Estoy intentando usar OpenSSL para verificar que un certificado SSL sigue siendo válido, pero sigo obteniendo resultados extraños. El sitio de ejemplo que estoy probando con (expired.badssl.com) tiene un certificado SSL caducado.
Firefox lo marca como caducado en abril de 2015 y muestra la advertencia correspondiente, pero cuando veo la información del certificado que se presenta con OpenSSL s_client, dice que sigue siendo válida hasta 2016:
$ (echo "" | openssl s_client -connect expired.badssl.com:443 -CApath /etc/ssl/certs/ca-certificates.crt) | openssl x509 -noout -dates
[...]
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.badssl.com
verify return:1
DONE
notBefore=Apr 9 00:00:00 2015 GMT
notAfter=Jul 7 23:59:59 2016 GMT
Sospecho que me estoy perdiendo algo aquí, pero no puedo entender qué es.