中間証明書のないウェブサイト用カール

この場合、カール処理はビルドによって異なります。

カールは何でも使用できます複数のTLSの実装はコンパイル時に決定され、カールのTLS実装動作がカールのTLS実装に依存することは驚くべきことではありません。

カールにschannelを使用すると、失われたチェーン証明書を取得できます。（RFCの要求に応じてサーバーから送信されない）AIAを使用して結果を確認します。また、欠落しているチェーン証明書がWindows証明書ストアにある場合、schannelを使用したカールは欠落しているチェーン証明書を埋めます（例：いつも確認する根Windows証明書ストアにあります）、これらのチェーン証明書をいつ取得したかを簡単に確認することはできませんが、プーチン私（Win 10 Home）システムであるWindows Storeは、多くのWeb検索に毎日使用され、時にはカールやPowershell iwrなどの作業（実際には約12件）に使用されます。もちろん、カールとschannelはWindowsでのみ利用可能です。 schannelがサポートしていない機能を使用することを提案したので、--pinnedpubkeyschannelを使用しないことがあります。

OpenSSLはこのために確かにAIAを使用しないため、多くの（すべてではない）Linuxディストリビューションで広く使用されているOpenSSLカールもAIAを使用しません。 Fredericが発見したように、OpenSSLは〜する提供されたファイルにチェーン証明書（ルートを含む）を入力します。--cacertしたがって、どのチェーン証明書が必要かを知っているか推測できる場合は、事前にダウンロードしてください。

NSS自体がAIAを実行できると確信していますが（Firefoxが行うことができるように）、カールがAIAにアクセスまたは有効にできるかどうかを知らず、NSSを使用して簡単にテストできます（WSLのUbuntu 16.04ではもちろんです）。ちょっと古い) そうしないでください..

GnuTLSについてはわかりませんが、CentOS 7でGnuTLSを使用するカールはこれを行いません。

ただし、実際の問題の場合、これを手動で実行して結果を保存するためのツールはありません。

https://www.ssllabs.com/ssltest/ブラウザと同じ方法で証明書/チェーンの作成と確認、結果の表示など、SSL / TLSの機能と互換性の非常に広範なテスト多くの種類パスが見つかると、そのパスは信頼できますが、ブラウザはこれを実行しません。これらの結果を傷つけることもできます。https://whatsmychaincert.com/チェーンビルド/修正を行ったときに良いPEMが生成されたことを覚えているようですが、私が知っている唯一のパブリックテストが現在破損しているため確認できません（Fredericが引用したものと同じ不完全なチェーン）。 badssl.com）。

Java（より正確には「標準」暗号化プロバイダを使用する場合、JavaでSSL / TLS実装であるJSSE）は、認証の一部としてインポートするためにAIAを使用できます（デフォルトでは有効にする必要はありません）。 Webサイトに接続し、AIA.caIssuersが有効になっている証明書を確認し、成功すると生成された証明書および/または固定キーを作成する簡単なJavaプログラムです。より良い解決策がない場合は、20〜30行しかかかりません。提供され、後で時間があれば試してみましょう。 （またはこれはスタックです。他の人もこれを行うことができます。）