As linhas Any Purpose : Yes
e Any Purpose CA : Yes
do openssl x509 -purpose
são especiais. Ele é específico do openssl e representa para o qual o certificado será validado quando usado com versões de software antigas que não verificam extensões.
Estes sinalizadores de finalidade específica não podem ser desativados ou desativados. De openssl, a verificação de finalidade de origem é definida em openssl / crypto / x509v3 / v3_purp.c como estática X509_PURPOSE xstandard [] = {…}. A função de validação de verificação X509_PURPOSE_ANY retorna 1.
O mais próximo da documentação oficial sobre esta bandeira é provavelmente esses posts do Dr. Stephen N. Henson, autor de v3_purp.c - link e link .
Para citar Steve:
'The "Any Purpose" setting is something which lets anything through and performs no checks at all. It was put there originally as a way for people to use broken certificates if they had no other choice and could live with the consequences... Since then CA checks have been made mandatory in the code even if "Any Purpose" is set. So if you actually tried to use that certificate as a CA it would be rejected.'