<div dir="ltr"><div class="gmail_quote"><br><br><br><div dir="ltr">Hi ,<div><br></div><div>We are using openssl 1.0.2j and have 3 level certificates like this. </div><div>root  CA --> intermediate 01 CA-->intermediate02 CA -->Server certificate. </div><div><br></div><div>We generated intermediate02 such that it has "basicConstraints" extension and "keyUsage" missing. Now we used this intermediate 02 CA to sign server certificate. </div><div><br></div><div>We have uploaded the CA certificates on the client side in the trust store. </div><div>When a connection is made using openssl s_client / curl, we see that connection goes through successfully and the certificate chain is verified successfully OK. </div><div><br></div><div>We expected the verification to fail as one of the certificate in the chain has "basicConstraints" missing. But openssl allows it. Is this the right behaviour ? </div><div><br></div><div>If we need to have this check in place how to go about it . ?</div><div><br></div><div><br></div><div>Thanks,<br>Sandeep</div></div>
</div><br></div>