¿Por qué openssl muestra una cadena de certificados diferente para mail.google.com:443 de lo que muestra Chrome / Firefox?
$ openssl s_client -connect mail.google.com:443 < /dev/null | head -10
depth=2 /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
i:/C=US/O=Google Inc/CN=Google Internet Authority G2
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
El resultado anterior muestra que el certificado de nivel superior pertenece a GeoTrust Global CA y está emitido por Equifax Secure Certificate Authority. El certificado del servidor se emite a mail.google.com.
Pero Chrome y Firefox muestran que el certificado de nivel superior es un certificado raíz autofirmado por GeoTrust Global CA. El certificado del servidor parece ser emitido a * .google.com.
InclusodespuésdedeshabilitarelQUICatravésdelasmarcasdechrome://,todavíanopuedoverelcertificadodeEquifaxenlacadenadecertificados,aunqueelcertificadodelservidorahorapareceestaremitidoamail.google.com.
¿Por qué veo un certificado Equifax diferente en OpenSSL pero no en Firefox / Chrome?