Я разобрался в чем была проблема.
Нашел в описании файла конфигурации ( mosquitto.conf man page | Eclipse Mosquitto ) следующую фразу:
One of
bridge_capathorbridge_cafilemust be provided to allow SSL/TLS support.
Таким образом, проблема решается добавлением в конфиг клиента следующей строки:
bridge_capath /etc/ssl/certs
Забавно, что тут я указываю фактически путь к сертификатам по умолчанию, и при использовании команды mosquitto_sub по идее используется тоже этот путь к системным сертификатам, но при этом команда mosquitto_sub не требует параметра --capath для включения TLS.
В мануале на mosquitto_sub ( mosquitto_sub man page | Eclipse Mosquitto ) так и сказано:
Alternatively, if the
-p 8883option is used then the OS provided certificates will be loaded and neither--cafileor--capathare needed
То есть чтобы включилось TLS в mosquitto_sub достаточно указать порт 8883, а чтобы включилось TLS в конфигурации моста, нужно обязательно добавить bridge_capath, даже если никакой особый путь к сертификатам системы по факту не требуется. Вот такие нюансы выяснились…
В общем, вопрос закрыт, спасибо за оперативные ответы!