Tell HN: Apple 开发证书服务器似乎宕机？

Source: Hacker News

说明

OpenSSL 无法验证该证书，因为它包含一个 关键 扩展且 OpenSSL 不认识——具体是 1.2.840.113635.100.6.27.3.2，这是一个被标记为关键的 Apple 专有 OID。根据 X.509 规则，如果客户端遇到未识别的关键扩展，必须拒绝该证书。

话虽如此，这很可能是 Apple 有意为之。浏览器以及 Apple 自己的 TLS 栈（SecureTransport/Network.framework）几乎肯定知道如何处理此扩展。它是一个私有的 Apple CA（Apple Server Authentication CA）为 Apple 内部服务端点签发的证书，因此旨在在 Apple 生态系统内工作，而不是与通用的 OpenSSL 兼容。

实际表现

- Works fine in Apple clients (Safari, curl on macOS using the system TLS stack, iOS apps)
- Fails with raw OpenSSL or other non‑Apple TLS implementations
- Not a misconfiguration — Apple is intentionally using a proprietary critical extension on their private PKI