Anhang A. Änderungen gegenüber RFC 4366

Die wesentlichen Änderungen zwischen RFC 4366 und diesem Dokument werden nachstehend beschrieben.

RFC 4366 beschrieb sowohl allgemeine Erweiterungsmechanismen (für den TLS-Handshake und Client- und Server-Hellos) als auch spezifische Erweiterungen. RFC 4366 war mit RFC 4346, TLS 1.1, verbunden. Die Client- und Server-Hello-Erweiterungsmechanismen wurden in RFC 5246, TLS 1.2, verschoben, sodass dieses Dokument, das mit RFC 5246 verbunden ist, nur die Handshake-Erweiterungsmechanismen und die spezifischen Erweiterungen aus RFC 4366 enthält. RFC 5246 spezifiziert auch den unbekannten Erweiterungsfehler und neue Überlegungen zur Erweiterungsspezifikation, sodass dieses Material aus diesem Dokument entfernt wurde.

Die Server-Namen-Erweiterung spezifiziert jetzt nur noch die ASCII-Darstellung und eliminiert UTF-8. Es ist vorgesehen, dass ServerNameList mehr als einen Namen eines bestimmten Namenstyps enthalten kann. Wenn ein Servername bereitgestellt, aber nicht erkannt wird, sollte der Server entweder den Handshake ohne Fehler fortsetzen oder einen fatalen Fehler senden. Das Senden einer Nachricht auf Warnstufe wird nicht empfohlen, da das Verhalten des Clients unvorhersehbar sein wird. Es wurde eine Bestimmung für den Benutzer hinzugefügt, die server_name-Erweiterung zu verwenden, um zu entscheiden, ob eine Sitzung wiederaufgenommen werden soll oder nicht. Darüber hinaus sollte diese Erweiterung in einer Sitzungswiederaufnahmeanforderung dieselbe sein wie im vollständigen Handshake, der die Sitzung etabliert hat. Eine solche Wiederaufnahmeanforderung darf nicht akzeptiert werden, wenn die server_name-Erweiterung unterschiedlich ist, sondern es muss stattdessen ein vollständiger Handshake durchgeführt werden, um möglicherweise eine neue Sitzung zu etablieren.

Die Client-Zertifikat-URLs-Erweiterung wurde geändert, um das Vorhandensein eines Hashes obligatorisch zu machen.

Für den Fall von DTLS ist die Anforderung, einen Überlauf der ausgehandelten maximalen Fragmentlänge zu melden, an das Bestehen der Authentifizierung gebunden.

TLS-Server dürfen jetzt beim Abrufen von Zertifikaten keine HTTP-Weiterleitungen mehr folgen.

Das Material wurde auch in geringfügiger Weise neu organisiert. Beispielsweise wurden Informationen darüber, welche Fehler fatal sind, aus dem Abschnitt "Fehlerwarnungen" in die einzelnen Erweiterungsspezifikationen verschoben.