最近，安全协议OpenSSL爆发了今年最严重的安全漏洞“心脏出血”。利用这个漏洞，黑客可以实时获取大量https启动网站的用户登录账号密码，包括网银、知名购物网站、电子邮件等。相当于信用卡信息被公开的程度，每分钟失去几十万个节奏。360网站安全检测平台显示，我国已扫描授权网站120万个，其中11440个网站主机受此漏洞影响。

目前国内大量网站，包括阿里巴巴、腾讯等大型互联网服务提供商，都通过官微宣布OpenSSL漏洞已经修复。金融认证中心发文称，网银受影响较小，U盾可以放心使用。为什么这种脆弱性被称为“心脏出血”脆弱性？危害有多大？OpenSSL到底是什么？以下为您全面解读。

什么是SSL？什么是OpenSSL？

SSL是一种流行的加密技术，是安全套接字层(Secure Socket Layer Protocol，安全套接字层协议)的缩写，可以保护用户通过互联网传输的隐私信息。SSL最早是网景在1994年推出的，从上世纪90年代开始就被所有主流浏览器采用。目前，该技术广泛应用于各大网银、在线支付、电子商务网站、门户网站、电子邮件等重要网站。当用户访问一些安全网站时，会看到URL地址旁边有一个“锁”，表示你在网站上的通讯信息被加密了。此“锁定”表示第三方无法读取您和网站之间的任何通信信息。在后台，通过SSL加密的数据只能由接收方解密。

大多数SSL加密的网站使用一个名为OpenSSL的开源软件包，OpenSSL是一种为网络通信提供安全性和数据完整性的安全协议，包括主要的密码算法、公共密钥和证书封装管理功能以及SSL协议，并提供丰富的应用程序用于测试或其他目的。

什么是“心脏出血”漏洞？

大多数SSL加密的网站使用一个名为OpenSSL的开源软件包。这次爆发的安全漏洞就存在于这个软件中。此漏洞允许攻击者远程读取具有易受攻击版本的openssl服务器内存中高达64K的数据。OpenSSL在大约两年前就有这个缺陷。它的工作原理是，SSL标准包含一个心跳选项，允许SSL连接一端的计算机发送一条短消息，确认另一端的计算机仍然在线并获得反馈。研究人员发现，恶意心跳信息可以通过巧妙的手段发送，欺骗另一端的计算机，泄露机密信息。受影响的计算机可能被欺骗，并发送服务器内存中的信息。

面对这个漏洞，用户应该怎么做？

因为这个漏洞存在于存储大量私有信息的服务器中，而且最流行的两个web服务器Apache和nginx都使用OpenSSL，所以危害非常大。不幸的是，如果用户访问受影响的网站，他们不能采取任何自我保护措施。受影响网站的管理员需要升级他们的软件，为用户提供适当的保护。

但是，一旦受影响的网站修复了这个问题，用户就可以通过更改密码来保护自己。攻击者可能截获了用户的密码，但用户无法知道自己的密码是否被他人窃取。