Ensure configured module specific and application specific defines are used
[openssl.git] / ssl / ssl_lib.c
1 /*
2  * Copyright 1995-2018 The OpenSSL Project Authors. All Rights Reserved.
3  * Copyright (c) 2002, Oracle and/or its affiliates. All rights reserved
4  * Copyright 2005 Nokia. All rights reserved.
5  *
6  * Licensed under the Apache License 2.0 (the "License").  You may not use
7  * this file except in compliance with the License.  You can obtain a copy
8  * in the file LICENSE in the source distribution or at
9  * https://www.openssl.org/source/license.html
10  */
11
12 #include <stdio.h>
13 #include "ssl_locl.h"
14 #include <openssl/objects.h>
15 #include <openssl/x509v3.h>
16 #include <openssl/rand.h>
17 #include <openssl/rand_drbg.h>
18 #include <openssl/ocsp.h>
19 #include <openssl/dh.h>
20 #include <openssl/engine.h>
21 #include <openssl/async.h>
22 #include <openssl/ct.h>
23 #include "internal/cryptlib.h"
24 #include "internal/refcount.h"
25 #include "internal/ktls.h"
26
27 static int ssl_undefined_function_1(SSL *ssl, SSL3_RECORD *r, size_t s, int t)
28 {
29     (void)r;
30     (void)s;
31     (void)t;
32     return ssl_undefined_function(ssl);
33 }
34
35 static int ssl_undefined_function_2(SSL *ssl, SSL3_RECORD *r, unsigned char *s,
36                                     int t)
37 {
38     (void)r;
39     (void)s;
40     (void)t;
41     return ssl_undefined_function(ssl);
42 }
43
44 static int ssl_undefined_function_3(SSL *ssl, unsigned char *r,
45                                     unsigned char *s, size_t t, size_t *u)
46 {
47     (void)r;
48     (void)s;
49     (void)t;
50     (void)u;
51     return ssl_undefined_function(ssl);
52 }
53
54 static int ssl_undefined_function_4(SSL *ssl, int r)
55 {
56     (void)r;
57     return ssl_undefined_function(ssl);
58 }
59
60 static size_t ssl_undefined_function_5(SSL *ssl, const char *r, size_t s,
61                                        unsigned char *t)
62 {
63     (void)r;
64     (void)s;
65     (void)t;
66     return ssl_undefined_function(ssl);
67 }
68
69 static int ssl_undefined_function_6(int r)
70 {
71     (void)r;
72     return ssl_undefined_function(NULL);
73 }
74
75 static int ssl_undefined_function_7(SSL *ssl, unsigned char *r, size_t s,
76                                     const char *t, size_t u,
77                                     const unsigned char *v, size_t w, int x)
78 {
79     (void)r;
80     (void)s;
81     (void)t;
82     (void)u;
83     (void)v;
84     (void)w;
85     (void)x;
86     return ssl_undefined_function(ssl);
87 }
88
89 SSL3_ENC_METHOD ssl3_undef_enc_method = {
90     ssl_undefined_function_1,
91     ssl_undefined_function_2,
92     ssl_undefined_function,
93     ssl_undefined_function_3,
94     ssl_undefined_function_4,
95     ssl_undefined_function_5,
96     NULL,                       /* client_finished_label */
97     0,                          /* client_finished_label_len */
98     NULL,                       /* server_finished_label */
99     0,                          /* server_finished_label_len */
100     ssl_undefined_function_6,
101     ssl_undefined_function_7,
102 };
103
104 struct ssl_async_args {
105     SSL *s;
106     void *buf;
107     size_t num;
108     enum { READFUNC, WRITEFUNC, OTHERFUNC } type;
109     union {
110         int (*func_read) (SSL *, void *, size_t, size_t *);
111         int (*func_write) (SSL *, const void *, size_t, size_t *);
112         int (*func_other) (SSL *);
113     } f;
114 };
115
116 static const struct {
117     uint8_t mtype;
118     uint8_t ord;
119     int nid;
120 } dane_mds[] = {
121     {
122         DANETLS_MATCHING_FULL, 0, NID_undef
123     },
124     {
125         DANETLS_MATCHING_2256, 1, NID_sha256
126     },
127     {
128         DANETLS_MATCHING_2512, 2, NID_sha512
129     },
130 };
131
132 static int dane_ctx_enable(struct dane_ctx_st *dctx)
133 {
134     const EVP_MD **mdevp;
135     uint8_t *mdord;
136     uint8_t mdmax = DANETLS_MATCHING_LAST;
137     int n = ((int)mdmax) + 1;   /* int to handle PrivMatch(255) */
138     size_t i;
139
140     if (dctx->mdevp != NULL)
141         return 1;
142
143     mdevp = OPENSSL_zalloc(n * sizeof(*mdevp));
144     mdord = OPENSSL_zalloc(n * sizeof(*mdord));
145
146     if (mdord == NULL || mdevp == NULL) {
147         OPENSSL_free(mdord);
148         OPENSSL_free(mdevp);
149         SSLerr(SSL_F_DANE_CTX_ENABLE, ERR_R_MALLOC_FAILURE);
150         return 0;
151     }
152
153     /* Install default entries */
154     for (i = 0; i < OSSL_NELEM(dane_mds); ++i) {
155         const EVP_MD *md;
156
157         if (dane_mds[i].nid == NID_undef ||
158             (md = EVP_get_digestbynid(dane_mds[i].nid)) == NULL)
159             continue;
160         mdevp[dane_mds[i].mtype] = md;
161         mdord[dane_mds[i].mtype] = dane_mds[i].ord;
162     }
163
164     dctx->mdevp = mdevp;
165     dctx->mdord = mdord;
166     dctx->mdmax = mdmax;
167
168     return 1;
169 }
170
171 static void dane_ctx_final(struct dane_ctx_st *dctx)
172 {
173     OPENSSL_free(dctx->mdevp);
174     dctx->mdevp = NULL;
175
176     OPENSSL_free(dctx->mdord);
177     dctx->mdord = NULL;
178     dctx->mdmax = 0;
179 }
180
181 static void tlsa_free(danetls_record *t)
182 {
183     if (t == NULL)
184         return;
185     OPENSSL_free(t->data);
186     EVP_PKEY_free(t->spki);
187     OPENSSL_free(t);
188 }
189
190 static void dane_final(SSL_DANE *dane)
191 {
192     sk_danetls_record_pop_free(dane->trecs, tlsa_free);
193     dane->trecs = NULL;
194
195     sk_X509_pop_free(dane->certs, X509_free);
196     dane->certs = NULL;
197
198     X509_free(dane->mcert);
199     dane->mcert = NULL;
200     dane->mtlsa = NULL;
201     dane->mdpth = -1;
202     dane->pdpth = -1;
203 }
204
205 /*
206  * dane_copy - Copy dane configuration, sans verification state.
