Annexe A. Modifications par rapport à RFC 4366
Les modifications importantes entre le RFC 4366 et ce document sont décrites ci-dessous.
Le RFC 4366 décrivait à la fois les mécanismes d'extension généraux (pour la poignée de main TLS et les hello client et serveur) ainsi que des extensions spécifiques. Le RFC 4366 était associé au RFC 4346, TLS 1.1. Les mécanismes d'extension hello client et serveur ont été déplacés dans le RFC 5246, TLS 1.2, donc ce document, qui est associé au RFC 5246, n'inclut que les mécanismes d'extension de poignée de main et les extensions spécifiques du RFC 4366. Le RFC 5246 spécifie également l'erreur d'extension inconnue et les nouvelles considérations de spécification d'extension, de sorte que ce matériel a été supprimé de ce document.
L'extension Nom du serveur spécifie maintenant uniquement la représentation ASCII, éliminant UTF-8. Il est prévu que ServerNameList peut contenir plus d'un nom de tout type de nom particulier. Si un nom de serveur est fourni mais n'est pas reconnu, le serveur devrait soit continuer la poignée de main sans erreur, soit envoyer une erreur fatale. L'envoi d'un message de niveau avertissement n'est pas recommandé car le comportement du client sera imprévisible. Une disposition a été ajoutée pour l'utilisateur utilisant l'extension server_name pour décider de reprendre ou non une session. De plus, cette extension devrait être la même dans une demande de reprise de session qu'elle l'était dans la poignée de main complète qui a établi la session. Une telle demande de reprise ne doit pas être acceptée si l'extension server_name est différente, mais plutôt une poignée de main complète doit être effectuée pour éventuellement établir une nouvelle session.
L'extension URL de certificats clients a été modifiée pour rendre la présence d'un hachage obligatoire.
Pour le cas de DTLS, l'exigence de signaler un débordement de la longueur maximale de fragment négociée est conditionnée par la réussite de l'authentification.
Les serveurs TLS sont désormais interdits de suivre les redirections HTTP lors de la récupération des certificats.
Le matériel a également été réorganisé de manière mineure. Par exemple, les informations sur les erreurs fatales ont été déplacées de la section "Alertes d'erreur" vers les spécifications d'extension individuelles.