<div dir="ltr">It was my understanding that when you have an Stunnel Server configured with 'verify=2', that the client that connects must have a certificate signed by the same CA/SubCA combination that the server does. So for example:<div>
<br></div><div>  - My_Root_Ca (private CA)</div><div>    - Some_Random_Cert.pem</div><div>    - Stunnel_Sub_Ca:</div><div>      - Server.pem</div><div>      - Client.pem</div><div>    - Postgres_Sub_Ca:</div><div>      - Server.pem</div>
<div>      - postgres_user.pem</div><div><br></div><div>With the above structure in place (and the stunnel server using Stunnel_Sub_Ca/Server.pem) if someone tried to connect in with the Stunnel_Sub_Ca/Client.pem cert, it would work... but if they tried to connect in with Postgres_Sub_Ca/Server.pem, it wouldn't.</div>
<div><br></div><div>Unfortunately we're not seeing that behavior... we're seeing a behavior where *every* cert signed by the overall Root CA is validated. We're able to connect in using Some_Random_Cert.pem, Postgres_Sub_Ca/Server.pem and Postgres_Sub_Ca/postgres_user.pem.</div>
<div><br></div><div>This feels wrong ... what am I missing?</div><div><br></div><div>(We're using Stunnel 4.55 btw)</div><div><div><div dir="ltr"><br></div><div dir="ltr">Matt Wise<div>Sr. Systems Architect</div><div>
Nextdoor.com</div></div></div>
</div></div>