Die ursprüngliche Anforderung hinter diese Funktion war, dass der Controller bestimmte Personen(gruppen) filtern kann, im konkreten Fall nur die eigenen bekannten Mitarbeitenden. Alle anderen Scans sollten verworfen werden.
Die Funktion der Whitelist bezieht sich nur auf eine andere Art und Weise der Verarbeitung. Die Routine umgeht NICHT die Prüfung des Zertifikates als solches! Das ist wichtig für das Verständnis der Whitelist Funktionalität.
Die Blacklist filtert alle zutreffenden Personen und verwehrt den Zugang, egal wie die Prüfung des Zertifikates ausgehen würde.
Die Reihenfolge der Abfragen ist Blacklist -> Whitelist. Die Blacklist hat immer Vorrang.