Правильный ответ клиента SSL / TLS для сообщения запроса сертификата без DN?

Каково правильное поведение клиента SSL / TLS, когда он получает сообщение запроса сертификата с пустым списком DN?

Вот две возможности, которые кажутся естественными: 1) отправить обратно пустое сообщение сертификата 2) выбрать (или предложить пользователю выбрать) сертификат из всех возможных сертификатов

Есть ли единственное правильное поведение, или любой вариант в порядке? Моя цель - предоставить сертификат в моем коде (.Net, WCF) серверу, и я пытаюсь определить, нужно ли мне вносить изменения на стороне клиента, чтобы переопределить, по-видимому, поведение по умолчанию - не отправлять сертификат или, если Мне нужно внести изменения на стороне сервера, чтобы на самом деле отправить список DN.

Похоже, что браузер выберет вариант 2, но мой код с использованием WCF и .Net использует вариант 1. Я могу выбрать сертификат из хранилища, но он не отправляется при подтверждении связи TLS.

Спецификации TLS 1.0 и 1.2 (RFC 2246 и 5246), по-видимому, не дают каких-либо указаний на эту ситуацию.