Есть ли способ настроить контекст OpenSSL(SSL_CTX
)с разумным набором доверенных сертификатов ЦС без их распространения самостоятельно? Я не хочу нести ответственность за их обновление. IMO, любая современная операционная система должна предоставлять «получить мне доверенные сертификаты ЦС» в качестве услуги, но я не знаю, так ли это на самом деле.
Я не против написать этот код трижды (один раз для Windows, один раз для Mac OS X и один раз для Linux), но я бы предпочел ограничиться этим. В частности, я бы не стал писать код, который копается в поисках установленных браузеров и пытается извлечь их доверенные сертификаты. (Очевидно, легко ошибиться .)
Ответ для последних версий Linux, по-видимому, заключается в вызове SSL_CTX_load_verify_locations
с помощью /etc/ssl/certs/ca-certificates.crt
(, если этот файл существует).
Существуют ли простые ответы для Windows и Mac OS X?