<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Dear Michael,<div><br></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 14, 2018 at 5:18 PM Michael Casadevall <<a href="mailto:michael@casadevall.pro">michael@casadevall.pro</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Replies inline.<br>
<br>
On 11/14/18 3:04 AM, Dmitry Belyavsky wrote:<br>
> Dear John,<br>
> <br>
> As I wrote before, I've started to implement RFC 8399 and the<br>
> show-stopper for now is obtaining a set of test cases.<br>
> <br>
<br>
The UASG document talking about library support has a list of test cases<br>
although I'm not sure they're exhaustive. It's a starting point anyway.<br></blockquote><div><br></div><div>Yes. The problem is to convert them into the test certificates :) </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> OpenSSL team does not want to link OpenSSL with, say, libidn (and to<br>
> implement IDN conversion inside the library for domains). <br>
> I've found out that 2-3 functions inherited from RFC 3492 will fit all<br>
> the purposes necessary to implement RFC 8399.<br>
> <br>
<br>
Is there an email conversation or bug report I can read to catch up on<br>
upstream's current state of mind on this?<br></blockquote><div><br></div><div>Sure. </div><div><a href="https://www.ietf.org/mail-archive/web/ietf/current/msg101105.html">https://www.ietf.org/mail-archive/web/ietf/current/msg101105.html</a> </div><div><br></div><div>Victor references to libicu, it's not so hard, I wanted to link just with libidn :)</div><div><br></div><div>This letter is somewhere from the middle of the thread starting from </div><div><a href="https://www.ietf.org/mail-archive/web/ietf/current/msg100694.html">https://www.ietf.org/mail-archive/web/ietf/current/msg100694.html</a><br></div><div><br></div><div>Plus I have some personal mail from Victor Dukhovni.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Secondly, what's your current progress on this? It was your original<br>
posting that inspired me to look at this (and I think I commented on it<br>
then). OpenSSL is under a weird license so they really can't link to<br>
external libraries and not to (L)GPL code so adding the necessary<br>
support for U-labels will likely require rolling your own code or<br>
finding an implementation in the public domain and cutting it down to<br>
size for direct embedding in the BIO module of OpenSSL.<br></blockquote><div><br></div><div>My current branch is here:</div><div><a href="https://github.com/beldmit/openssl/tree/rfc8398">https://github.com/beldmit/openssl/tree/rfc8398</a><br></div><div><br></div><div>I currently am able to recognize the EAI in certificate and (badly) display it. </div><div>I have a lacks of example to test chain limitations described in the RFC.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Getting support for U-labels will be a major win for IDNs as it<br>
simplifies IDNs for all OpenSSL applications, and opens the door to<br>
getting EAI S/MIME working. I'd also like to see a fairly extensive<br>
shakedown of TLS in general with IDNs to see if we can shake loose any<br>
bugs especially in regards to revocation, OCSP stapling, AIA, and<br>
certificate transparency.<br></blockquote><div><br></div><div>Well, for now the A-labels seem to fit here more or less reasonably. </div><div>IDN transformation can be done at more high level, I think.</div><div><br></div></div>-- <br><div dir="ltr" class="gmail_signature">SY, Dmitry Belyavsky</div></div></div></div></div>