OpenSSL не проверяет сертификат
$openssl s_client -connect <host>:443
...
Verify return code: 21 (unable to verify the first certificate)
Однако, если мы выясним, где находится магазин
$ openssl version -d
OPENSSLDIR: "/usr/lib/ssl"
$ ll /usr/lib/ssl
...
lrwxrwxrwx 1 root root 14 Sep 9 16:40 certs -> /etc/ssl/certs
И снова запустите команду, указав, что, по-видимому, является каталогом по умолчанию
$ openssl s_client -connect <host>:443 -CApath /etc/ssl/certs
...
Verify return code: 0 (ok)
Итак, есть ли другой способ явно проверить, где OpenSSL получает свой список корневых центров сертификации, или какой-либо другой пограничный случай, который может быть затронут здесь, что может вызвать такое поведение?
Видимо я просто описываю OpenSSL s_clientпредполагаемое поведение - https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/396818
Похоже, что эта команда была бы намного более полезной, если бы она использовала CApath по умолчанию, ну, по умолчанию (или предупреждала, что вы его не используете, как предлагает отчет об ошибке), но c'est le vie.