<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Hi Timo,<br>
<blockquote cite="mid1150108477.17524.549.camel@localhost.localdomain"
 type="cite">
  <pre wrap="">Yes. Or if it's FAIL_IF_NO_PEER_CERT and the cert is invalid, what
happens? Does it disconnect immediately? I haven't tried.

  </pre>
</blockquote>
if ssl_verify_client_cert() in ssl-proxy-openssl.c return 0 the
connection is immediately dropped, if it returns 1 the error (no client
cert, cert revoked, crl expired etc.) is ignored. But I haven't
experimented much with it, in particular, i'm not certain if it
disconnects with SSL_VERIFY_CLIENT_ONCE and no peer certificate, i
think it should, but i haven't tested it... (i'll test it tonight)<br>
<blockquote cite="mid1150108477.17524.549.camel@localhost.localdomain"
 type="cite">
  <pre wrap=""></pre>
  <blockquote type="cite">
    <pre wrap="">Maybe the valid-client-cert-feature 
can have a conf.file switch, or a #define in the sourcecode, what's your 
opinion?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Well, at least I want to avoid adding more options to config file.. Why
do you think it's so much better to disconnect immediately? Do clients
then give good error messages if that happens?
  </pre>
</blockquote>
The main reason is that I thought it would be better to drop an
unwanted connection as soon as possible...<br>
<br>
Clients should receive errors like "certificate revoked", but I'll try
generating some errors and see what really happens...<br>
<br>
<blockquote cite="mid1150108477.17524.549.camel@localhost.localdomain"
 type="cite">
  <pre wrap="">
One possibility would be to send also the ssl_require_valid_client_cert
setting to the login process, and disconnect immediately if that's yes.
One problem with that is however that it's possible to have multiple
auth blocks with different ssl_require_valid_client_cert values, so the
code would have to check that all of them have it.
  </pre>
</blockquote>
Another option is to leave it the way it is, and place a small comment
in the sourcecode (or Wiki) which explains the other behaviour. ;-) <br>
<br>
<pre class="moz-signature" cols="72">-- 

groeten,

HenkJan Wolthuis
</pre>
</body>
</html>