<div dir="ltr"><div><div>Hi!<br><br></div>I confirm what Andreas is saying. Of course it would be an interesting functionality to add more possibilities for the server to choose<br></div>certificates, as for the sni option there is one such possibility.<br><div><div><div><div><div class="gmail_extra"><br></div><div class="gmail_extra">Regards Ingela Erlang/OTP team - Ericsson AB<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2016-02-16 8:55 GMT+01:00 Andreas Schultz <span dir="ltr"><<a href="mailto:aschultz@tpip.net" target="_blank">aschultz@tpip.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<span class=""><br>
----- Original Message -----<br>
> From: "Roger Lipscombe" <<a href="mailto:roger@differentpla.net">roger@differentpla.net</a>><br>
> To: <a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
> Sent: Monday, February 15, 2016 5:45:20 PM<br>
> Subject: [erlang-questions] TLS: signature algorithms extension<br>
<br>
> Does Erlang support the signature algorithms extension in TLS 1.2<br>
> (<a href="https://tools.ietf.org/html/rfc5246#section-7.4.1.4.1" rel="noreferrer" target="_blank">https://tools.ietf.org/html/rfc5246#section-7.4.1.4.1</a>)?<br>
<br>
</span>Yes, and it does announce (as client) all the hash and signature<br>
algorithms that it supports.<br>
<span class=""><br>
> Specifically, I've got two classes of client, one of which expects a<br>
> SHA1-signed certificate, and one of which expects a SHA256-signed<br>
> certificate.<br>
><br>
> It appears that 'certfile' can only be specified once, and -- in<br>
> testing -- it appears that the file can contain only one server<br>
> certificate.<br>
><br>
> Can we use Erlang SSL (via ranch, if it matters) to serve a different<br>
> certificate based on the signature algorithms extension sent by the<br>
> client (or, if absent, a default)?<br>
<br>
</span>The certificate to use is initialized before the handshake. So there<br>
is no support for selecting different certificates from a list of<br>
candidates.<br>
<span class="HOEnZb"><font color="#888888"><br>
Andreas<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</div></div></blockquote></div><br></div></div></div></div></div></div>