<div dir="ltr"><div><div><div>The short answer is "no".<br><br></div>The long answer is, OpenSSL is not in the business of vetting trust roots.  Its business is ensuring that TLS-secured communications happen correctly when it is used.  If you want an 'endorsed' set of roots, you can find such from other projects (that have no relation to OpenSSL, and for which OpenSSL can take no responsibility).<br><br></div>Since I'm not a member of the OpenSSL project, I can tell you that there is a set of root certificates, vetted by Mozilla, available as part of Mozilla's NSS (Network Security Services) project.  OpenSSL cannot take any responsibility for that set of roots or any behavior/misbehavior of any of the CAs represented in that set.  I had also seen a script several years ago to convert Mozilla's format to OpenSSL format, but I have not needed to look into it and have thus lost the URL to that script since then.<br><br></div>-Kyle H<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Apr 29, 2017 at 10:24 AM, John Lewis <span dir="ltr"><<a href="mailto:oflameo2@gmail.com" target="_blank">oflameo2@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am looking for a CA makefile to use with a openvpn tutorial I am<br>
writing <a href="https://github.com/Oflameo/openvpn_ws" rel="noreferrer" target="_blank">https://github.com/Oflameo/<wbr>openvpn_ws</a>. Is there one officially<br>
endorsed by the openssl project?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>
</font></span></blockquote></div><br></div>