207  */
208 static int ssl_dane_dup(SSL *to, SSL *from)
209 {
210     int num;
211     int i;
212
213     if (!DANETLS_ENABLED(&from->dane))
214         return 1;
215
216     num = sk_danetls_record_num(from->dane.trecs);
217     dane_final(&to->dane);
218     to->dane.flags = from->dane.flags;
219     to->dane.dctx = &to->ctx->dane;
220     to->dane.trecs = sk_danetls_record_new_reserve(NULL, num);
221
222     if (to->dane.trecs == NULL) {
223         SSLerr(SSL_F_SSL_DANE_DUP, ERR_R_MALLOC_FAILURE);
224         return 0;
225     }
226
227     for (i = 0; i < num; ++i) {
228         danetls_record *t = sk_danetls_record_value(from->dane.trecs, i);
229
230         if (SSL_dane_tlsa_add(to, t->usage, t->selector, t->mtype,
231                               t->data, t->dlen) <= 0)
232             return 0;
233     }
234     return 1;
235 }
236
237 static int dane_mtype_set(struct dane_ctx_st *dctx,
238                           const EVP_MD *md, uint8_t mtype, uint8_t ord)
239 {
240     int i;
241
242     if (mtype == DANETLS_MATCHING_FULL && md != NULL) {
243         SSLerr(SSL_F_DANE_MTYPE_SET, SSL_R_DANE_CANNOT_OVERRIDE_MTYPE_FULL);
244         return 0;
245     }
246
247     if (mtype > dctx->mdmax) {
248         const EVP_MD **mdevp;
249         uint8_t *mdord;
250         int n = ((int)mtype) + 1;
251
252         mdevp = OPENSSL_realloc(dctx->mdevp, n * sizeof(*mdevp));
253         if (mdevp == NULL) {
254             SSLerr(SSL_F_DANE_MTYPE_SET, ERR_R_MALLOC_FAILURE);
255             return -1;
256         }
257         dctx->mdevp = mdevp;
258
259         mdord = OPENSSL_realloc(dctx->mdord, n * sizeof(*mdord));
260         if (mdord == NULL) {
261             SSLerr(SSL_F_DANE_MTYPE_SET, ERR_R_MALLOC_FAILURE);
262             return -1;
263         }
264         dctx->mdord = mdord;
265
266         /* Zero-fill any gaps */
267         for (i = dctx->mdmax + 1; i < mtype; ++i) {
268             mdevp[i] = NULL;
269             mdord[i] = 0;
270         }
271
272         dctx->mdmax = mtype;
273     }
274
275     dctx->mdevp[mtype] = md;
276     /* Coerce ordinal of disabled matching types to 0 */
277     dctx->mdord[mtype] = (md == NULL) ? 0 : ord;
278
279     return 1;
280 }
281
282 static const EVP_MD *tlsa_md_get(SSL_DANE *dane, uint8_t mtype)
283 {
284     if (mtype > dane->dctx->mdmax)
285         return NULL;
286     return dane->dctx->mdevp[mtype];
287 }
288
289 static int dane_tlsa_add(SSL_DANE *dane,
290                          uint8_t usage,
291                          uint8_t selector,
292                          uint8_t mtype, unsigned const char *data, size_t dlen)
293 {
294     danetls_record *t;
295     const EVP_MD *md = NULL;
296     int ilen = (int)dlen;
297     int i;
298     int num;
299
300     if (dane->trecs == NULL) {
301         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_NOT_ENABLED);
302         return -1;
303     }
304
305     if (ilen < 0 || dlen != (size_t)ilen) {
306         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_DATA_LENGTH);
307         return 0;
308     }
309
310     if (usage > DANETLS_USAGE_LAST) {
311         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_CERTIFICATE_USAGE);
312         return 0;
313     }
314
315     if (selector > DANETLS_SELECTOR_LAST) {
316         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_SELECTOR);
317         return 0;
318     }
319
320     if (mtype != DANETLS_MATCHING_FULL) {
321         md = tlsa_md_get(dane, mtype);
322         if (md == NULL) {
323             SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_MATCHING_TYPE);
324             return 0;
325         }
326     }
327
328     if (md != NULL && dlen != (size_t)EVP_MD_size(md)) {
329         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_DIGEST_LENGTH);
330         return 0;
331     }
332     if (!data) {
333         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_NULL_DATA);
334         return 0;
335     }
336
337     if ((t = OPENSSL_zalloc(sizeof(*t))) == NULL) {
338         SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
339         return -1;
340     }
341
342     t->usage = usage;
343     t->selector = selector;
344     t->mtype = mtype;
345     t->data = OPENSSL_malloc(dlen);
346     if (t->data == NULL) {
347         tlsa_free(t);
348         SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
349         return -1;
350     }
351     memcpy(t->data, data, dlen);
352     t->dlen = dlen;
353
354     /* Validate and cache full certificate or public key */
355     if (mtype == DANETLS_MATCHING_FULL) {
356         const unsigned char *p = data;
357         X509 *cert = NULL;
358         EVP_PKEY *pkey = NULL;
359
360         switch (selector) {
361         case DANETLS_SELECTOR_CERT:
362             if (!d2i_X509(&cert, &p, ilen) || p < data ||
363                 dlen != (size_t)(p - data)) {
364                 tlsa_free(t);
365                 SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_CERTIFICATE);
366                 return 0;
367             }
368             if (X509_get0_pubkey(cert) == NULL) {
369                 tlsa_free(t);
370                 SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_CERTIFICATE);
371                 return 0;
372             }
373
374             if ((DANETLS_USAGE_BIT(usage) & DANETLS_TA_MASK) == 0) {
375                 X509_free(cert);
376                 break;
377             }
378
379             /*
380              * For usage DANE-TA(2), we support authentication via "2 0 0" TLSA
381              * records that contain full certificates of trust-anchors that are
382              * not present in the wire chain.  For usage PKIX-TA(0), we augment
383              * the chain with untrusted Full(0) certificates from DNS, in case
384              * they are missing from the chain.
385              */
386             if ((dane->certs == NULL &&
387                  (dane->certs = sk_X509_new_null()) == NULL) ||
388                 !sk_X509_push(dane->certs, cert)) {
389                 SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
390                 X509_free(cert);
391                 tlsa_free(t);
392                 return -1;
393             }
394             break;
395
396         case DANETLS_SELECTOR_SPKI:
397             if (!d2i_PUBKEY(&pkey, &p, ilen) || p < data ||
398                 dlen != (size_t)(p - data)) {
399                 tlsa_free(t);
400                 SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_PUBLIC_KEY);
401                 return 0;
402             }
403
404             /*
405              * For usage DANE-TA(2), we support authentication via "2 1 0" TLSA
406              * records that contain full bare keys of trust-anchors that are
407              * not present in the wire chain.
408              */
409             if (usage == DANETLS_USAGE_DANE_TA)
410                 t->spki = pkey;
411             else
412                 EVP_PKEY_free(pkey);
413             break;
414         }
415     }
416
417     /*-
418      * Find the right insertion point for the new record.
419      *
420      * See crypto/x509/x509_vfy.c.  We sort DANE-EE(3) records first, so that
421      * they can be processed first, as they require no chain building, and no
422      * expiration or hostname checks.  Because DANE-EE(3) is numerically
423      * largest, this is accomplished via descending sort by "usage".
424      *
425      * We also sort in descending order by matching ordinal to simplify
426      * the implementation of digest agility in the verification code.
427      *
428      * The choice of order for the selector is not significant, so we
429      * use the same descending order for consistency.
430      */
431     num = sk_danetls_record_num(dane->trecs);
432     for (i = 0; i < num; ++i) {
433         danetls_record *rec = sk_danetls_record_value(dane->trecs, i);
434
435         if (rec->usage > usage)
436             continue;
437         if (rec->usage < usage)
438             break;
439         if (rec->selector > selector)
440             continue;
441         if (rec->selector < selector)
442             break;
443         if (dane->dctx->mdord[rec->mtype] > dane->dctx->mdord[mtype])
444             continue;
445         break;
446     }
447
448     if (!sk_danetls_record_insert(dane->trecs, t, i)) {
449         tlsa_free(t);
450         SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
451         return -1;
452     }
453     dane->umask |= DANETLS_USAGE_BIT(usage);
454
455     return 1;
456 }
457
458 /*
459  * Return 0 if there is only one version configured and it was disabled
460  * at configure time.  Return 1 otherwise.
