<div dir="auto">Hi Rich.. Thanks..<div dir="auto">We want to add a check in our openssl library on client side to reject such server certificate which are generated by the intermediate CA with missing extensions like basic constraints..</div><div dir="auto">How do we go about it?</div><div dir="auto"><br></div><div dir="auto">I looked at the code. In crypto/x509v3/v3_purp.c I see that check_ca is there. But it is getting called only for server certificate. </div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Thanks </div><div dir="auto">Sandeep </div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, May 31, 2018, 11:39 PM Salz, Rich via openssl-users <<a href="mailto:openssl-users@openssl.org">openssl-users@openssl.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_-4289135933809805178WordSection1">
<ul style="margin-top:0in" type="disc">
<li class="m_-4289135933809805178MsoListParagraph" style="margin-left:0in">We generated intermediate02 such that it has "basicConstraints" extension and "keyUsage" missing. Now we used this intermediate 02 CA to sign server certificate. <u></u><u></u></li></ul>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">If those extensions, which are *<b>optional,</b>* are not present, then there is no limit on how the keys may be used, or how long the cert chain may be.  OpenSSL is doing the right thing.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<p class="MsoNormal">If you want to add them, and you cannot upgrade, then read about the openssl config file syntax.  Good luck.<u></u><u></u></p>
</div>
</div>

-- <br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</blockquote></div>