1
为什么openssl s_client针对不匹配的CAfile验证证书?
我正在尝试产生证书验证错误,openssl s_client如下所示: $ openssl s_client -crlf -verify 9 \ -CAfile /etc/ssl/certs/TURKTRUST_Certificate_Services_Provider_Root_1.pem \ -starttls smtp -host mx-ha03.web.de -port 25 web.de服务器的证书是由德国电信CA而不是TURKTRUST认证的,因此上述命令应该失败,对吗? 但它报告: Verify return code: 0 (ok) 为什么? 我的意思是模拟gnutls-cli命令按预期失败: $ { echo -e 'ehlo example.org\nstarttls' ; sleep 1 } | \ gnutls-cli --starttls --crlf \ --x509cafile /etc/ssl/certs/TURKTRUST_Certificate_Services_Provider_Root_1.pem \ --port 25 mx-ha03.web.de [..] …