
<div dir="ltr">Hi Victor,  <div><br></div><div>Thanks a lot for details explanation.</div><div><br></div><div>Our device acts as TLS/SSL client.  The device receives chain of certificates as part of SSL handshake, when it is trying to get connected to TLS/SSL server like sharepoint 365.</div><div><br></div><div>While validating the certificate chain from server, "<b>check_trust" </b>fails with X509_V_ERR_CERT_UNTRUSTED. </div><div><br></div><div>This had been working fine with OpenSSL 1.0.1c. </div><div><br></div><div>When I checked the code execution, check_trust was not being called  in OpenSSL 1.0.1c as "<span style="color:rgb(80,0,80);font-size:12.8px">if (param->trust > 0)" was not satisfied.</span></div><div><span style="color:rgb(80,0,80);font-size:12.8px"><br></span></div><div><font color="#500050"><span style="font-size:12.8px">That is why I wanted to know is it mandatory for the applications to set X509_VERIFY_PARAM in X509_STORE_CTX</span></font></div><div><font color="#500050"><span style="font-size:12.8px"><br></span></font></div><div><font color="#500050"><span style="font-size:12.8px">Regards</span></font></div><div><font color="#500050"><span style="font-size:12.8px">Jayalakshmi</span></font></div><div><br></div><div><br></div><div> </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 16, 2015 at 11:40 AM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:openssl-users@dukhovni.org" target="_blank">openssl-users@dukhovni.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>

> On Nov 16, 2015, at 12:14 AM, Jayalakshmi bhat <<a href="mailto:bhat.jayalakshmi@gmail.com">bhat.jayalakshmi@gmail.com</a>> wrote:<br>

><br>

> This is code snippet from OpenSSL 1.0.1c<br>

><br>

> int X509_verify_cert(X509_STORE_CTX *ctx) {<br>

><br>

>        ....................<br>

>        ....................<br>

>        ....................<br>

>      /* The chain extensions are OK: check trust */<br>

><br>

>       if (param->trust > 0) ok = check_trust(ctx);<br>

> }<br>

><br>

> I am talking about "if (param->trust > 0)" that seems to removed in OpenSSL 1.0.2d.<br>

<br>

</span>Well this code was removed in 1.0.2d, rather the code in question was removed via<br>

<br>

commit d65b8b2162f33ac0d53dace588a0847ed827626c<br>

Author: Ben Laurie <<a href="mailto:ben@openssl.org">ben@openssl.org</a>><br>

Date:   Fri Dec 14 12:53:53 2012 +0000<br>

<br>

    Backport OCSP fixes.<br>

<br>

More than 2 years before the first OpenSSL 1.0.2 release:<br>

<br>

commit 4ac0329582829f5378d8078c8d314ad37db87736<br>

Author: Matt Caswell <<a href="mailto:matt@openssl.org">matt@openssl.org</a>><br>

Date:   Thu Jan 22 16:12:26 2015 +0000<br>

<br>

    Prepare for 1.0.2 release<br>

<br>

    Reviewed-by: Stephen Henson <<a href="mailto:steve@openssl.org">steve@openssl.org</a>><br>

<br>

<a href="http://openssl.org/news/newslog.html" rel="noreferrer" target="_blank">http://openssl.org/news/newslog.html</a><br>

<br>

Date    Item<br>

09-Jul-2015     Security Advisory: one security fix<br>

09-Jul-2015     OpenSSL 1.0.2d is now available, including bug and security fixes<br>

09-Jul-2015     OpenSSL 1.0.1p is now available, including bug and security fixes<br>

06-Jul-2015     OpenSSL 1.0.2d and 1.0.1p security releases due 9th July 2015<br>

12-Jun-2015     New releases to resolve ABI compatibility problems:<br>

12-Jun-2015     OpenSSL 1.0.2c is now available, including bug fixes<br>

12-Jun-2015     OpenSSL 1.0.1o is now available, including bug fixes<br>

11-Jun-2015     Security Advisory: five security fixes<br>

11-Jun-2015     OpenSSL 1.0.2b is now available, including bug and security fixes<br>

11-Jun-2015     OpenSSL 1.0.1n is now available, including bug and security fixes<br>

11-Jun-2015     OpenSSL 1.0.0s is now available, including bug and security fixes<br>

11-Jun-2015     OpenSSL 0.9.8zg is now available, including bug and security fixes<br>

19-Mar-2015     Security Advisory: twelve security fixes<br>

19-Mar-2015     OpenSSL 1.0.2a is now available, including bug and security fixes<br>

19-Mar-2015     OpenSSL 1.0.1m is now available, including bug and security fixes<br>

19-Mar-2015     OpenSSL 1.0.0r is now available, including bug and security fixes<br>

19-Mar-2015     OpenSSL 0.9.8zf is now available, including bug and security fixes<br>

22-Jan-2015     OpenSSL 1.0.2 is now available, a major release<br>

<br>

You should probably explain what you're doing, and in what way OpenSSL 1.0.2<br>

(all upstream versions) is not working the way you expect.<br>

<div class="HOEnZb"><div class="h5"><br>

--<br>

        Viktor.<br>

<br>

<br>

<br>

_______________________________________________<br>

openssl-users mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>

</div></div></blockquote></div><br></div>