Я пытаюсь понять, почему один клиент Tibco игнорирует устаревший сертификат сервера.Я прочитал о ssl_verify_host и ssl_verify_hostname и должен сказать, что это немного сбивает с толку:
- ssl_verify_host Указывает, должен ли клиент проверять сертификат сервера.Значения для этого параметра включены или отключены.По умолчанию этот параметр включен, что означает, что клиент должен проверить сертификат сервера.Если этот параметр отключен, клиент устанавливает безопасную связь с сервером, но не проверяет подлинность сервера.
- ssl_verify_hostname Указывает, должен ли клиент проверять имя в поле CN сертификата сервера.Значения этого параметра включены и отключены.По умолчанию этот параметр включен, что означает, что клиент должен проверять имя подключенного хоста или имя, указанное в параметре ssl_expected_hostname, по значению в сертификате сервера.Если имена не совпадают, клиент отклоняет соединение.Если этот параметр отключен, клиент устанавливает безопасную связь с сервером, но не проверяет имя сервера.
Я предполагаю, что «не проверяет подлинность сервера», они имеют в виду, что клиент не проверяетсертификат сервера от корневого ЦС ".Это означает, что клиент фактически полностью игнорирует сертификат сервера?(так что все равно, если он истек?)