461  */
462 static int ssl_check_allowed_versions(int min_version, int max_version)
463 {
464     int minisdtls = 0, maxisdtls = 0;
465
466     /* Figure out if we're doing DTLS versions or TLS versions */
467     if (min_version == DTLS1_BAD_VER
468         || min_version >> 8 == DTLS1_VERSION_MAJOR)
469         minisdtls = 1;
470     if (max_version == DTLS1_BAD_VER
471         || max_version >> 8 == DTLS1_VERSION_MAJOR)
472         maxisdtls = 1;
473     /* A wildcard version of 0 could be DTLS or TLS. */
474     if ((minisdtls && !maxisdtls && max_version != 0)
475         || (maxisdtls && !minisdtls && min_version != 0)) {
476         /* Mixing DTLS and TLS versions will lead to sadness; deny it. */
477         return 0;
478     }
479
480     if (minisdtls || maxisdtls) {
481         /* Do DTLS version checks. */
482         if (min_version == 0)
483             /* Ignore DTLS1_BAD_VER */
484             min_version = DTLS1_VERSION;
485         if (max_version == 0)
486             max_version = DTLS1_2_VERSION;
487 #ifdef OPENSSL_NO_DTLS1_2
488         if (max_version == DTLS1_2_VERSION)
489             max_version = DTLS1_VERSION;
490 #endif
491 #ifdef OPENSSL_NO_DTLS1
492         if (min_version == DTLS1_VERSION)
493             min_version = DTLS1_2_VERSION;
494 #endif
495         /* Done massaging versions; do the check. */
496         if (0
497 #ifdef OPENSSL_NO_DTLS1
498             || (DTLS_VERSION_GE(min_version, DTLS1_VERSION)
499                 && DTLS_VERSION_GE(DTLS1_VERSION, max_version))
500 #endif
501 #ifdef OPENSSL_NO_DTLS1_2
502             || (DTLS_VERSION_GE(min_version, DTLS1_2_VERSION)
503                 && DTLS_VERSION_GE(DTLS1_2_VERSION, max_version))
504 #endif
505             )
506             return 0;
507     } else {
508         /* Regular TLS version checks. */
509         if (min_version == 0)
510             min_version = SSL3_VERSION;
511         if (max_version == 0)
512             max_version = TLS1_3_VERSION;
513 #ifdef OPENSSL_NO_TLS1_3
514         if (max_version == TLS1_3_VERSION)
515             max_version = TLS1_2_VERSION;
516 #endif
517 #ifdef OPENSSL_NO_TLS1_2
518         if (max_version == TLS1_2_VERSION)
519             max_version = TLS1_1_VERSION;
520 #endif
521 #ifdef OPENSSL_NO_TLS1_1
522         if (max_version == TLS1_1_VERSION)
523             max_version = TLS1_VERSION;
524 #endif
525 #ifdef OPENSSL_NO_TLS1
526         if (max_version == TLS1_VERSION)
527             max_version = SSL3_VERSION;
528 #endif
529 #ifdef OPENSSL_NO_SSL3
530         if (min_version == SSL3_VERSION)
531             min_version = TLS1_VERSION;
532 #endif
533 #ifdef OPENSSL_NO_TLS1
534         if (min_version == TLS1_VERSION)
535             min_version = TLS1_1_VERSION;
536 #endif
537 #ifdef OPENSSL_NO_TLS1_1
538         if (min_version == TLS1_1_VERSION)
539             min_version = TLS1_2_VERSION;
540 #endif
541 #ifdef OPENSSL_NO_TLS1_2
542         if (min_version == TLS1_2_VERSION)
543             min_version = TLS1_3_VERSION;
544 #endif
545         /* Done massaging versions; do the check. */
546         if (0
547 #ifdef OPENSSL_NO_SSL3
548             || (min_version <= SSL3_VERSION && SSL3_VERSION <= max_version)
549 #endif
550 #ifdef OPENSSL_NO_TLS1
551             || (min_version <= TLS1_VERSION && TLS1_VERSION <= max_version)
552 #endif
553 #ifdef OPENSSL_NO_TLS1_1
554             || (min_version <= TLS1_1_VERSION && TLS1_1_VERSION <= max_version)
555 #endif
556 #ifdef OPENSSL_NO_TLS1_2
557             || (min_version <= TLS1_2_VERSION && TLS1_2_VERSION <= max_version)
558 #endif
559 #ifdef OPENSSL_NO_TLS1_3
560             || (min_version <= TLS1_3_VERSION && TLS1_3_VERSION <= max_version)
561 #endif
562             )
563             return 0;
564     }
565     return 1;
566 }
567
568 static void clear_ciphers(SSL *s)
569 {
570     /* clear the current cipher */
571     ssl_clear_cipher_ctx(s);
572     ssl_clear_hash_ctx(&s->read_hash);
573     ssl_clear_hash_ctx(&s->write_hash);
574 }
575
576 int SSL_clear(SSL *s)
577 {
578     if (s->method == NULL) {
579         SSLerr(SSL_F_SSL_CLEAR, SSL_R_NO_METHOD_SPECIFIED);
580         return 0;
581     }
582
583     if (ssl_clear_bad_session(s)) {
584         SSL_SESSION_free(s->session);
585         s->session = NULL;
586     }
587     SSL_SESSION_free(s->psksession);
588     s->psksession = NULL;
589     OPENSSL_free(s->psksession_id);
590     s->psksession_id = NULL;
591     s->psksession_id_len = 0;
592     s->hello_retry_request = 0;
593     s->sent_tickets = 0;
594
595     s->error = 0;
596     s->hit = 0;
597     s->shutdown = 0;
598
599     if (s->renegotiate) {
600         SSLerr(SSL_F_SSL_CLEAR, ERR_R_INTERNAL_ERROR);
601         return 0;
602     }
603
604     ossl_statem_clear(s);
605
606     s->version = s->method->version;
607     s->client_version = s->version;
608     s->rwstate = SSL_NOTHING;
609
610     BUF_MEM_free(s->init_buf);
611     s->init_buf = NULL;
612     clear_ciphers(s);
613     s->first_packet = 0;
614
615     s->key_update = SSL_KEY_UPDATE_NONE;
616
617     EVP_MD_CTX_free(s->pha_dgst);
618     s->pha_dgst = NULL;
619
620     /* Reset DANE verification result state */
621     s->dane.mdpth = -1;
622     s->dane.pdpth = -1;
623     X509_free(s->dane.mcert);
624     s->dane.mcert = NULL;
625     s->dane.mtlsa = NULL;
626
627     /* Clear the verification result peername */
628     X509_VERIFY_PARAM_move_peername(s->param, NULL);
629
630     /*
631      * Check to see if we were changed into a different method, if so, revert
632      * back.
633      */
634     if (s->method != s->ctx->method) {
635         s->method->ssl_free(s);
636         s->method = s->ctx->method;
637         if (!s->method->ssl_new(s))
638             return 0;
639     } else {
640         if (!s->method->ssl_clear(s))
641             return 0;
642     }
643
644     RECORD_LAYER_clear(&s->rlayer);
645
646     return 1;
647 }
648
649 /** Used to change an SSL_CTXs default SSL method type */
650 int SSL_CTX_set_ssl_version(SSL_CTX *ctx, const SSL_METHOD *meth)
651 {
652     STACK_OF(SSL_CIPHER) *sk;
653
654     ctx->method = meth;
655
656     if (!SSL_CTX_set_ciphersuites(ctx, TLS_DEFAULT_CIPHERSUITES)) {
657         SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
658         return 0;
659     }
660     sk = ssl_create_cipher_list(ctx->method,
661                                 ctx->tls13_ciphersuites,
662                                 &(ctx->cipher_list),
663                                 &(ctx->cipher_list_by_id),
664                                 SSL_DEFAULT_CIPHER_LIST, ctx->cert);
665     if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= 0)) {
666         SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
667         return 0;
668     }
669     return 1;
670 }
671
672 SSL *SSL_new(SSL_CTX *ctx)
673 {
674     SSL *s;
675
676     if (ctx == NULL) {
677         SSLerr(SSL_F_SSL_NEW, SSL_R_NULL_SSL_CTX);
678         return NULL;
679     }
680     if (ctx->method == NULL) {
681         SSLerr(SSL_F_SSL_NEW, SSL_R_SSL_CTX_HAS_NO_DEFAULT_SSL_VERSION);
682         return NULL;
683     }
684
685     s = OPENSSL_zalloc(sizeof(*s));
686     if (s == NULL)
687         goto err;
688
689     s->references = 1;
690     s->lock = CRYPTO_THREAD_lock_new();
691     if (s->lock == NULL) {
692         OPENSSL_free(s);
693         s = NULL;
694         goto err;
695     }
696
697     RECORD_LAYER_init(&s->rlayer, s);
698
699     s->options = ctx->options;
700     s->dane.flags = ctx->dane.flags;
701     s->min_proto_version = ctx->min_proto_version;
702     s->max_proto_version = ctx->max_proto_version;
703     s->mode = ctx->mode;
704     s->max_cert_list = ctx->max_cert_list;
705     s->max_early_data = ctx->max_early_data;
706     s->recv_max_early_data = ctx->recv_max_early_data;
707     s->num_tickets = ctx->num_tickets;
708     s->pha_enabled = ctx->pha_enabled;
709
710     /* Shallow copy of the ciphersuites stack */
711     s->tls13_ciphersuites = sk_SSL_CIPHER_dup(ctx->tls13_ciphersuites);
712     if (s->tls13_ciphersuites == NULL)
713         goto err;
714
715     /*
716      * Earlier library versions used to copy the pointer to the CERT, not
717      * its contents; only when setting new parameters for the per-SSL
718      * copy, ssl_cert_new would be called (and the direct reference to
719      * the per-SSL_CTX settings would be lost, but those still were
720      * indirectly accessed for various purposes, and for that reason they
721      * used to be known as s->ctx->default_cert). Now we don't look at the
722      * SSL_CTX's CERT after having duplicated it once.
