<div dir="ltr">Dear John,<div><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">>In the above case, had OpenSSL supported IDNs directly, it would have<br>
>prevented this bug in the first place. That being said, since TLS<br>
>essentially only uses A-labels as far as I can tell, I can’t necessarily<br>
>say it’s wrong that OpenSSL doesn’t support IDNs.<br>
<br>
RFCs 8398 and 8399 allow EAI mail addresses as Alternative Names and<br>
suggest pretty strongly that even though the domains in certs are<br>
A-labels, libraries should handle U-labels and convert where needed.<br>
Since they have to handle U-labels in the EAI addresses, the domains<br>
aren't a lot of extra work.<br>
<br>
I presume that at some point OpenSSL will catch up with those RFCs but<br>
I don't know what the schedule is.<br></blockquote><div><br></div><div>As I wrote before, I've started to implement RFC 8399 and the show-stopper for now is obtaining a set of test cases.</div><div><br></div><div>OpenSSL team does not want to link OpenSSL with, say, libidn (and to implement IDN conversion inside the library for domains). </div><div>I've found out that 2-3 functions inherited from RFC 3492 will fit all the purposes necessary to implement RFC 8399.</div></div><div><br></div>-- <br><div dir="ltr" class="m_-8249269030008715562gmail_signature" data-smartmail="gmail_signature">SY, Dmitry Belyavsky</div></div>