<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Fri, Aug 21, 2015 at 4:07 PM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span><br>
>Are there any recommended ways to avoid certificates being sent in cleartext? That is, to first establish an anonymous encrypted channel, and then to authenticate within the encrypted channel.<br>
<br>
</span>Not without breaking the protocol.<br></blockquote><div><br>If interoperability with other software (clients / servers) is not an
 issue, are there any known configuration / tweaks / minor changes that 
could be used in openssl?<br></div><div><br>As I understand from the "Transport Layer Security (TLS) Encrypted Handshake Extension,
 draft-ray-tls-encrypted-handshake-00", the defined way would be to perform an anonymous unencrypted handshake and then to renegotiate the connection, within the encrypted channel. However, it appears that renegotiation will be removed in TLS 1.3, <<a href="https://tools.ietf.org/html/draft-ietf-tls-tls13-07" target="_blank">https://tools.ietf.org/html/draft-ietf-tls-tls13-07</a>>.<br><br></div><div>So, I am looking for a way to achieve identity hiding for DTLS 1.2, which also hopefully can be used in (D)TLS 1.3, when available.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span><br>
>I am also aware of some of the work in progress on TLS 1.3. It would be helpful to understand what is reasonable to expect from the changes introduced in (D)TLS 1.3 in this respect.<br>
<br>
</span>Perhaps the tls@ietf list is a better place to discuss this.<br></blockquote><div><br></div><div>Yes, I will do that, but I wanted to see what the options for (D)TLS 1.2 would be first.<br><br><br></div></div><div><div dir="ltr"><div>Thanks<br></div><div>Viktor S. Wold Eide<br></div><br></div></div>
</div></div>