Qual é o comportamento adequado de um cliente SSL / TLS quando recebe uma mensagem de solicitação de certificado que possui uma lista DN vazia?

Aqui estão duas possibilidades que parecem naturais: 1) Envie de volta uma mensagem de certificado vazia 2) selecione (ou solicite que o usuário selecione) um certificado entre todos os certificados possíveis

Existe um único comportamento correto ou a opção OK? Meu objetivo é fornecer um certificado no meu código (.Net, WCF) para o servidor e estou tentando determinar se preciso fazer alterações no lado do cliente para substituir o comportamento aparentemente padrão de não enviar o certificado ou se Eu preciso fazer alterações no lado do servidor para realmente enviar a lista de DN.

Parece que o navegador escolherá a opção 2, mas meu código usando WCF e .Net está usando a opção 1. Eu posso selecionar o certificado da loja, mas ele não está sendo enviado no handshake de TLS.

As especificações TLS 1.0 e 1.2 (RFCs 2246 e 5246) não parecem fornecer nenhuma orientação sobre essa situação.