Сломанные цепочки валидации X.509 сертификатов в OpenSSL/GnuTLS

https://www.opennet.ru/opennews/art.shtml?num=53061
В комментариях некоторые считают что мол это криворукие GnuTLS. Кто-то
считает что они плохие потому что не блюдут RFC. А вообще это как-раз
ярчайший пример того, что это проблема RFC, а не реализаций. На работе с
коллегой нам приходилось писать валидатор цепочек X.509. За годы работы
над УЦ -- это *самая* сложная задача. Причём, её сложность наверное
возрастает на порядок, если реализовывать поддержку CRL. Везде где CRL:
жди дичайших проблем. Разумный, вменяемый человек никогда в жизни не
смог бы придумать и считать всю эту X.509 проверку чем-то разумным и
адекватным. Проверка цепочек с CRL это реально тянет на какие-нибудь
научные диссертации, чтобы ещё и сделать это за вменяемое машинное
время. У меня очень очень большие сомнения что вообще хоть кто-то (и
речь про проприетарные коммерческие продукты) в этом мире реализовал всё
что описано хотя бы в RFC 5280.