Sto scrivendo un'applicazione client abilitata per SSL OpenSSL che si connette a un server di Google. Ho l'SSL funzionante e posso monitorare il traffico e vedere che è sicuramente crittografato. Sto usando la funzione API OpenSSL SSL_CTX_load_verify_locations per caricare un file .pem contenente certificati di root pubblici per verificare che il server sia un server affidabile ... credo!?
Ho eseguito dei LOAD di ricerca ma non riesco a trovare una semplice descrizione di ciò che dovrei fare per assicurarmi di parlare con un server di Google. Sta usando un file .pem con root CA è la cosa giusta da fare? Come faccio a sapere che sto parlando con Google e non con qualcun altro nell'elenco di fiducia?
Inoltre, ho intenzione di distribuire il file .pem insieme all'applicazione, oppure può essere compilato nella mia applicazione?
Qualsiasi aiuto molto apprezzato.