In message <470D9227.9090008 / sarion.co.jp>,
 `"NAKAMURA, Hiroshi" <nakahiro / sarion.co.jp>' wrote:
> GOTOU Yuuzou wrote:
> > ただ、SSLContextのパラメータを外
> > 部から設定できないようになっているため、verify_modeを
> > VERIFY_PEER固定にし、OpenSSLのデフォルトの証明書ストアを参照
> > させるなど他とは異なる対応をしようかと考えています。
> 
> OpenSSLのデフォルトの証明書ストアって、（demoCAのほうじゃない）certsのこ
> とだよね。現状のext/opensslから取得できたっけ?

OpenSSL::X509::Store#set_default_pathsについてはフォローがあ
りましたが、いちおうパス名も取得できます。

  % /usr/bin/ruby -vr openssl -e 'p OpenSSL::X509::DEFAULT_CERT_FILE'
  ruby 1.8.6 (2007-06-07 patchlevel 36) [x86_64-linux]
  "/etc/pki/tls/cert.pem"
  % /usr/bin/ruby -vr openssl -e 'p OpenSSL::X509::DEFAULT_CERT_DIR'
  ruby 1.8.6 (2007-06-07 patchlevel 36) [x86_64-linux]
  "/etc/pki/tls/certs"

> あとどうもあれは、opensslのtest用＋openssl開発者の利便性のために存在して
> るんじゃないかも、と思ってたんだけど。どの程度ツカエルのかな。

Debianのca-certificatesやFedoraのopensslパッケージはOpenSSL
のデフォルトのパスに(OpenSSLのソースコードに添付されているも
のは違うセットの)ルート証明書をインストールします。

README.Debianには、パッケージ含まれるファイルに付いて、

  /etc/ssl/certs/ca-certificates.crt will be used by many of the web browsers
  in Debian, including mozilla, when deciding what secure web sites to trust.

と書かれているので、OpenSSLのテスト用ということはないだろう
と思います。

-- 
ごとうゆうぞう