Estaba pasando por el programa de servidor-cliente openssl que se muestra aquí --- > enlace . Puedo ver que tanto el cliente como el servidor obtienen los certificados de igual a igual. ¿Pero me preguntaba si tengo que llamar a una api separada para verificar los certificados? En el enlace anterior, tanto el cliente como el servidor obtienen los certificados, los imprimen y comienzan a intercambiar datos. ¿Dónde se realiza exactamente la verificación del certificado aquí?
Gracias
El código de muestra al que se vincula no realiza ningún tipo de verificación.
No puede verificar la cadena de certificados porque no utiliza SSL_CTX_set_verify para habilitar la verificación ( y el valor predeterminado es desactivado). De esta manera acepta cualquier certificado.
También falla en verificar el nombre de host con el certificado . Incluso si se realizara la validación de la cadena, esto significaría que el atacante podría usar cualquier certificado con una cadena válida (que sea fácil de obtener) para el hombre en las conexiones SSL medias a cualquier host.
Lea otras preguntas en las etiquetas authentication certificate-authority openssl