OpenSSL padrão razoável para certificados de CA confiáveis?
Existe uma maneira de configurar um contexto OpenSSL (SSL_CTX
) com um conjunto razoável de certificados CA confiáveissem distribuindo eu mesmo? Eu não quero a responsabilidade de mantê-los atualizados. IMO qualquer sistema operacional moderno deve fornecer "obter-me os certificados de CA confiável" como um serviço, mas eu não sei se é realmente o caso.
Não me importo de escrever esse código três vezes (uma vez para o Windows, uma vez para o Mac OS X e uma vez para o Linux), mas prefiro limitar isso a isso. Em particular, prefiro não tentar escrever código que procure por quais navegadores estão instalados e tentando extrair seus certificados confiáveis. (Aparentemente éfácil de entender isso muito errado.)
A resposta para versões recentes do Linux parece ser chamarSSL_CTX_load_verify_locations
com/etc/ssl/certs/ca-certificates.crt
(se esse arquivo existir).
Existem respostas simples para o Windows e o Mac OS X?