openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -verify 12 -showcerts -connect mail.google.com:443
Isso funcionará no debian ou seus derivados, onde a lista de CAs confiáveis (do sistema que pode não ser a mesma do Firefox) está em /etc/ssl/certs/ca-certificates.crt
. Você pode precisar se adaptar em outros Unices.
Observe que ele não consultará listas de revogação nem servidores OCSP.
Você perceberá que isso falha em alguns servidores falsos que não fornecem a cadeia completa de certificados intermediários.
Você pode recuperar os certificados das CAs de confiança do firefox usando certutil
(do pacote libnss3-tools
em Debian ):