Может ли сервер openssl узнать, проверяет ли игнорирование клиента ssl / tls «сертификат sersver»?

Я пишу сервер SSL / TLS, используя OpenSSL API. Некоторые клиенты SSL / TLS могут игнорировать проверку «сертификата сервера». (например, msmtp --tls-certcheck=off) Сервер SSL / TLS может знать, что клиент SSL / TLS игнорирует проверить?

Я так понимаю, что SSL_get_verify_result не может этого знать.

If no peer certificate was presented, the returned result code is X509_V_OK. This is because no verification error occurred, it does however not indicate success. SSL_get_verify_result() is only useful in connection with SSL_get_peer_certificate(3).

У Doos OpenSSL есть API, чтобы узнать, игнорировался ли сертификат сервера?

0
0
75
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Ничто в подтверждении TLS не указывает, не проверяет ли клиент сертификат сервера вообще или неправильно. Следовательно, невозможно создать API OpenSSL для возврата такой информации.

Единственный способ, которым сервер может обнаружить такое неправильное поведение, - это предоставить недействительный сертификат и посмотреть, принимает ли его клиент ошибочно, т.е.продолжает рукопожатие TLS и отправляет данные приложения.

Другие вопросы по теме