723      */
724     s->cert = ssl_cert_dup(ctx->cert);
725     if (s->cert == NULL)
726         goto err;
727
728     RECORD_LAYER_set_read_ahead(&s->rlayer, ctx->read_ahead);
729     s->msg_callback = ctx->msg_callback;
730     s->msg_callback_arg = ctx->msg_callback_arg;
731     s->verify_mode = ctx->verify_mode;
732     s->not_resumable_session_cb = ctx->not_resumable_session_cb;
733     s->record_padding_cb = ctx->record_padding_cb;
734     s->record_padding_arg = ctx->record_padding_arg;
735     s->block_padding = ctx->block_padding;
736     s->sid_ctx_length = ctx->sid_ctx_length;
737     if (!ossl_assert(s->sid_ctx_length <= sizeof(s->sid_ctx)))
738         goto err;
739     memcpy(&s->sid_ctx, &ctx->sid_ctx, sizeof(s->sid_ctx));
740     s->verify_callback = ctx->default_verify_callback;
741     s->generate_session_id = ctx->generate_session_id;
742
743     s->param = X509_VERIFY_PARAM_new();
744     if (s->param == NULL)
745         goto err;
746     X509_VERIFY_PARAM_inherit(s->param, ctx->param);
747     s->quiet_shutdown = ctx->quiet_shutdown;
748
749     s->ext.max_fragment_len_mode = ctx->ext.max_fragment_len_mode;
750     s->max_send_fragment = ctx->max_send_fragment;
751     s->split_send_fragment = ctx->split_send_fragment;
752     s->max_pipelines = ctx->max_pipelines;
753     if (s->max_pipelines > 1)
754         RECORD_LAYER_set_read_ahead(&s->rlayer, 1);
755     if (ctx->default_read_buf_len > 0)
756         SSL_set_default_read_buffer_len(s, ctx->default_read_buf_len);
757
758     SSL_CTX_up_ref(ctx);
759     s->ctx = ctx;
760     s->ext.debug_cb = 0;
761     s->ext.debug_arg = NULL;
762     s->ext.ticket_expected = 0;
763     s->ext.status_type = ctx->ext.status_type;
764     s->ext.status_expected = 0;
765     s->ext.ocsp.ids = NULL;
766     s->ext.ocsp.exts = NULL;
767     s->ext.ocsp.resp = NULL;
768     s->ext.ocsp.resp_len = 0;
769     SSL_CTX_up_ref(ctx);
770     s->session_ctx = ctx;
771 #ifndef OPENSSL_NO_EC
772     if (ctx->ext.ecpointformats) {
773         s->ext.ecpointformats =
774             OPENSSL_memdup(ctx->ext.ecpointformats,
775                            ctx->ext.ecpointformats_len);
776         if (!s->ext.ecpointformats)
777             goto err;
778         s->ext.ecpointformats_len =
779             ctx->ext.ecpointformats_len;
780     }
781     if (ctx->ext.supportedgroups) {
782         s->ext.supportedgroups =
783             OPENSSL_memdup(ctx->ext.supportedgroups,
784                            ctx->ext.supportedgroups_len
785                                 * sizeof(*ctx->ext.supportedgroups));
786         if (!s->ext.supportedgroups)
787             goto err;
788         s->ext.supportedgroups_len = ctx->ext.supportedgroups_len;
789     }
790 #endif
791 #ifndef OPENSSL_NO_NEXTPROTONEG
792     s->ext.npn = NULL;
793 #endif
794
795     if (s->ctx->ext.alpn) {
796         s->ext.alpn = OPENSSL_malloc(s->ctx->ext.alpn_len);
797         if (s->ext.alpn == NULL)
798             goto err;
799         memcpy(s->ext.alpn, s->ctx->ext.alpn, s->ctx->ext.alpn_len);
800         s->ext.alpn_len = s->ctx->ext.alpn_len;
801     }
802
803     s->verified_chain = NULL;
804     s->verify_result = X509_V_OK;
805
806     s->default_passwd_callback = ctx->default_passwd_callback;
807     s->default_passwd_callback_userdata = ctx->default_passwd_callback_userdata;
808
809     s->method = ctx->method;
810
811     s->key_update = SSL_KEY_UPDATE_NONE;
812
813     s->allow_early_data_cb = ctx->allow_early_data_cb;
814     s->allow_early_data_cb_data = ctx->allow_early_data_cb_data;
815
816     if (!s->method->ssl_new(s))
817         goto err;
818
819     s->server = (ctx->method->ssl_accept == ssl_undefined_function) ? 0 : 1;
820
821     if (!SSL_clear(s))
822         goto err;
823
824     if (!CRYPTO_new_ex_data(CRYPTO_EX_INDEX_SSL, s, &s->ex_data))
825         goto err;
826
827 #ifndef OPENSSL_NO_PSK
828     s->psk_client_callback = ctx->psk_client_callback;
829     s->psk_server_callback = ctx->psk_server_callback;
830 #endif
831     s->psk_find_session_cb = ctx->psk_find_session_cb;
832     s->psk_use_session_cb = ctx->psk_use_session_cb;
833
834     s->async_cb = ctx->async_cb;
835     s->async_cb_arg = ctx->async_cb_arg;
836
837     s->job = NULL;
838
839 #ifndef OPENSSL_NO_CT
840     if (!SSL_set_ct_validation_callback(s, ctx->ct_validation_callback,
841                                         ctx->ct_validation_callback_arg))
842         goto err;
843 #endif
844
845     return s;
846  err:
847     SSL_free(s);
848     SSLerr(SSL_F_SSL_NEW, ERR_R_MALLOC_FAILURE);
849     return NULL;
850 }
851
852 int SSL_is_dtls(const SSL *s)
853 {
854     return SSL_IS_DTLS(s) ? 1 : 0;
855 }
856
857 int SSL_up_ref(SSL *s)
858 {
859     int i;
860
861     if (CRYPTO_UP_REF(&s->references, &i, s->lock) <= 0)
862         return 0;
863
864     REF_PRINT_COUNT("SSL", s);
865     REF_ASSERT_ISNT(i < 2);
866     return ((i > 1) ? 1 : 0);
867 }
868
869 int SSL_CTX_set_session_id_context(SSL_CTX *ctx, const unsigned char *sid_ctx,
870                                    unsigned int sid_ctx_len)
871 {
872     if (sid_ctx_len > sizeof(ctx->sid_ctx)) {
873         SSLerr(SSL_F_SSL_CTX_SET_SESSION_ID_CONTEXT,
874                SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
875         return 0;
876     }
877     ctx->sid_ctx_length = sid_ctx_len;
878     memcpy(ctx->sid_ctx, sid_ctx, sid_ctx_len);
879
880     return 1;
881 }
882
883 int SSL_set_session_id_context(SSL *ssl, const unsigned char *sid_ctx,
884                                unsigned int sid_ctx_len)
885 {
886     if (sid_ctx_len > SSL_MAX_SID_CTX_LENGTH) {
887         SSLerr(SSL_F_SSL_SET_SESSION_ID_CONTEXT,
888                SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
889         return 0;
890     }
891     ssl->sid_ctx_length = sid_ctx_len;
892     memcpy(ssl->sid_ctx, sid_ctx, sid_ctx_len);
893
894     return 1;
895 }
896
897 int SSL_CTX_set_generate_session_id(SSL_CTX *ctx, GEN_SESSION_CB cb)
898 {
899     CRYPTO_THREAD_write_lock(ctx->lock);
900     ctx->generate_session_id = cb;
901     CRYPTO_THREAD_unlock(ctx->lock);
902     return 1;
903 }
904
905 int SSL_set_generate_session_id(SSL *ssl, GEN_SESSION_CB cb)
906 {
907     CRYPTO_THREAD_write_lock(ssl->lock);
908     ssl->generate_session_id = cb;
909     CRYPTO_THREAD_unlock(ssl->lock);
910     return 1;
911 }
912
913 int SSL_has_matching_session_id(const SSL *ssl, const unsigned char *id,
914                                 unsigned int id_len)
915 {
916     /*
917      * A quick examination of SSL_SESSION_hash and SSL_SESSION_cmp shows how
918      * we can "construct" a session to give us the desired check - i.e. to
919      * find if there's a session in the hash table that would conflict with
920      * any new session built out of this id/id_len and the ssl_version in use
921      * by this SSL.
