<div dir="ltr"><br><div class="gmail_extra">On Sun, Oct 30, 2016 at 9:27 AM, Samuel Erdtman <span dir="ltr"><<a href="mailto:samuel@erdtman.se" target="_blank">samuel@erdtman.se</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><div dir="ltr"><span class="gmail-"></span><span class="gmail-"></span><div class="gmail_extra"><span class="gmail-"></span><div class="gmail_quote"><div>I agree it is written so that the connection to the certificate is implicitly required but I think it would be better if it was explicit written since the lack of a connection would result in a potential security hole.<br></div></div></div></div></blockquote><div><br></div><div>That's fair. I agree it can be made more explicit and that it be good to do so. <span class="gmail-"><br><br></span></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>When it comes to the client_id I think subject common name or maybe subject serial numbers will be the common location, and I think an example would be valuable.<br> <br></div></div></div></div></blockquote><div><br></div><div>In my experience and the way we built support for mutual TLS OAuth client auth the client_id value does not appear in the certificate anywhere. I'm not saying it can't happen but don't think it's particularly common. <br><br>I can look at adding some examples, if there's some consensus that they'd be useful and this document moves forward. <br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div></div><span class="gmail-"><div><br></div></span><div>I´m not saying it is a bad Idea just that I would prefer if it was not a MUST. <br>With very limited addition of code it is just as easy to get the certificate attribute for client id as it is to get it from the HTTP request data (at least in java). I also think that with the requirement to match the incoming certificate in some way one has to read out the certificate that was used to establish the connection to do some kind of matching.<br></div><div><div class="gmail-h5"><div><br></div></div></div></div></div></div></blockquote><div><br></div><div>Getting data out of the certificate isn't a concern. I just believe that the constancy of having the client id parameter is worth the potential small amount duplicate data in some cases. It's just a -00 draft though and if the WG wants to proceed with this document, we seek further input and work towards some consensus. <br></div><div><br></div></div></div></div>