<div dir="ltr">Anyone have any thoughts here? We're going through the process of splitting up all of our SubCAs out into their own dedicated RootCAs, but that doesn't seem like a great option. It would be much better if we could simply specify the verification depth for Stunnel. Thoughts on how hard this might be to add?</div>
<div class="gmail_extra"><br clear="all"><div><div dir="ltr">Matt Wise<div>Sr. Systems Architect</div><div>Nextdoor.com</div></div></div>
<br><br><div class="gmail_quote">On Fri, Apr 11, 2014 at 9:21 AM, Matt Wise <span dir="ltr"><<a href="mailto:matt@nextdoor.com" target="_blank">matt@nextdoor.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">It was my understanding that when you have an Stunnel Server configured with 'verify=2', that the client that connects must have a certificate signed by the same CA/SubCA combination that the server does. So for example:<div>

<br></div><div>  - My_Root_Ca (private CA)</div><div>    - Some_Random_Cert.pem</div><div>    - Stunnel_Sub_Ca:</div><div>      - Server.pem</div><div>      - Client.pem</div><div>    - Postgres_Sub_Ca:</div><div>      - Server.pem</div>

<div>      - postgres_user.pem</div><div><br></div><div>With the above structure in place (and the stunnel server using Stunnel_Sub_Ca/Server.pem) if someone tried to connect in with the Stunnel_Sub_Ca/Client.pem cert, it would work... but if they tried to connect in with Postgres_Sub_Ca/Server.pem, it wouldn't.</div>

<div><br></div><div>Unfortunately we're not seeing that behavior... we're seeing a behavior where *every* cert signed by the overall Root CA is validated. We're able to connect in using Some_Random_Cert.pem, Postgres_Sub_Ca/Server.pem and Postgres_Sub_Ca/postgres_user.pem.</div>

<div><br></div><div>This feels wrong ... what am I missing?</div><div><br></div><div>(We're using Stunnel 4.55 btw)</div><span class="HOEnZb"><font color="#888888"><div><div><div dir="ltr"><br></div><div dir="ltr">Matt Wise<div>
Sr. Systems Architect</div><div>
Nextdoor.com</div></div></div>
</div></font></span></div>
</blockquote></div><br></div>