922      */
923     SSL_SESSION r, *p;
924
925     if (id_len > sizeof(r.session_id))
926         return 0;
927
928     r.ssl_version = ssl->version;
929     r.session_id_length = id_len;
930     memcpy(r.session_id, id, id_len);
931
932     CRYPTO_THREAD_read_lock(ssl->session_ctx->lock);
933     p = lh_SSL_SESSION_retrieve(ssl->session_ctx->sessions, &r);
934     CRYPTO_THREAD_unlock(ssl->session_ctx->lock);
935     return (p != NULL);
936 }
937
938 int SSL_CTX_set_purpose(SSL_CTX *s, int purpose)
939 {
940     return X509_VERIFY_PARAM_set_purpose(s->param, purpose);
941 }
942
943 int SSL_set_purpose(SSL *s, int purpose)
944 {
945     return X509_VERIFY_PARAM_set_purpose(s->param, purpose);
946 }
947
948 int SSL_CTX_set_trust(SSL_CTX *s, int trust)
949 {
950     return X509_VERIFY_PARAM_set_trust(s->param, trust);
951 }
952
953 int SSL_set_trust(SSL *s, int trust)
954 {
955     return X509_VERIFY_PARAM_set_trust(s->param, trust);
956 }
957
958 int SSL_set1_host(SSL *s, const char *hostname)
959 {
960     return X509_VERIFY_PARAM_set1_host(s->param, hostname, 0);
961 }
962
963 int SSL_add1_host(SSL *s, const char *hostname)
964 {
965     return X509_VERIFY_PARAM_add1_host(s->param, hostname, 0);
966 }
967
968 void SSL_set_hostflags(SSL *s, unsigned int flags)
969 {
970     X509_VERIFY_PARAM_set_hostflags(s->param, flags);
971 }
972
973 const char *SSL_get0_peername(SSL *s)
974 {
975     return X509_VERIFY_PARAM_get0_peername(s->param);
976 }
977
978 int SSL_CTX_dane_enable(SSL_CTX *ctx)
979 {
980     return dane_ctx_enable(&ctx->dane);
981 }
982
983 unsigned long SSL_CTX_dane_set_flags(SSL_CTX *ctx, unsigned long flags)
984 {
985     unsigned long orig = ctx->dane.flags;
986
987     ctx->dane.flags |= flags;
988     return orig;
989 }
990
991 unsigned long SSL_CTX_dane_clear_flags(SSL_CTX *ctx, unsigned long flags)
992 {
993     unsigned long orig = ctx->dane.flags;
994
995     ctx->dane.flags &= ~flags;
996     return orig;
997 }
998
999 int SSL_dane_enable(SSL *s, const char *basedomain)
1000 {
1001     SSL_DANE *dane = &s->dane;
1002
1003     if (s->ctx->dane.mdmax == 0) {
1004         SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_CONTEXT_NOT_DANE_ENABLED);
1005         return 0;
1006     }
1007     if (dane->trecs != NULL) {
1008         SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_DANE_ALREADY_ENABLED);
1009         return 0;
1010     }
1011
1012     /*
1013      * Default SNI name.  This rejects empty names, while set1_host below
1014      * accepts them and disables host name checks.  To avoid side-effects with
1015      * invalid input, set the SNI name first.
1016      */
1017     if (s->ext.hostname == NULL) {
1018         if (!SSL_set_tlsext_host_name(s, basedomain)) {
1019             SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_ERROR_SETTING_TLSA_BASE_DOMAIN);
1020             return -1;
1021         }
1022     }
1023
1024     /* Primary RFC6125 reference identifier */
1025     if (!X509_VERIFY_PARAM_set1_host(s->param, basedomain, 0)) {
1026         SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_ERROR_SETTING_TLSA_BASE_DOMAIN);
1027         return -1;
1028     }
1029
1030     dane->mdpth = -1;
1031     dane->pdpth = -1;
1032     dane->dctx = &s->ctx->dane;
1033     dane->trecs = sk_danetls_record_new_null();
1034
1035     if (dane->trecs == NULL) {
1036         SSLerr(SSL_F_SSL_DANE_ENABLE, ERR_R_MALLOC_FAILURE);
1037         return -1;
1038     }
1039     return 1;
1040 }
1041
1042 unsigned long SSL_dane_set_flags(SSL *ssl, unsigned long flags)
1043 {
1044     unsigned long orig = ssl->dane.flags;
1045
1046     ssl->dane.flags |= flags;
1047     return orig;
1048 }
1049
1050 unsigned long SSL_dane_clear_flags(SSL *ssl, unsigned long flags)
1051 {
1052     unsigned long orig = ssl->dane.flags;
1053
1054     ssl->dane.flags &= ~flags;
1055     return orig;
1056 }
1057
1058 int SSL_get0_dane_authority(SSL *s, X509 **mcert, EVP_PKEY **mspki)
1059 {
1060     SSL_DANE *dane = &s->dane;
1061
1062     if (!DANETLS_ENABLED(dane) || s->verify_result != X509_V_OK)
1063         return -1;
1064     if (dane->mtlsa) {
1065         if (mcert)
1066             *mcert = dane->mcert;
1067         if (mspki)
1068             *mspki = (dane->mcert == NULL) ? dane->mtlsa->spki : NULL;
1069     }
1070     return dane->mdpth;
1071 }
1072
1073 int SSL_get0_dane_tlsa(SSL *s, uint8_t *usage, uint8_t *selector,
1074                        uint8_t *mtype, unsigned const char **data, size_t *dlen)
1075 {
1076     SSL_DANE *dane = &s->dane;
1077
1078     if (!DANETLS_ENABLED(dane) || s->verify_result != X509_V_OK)
1079         return -1;
1080     if (dane->mtlsa) {
1081         if (usage)
1082             *usage = dane->mtlsa->usage;
1083         if (selector)
1084             *selector = dane->mtlsa->selector;
1085         if (mtype)
1086             *mtype = dane->mtlsa->mtype;
1087         if (data)
1088             *data = dane->mtlsa->data;
1089         if (dlen)
1090             *dlen = dane->mtlsa->dlen;
1091     }
1092     return dane->mdpth;
1093 }
1094
1095 SSL_DANE *SSL_get0_dane(SSL *s)
1096 {
1097     return &s->dane;
1098 }
1099
1100 int SSL_dane_tlsa_add(SSL *s, uint8_t usage, uint8_t selector,
1101                       uint8_t mtype, unsigned const char *data, size_t dlen)
1102 {
1103     return dane_tlsa_add(&s->dane, usage, selector, mtype, data, dlen);
1104 }
1105
1106 int SSL_CTX_dane_mtype_set(SSL_CTX *ctx, const EVP_MD *md, uint8_t mtype,
1107                            uint8_t ord)
1108 {
1109     return dane_mtype_set(&ctx->dane, md, mtype, ord);
1110 }
1111
1112 int SSL_CTX_set1_param(SSL_CTX *ctx, X509_VERIFY_PARAM *vpm)
1113 {
1114     return X509_VERIFY_PARAM_set1(ctx->param, vpm);
1115 }
1116
1117 int SSL_set1_param(SSL *ssl, X509_VERIFY_PARAM *vpm)
1118 {
1119     return X509_VERIFY_PARAM_set1(ssl->param, vpm);
1120 }
1121
1122 X509_VERIFY_PARAM *SSL_CTX_get0_param(SSL_CTX *ctx)
1123 {
1124     return ctx->param;
1125 }
1126
1127 X509_VERIFY_PARAM *SSL_get0_param(SSL *ssl)
1128 {
1129     return ssl->param;
1130 }
1131
1132 void SSL_certs_clear(SSL *s)
1133 {
1134     ssl_cert_clear_certs(s->cert);
1135 }
1136
1137 void SSL_free(SSL *s)
1138 {
1139     int i;
1140
1141     if (s == NULL)
1142         return;
1143     CRYPTO_DOWN_REF(&s->references, &i, s->lock);
1144     REF_PRINT_COUNT("SSL", s);
1145     if (i > 0)
1146         return;
1147     REF_ASSERT_ISNT(i < 0);
1148
1149     X509_VERIFY_PARAM_free(s->param);
1150     dane_final(&s->dane);
1151     CRYPTO_free_ex_data(CRYPTO_EX_INDEX_SSL, s, &s->ex_data);
1152
1153     RECORD_LAYER_release(&s->rlayer);
1154
1155     /* Ignore return value */
1156     ssl_free_wbio_buffer(s);
1157
1158     BIO_free_all(s->wbio);
1159     s->wbio = NULL;
1160     BIO_free_all(s->rbio);
1161     s->rbio = NULL;
1162
1163     BUF_MEM_free(s->init_buf);
1164
1165     /* add extra stuff */
1166     sk_SSL_CIPHER_free(s->cipher_list);
1167     sk_SSL_CIPHER_free(s->cipher_list_by_id);
1168     sk_SSL_CIPHER_free(s->tls13_ciphersuites);
1169
1170     /* Make the next call work :-) */
1171     if (s->session != NULL) {
1172         ssl_clear_bad_session(s);
1173         SSL_SESSION_free(s->session);
1174     }
1175     SSL_SESSION_free(s->psksession);
1176     OPENSSL_free(s->psksession_id);
1177
1178     clear_ciphers(s);
1179
1180     ssl_cert_free(s->cert);
1181     /* Free up if allocated */
1182
1183     OPENSSL_free(s->ext.hostname);
1184     SSL_CTX_free(s->session_ctx);
1185 #ifndef OPENSSL_NO_EC
1186     OPENSSL_free(s->ext.ecpointformats);
1187     OPENSSL_free(s->ext.supportedgroups);
1188 #endif                          /* OPENSSL_NO_EC */
1189     sk_X509_EXTENSION_pop_free(s->ext.ocsp.exts, X509_EXTENSION_free);
1190 #ifndef OPENSSL_NO_OCSP
1191     sk_OCSP_RESPID_pop_free(s->ext.ocsp.ids, OCSP_RESPID_free);
1192 #endif
1193 #ifndef OPENSSL_NO_CT
1194     SCT_LIST_free(s->scts);
1195     OPENSSL_free(s->ext.scts);
1196 #endif
1197     OPENSSL_free(s->ext.ocsp.resp);
1198     OPENSSL_free(s->ext.alpn);
1199     OPENSSL_free(s->ext.tls13_cookie);
1200     OPENSSL_free(s->clienthello);
1201     OPENSSL_free(s->pha_context);
1202     EVP_MD_CTX_free(s->pha_dgst);
1203
1204     sk_X509_NAME_pop_free(s->ca_names, X509_NAME_free);
1205     sk_X509_NAME_pop_free(s->client_ca_names, X509_NAME_free);
1206
1207     sk_X509_pop_free(s->verified_chain, X509_free);
1208
1209     if (s->method != NULL)
1210         s->method->ssl_free(s);
1211
1212     SSL_CTX_free(s->ctx);
1213
1214     ASYNC_WAIT_CTX_free(s->waitctx);
1215
1216 #if !defined(OPENSSL_NO_NEXTPROTONEG)
1217     OPENSSL_free(s->ext.npn);
1218 #endif
1219
1220 #ifndef OPENSSL_NO_SRTP
1221     sk_SRTP_PROTECTION_PROFILE_free(s->srtp_profiles);
1222 #endif
1223
1224     CRYPTO_THREAD_lock_free(s->lock);
1225
1226     OPENSSL_free(s);
1227 }
1228
1229 void SSL_set0_rbio(SSL *s, BIO *rbio)
1230 {
1231     BIO_free_all(s->rbio);
1232     s->rbio = rbio;
1233 }
1234
1235 void SSL_set0_wbio(SSL *s, BIO *wbio)
1236 {
1237     /*
1238      * If the output buffering BIO is still in place, remove it
1239      */
1240     if (s->bbio != NULL)
1241         s->wbio = BIO_pop(s->wbio);
1242
1243     BIO_free_all(s->wbio);
1244     s->wbio = wbio;
1245
1246     /* Re-attach |bbio| to the new |wbio|. */
1247     if (s->bbio != NULL)
1248         s->wbio = BIO_push(s->bbio, s->wbio);
1249 }
1250
1251 void SSL_set_bio(SSL *s, BIO *rbio, BIO *wbio)
1252 {
1253     /*
1254      * For historical reasons, this function has many different cases in
1255      * ownership handling.
