08-26 07:58:05 | 183 次阅读
OpenSSL 将要发布 1.0.1t 和 1.0.2h: OpenSSL宣布将要在本周周二或周三发布1.0.1t 和 1.0.2h 版本，该版本将解决根据他们的安全策略标记，标记为“高”严重程度的“几个安全缺陷”，这意味着它们是：......是比危急风险较低的，这可能是由于影响不太常见的结构，或其中的问题不太可能被利用。Node.js v0.10 和 v0.12 都使用 OpenSSL v1.0.1 和 Node.js v4，&nbs
发布于 2016-05-03 00:53:57 | 274 次阅读
OpenSSL_1_1_0-pre4 发布: OpenSSL_1_1_0-pre4 发布了。OpenSSL包含一个命令行工具用来完成OpenSSL库中的所有功能，更好的是，它可能已经安装到你的系统中了。OpenSSL是一个强大的安全套接字层密码库，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，但是，你不应该只将其作为一个库来使用，它还是一个多用途的、跨平台的密码工具。OpenSSL有许多的特
发布于 2016-03-20 23:52:34 | 311 次阅读
OpenSSL 1.0.2g 和 1.0.1s 发布，修复高危漏洞: OpenSSL 项目发布了两个更新版本，分别是 1.0.2g 和 1.0.1s，该版本修复了几个标注了高危的漏洞。详情请看官方说明：https://mta.openssl.org/pipermail/openssl-announce/2016-February/000063.html
发布于 2016-02-29 04:56:58 | 671 次阅读
OpenSSL 1.1.0 pre release 3 发布: OpenSSL 1.1.0 pre release 3 发布了，现在仍然处于alpha阶段，pre-release版本只能用于测试，不能应用到生产环境。代码包信息openssl-1.1.0-pre3.tar.gz Size: 5024305 SHA1 checksum: 5b2257c1d7d8db6400c9951865bd7ef58dc758b3 SHA256 checksum: bb0e
发布于 2016-02-17 23:49:34 | 254 次阅读
OpenSSL 1.0.2d/1.0.1p 发布，重要安全更新！: OpenSSL 1.0.2d 和 OpenSSL 1.0.1p 发布，修复了一个安全问题(CVE-2015-1793)。安全级别：高影响的版本：OpenSSL 1.0.2c, 1.0.2b, 1.0.1n 和 1.0.1o。漏洞描述：Alternative chains certificate forgery (CVE-2015-1793)详细描述请看这里。下载：http://www.openssl.org/source/
发布于 2015-07-10 01:00:36 | 360 次阅读
OpenSSL又现高危漏洞，心脏又要大出血？: 还记得那个因为“心脏出血”而一夜成名的OpenSSL协议吗？它又有漏洞了。一组负责为加密协议OpenSSL做技术支持的开发人员，发现了一个新的神秘“高危”漏洞。OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议，
发布于 2015-07-08 07:06:11 | 183 次阅读
OpenSSL 发布多个更新版本: OpenSSL 发布了更新版本 —— 1.0.2b, 1.0.1n, 1.0.0s 和 0.9.8zg，这些版本包括 bug 修复和安全更新（Logjam，CVE-2015-1788，CVE-2015-1789，CVE-2015-1790，CVE-2015-1792，CVE-2015-1791，CVE-2014-8176）。详细安全建议请看这里：http://www.openssl.org/news/secadv_201
发布于 2015-06-12 08:56:04 | 358 次阅读
OpenSSL 发布多个更新版本，修复 DoS 漏洞: OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ，这些版本主要是定位 12 个缺陷，但并非所有 OpenSSL 版本都受这些问题影响。这 12 个漏洞中最严重的是 CVE-2015-0291 ，该漏洞可导致 DoS 拒绝服务攻击，这个漏洞只影响 OpenSSL
发布于 2015-03-19 22:19:15 | 196 次阅读
OpenSSL 1.0.2 发布: OpenSSL 在 1月22日时发布了 1.0.2 版本，这是一个主要的更新版本，包含众多的改进内容，详情请看 CHANGES。下载地址：openssl-1.0.2.tar.gz同时你现在可以通过 github 来访问 OpenSSL 源码，地址：https://github.com/openssl/opensslOpenSSL包含一个命
发布于 2015-02-18 10:03:01 | 296 次阅读
OpenSSL 发布补丁修复已发现的 8 个安全漏洞: OpenSSL 发布了新的补丁版本 1.0.1k, 1.0.0p 和 0.9.8zd，这三个版本主要是为了修复刚刚发现的 8 个 OpenSSL 安全漏洞。下载地址：openssl-1.0.1k.tar.gzhttp://openssl.org/source/openssl-1.0.0p.tar.gzhttp://openssl.org/source/openssl-0.9.8zd.tar.gz
发布于 2015-01-10 01:32:42 | 178 次阅读
OpenSSL 即将发布 1.0.1k, 1.0.0p 和 0.9.8zd: OpenSSL 即将发布 1.0.1k, 1.0.0p 和 0.9.8zd 三个版本，这三个版本主要都是安全漏洞的修复。http://marc.info/?l=openssl-announce&m=142046772204265
发布于 2015-01-09 00:24:11 | 194 次阅读
OpenSSL 1.0.1j 发布: OpenSSL 1.0.1j 发布，此版本现已提供下载，更新内容如下：[高] SRTP Memory Leak (CVE-2014-3513)[中] Session Ticket Memory Leak (CVE-2014-3567)[中] SSL 3.0 Fallback protection[低] Build option no-ssl3 is incomplete (CVE-2014-3568)详情请看这里。OpenSSL包含一个命令行
发布于 2014-10-20 23:53:18 | 303 次阅读
OpenSSL 更新 9 个安全问题: 06-Aug-2014: Security Advisory: nine security fixes https://www.openssl.org/news/secadv_20140806.txtOpenSSL 0.9.8 DTLS users should upgrade to 0.9.8zb OpenSSL 1.0.0 DTLS users should upgrade to 1.0.0n. OpenSSL 1.0.
发布于 2014-08-11 09:52:51 | 354 次阅读

后端技术

前端技术

数据库

热门框架

常用IDE

其他