<div dir="ltr">I have some questions about this ticket<div><a href="https://bugs.openjdk.org/browse/JDK-8206923">https://bugs.openjdk.org/browse/JDK-8206923</a></div><div>which was closed as "won't fix".  I fully realize that TLS 1.3 forbids SSL renegotiation after the handshake in the traditional manner, but I'm curious if the process defined here can be used instead:</div><div><a href="https://www.openssl.org/docs/manmaster/man3/SSL_verify_client_post_handshake.html">https://www.openssl.org/docs/manmaster/man3/SSL_verify_client_post_handshake.html<br clear="all"></a><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div></div><div><br></div><div>I'm new to this, but it appears to be describing how to accomplish post-handshake client verification which works on TLS 1.3.  </div><div><br></div><div>There's not a lot of information online, but this ticket appears to be Python adding support for this:</div><div><a href="https://bugs.python.org/issue34670">https://bugs.python.org/issue34670</a><br></div><div><br></div><div>Can we discuss reopening the openjdk ticket if this is actually possible?  The use case for this is a rather common requirement-- to have an SSL site which doesn't prompt the user for a client cert until they visit a secured area, and then the client cert request is sent, prompting the user at that point.  </div><div>Currently, I have to disable both HTTP/2 and TLS 1.3 in order for this to work.  I don't mind sticking to HTTP/1. but I have concerns about disabling TLSv1.3 and what that means for the future security of my apps.</div><div><br></div><div>Thanks!</div><div><br></div><div>~Brad</div><div><br></div><div><b>Developer Advocate</b></div><div><i>Ortus Solutions, Corp </i></div><div><b><br></b></div><div>E-mail: <a href="mailto:brad@coldbox.org" target="_blank">brad@coldbox.org</a></div><div>ColdBox Platform: <a href="http://www.coldbox.org" target="_blank">http://www.coldbox.org</a> </div><div>Blog: <a href="http://www.codersrevolution.com" target="_blank">http://www.codersrevolution.com</a></div><div><br></div></div></div></div></div></div></div>