<div dir="ltr"><div>Hi Xuelei,</div><div><br></div><div>I didn't notice that some of the SSLSocket contructors did not establish the connection, so SSLParameters can be effective for Trusted CA Indication. This was an invalid argument on my side, sorry.</div><div><br></div><div>As for the configuration to enable the extension, it's probably not necessary on the Server side because -as you mentioned- it is mandatory and there is no harm in supporting it. However, it has to be configurable on the Client side because -as we previously discussed- the client may cause a handshake failure if the server does not support the extension. I'd prefer the Client configuring the SSLSocket through SSLParameters instead of a system-wide property -which has even more impact than the TrustManager approach-. Would this work for you?</div><div><br></div><div>> In JSSE, the benefits pre_agreed option can get by customizing the key/trust manager, so I did not see too much benefits to support this option in JDK</div><div><br></div><div>I understand your point and will remove support for "pre_agreed".</div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 9, 2017 at 1:37 AM, Xuelei Fan <span dir="ltr"><<a href="mailto:xuelei.fan@oracle.com" target="_blank">xuelei.fan@oracle.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="m_-6854938520307732024gmail-"><br>
<br>
On 6/8/2017 8:36 PM, Xuelei Fan wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
The trusted authorities can be get from client trust manager.  Server can choose the best matching of server certificate of the client requested trusted authorities.<br>
</blockquote>
><br></span>
I missed the point that the key manager need to know the client requested trusted authorities for the choosing.  So may need a new SSLSession attribute (See similar method in ExtendedSSLSession).<span class="m_-6854938520307732024gmail-HOEnZb"><font color="#888888"><br>
<br>
Xuelei<br></font></span></blockquote><div><br></div><div><br></div><div>Yes, an attribute on SSLSession may do the job (both when Key Manager receives a SSLSocket and a SSLEngine).</div><div><br class="m_-6854938520307732024gmail-Apple-interchange-newline">Kind regards,</div><div>Martin.- </div></div><br></div></div>