Document the effects of RADSECPROXY-43.

author Linus Nordberg <linus@nordu.net>

Fri, 14 Sep 2012 11:07:06 +0000 (13:07 +0200)

committer Linus Nordberg <linus@nordu.net>

Fri, 14 Sep 2012 11:07:06 +0000 (13:07 +0200)
author Linus Nordberg <linus@nordu.net>
Fri, 14 Sep 2012 11:07:06 +0000 (13:07 +0200)
committer Linus Nordberg <linus@nordu.net>
Fri, 14 Sep 2012 11:07:06 +0000 (13:07 +0200)
diff --git a/radsecproxy.conf.5.xml b/radsecproxy.conf.5.xml

index 44ea1c7..1552b6b 100644 (file)
--- a/radsecproxy.conf.5.xml
+++ b/radsecproxy.conf.5.xml
@@ -544,6 +544,15 @@ blocktype name {
        <literal>default</literal>. If the specified TLS block name does
        not exist, or the option is not specified and none of the
        defaults exist, the proxy will exit with an error.
+
+      NOTE: All versions of radsecproxy up to and including 1.6
+      erroneously verify client certificate chains using the CA in the
+      very first matching client block regardless of which block is
+      used for the final decision. This was changed in version 1.6.1
+      so that a client block with a different <literal>tls</literal>
+      option than the first matching client block is no longer
+      considered for verification of clients.
+
      </para>
      <para>
        For a TLS/DTLS client, the option
author	Linus Nordberg <linus@nordu.net>
	Fri, 14 Sep 2012 11:07:06 +0000 (13:07 +0200)
committer	Linus Nordberg <linus@nordu.net>
	Fri, 14 Sep 2012 11:07:06 +0000 (13:07 +0200)