<div dir="ltr">Hi Viktor,<div><br></div><div>Thank you for the response.</div><div><br></div><div>This is the code snippet from OpenSSL 1.0.2d.</div><div><br></div><div>int X509_verify_cert(X509_STORE_CTX *ctx) {<br></div><div><br></div><div>       ....................</div><div>       ....................<br></div><div>       ....................<br></div><div><br></div><div><div>        /* we now have our chain, lets check it... */</div><div>        i = check_trust(ctx);</div><div><br></div><div>        /* If explicitly rejected error */</div><div>        if (i == X509_TRUST_REJECTED)</div><div>            goto end;</div></div><div>}</div><div><br></div><div>This is code snippet from OpenSSL 1.0.1c</div><div><br></div><div><div>int X509_verify_cert(X509_STORE_CTX *ctx) {<br></div><div><br></div><div>       ....................</div><div>       ....................<br></div><div>       ....................</div></div><div><div>     /* The chain extensions are OK: check trust */</div><div><br></div><div><span class="" style="white-space:pre">     </span><b>if (param->trust > 0)</b> ok = check_trust(ctx);</div></div><div>}</div><div><br></div><div>I am talking about "<b>if (param->trust > 0)" </b>that seems to removed in OpenSSL 1.0.2d.</div><div><br></div><div>Regards</div><div>Jayalakshmi</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 16, 2015 at 1:26 AM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:openssl-users@dukhovni.org" target="_blank">openssl-users@dukhovni.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sun, Nov 15, 2015 at 07:00:06PM +0530, Jayalakshmi bhat wrote:<br>
<br>
> In earlier version of OpenSSL  (i.e OpenSSL 1.0.1c)  X509_verify_cert had a<br>
</span>> check * if (params->trust >0)* before invoking check_trust function.<br>
<br>
The OpenSSL source code is available via git:<br>
<br>
    <a href="https://github.com/openssl/openssl.git" rel="noreferrer" target="_blank">https://github.com/openssl/openssl.git</a><br>
<br>
The branch containing 1.0.2c and 1.0.2d is "OpenSSL_1_0_2-stable".<br>
<br>
Can you point to the commit that makes the change in question?<br>
<span class=""><br>
> This has been removed in OpenSSL 1.0.2d. Does it mean applications are<br>
> expected to set the X509_VERIFY_PARAM properly?<br>
<br>
</span>I don't see any changes that match your description.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
        Viktor.<br>
_______________________________________________<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</font></span></blockquote></div><br></div>