Wie verhält sich ein SSL / TLS-Client, wenn er eine Zertifikatanforderungsnachricht mit einer leeren DN-Liste empfängt?

Hier sind zwei Möglichkeiten, die natürlich erscheinen: 1) Senden Sie eine leere Zertifikatnachricht zurück. 2) Wählen Sie (oder fordern Sie den Benutzer auf, ein Zertifikat aus allen möglichen Zertifikaten auszuwählen)

Gibt es ein einzelnes korrektes Verhalten oder ist eine der Optionen in Ordnung? Mein Ziel ist es, dem Server ein Zertifikat in meinem Code (.Net, WCF) zur Verfügung zu stellen, und ich versuche festzustellen, ob ich auf der Clientseite Änderungen vornehmen muss, um das scheinbar standardmäßige Verhalten, das Zertifikat nicht zu senden, außer Kraft zu setzen, oder wenn Ich muss Änderungen auf der Serverseite vornehmen, um die DN-Liste tatsächlich zu senden.

Es sieht so aus, als würde der Browser Option 2 auswählen, aber mein Code mit WCF und .Net verwendet Option 1. Ich kann das Zertifikat aus dem Speicher auswählen, es wird jedoch nicht im TLS-Handshake gesendet.

Die TLS 1.0- und 1.2-Spezifikationen (RFCs 2246 und 5246) scheinen keine Anleitung zu dieser Situation zu geben.