Каково правильное поведение клиента SSL / TLS, когда он получает сообщение запроса сертификата с пустым списком DN?

Вот две возможности, которые кажутся естественными: 1) отправить обратно пустое сообщение сертификата 2) выбрать (или предложить пользователю выбрать) сертификат из всех возможных сертификатов

Есть ли единственное правильное поведение, или любой вариант в порядке? Моя цель - предоставить сертификат в моем коде (.Net, WCF) серверу, и яЯ пытаюсь определить, нужно ли мне вносить изменения на стороне клиента, чтобы переопределить, по-видимому, поведение по умолчанию, не отправляющее сертификат, или мне нужно внести изменения на стороне сервера, чтобы фактически отправить список DN.

Похоже, что браузер выберет вариант 2, но мой код с использованием WCF и .Net использует вариант 1. Я могу выбрать сертификат из хранилища, но он не отправляется при подтверждении связи TLS.

Спецификации TLS 1.0 и 1.2 (RFC 2246 и 5246) неКажется, я не дал никаких указаний на эту ситуацию.