Сертификат корневого ЦС SSL не распознается, хотя и присутствует в хранилище доверия. Почему?

OpenSSL по крайней мере через ток (1.0.2 a) имеет ошибка здесь s_client с -CA{path,file} аргумент на самом деле не использует truststore по умолчанию как и должно, и, таким образом, не может проверить сертификаты, которые действительны в соответствии с этим truststore. (Также s_server и s_time, но забота о проверке в тех редка.) См https://serverfault.com/questions/607233/how-to-make-openssl-s-client-using-default-ca . Исправление объявлено в dev, но может потратьте некоторое время на выпуск и распространение. А пока нужно явно указать -CA* аргумент(ы). Обратите внимание, что openssl verify не имеет эту ошибку, и поэтому правильно сообщил сертификат/цепь как действительный.

обновления 2015/08/26: исправление было выпущено 2015/06/12 в 1.0.1 o и 1.0.2 c. Кроме того, при расследовании чего-то еще я обнаружил, что RedHat пакеты, возможно, было хорошо. Более конкретно источник CentOS RPM для openssl-1.0.1e-30.el6.11 который, как я понимаю, является копией RedHat (но не может легко подтвердить) содержит openssl-1.0.1c-default-paths.patch, который содержит изменения к s_client.c s_server.c s_time.c от 2012/12/06, которые кажутся эквивалентными (хотя и не текстуально такими же, как) исправлениям 2015/06/12. Предполагая, что этот патч был применен в пакетах RedHat и CentOS, которые я не могу легко вернуться и проверить, они будут (иметь) работать(ed), как ожидалось.