]> granicus.if.org Git - curl/commitdiff
libressl: OCSP and intermediate certs workaround no longer needed
authorStuart Henderson <stu@spacehopper.org>
Tue, 13 Jun 2017 10:06:03 +0000 (12:06 +0200)
committerDaniel Stenberg <daniel@haxx.se>
Tue, 13 Jun 2017 10:28:22 +0000 (12:28 +0200)
lib/vtls/openssl.c has a workaround for a bug with OCSP responses signed
by intermediate certs, this was fixed in LibreSSL in
https://github.com/libressl-portable/openbsd/commit/912c64f68f7ac4f225b7d1fdc8fbd43168912ba0

Bug: https://curl.haxx.se/mail/lib-2017-06/0038.html

lib/vtls/openssl.c

index 9def5ab666c2d588440538b7f8ce6306438d6a1f..dbee369297e7684d66d328c35a7230790a94ad3b 100644 (file)
@@ -1371,7 +1371,8 @@ static CURLcode verifystatus(struct connectdata *conn,
   st = SSL_CTX_get_cert_store(connssl->ctx);
 
 #if ((OPENSSL_VERSION_NUMBER <= 0x1000201fL) /* Fixed after 1.0.2a */ || \
-     defined(LIBRESSL_VERSION_NUMBER))
+     (defined(LIBRESSL_VERSION_NUMBER) &&                               \
+      LIBRESSL_VERSION_NUMBER <= 0x2040200fL))
   /* The authorized responder cert in the OCSP response MUST be signed by the
      peer cert's issuer (see RFC6960 section 4.2.2.2). If that's a root cert,
      no problem, but if it's an intermediate cert OpenSSL has a bug where it