История изменений

Ну как минимум OpenSSL понимает формат x509 и отвечает требованиям FIPS 140. А большего от неё никто и не требует.

Давайте так: клиенту нужен кипятильник, вы берёте два лезвия, спичку, два провода, соединяете, и отдаёте клиенту.

Технически это MVP кипятильника, да, и выполняет его функции. Но клиент имел в виду законченное изделие, которым пользоваться безопасно и удобно.

OpenSSL — это библиотека, низкоуровневая составляющая, работающая с техническим форматом. В нёй нет даже концепции PKI — формально все необходимые операции поддерживаются, но вам их нужно будет программировать самостоятельно.

Вы уверены, что обладаете необходимой квалификацией и навыками, чтобы написать и валидировать ваш код для PKI-инфраструктуры?

на практике, если сертификатов дохрена, никто не будет покупать кучу HSM

На практике ВСЕ хранят сертификаты в HSM. До недавнего времени Microsoft для code signing certificates позволяла их хранить в виде файлов, но после их систематической кражи и подписывания malware, теперь и code signing в HSM хранятся.

Ну как минимум OpenSSL понимает формат x509 и отвечает требованиям FIPS 140. А большего от неё никто и не требует.

Давайте так: клиенту нужен кипятильник, вы берёте два лезвия, спичку, два провода, соединяете, и отдаёте клиенту.

Технически это MVP кипятильника, да, и выполняет его функции. Но клиент имел в виду законченное изделие, которым пользоваться безопасно и удобно.

OpenSSL — это библиотека, низкоуровневая составляющая, работающая с техническим форматом. В нёй нет даже концепции PKI — формально все необходимые операции поддерживаются, но вам их нужно будет программировать самостоятельно.

на практике, если сертификатов дохрена, никто не будет покупать кучу HSM

На практике ВСЕ хранят сертификаты в HSM. До недавнего времени Microsoft для code signing certificates позволяла их хранить в виде файлов, но после их систематической кражи и подписывания malware, теперь и code signing в HSM хранятся.