Paul Yang

@paulidale , it seems that you prefer to avoid `-evp` and would like to make current `-evp` enabled algorithms workable without specifying `-evp`?

Why don't jump to ignoring `-evp` directly?

I prefer all algorithms in `speed` are called from EVP interface, and thus we don't need to specify `-evp` explicitly any more since all are EVP based

> by removing the option we would loose comparability of the results between versions. One possible way of addressing this is measuring those `-evp` algorithms (say, GCM mode of AES)...

为啥BabaSSL自己的CI不报错？

> test/ec_elgamal_internal_test.c:201 这行注释忘记删除了，你把这行删除了试试。 不只是注释的问题，是C90不支持这些写法。 @xuyang2 可以换个编译选项？

> refer to gmssl?? What does this mean?

Yes, right

#113 中提到了加密证书没有认证的问题，我们发现之前BabaSSL对签名和加密证书的校验行为不一致，所以我们在 #114 中修复了这个问题，对于服务器端校验客户端证书的修复正在进行中。 不过需要说明的是：标准的TLS协议握手只需要一个证书来进行认证，但是NTLS中由于双证书体系的问题，证书被拆成了具有独立功能的2个证书（签名和加密），其中签名证书用于认证，加密证书用于密钥交换。目前我们没有发现相关的技术标准对在这种情况下的对端身份认证应该如何实现，所以之前也没针对这块进行特殊处理，只是校验了签名证书（因为我们觉得签名证书是用于身份认证，而加密证书不一定是），后来由于 #113 的提出，我们觉得即使没有相关技术标准，但是BabaSSL至少可以把实现上做到尽量一致。

不是太理解，你是说服务器或者客户端在Certifcate消息里没发送中间CA的证书么？我记得目前应该是：`签名证书 加密证书 中间CA1 中间CA2` 这种格式构建的服务器Certificate消息，所以对端应该自己来拼接加密和签名证书的证书链