Ahh, ahogy látom az openssl se bízik meg benne
Hát általában az szokott lenni, hogy a k8s API endpointon a k8s saját CA-ja által aláírt cert lakik. Nyilván lehet ezt máshogy is csinálni, de inkább az a standard, hogy a kubeconfigban bent van ez az CA cert, ergó a k8s kliens emiatt meg fog bízni a szerver tanúsítványban. Mivel a kubectl-lel ez megy is, a python modullal meg nem, ezért ott valami nagy gyíkság lesz (mondjuk pl. olyan régi a python modul alatti SSL, hogy teszemazt nem támogatja a tanúsítványt).