OpenSSL是互联网加密传输的核心基础组件，当前互联网安全传输的大部分场景（如HTTPS）均得益于这一全球化的开源项目。在2014年“HeartBleed”（“心脏出血”）事件爆发之前，可能很多人对OpenSSL并没有太多关注，这一事件的爆发足见计算机和互联网对OpenSSL的依赖程度。实际上当时导致事故的安全漏洞已发现了有一段时间，但在起初并未受到足够重视，而OpenSSL部署规模那么大、影响范围那么广，却没有得到充足的保障，这使得其隐患重重。

不管是事故爆发后外界对OpenSSL团队的批评还是鼓励，都使其发生了些许变化，团队重建、注入了新鲜血液，同时也从系统上还了之前“欠下的技术债”——重构和精简现有代码，并加入新的代码和功能，进行梳理和筛减，尽可能让内部结构变得不透明，调用应用时不调用未来数据会产生变化的应用。同时，团队拥有了新的代码库，并于此间完成了第一次重要审计。

目前，OpenSSL有14名代码贡献者（committer）和10名管委会成员，其中有8名身兼两职，社区之间以英文相互沟通，且以电子邮件为主要方式，相对来说坚持这一项目需要克服许多困难。作为一个开源项目，OpenSSL并不以利润为先，只有真正有耐心和有兴趣的工程师才会坚持这一工作，不断对补丁进行维护，发布版本更新，让更广泛的用户能从中受益。经长时间的用户讨论，社区认为Apache2.0是目前能够用的最佳的许可体系；关于漏洞的披露，团队也在实际工作中对披露的时间进行了谨慎的权衡，以防被黑客所利用。

OpenSSL首次中国行：白山云科技在背后推动

9月18-24日，OpenSSL首次来访中国，在杭州、深圳、北京三地举办活动，与中国顶尖科技公司及开发者进行技术分享和交流。作为OpenSSL团队中国行组织方的白山云科技是OpenSSL代码贡献最多的中国企业。9月23日，白山云科技在京举办“未来密码——从互联网传输协议到后量子时代的密码学”主题交流会，来自OpenSSL团队的核心成员围绕IETF工作流程及同态加密、TLSv1.3及其在OpenSSL中的实现等议题进行分享。同时，白山云科技架构师杨洋，作为亚洲地区参与OpenSSL项目的代表人物也就其参与OpenSSL的经验进行了分享，并正式宣布白山云科技对HTTPS的全新升级。

白山云科技向OpenSSL社区投入开发力量，是对OpenSSL代码贡献最多的中国公司，杨洋本人的代码贡献在社区中排名18。另外，白山云科技也通过其他方式向OpenSSL社区做贡献，如安排OpenSSL团队中国行活动以帮助用户加强对OpenSSL的认知。目前很多互联网公司都在使用大量的开源软件来构建基础服务，这无疑反向敦促着社区打造更优化的产品。

活动中杨洋也表示，非英语国家工程师参与OpenSSL项目的主要障碍是语言，沟通尤为重要；其次OpenSSL开发是基于github，可以以此为入手点；OpenSSL的邮件列表中经常讨论技术话题和用户反馈，且OpenSSL项目尚处于不断发展壮大中，不一定要开发新功能及进行bug修复，即使从提交测试用例或者完善文档甚至修改拼写错误开始，都是融入社区的很好的途径。

白山云科技全新升级HTTPS

据杨洋介绍，白山云科技对CDN服务中HTTPS几个功能进行了全新升级，包括移动端设备使用HTTPS如何进行省电优化、对RSA多素数私钥的支持、对TLSv1.3的支持以及服务可视化。

首先，随着移动互联网的比例越来越大，移动端设备使用加密流量，对CPU资源的占用，会产生功耗问题，移动设备的功耗越大，电池用的越快。OpenSSL1.1.0开始支持ChaCha20，比传统AES性能高很多，在同等环境中整体性能提高5倍，可显著减少移动设备的功耗。此外需要注意的是，如果硬件设备如CPU有硬件加速卡，这时的硬件加速效果要高于ChaCha20，对此白山云科技通过动态选择的方式，根据客户端类型进行动态判断，如果客户端支持硬件加速会优先选择AES-GCM；如果客户端没有额外加速指令，则优先选择性能更高的ChaCha20。

其次，RFC8017中对多素数RSA进行了定义，多素数的好处在于能极大地提高RSA私钥的运算性能。在HTTPS环境中握手对于CPU的消耗是最大的，私钥最占CPU资源。在对不同数量多素数进行性能测试发现，2素数10秒运算7000多次，3素数性能提高30%，素数越多，则性能提高越大；同时密钥生成时间会更短。多素数RSA可极大缩减由HTTP向HTTPS迁移过程中的硬件开销，这种方法可以在硬件完全没有变化的情况下，仅靠软件算法的优化实现HTTPS纯握手能力的大幅度提升。当然，杨洋指出多素数也有风险存在，随着个数增多安全性会变差（即私钥被破解的可能性变高），因而建议3-4个素数是比较安全的，且用户可针对不同安全等级的业务场景来选择使用不同的私钥个数。

第三是对TLSv1.3的支持，增强握手的安全性，全握手时变成1-RTT，Session复用可以用0-RTT。白山云科技特别搭建tls13.baishancloud.com，以帮助用户测试其浏览器是否支持TLSv1.3。

最后是HTTPS的可视化运营。据杨洋表示，白山云科技所有用户的流量信息能够以可视化的形式返回给用户，用户能够清楚的了解到自己的业务在平台上的运行状况，并基于这些业务进行优化和调整数据等。

未来，白山云科技将持续对OpenSSL社区的投入和贡献，并有意将OpenSSL与中国技术用户的见面发展成常态，进一步推动OpenSSL在中国的应用和影响。