1256      */
1257
1258     /* If nothing has changed, do nothing */
1259     if (rbio == SSL_get_rbio(s) && wbio == SSL_get_wbio(s))
1260         return;
1261
1262     /*
1263      * If the two arguments are equal then one fewer reference is granted by the
1264      * caller than we want to take
1265      */
1266     if (rbio != NULL && rbio == wbio)
1267         BIO_up_ref(rbio);
1268
1269     /*
1270      * If only the wbio is changed only adopt one reference.
1271      */
1272     if (rbio == SSL_get_rbio(s)) {
1273         SSL_set0_wbio(s, wbio);
1274         return;
1275     }
1276     /*
1277      * There is an asymmetry here for historical reasons. If only the rbio is
1278      * changed AND the rbio and wbio were originally different, then we only
1279      * adopt one reference.
1280      */
1281     if (wbio == SSL_get_wbio(s) && SSL_get_rbio(s) != SSL_get_wbio(s)) {
1282         SSL_set0_rbio(s, rbio);
1283         return;
1284     }
1285
1286     /* Otherwise, adopt both references. */
1287     SSL_set0_rbio(s, rbio);
1288     SSL_set0_wbio(s, wbio);
1289 }
1290
1291 BIO *SSL_get_rbio(const SSL *s)
1292 {
1293     return s->rbio;
1294 }
1295
1296 BIO *SSL_get_wbio(const SSL *s)
1297 {
1298     if (s->bbio != NULL) {
1299         /*
1300          * If |bbio| is active, the true caller-configured BIO is its
1301          * |next_bio|.
1302          */
1303         return BIO_next(s->bbio);
1304     }
1305     return s->wbio;
1306 }
1307
1308 int SSL_get_fd(const SSL *s)
1309 {
1310     return SSL_get_rfd(s);
1311 }
1312
1313 int SSL_get_rfd(const SSL *s)
1314 {
1315     int ret = -1;
1316     BIO *b, *r;
1317
1318     b = SSL_get_rbio(s);
1319     r = BIO_find_type(b, BIO_TYPE_DESCRIPTOR);
1320     if (r != NULL)
1321         BIO_get_fd(r, &ret);
1322     return ret;
1323 }
1324
1325 int SSL_get_wfd(const SSL *s)
1326 {
1327     int ret = -1;
1328     BIO *b, *r;
1329
1330     b = SSL_get_wbio(s);
1331     r = BIO_find_type(b, BIO_TYPE_DESCRIPTOR);
1332     if (r != NULL)
1333         BIO_get_fd(r, &ret);
1334     return ret;
1335 }
1336
1337 #ifndef OPENSSL_NO_SOCK
1338 int SSL_set_fd(SSL *s, int fd)
1339 {
1340     int ret = 0;
1341     BIO *bio = NULL;
1342
1343     bio = BIO_new(BIO_s_socket());
1344
1345     if (bio == NULL) {
1346         SSLerr(SSL_F_SSL_SET_FD, ERR_R_BUF_LIB);
1347         goto err;
1348     }
1349     BIO_set_fd(bio, fd, BIO_NOCLOSE);
1350     SSL_set_bio(s, bio, bio);
1351 #ifndef OPENSSL_NO_KTLS
1352     /*
1353      * The new socket is created successfully regardless of ktls_enable.
1354      * ktls_enable doesn't change any functionality of the socket, except
1355      * changing the setsockopt to enable the processing of ktls_start.
1356      * Thus, it is not a problem to call it for non-TLS sockets.
1357      */
1358     ktls_enable(fd);
1359 #endif /* OPENSSL_NO_KTLS */
1360     ret = 1;
1361  err:
1362     return ret;
1363 }
1364
1365 int SSL_set_wfd(SSL *s, int fd)
1366 {
1367     BIO *rbio = SSL_get_rbio(s);
1368
1369     if (rbio == NULL || BIO_method_type(rbio) != BIO_TYPE_SOCKET
1370         || (int)BIO_get_fd(rbio, NULL) != fd) {
1371         BIO *bio = BIO_new(BIO_s_socket());
1372
1373         if (bio == NULL) {
1374             SSLerr(SSL_F_SSL_SET_WFD, ERR_R_BUF_LIB);
1375             return 0;
1376         }
1377         BIO_set_fd(bio, fd, BIO_NOCLOSE);
1378         SSL_set0_wbio(s, bio);
1379 #ifndef OPENSSL_NO_KTLS
1380         /*
1381          * The new socket is created successfully regardless of ktls_enable.
1382          * ktls_enable doesn't change any functionality of the socket, except
1383          * changing the setsockopt to enable the processing of ktls_start.
1384          * Thus, it is not a problem to call it for non-TLS sockets.
