<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Michael Tandy wrote:
<blockquote
 cite="mid:302aa0340902271019p3c7a751ayf1ffb88535562fa1@mail.gmail.com"
 type="cite">
  <blockquote type="cite">
    <pre wrap="">We can enable it always, I think, just as what the EC extension do now. But
we need to consider a very small part of old servers which are not ready to
read any extension data field, so we might need a approach to disable all
extensions. Maybe adding a new system property to switch the extension is
not so bad . (Personally, I dislike using system property)
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Well, for old servers people have the option to use the SSL v2 Hello,
in which case the extensions don't get sent.
  </pre>
</blockquote>
Good point. But for FIPS-140 compliant. TLS1.0 should be used, SSL v2
Hello will not be used in a FIPS validated environment.<br>
<blockquote
 cite="mid:302aa0340902271019p3c7a751ayf1ffb88535562fa1@mail.gmail.com"
 type="cite">
  <pre wrap="">Do you think it's likely a server would require SSL3 or TLS, but
wouldn't support hello extensions?
  </pre>
</blockquote>
Yes, I do remember that some of the current ssl/tls servers may refuse
to accept connections from a client that used TLS extensions. Please
refer to [1] and [2].<br>
<br>
Thanks,<br>
Andrew<br>
<br>
[1]: <a href="http://blogs.msdn.com/ie/archive/2006/04/17/577702.aspx">http://blogs.msdn.com/ie/archive/2006/04/17/577702.aspx</a><br>
[2]: <a
 href="http://blogs.msdn.com/wndp/archive/2006/04/12/tls_enabled_by_default.aspx">http://blogs.msdn.com/wndp/archive/2006/04/12/tls_enabled_by_default.aspx</a>
</body>
</html>