<div dir="ltr"><div dir="ltr"><div>Hi,</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Mar 4, 2021 at 10:48 PM Xue-Lei Fan <<a href="mailto:xuelei.fan@oracle.com">xuelei.fan@oracle.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">




<div dir="ltr">
<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)"><span style="font-size:12pt">Did you have a chance to read RFC 8740?  Post-Handshake authentication in HTTP/2 is not allowed for TLS 1.3.  Is there a concern for the use case you mentioned?</span><br></div></div></blockquote><div><br></div><div><div>Servlet supports both HTTP/1.1 and HTTP/2. The concern here is for HTTP/1.1. We'll likely exclude client-cert for HTTP/2.</div><div><br></div><div>Kind regards,</div><div>Arjan Tijms</div></div></div></div></div>