1385          */
1386         ktls_enable(fd);
1387 #endif /* OPENSSL_NO_KTLS */
1388     } else {
1389         BIO_up_ref(rbio);
1390         SSL_set0_wbio(s, rbio);
1391     }
1392     return 1;
1393 }
1394
1395 int SSL_set_rfd(SSL *s, int fd)
1396 {
1397     BIO *wbio = SSL_get_wbio(s);
1398
1399     if (wbio == NULL || BIO_method_type(wbio) != BIO_TYPE_SOCKET
1400         || ((int)BIO_get_fd(wbio, NULL) != fd)) {
1401         BIO *bio = BIO_new(BIO_s_socket());
1402
1403         if (bio == NULL) {
1404             SSLerr(SSL_F_SSL_SET_RFD, ERR_R_BUF_LIB);
1405             return 0;
1406         }
1407         BIO_set_fd(bio, fd, BIO_NOCLOSE);
1408         SSL_set0_rbio(s, bio);
1409     } else {
1410         BIO_up_ref(wbio);
1411         SSL_set0_rbio(s, wbio);
1412     }
1413
1414     return 1;
1415 }
1416 #endif
1417
1418 /* return length of latest Finished message we sent, copy to 'buf' */
1419 size_t SSL_get_finished(const SSL *s, void *buf, size_t count)
1420 {
1421     size_t ret = 0;
1422
1423     if (s->s3 != NULL) {
1424         ret = s->s3->tmp.finish_md_len;
1425         if (count > ret)
1426             count = ret;
1427         memcpy(buf, s->s3->tmp.finish_md, count);
1428     }
1429     return ret;
1430 }
1431
1432 /* return length of latest Finished message we expected, copy to 'buf' */
1433 size_t SSL_get_peer_finished(const SSL *s, void *buf, size_t count)
1434 {
1435     size_t ret = 0;
1436
1437     if (s->s3 != NULL) {
1438         ret = s->s3->tmp.peer_finish_md_len;
1439         if (count > ret)
1440             count = ret;
1441         memcpy(buf, s->s3->tmp.peer_finish_md, count);
1442     }
1443     return ret;
1444 }
1445
1446 int SSL_get_verify_mode(const SSL *s)
1447 {
1448     return s->verify_mode;
1449 }
1450
1451 int SSL_get_verify_depth(const SSL *s)
1452 {
1453     return X509_VERIFY_PARAM_get_depth(s->param);
1454 }
1455
1456 int (*SSL_get_verify_callback(const SSL *s)) (int, X509_STORE_CTX *) {
1457     return s->verify_callback;
1458 }
1459
1460 int SSL_CTX_get_verify_mode(const SSL_CTX *ctx)
1461 {
1462     return ctx->verify_mode;
1463 }
1464
1465 int SSL_CTX_get_verify_depth(const SSL_CTX *ctx)
1466 {
1467     return X509_VERIFY_PARAM_get_depth(ctx->param);
1468 }
1469
1470 int (*SSL_CTX_get_verify_callback(const SSL_CTX *ctx)) (int, X509_STORE_CTX *) {
1471     return ctx->default_verify_callback;
1472 }
1473
1474 void SSL_set_verify(SSL *s, int mode,
1475                     int (*callback) (int ok, X509_STORE_CTX *ctx))
1476 {
1477     s->verify_mode = mode;
1478     if (callback != NULL)
1479         s->verify_callback = callback;
1480 }
1481
1482 void SSL_set_verify_depth(SSL *s, int depth)
1483 {
1484     X509_VERIFY_PARAM_set_depth(s->param, depth);
1485 }
1486
1487 void SSL_set_read_ahead(SSL *s, int yes)
1488 {
1489     RECORD_LAYER_set_read_ahead(&s->rlayer, yes);
1490 }
1491
1492 int SSL_get_read_ahead(const SSL *s)
1493 {
1494     return RECORD_LAYER_get_read_ahead(&s->rlayer);
1495 }
1496
1497 int SSL_pending(const SSL *s)
1498 {
1499     size_t pending = s->method->ssl_pending(s);
1500
1501     /*
1502      * SSL_pending cannot work properly if read-ahead is enabled
1503      * (SSL_[CTX_]ctrl(..., SSL_CTRL_SET_READ_AHEAD, 1, NULL)), and it is
1504      * impossible to fix since SSL_pending cannot report errors that may be
1505      * observed while scanning the new data. (Note that SSL_pending() is
1506      * often used as a boolean value, so we'd better not return -1.)
1507      *
1508      * SSL_pending also cannot work properly if the value >INT_MAX. In that case
1509      * we just return INT_MAX.
1510      */
1511     return pending < INT_MAX ? (int)pending : INT_MAX;
1512 }
1513
1514 int SSL_has_pending(const SSL *s)
1515 {
1516     /*
1517      * Similar to SSL_pending() but returns a 1 to indicate that we have
1518      * unprocessed data available or 0 otherwise (as opposed to the number of
1519      * bytes available). Unlike SSL_pending() this will take into account
1520      * read_ahead data. A 1 return simply indicates that we have unprocessed
1521      * data. That data may not result in any application data, or we may fail
1522      * to parse the records for some reason.
1523      */
1524     if (RECORD_LAYER_processed_read_pending(&s->rlayer))
1525         return 1;
1526
1527     return RECORD_LAYER_read_pending(&s->rlayer);
1528 }
1529
1530 X509 *SSL_get_peer_certificate(const SSL *s)
1531 {
1532     X509 *r;
1533
1534     if ((s == NULL) || (s->session == NULL))
1535         r = NULL;
1536     else
1537         r = s->session->peer;
1538
1539     if (r == NULL)
1540         return r;
1541
1542     X509_up_ref(r);
1543
1544     return r;
1545 }
1546
1547 STACK_OF(X509) *SSL_get_peer_cert_chain(const SSL *s)
1548 {
1549     STACK_OF(X509) *r;
1550
1551     if ((s == NULL) || (s->session == NULL))
1552         r = NULL;
1553     else
1554         r = s->session->peer_chain;
1555
1556     /*
1557      * If we are a client, cert_chain includes the peer's own certificate; if
1558      * we are a server, it does not.
1559      */
1560
1561     return r;
1562 }
1563
1564 /*
1565  * Now in theory, since the calling process own 't' it should be safe to
1566  * modify.  We need to be able to read f without being hassled
1567  */
1568 int SSL_copy_session_id(SSL *t, const SSL *f)
1569 {
1570     int i;
1571     /* Do we need to to SSL locking? */
1572     if (!SSL_set_session(t, SSL_get_session(f))) {
1573         return 0;
1574     }
1575
1576     /*
1577      * what if we are setup for one protocol version but want to talk another
1578      */
1579     if (t->method != f->method) {
1580         t->method->ssl_free(t);
1581         t->method = f->method;
1582         if (t->method->ssl_new(t) == 0)
1583             return 0;
1584     }
1585
1586     CRYPTO_UP_REF(&f->cert->references, &i, f->cert->lock);
1587     ssl_cert_free(t->cert);
1588     t->cert = f->cert;
1589     if (!SSL_set_session_id_context(t, f->sid_ctx, (int)f->sid_ctx_length)) {
1590         return 0;
1591     }
1592
1593     return 1;
1594 }
1595
1596 /* Fix this so it checks all the valid key/cert options */
1597 int SSL_CTX_check_private_key(const SSL_CTX *ctx)
1598 {
1599     if ((ctx == NULL) || (ctx->cert->key->x509 == NULL)) {
1600         SSLerr(SSL_F_SSL_CTX_CHECK_PRIVATE_KEY, SSL_R_NO_CERTIFICATE_ASSIGNED);
1601         return 0;
1602     }
1603     if (ctx->cert->key->privatekey == NULL) {
1604         SSLerr(SSL_F_SSL_CTX_CHECK_PRIVATE_KEY, SSL_R_NO_PRIVATE_KEY_ASSIGNED);
1605         return 0;
1606     }
1607     return X509_check_private_key
1608             (ctx->cert->key->x509, ctx->cert->key->privatekey);
1609 }
1610
1611 /* Fix this function so that it takes an optional type parameter */
1612 int SSL_check_private_key(const SSL *ssl)
1613 {
1614     if (ssl == NULL) {
1615         SSLerr(SSL_F_SSL_CHECK_PRIVATE_KEY, ERR_R_PASSED_NULL_PARAMETER);
1616         return 0;
1617     }
1618     if (ssl->cert->key->x509 == NULL) {
1619         SSLerr(SSL_F_SSL_CHECK_PRIVATE_KEY, SSL_R_NO_CERTIFICATE_ASSIGNED);
1620         return 0;
1621     }
1622     if (ssl->cert->key->privatekey == NULL) {
1623         SSLerr(SSL_F_SSL_CHECK_PRIVATE_KEY, SSL_R_NO_PRIVATE_KEY_ASSIGNED);
1624         return 0;
1625     }
1626     return X509_check_private_key(ssl->cert->key->x509,
1627                                    ssl->cert->key->privatekey);
1628 }
1629
1630 int SSL_waiting_for_async(SSL *s)
1631 {
1632     if (s->job)
1633         return 1;
1634
1635     return 0;
1636 }
1637
1638 int SSL_get_all_async_fds(SSL *s, OSSL_ASYNC_FD *fds, size_t *numfds)
1639 {
1640     ASYNC_WAIT_CTX *ctx = s->waitctx;
1641
1642     if (ctx == NULL)
1643         return 0;
1644     return ASYNC_WAIT_CTX_get_all_fds(ctx, fds, numfds);
1645 }
1646
1647 int SSL_get_changed_async_fds(SSL *s, OSSL_ASYNC_FD *addfd, size_t *numaddfds,
1648                               OSSL_ASYNC_FD *delfd, size_t *numdelfds)
1649 {
