Может ли сервер OpenSSL знать, игнорирует ли клиент SSL / TLS проверку «сертификата sersver»?

Question

Я пишу сервер SSL / TLS, используя OpenSSL API. Некоторые клиенты SSL / TLS могут игнорировать проверку «сертификата сервера». (например, msmtp --tls-certcheck=off) Сервер SSL / TLS может знать, что клиент SSL / TLS игнорирует проверку?

Я понимаю SSL_get_verify_result не может этого знать.

Если сертификат равноправного узла не был представлен, возвращается код результата X509_V_OK. Это связано с тем, что ошибки проверки не произошло, однако это не означает успех. SSL_get_verify_result () полезна только в связи с SSL_get_peer_certificate (3).

У Doos OpenSSL есть API, чтобы узнать, был ли сертификат сервера проигнорирован?

Answer 1

Ничто в рукопожатии TLS не указывает, если клиент не проверяет сертификат сервера вообще или не должным образом. Поэтому API OpenSSL не может быть создан для возврата такой информации.

Единственный способ, которым сервер может обнаружить такое неправильное поведение, - это предоставить недействительный сертификат и посмотреть, принимает ли клиент его неправильно, то есть продолжает рукопожатие TLS и отправляет данные приложения.