<div dir="auto">1.0.2j</div><br><div class="gmail_quote"><div dir="ltr">On Fri, Jun 1, 2018, 3:52 AM Viktor Dukhovni <<a href="mailto:openssl-users@dukhovni.org">openssl-users@dukhovni.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
> On May 31, 2018, at 6:08 PM, Sandeep Deshpande <<a href="mailto:sandeep.bvb@gmail.com" target="_blank" rel="noreferrer">sandeep.bvb@gmail.com</a>> wrote:<br>
> <br>
> Hi Rich.. Thanks..<br>
> We want to add a check in our openssl library on client side to reject such server certificate which are generated by the intermediate CA with missing extensions like basic constraints..<br>
> How do we go about it?<br>
> <br>
> I looked at the code. In crypto/x509v3/v3_purp.c I see that check_ca is there. But it is getting called only for server certificate. <br>
<br>
Are you using OpenSSL 1.1.0 or OpenSSL 1.0.2?<br>
<br>
-- <br>
        Viktor.<br>
<br>
-- <br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</blockquote></div>