Как отключить проверку сертификата в BearSSL?

Question

[black_list_man]

Возможно ли отключить проверку сертификата в библиотеке BearSSL?
Контекст задачи: есть картографическое приложение с поддержкой растровых тайлов. Многие тайл-серверы используют HTTPS. Решил использовать BearSSL в качестве SSL библиотеки. Примеров очень мало. И на насколько я понял, чтобы обмениваться данными с сервером мне нужно добавить корневой сертификат, соответствующий данному серверу в список(trusted anchors). Т.е. для каждого сервера нужно иметь свой корневой сертификат, причем up-to date, т.к. они имеют свойство истекать. Не так я себе представлял работу SLL клиента. Или я чего-то не понимаю? В моем приложении пользователь должен иметь возможность добавить любой источник тайлов. Как я могу предусмотреть все варианты? Безопасность меня мало волнует, я вообще не понимаю зачем шифровать такого рода контент.

Answer 1

[ky0]

Да, всё работает именно так, как вы описали - либо используется набор периодически обновляемых корневых сертификатов, будь то хранилище браузера, как в ФФ, глобальное у ОС (пакет ca-certificates в линуксе - это оно), или какой-то собственный кейстор приложения; либо мы забиваем на проверки и принимаем любой сертификат, даже самоподписанный.

Судя по вот этому тикету - такой возможности (пока) нет.

Относительно "возможности добавить любой источник тайлов" всё, указанное в первом параграфе справедливо - либо пользователи используют источники с валидными сертификатами, либо придётся добавлять их в кейстор ОС/приложения руками, либо забивать на шифрование коннектов, разрешая всё подряд.

Answer 2

[CityCat4]

Безопасность меня мало волнует,

Зато она волнует других. Хотя для тех, кого она не волнует, конечно нужно предусматривать режим "принимать все сертификаты".
Да, для каждого сервера нужно иметь сертификат его издателя в хранилище корневых - именно поэтому LE пользуется такой популярностью :) При установлении соединения, если сертификат издателя не может быть проверен - доверия нет, сертификат не валиден.