<div dir="ltr"><div>Hello!</div><div><br></div><div>During the course of deprecation of stale 1024bit CA certs,</div><div>node.js and io.js project teams have identified the problem with</div><div>how OpenSSL client handles the server's certificate chain. It is</div><div>quite evident that it ignores certificate store and loads issuer</div><div>from the chain that was received. This leads to the problems with</div><div>AWS and probably other service providers who sent the stale</div><div>**alternative** certificate chain with same serial numbers, but</div><div>1024bit CA certificates.</div><div><br></div><div>I have already tried proposing a solution to the OpenSSL team:</div><div><br></div><div><a href="https://www.mail-archive.com/openssl-dev@openssl.org/msg37721.html">https://www.mail-archive.com/openssl-dev@openssl.org/msg37721.html</a></div><div><br></div><div>But one of the node.js contributors we have found this commit (from 2010):</div><div><br></div><div><a href="https://github.com/openssl/openssl/commit/db28aa86e00b9121bee94d1e65506bf22d5ca6e3">https://github.com/openssl/openssl/commit/db28aa86e00b9121bee94d1e65506bf22d5ca6e3</a></div><div><br></div><div>The main question that I have is:</div><div><br></div><div>Is it safe to float this patch on top of 1.0.1k and use it? From</div><div>my knowledge of code it appears to be pretty harmless, however</div><div>the fact that it wasn't backported in 5 years makes me wonder if</div><div>it was considered safe after all.</div><div><br></div><div>Thank you,</div><div>Fedor.</div><div><br></div></div>