Jakie jest właściwe zachowanie klienta SSL / TLS, gdy otrzymuje komunikat Żądanie certyfikatu, który ma pustą listę DN?

Oto dwie możliwości, które wydają się naturalne: 1) Odeślij pustą wiadomość certyfikatu 2) wybierz (lub poproś użytkownika o wybranie) certyfikat spośród wszystkich możliwych certyfikatów

Czy istnieje jedno poprawne zachowanie lub czy opcja jest OK? Moim celem jest dostarczenie certyfikatu w moim kodzie (.Net, WCF) do serwera i staram się ustalić, czy muszę wprowadzić zmiany po stronie klienta, aby zastąpić pozornie domyślne zachowanie polegające na nie wysyłaniu certyfikatu lub jeśli Muszę wprowadzić zmiany po stronie serwera, aby faktycznie wysłać listę DN.

Wygląda na to, że przeglądarka wybierze opcję 2, ale mój kod używający WCF i .Net używa opcji 1. Mogę wybrać certyfikat ze sklepu, ale nie jest on wysyłany w uzgadnianiu TLS.

Specyfikacje TLS 1.0 i 1.2 (RFC 2246 i 5246) wydają się nie dostarczać żadnych wskazówek w tej sytuacji.