| Phát triển bởi | Dự án OpenSSL |
|---|---|
| Kho mã nguồn | |
| Viết bằng | C,hợp ngữ |
| Hệ điều hành | Nhiều |
| Thể loại | Thư viện bảo mật |
| Giấy phép | Apache 1.0,BSD 4 điều khoản |
| Website | www |
OpenSSL là một thư viện phần mềm cho các ứng dụng bảo mật truyền thông quamạng máy tính chống nghe trộm hoặc cần phải xác định phe truyền thông ở bên đầu kia. Nó được sử dụng rộng rãi trong các máy chủ web internet, phục vụ phần lớn tất cả các trang web.
OpenSSL bao gồmphần mềm nguồn mở cho việc triển khai các giao thức mạng và mã hóa khác nhau nhưSSL và TLS.Thư viện gốc được viết bằngngôn ngữ lập trình C, có sẵn những phần mềm cho phép sử dụng thư viện OpenSSL trong nhiều ngôn ngữ, cung cấp các chức năng mật mã tổng quát để mã hóa và giải mã. OpenSSL cũng được sử dụng từ dòng lệnh để yêu cầu, tạo và quản lý các chứng thực số.
Có sẵn phiên bản cho phần nhiều hệ điều hànhtương tự Unix (bao gồmSolaris,Linux,Mac OS X, và các hệ điều hànhBSD nguồn mở),OpenVMS, vàMicrosoft Windows.IBM cung cấp một phiên bản tương thích vớiHệ thống i (OS/400). OpenSSL dựa trênSSLeay do Eric A. Young và Tim Hudson phát triển cho đến vào khoảng tháng 12 năm 1998, khiRSA Security bắt đầu mướn Young và Hudson.
Ngày 7 tháng 4 năm 2014, dự án OpenSSL tuyên bố rằng tất cả các phiên bản trong sê ri 1.0.1 cho đến và bao gồm cả 1.0.1f có mộtlỗi trong phần thực hiện phần mở rộngheartbeat (nhịp đập tim) của TLS,[3] do đó lỗi được đặt tên hiệu làHeartbleed, tạm dịch "trái tim chảy máu" hay "trái tim rỉ máu". Vào lúc tuyến bố lỗi, có ước lượng rằng vào khoảng 17% tức nửa triệu trong sốmáy chủ Web bảo mật trên Internet được tín nhiệm bởinhà cung cấp chứng thực có thể tấn công được.[4]
Nhữnghacker có thể lợi dụng lỗi này để tiết lộ bộ nhớ của ứng dụng cho tới 64 kilobyte mỗi lần gửi dấu hiệu "đập tim".[5] Những người tấn công có thể đọc bộ nhớ của máy chủ để truy cập cácdữ liệu cá nhân và làm hại đến sự an toàn của máy chủ và những người dùng. Vấn đề này có thể có ảnh hưởng đến các dữ liệu an toàn nhưkhóa chủ cá nhân của máy chủ và cáccookie phiên của người dùng,[6][7] cho phép người tấn công phá mã các thông tin đã được nghe lén và thực hiện mộttấn công xen giữa (man-in-the-middle).
