<div dir="ltr">Hi everyone,<div><br></div><div>I'm upgrading a server application from using OpenSSL 1.0.2n to using OpenSSL 1.1.0g.</div><div>I noticed that after the upgrade, some SSL certs get rejected because they use an MD5 digest, with the error:</div><div>"SSL_CTX_use_certificate:ca md too weak"</div><div><br></div><div>While I could ask clients to get a better CA certificate, it takes some of them a long time to do so. I was wondering if there's a way I could compile/configure the OpenSSL on my server to accept those certificates after all. Does anyone know?</div><div><br></div><div>I found links such as:</div><div><a href="https://mta.openssl.org/pipermail/openssl-users/2017-October/006670.html">https://mta.openssl.org/pipermail/openssl-users/2017-October/006670.html</a><br></div><div>and</div><div><a href="https://www.spinics.net/lists/openssl-users/msg06669.html">https://www.spinics.net/lists/openssl-users/msg06669.html</a><br></div><div>and a few others but they don't apply to my case I think.</div><div><br></div><div>Also, if the client does find it possible to get re-generated certs, would it be both the client cert and the CA? Or just one of them?</div><div><br></div><div>Thanks in advance!</div><div>Best,</div><div>Pratyush</div></div>