openssl: verifystatus: only use the OCSP work-around <= 1.0.2a

author Daniel Stenberg <daniel@haxx.se>

Tue, 24 Mar 2015 22:05:26 +0000 (23:05 +0100)

committer Daniel Stenberg <daniel@haxx.se>

Tue, 24 Mar 2015 22:06:37 +0000 (23:06 +0100)
author Daniel Stenberg <daniel@haxx.se>
Tue, 24 Mar 2015 22:05:26 +0000 (23:05 +0100)
committer Daniel Stenberg <daniel@haxx.se>
Tue, 24 Mar 2015 22:06:37 +0000 (23:06 +0100)
diff --git a/lib/vtls/openssl.c b/lib/vtls/openssl.c

index 9a3f2c81a639a64152c9a9fc2a6f6e40d382c94a..d399e9aa55977170f7f1ff3327eb21a939f1b7e0 100644 (file)
--- a/lib/vtls/openssl.c
+++ b/lib/vtls/openssl.c
@@ -1360,6 +1360,7 @@ static CURLcode verifystatus(struct connectdata *conn,
    ch = SSL_get_peer_cert_chain(connssl->handle);
    st = SSL_CTX_get_cert_store(connssl->ctx);
  
+#if (OPENSSL_VERSION_NUMBER <= 0x1000201fL) /* Fixed after 1.0.2a */
    /* The authorized responder cert in the OCSP response MUST be signed by the
       peer cert's issuer (see RFC6960 section 4.2.2.2). If that's a root cert,
       no problem, but if it's an intermediate cert OpenSSL has a bug where it
@@ -1383,6 +1384,7 @@ static CURLcode verifystatus(struct connectdata *conn,
        }
      }
    }
+#endif
  
    if(OCSP_basic_verify(br, ch, st, 0) <= 0) {
      failf(data, "OCSP response verification failed");
author	Daniel Stenberg <daniel@haxx.se>
	Tue, 24 Mar 2015 22:05:26 +0000 (23:05 +0100)
committer	Daniel Stenberg <daniel@haxx.se>
	Tue, 24 Mar 2015 22:06:37 +0000 (23:06 +0100)