1
openssl s_clientが一致しないCAfileに対して証明書を検証するのはなぜですか?
次のopenssl s_clientような証明書検証エラーを生成しようとしています: $ openssl s_client -crlf -verify 9 \ -CAfile /etc/ssl/certs/TURKTRUST_Certificate_Services_Provider_Root_1.pem \ -starttls smtp -host mx-ha03.web.de -port 25 web.deサーバーの証明書はTURKTRUSTではなくDeutsche Telekom CAによって認証されているため、上記のコマンドは失敗するはずです。 しかし、それは報告します: Verify return code: 0 (ok) どうして? 私はアナログのgnutls-cliコマンドが期待通りに失敗することを意味します: $ { echo -e 'ehlo example.org\nstarttls' ; sleep 1 } | \ gnutls-cli --starttls --crlf \ --x509cafile /etc/ssl/certs/TURKTRUST_Certificate_Services_Provider_Root_1.pem \ --port 25 …