<div dir="ltr">Hi!<br><br><div><div class="gmail_extra"><div class="gmail_quote">2015-07-16 11:16 GMT+02:00 Alex Hudich <span dir="ltr"><<a href="mailto:alttagil@gmail.com" target="_blank">alttagil@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<br>
<br>
<br>
<br>
wget <a href="http://curl.haxx.se/ca/cacert.pem" rel="noreferrer" target="_blank">http://curl.haxx.se/ca/cacert.pem</a><br>
<br>
and then<br>
<br>
ssl:connect( "<a href="http://www.nicemine.ru" rel="noreferrer" target="_blank">www.nicemine.ru</a>", 443, [{verify,verify_peer},{server_name_indication,"<a href="http://www.nicemine.ru" rel="noreferrer" target="_blank">www.nicemine.ru</a>"},{depth,2},{cacertfile,"cacert.pem"}] ).<br>
<br>
gives me {error,{tls_alert,"bad certificate"}}<br>
<br>
<br>
<br></blockquote><div><br></div><div>This site is not sending a correct certificate chain,  I get all the certificates that shall be in the chain but scrambled around and not in the correct order, this is breaking the <br></div><div>SSL/TLS-protocol. OpenSSL will also get the error above when trying to verify that chain, but later versions of OpenSSL and also other implementations obviously tries to work around this by attempting to sort them and run the validation again. <br></div><div><br></div><div>You could do that too using the verify_fun if you really want to. We would rather not make that a default feature as breaking security protocols is usually a bad idea that could lead to vulnerabilities.<br><br> <br></div><div>Regards Ingela Erlang/OTP Team - Ericsson AB<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Why? Site can be opened ok in the browser.<br>
<br>
Erlang/OTP 17 [erts-6.3]<br>
<br>
<br>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div><br></div></div></div>