<div dir="ltr"><div>The test case fails for me against JDK 1.7.0_05 and 1.8.0_20 -- the SunX509 validator complains about the presence of the critical extension.  Contrary to what the OP suggested in the bug report, it doesn't seem like this behavior is new.</div><div><br></div><div>Plenty of implementations in the wild (e.g. Tomcat) either hardcode SunX509 or rely on getDefaultAlgorithm, which returns SunX509.  I would imagine that in most cases, and especially in cases where the TrustManagerFactory is being instantiated by a web container using platform defaults, that there's no user code that does further checking.  To me this change seems both breaking and inconsistent with RFC 5280.</div><div><br></div><div><div><div><div><div class="gmail_quote"><div dir="ltr">On Fri, Nov 11, 2016 at 12:47 PM Vincent Ryan <<a href="mailto:vincent.x.ryan@oracle.com">vincent.x.ryan@oracle.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Your changes look fine to me.<br class="gmail_msg">
Just a minor language correction: ‘to use’ -> ‘using’ (2 instances)<br class="gmail_msg">
<br class="gmail_msg">
> On 11 Nov 2016, at 05:11, Xuelei Fan <Xuelei.Fan@Oracle.Com> wrote:<br class="gmail_msg">
><br class="gmail_msg">
> Hi,<br class="gmail_msg">
><br class="gmail_msg">
> Please review this bug fix:<br class="gmail_msg">
><br class="gmail_msg">
>   <a href="http://cr.openjdk.java.net/~xuelei/8166103/webrev.00/" rel="noreferrer" class="gmail_msg" target="_blank">http://cr.openjdk.java.net/~xuelei/8166103/webrev.00/</a><br class="gmail_msg">
><br class="gmail_msg">
> The current validator implementations only allow white listed critical certificate extensions, and not all JDK supported extensions are known to the validator.  As may result in some issues that the cert is valid, but cannot pass the validation because there is a critical extension that is not white listed in the validator implementation.<br class="gmail_msg">
><br class="gmail_msg">
> This fix will only check the validity of the white listed critical certificate extensions, and ignore the critical certificate extensions if they can be parsed with X509Certificate.<br class="gmail_msg">
><br class="gmail_msg">
> Thanks,<br class="gmail_msg">
> Xuelei<br class="gmail_msg">
<br class="gmail_msg">
</blockquote></div></div></div></div></div></div>