OPNsense核心项目中OpenSSL信任存储的优化与清理

在OPNsense防火墙系统的核心组件中，证书信任管理是保障TLS/SSL安全通信的重要基础。近期开发团队对系统内OpenSSL信任存储机制进行了重要优化，解决了多副本存储带来的潜在维护问题。

传统实现中，系统会将合并后的证书存储同时写入三个路径：

• 系统默认路径/etc/ssl/cert.pem
• 本地配置路径/usr/local/etc/ssl/cert.pem
• OpenSSL专用路径/usr/local/openssl/cert.pem

这种多副本机制虽然确保了各组件都能访问证书库，但存在两个显著问题：

1. 维护一致性成本高，任何更新都需要同步三个副本
2. 实际代码中仅使用/etc/ssl/cert.pem作为合并存储源，与其他副本存在功能重叠

技术团队通过深入分析发现，OPNsense实际依赖certctl工具维护的哈希化证书存储（位于certs目录）作为主要信任源。当OpenSSL不直接使用标准哈希存储时，系统才会回退到合并的PEM文件。

优化方案包含两个关键改进：

1. 移除冗余副本：强制清理/etc/ssl/cert.pem和/usr/local/openssl/cert.pem
2. 统一引用路径：将所有内部引用指向/usr/local/etc/ssl/cert.pem

这项改进带来了多重好处：

• 消除多副本同步的潜在风险
• 明确信任源边界，提升系统透明度
• 保持与certctl工具的深度集成
• 为未来可能的信任存储优化奠定基础

对于普通用户而言，这项底层优化不会改变现有功能的使用方式，但使系统更加健壮。开发团队通过这种精细化的架构调整，持续提升OPNsense作为企业级防火墙的可靠性和可维护性。

该优化已随OPNsense 24.7.x版本部署，体现了项目团队对基础安全组件持续改进的承诺。未来可能会在此基础上进一步优化证书验证流程，提升TLS握手效率。