stardrift1

请问找到原因了吗，是不是代码还没开发完成？

@guanzhi 同样发现了这个问题，不校验是有什么考虑吗。看标准说，加密证书和签名证书一般不是同一个CA签发的，然而并没有构建加密证书链的过程。

@InfoHunter 看了下当前的修复方案，似乎没有构建加密证书的证书了来传输到对端，只在本端做了加密证书链的构建和检查是吗

> 不是太理解，你是说服务器或者客户端在Certifcate消息里没发送中间CA的证书么？我记得目前应该是：`签名证书 加密证书 中间CA1 中间CA2` 这种格式构建的服务器Certificate消息，所以对端应该自己来拼接加密和签名证书的证书链 是的，但是好像并没有考虑加密证书和签名证书来自不同CA的情况，也就是在拼接证书链的时候，证书链中的CA都是签名证书的CA，并没有加密证书的CA，不知道是否是我看的有遗漏

这边暂时也没有这种情况，我们现有对接的浏览器和其他一些国密开源实现，现在都是默认两本证书来自相同CA