SSLVerifyClient ignorar fecha de caducidad

Question

Tengo un servicio web y está configurado para verificar los certificados de cliente

SSLCACertificateFile /xxxx/rootca-cert.pem 

<Location /manage/ccc> 
    SSLVerifyClient require 
    SSLVerifyDepth 1 
    SSLOptions +StdEnvVars 
</Location> 

Mis clientes están ejecutando con certificados firmados por este rootca-cert.pem.

Mi problema es que el archivo rootca está a punto de caducar pronto, y no es fácil para mí actualizar los certificados en el lado del cliente. ¿Es posible configurar apache para que continúe verificando los certificados del cliente, pero ignore el hecho de que ambos certificados raíz y cliente están caducados?

Answer 1

Apache mod_ssl no le permite ignorar los certificados caducados, incluso si usa "optional_no_ca". La única solución es aplicar un parche al código mod_ssl o configurar el tiempo de su servidor en el tiempo.