Estoy escribiendo una aplicación de cliente habilitada para OpenSSL SSL que se conecta a un servidor de Google. Tengo el SSL funcionando y puedo monitorear el tráfico y ver que está definitivamente encriptado. Estoy usando la función de API OpenSSL SSL_CTX_load_verify_locations para cargar un archivo .pem que contiene certificados de raíz públicos para verificar que el servidor es un servidor confiable ... ¡¿Creo ??
He hecho CARGAS de búsqueda pero no puedo encontrar una descripción simple de lo que debo hacer para asegurarme de que estoy hablando con un servidor de Google. ¿Es correcto hacer un archivo .pem con CA raíz? ¿Cómo sé que estoy hablando con Google y no con alguien más en la lista de confianza?
Además, ¿debo distribuir el archivo .pem junto con la aplicación, o puedo compilarlo en mi aplicación?
Cualquier ayuda muy apreciada.