tls-server: Optionally omit CAs in CertificateRequest messages
authorShmulik Ladkani <shmulik@metanetworks.com>
Fri, 15 Jan 2021 13:45:34 +0000 (14:45 +0100)
committerTobias Brunner <tobias@strongswan.org>
Fri, 12 Feb 2021 13:35:23 +0000 (14:35 +0100)
commita4a128bd2fa66067170a06b3c83e64c024493641
tree60e12eb291382fb8ffb17d923ed6b92ece5d32ac
parent083f38259c79ee5d1ac443bbfd0146c1fa03978e
tls-server: Optionally omit CAs in CertificateRequest messages

Usually, the DNs of all loaded CA certificates are included in the
CertificateRequest messages sent by the server.

Alas, certain EAP-TLS clients fail to process this message if the
list is too long, returning the fatal TLS alert 'illegal parameter'.

This new option allows configuring whether CAs are included or an
empty list is sent (TLS 1.2), or the certificate_authorities extension
is omitted (TLS 1.3).  The list only serves as hint/constraint
for clients during certificate selection, they still have to provide
a certificate but are free to select any one they have available.

Closes strongswan/strongswan#187.
conf/options/charon.opt
src/libtls/tls_server.c