<div dir="ltr">Hi!<br><div><div class="gmail_extra"><br><div class="gmail_quote">2015-06-24 19:52 GMT+02:00 Benoit Chesneau <span dir="ltr"><<a href="mailto:bchesneau@gmail.com" target="_blank">bchesneau@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I tried to use the partial_chain option in SSL to fix an unknown_ca issue but the  function is never executed:</div><div><br></div></div></blockquote><div><br><br>The <span class="">partial</span> <span class="">chain</span> function lets you shorten the <span class="">certificate chain</span> by accepting an intermediate cert sent to you by the peer as trusted. This is not the same as ignoring unknown_ca errors.<br>If you want to handle incorrect clients (sending incomplete chains) by building the <span class="">chain</span>
 to the client certificate on the server side , if possible, you need to
 do that in the verify_fun when it fails and then call 
public_key:pkix_path_validation again with the <span class="">chain</span> that you built. <br><br><br></div><div>Regards Ingela Erlang/OTP Team - Ericsson AB<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div>The code is:</div><div><br></div><div><div><div>    enum_cacerts([], _Certs) -></div><div>        unknown_ca;</div><div>    enum_cacerts([Cert| Rest], Certs) -></div><div>        case lists:member(Cert, Certs) of</div><div>            true -> {trusted_ca, Cert};</div><div>            false -> enum_cacerts(Rest, Certs)</div><div>        end.</div><div><br></div></div></div><div><br></div><div><div>        CACertFile = filename:join(hackney_util:privdir(),  "ca-bundle.crt"),</div><div>        {ok, ServerCAs} = file:read_file(CACertFile),</div><div>        Pems = public_key:pem_decode(ServerCAs),</div><div>        CaCerts = lists:map(fun({_, Der, _}) -> Der end, Pems),</div><div><br></div><div>        PartialChain =  fun(ChainCerts) -></div><div>                            enum_cacerts(CaCerts, ChainCerts)</div><div>                    end,</div></div><div><br></div><div>And the SSL options are:</div><div><br></div><div><div>                    [{partial_chain, PartialChain},</div><div>                     {cacerts, CaCerts},</div><div>                     {server_name_indication, Host},</div><div>                     {verify_fun, {fun ssl_verify_hostname:verify_fun/3,</div><div>                                   [{check_hostname, Host}]}},</div><div>                     {verify, verify_peer},</div><div>                     {depth, 99}];</div></div><div><br></div><div>What am I doing wrong? I am not sure actually why the function is never executed. Any idea is welcome...</div><span class=""><font color="#888888"><div><br></div><div>- benoit</div><div><br></div><div><br></div></font></span></div>
<br>_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
<br></blockquote></div><br></div></div></div>