1650     ASYNC_WAIT_CTX *ctx = s->waitctx;
1651
1652     if (ctx == NULL)
1653         return 0;
1654     return ASYNC_WAIT_CTX_get_changed_fds(ctx, addfd, numaddfds, delfd,
1655                                           numdelfds);
1656 }
1657
1658 int SSL_CTX_set_async_callback(SSL_CTX *ctx, SSL_async_callback_fn callback)
1659 {
1660     ctx->async_cb = callback;
1661     return 1;
1662 }
1663
1664 int SSL_CTX_set_async_callback_arg(SSL_CTX *ctx, void *arg)
1665 {
1666     ctx->async_cb_arg = arg;
1667     return 1;
1668 }
1669
1670 int SSL_set_async_callback(SSL *s, SSL_async_callback_fn callback)
1671 {
1672     s->async_cb = callback;
1673     return 1;
1674 }
1675
1676 int SSL_set_async_callback_arg(SSL *s, void *arg)
1677 {
1678     s->async_cb_arg = arg;
1679     return 1;
1680 }
1681
1682 int SSL_get_async_status(SSL *s, int *status)
1683 {
1684     ASYNC_WAIT_CTX *ctx = s->waitctx;
1685
1686     if (ctx == NULL)
1687         return 0;
1688     *status = ASYNC_WAIT_CTX_get_status(ctx);
1689     return 1;
1690 }
1691
1692 int SSL_accept(SSL *s)
1693 {
1694     if (s->handshake_func == NULL) {
1695         /* Not properly initialized yet */
1696         SSL_set_accept_state(s);
1697     }
1698
1699     return SSL_do_handshake(s);
1700 }
1701
1702 int SSL_connect(SSL *s)
1703 {
1704     if (s->handshake_func == NULL) {
1705         /* Not properly initialized yet */
1706         SSL_set_connect_state(s);
1707     }
1708
1709     return SSL_do_handshake(s);
1710 }
1711
1712 long SSL_get_default_timeout(const SSL *s)
1713 {
1714     return s->method->get_timeout();
1715 }
1716
1717 static int ssl_async_wait_ctx_cb(void *arg)
1718 {
1719     SSL *s = (SSL *)arg;
1720
1721     return s->async_cb(s, s->async_cb_arg);
1722 }
1723
1724 static int ssl_start_async_job(SSL *s, struct ssl_async_args *args,
1725                                int (*func) (void *))
1726 {
1727     int ret;
1728     if (s->waitctx == NULL) {
1729         s->waitctx = ASYNC_WAIT_CTX_new();
1730         if (s->waitctx == NULL)
1731             return -1;
1732         if (s->async_cb != NULL
1733             && !ASYNC_WAIT_CTX_set_callback
1734                  (s->waitctx, ssl_async_wait_ctx_cb, s))
1735             return -1;
1736     }
1737     switch (ASYNC_start_job(&s->job, s->waitctx, &ret, func, args,
1738                             sizeof(struct ssl_async_args))) {
1739     case ASYNC_ERR:
1740         s->rwstate = SSL_NOTHING;
1741         SSLerr(SSL_F_SSL_START_ASYNC_JOB, SSL_R_FAILED_TO_INIT_ASYNC);
1742         return -1;
1743     case ASYNC_PAUSE:
1744         s->rwstate = SSL_ASYNC_PAUSED;
1745         return -1;
1746     case ASYNC_NO_JOBS:
1747         s->rwstate = SSL_ASYNC_NO_JOBS;
1748         return -1;
1749     case ASYNC_FINISH:
1750         s->job = NULL;
1751         return ret;
1752     default:
1753         s->rwstate = SSL_NOTHING;
1754         SSLerr(SSL_F_SSL_START_ASYNC_JOB, ERR_R_INTERNAL_ERROR);
1755         /* Shouldn't happen */
1756         return -1;
1757     }
1758 }
1759
1760 static int ssl_io_intern(void *vargs)
1761 {
1762     struct ssl_async_args *args;
1763     SSL *s;
1764     void *buf;
1765     size_t num;
1766
1767     args = (struct ssl_async_args *)vargs;
1768     s = args->s;
1769     buf = args->buf;
1770     num = args->num;
1771     switch (args->type) {
1772     case READFUNC:
1773         return args->f.func_read(s, buf, num, &s->asyncrw);
1774     case WRITEFUNC:
1775         return args->f.func_write(s, buf, num, &s->asyncrw);
1776     case OTHERFUNC:
1777         return args->f.func_other(s);
1778     }
1779     return -1;
1780 }
1781
1782 int ssl_read_internal(SSL *s, void *buf, size_t num, size_t *readbytes)
1783 {
1784     if (s->handshake_func == NULL) {
1785         SSLerr(SSL_F_SSL_READ_INTERNAL, SSL_R_UNINITIALIZED);
1786         return -1;
1787     }
1788
1789     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
1790         s->rwstate = SSL_NOTHING;
1791         return 0;
1792     }
1793
1794     if (s->early_data_state == SSL_EARLY_DATA_CONNECT_RETRY
1795                 || s->early_data_state == SSL_EARLY_DATA_ACCEPT_RETRY) {
1796         SSLerr(SSL_F_SSL_READ_INTERNAL, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1797         return 0;
1798     }
1799     /*
1800      * If we are a client and haven't received the ServerHello etc then we
1801      * better do that
1802      */
1803     ossl_statem_check_finish_init(s, 0);
1804
1805     if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1806         struct ssl_async_args args;
1807         int ret;
1808
1809         args.s = s;
1810         args.buf = buf;
1811         args.num = num;
1812         args.type = READFUNC;
1813         args.f.func_read = s->method->ssl_read;
1814
1815         ret = ssl_start_async_job(s, &args, ssl_io_intern);
1816         *readbytes = s->asyncrw;
1817         return ret;
1818     } else {
1819         return s->method->ssl_read(s, buf, num, readbytes);
1820     }
1821 }
1822
1823 int SSL_read(SSL *s, void *buf, int num)
1824 {
1825     int ret;
1826     size_t readbytes;
1827
1828     if (num < 0) {
1829         SSLerr(SSL_F_SSL_READ, SSL_R_BAD_LENGTH);
1830         return -1;
1831     }
1832
1833     ret = ssl_read_internal(s, buf, (size_t)num, &readbytes);
1834
1835     /*
1836      * The cast is safe here because ret should be <= INT_MAX because num is
1837      * <= INT_MAX
1838      */
1839     if (ret > 0)
1840         ret = (int)readbytes;
1841
1842     return ret;
1843 }
1844
1845 int SSL_read_ex(SSL *s, void *buf, size_t num, size_t *readbytes)
1846 {
1847     int ret = ssl_read_internal(s, buf, num, readbytes);
1848
1849     if (ret < 0)
1850         ret = 0;
1851     return ret;
1852 }
1853
1854 int SSL_read_early_data(SSL *s, void *buf, size_t num, size_t *readbytes)
1855 {
1856     int ret;
1857
1858     if (!s->server) {
1859         SSLerr(SSL_F_SSL_READ_EARLY_DATA, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1860         return SSL_READ_EARLY_DATA_ERROR;
1861     }
1862
1863     switch (s->early_data_state) {
1864     case SSL_EARLY_DATA_NONE:
1865         if (!SSL_in_before(s)) {
1866             SSLerr(SSL_F_SSL_READ_EARLY_DATA,
1867                    ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1868             return SSL_READ_EARLY_DATA_ERROR;
1869         }
1870         /* fall through */
1871
1872     case SSL_EARLY_DATA_ACCEPT_RETRY:
1873         s->early_data_state = SSL_EARLY_DATA_ACCEPTING;
1874         ret = SSL_accept(s);
1875         if (ret <= 0) {
1876             /* NBIO or error */
1877             s->early_data_state = SSL_EARLY_DATA_ACCEPT_RETRY;
1878             return SSL_READ_EARLY_DATA_ERROR;
1879         }
1880         /* fall through */
1881
1882     case SSL_EARLY_DATA_READ_RETRY:
1883         if (s->ext.early_data == SSL_EARLY_DATA_ACCEPTED) {
1884             s->early_data_state = SSL_EARLY_DATA_READING;
1885             ret = SSL_read_ex(s, buf, num, readbytes);
1886             /*
1887              * State machine will update early_data_state to
1888              * SSL_EARLY_DATA_FINISHED_READING if we get an EndOfEarlyData
1889              * message
1890              */
1891             if (ret > 0 || (ret <= 0 && s->early_data_state
1892                                         != SSL_EARLY_DATA_FINISHED_READING)) {
1893                 s->early_data_state = SSL_EARLY_DATA_READ_RETRY;
1894                 return ret > 0 ? SSL_READ_EARLY_DATA_SUCCESS
1895                                : SSL_READ_EARLY_DATA_ERROR;
1896             }
1897         } else {
1898             s->early_data_state = SSL_EARLY_DATA_FINISHED_READING;
1899         }
1900         *readbytes = 0;
1901         return SSL_READ_EARLY_DATA_FINISH;
1902
1903     default:
1904         SSLerr(SSL_F_SSL_READ_EARLY_DATA, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1905         return SSL_READ_EARLY_DATA_ERROR;
1906     }
1907 }
1908
1909 int SSL_get_early_data_status(const SSL *s)
1910 {
1911     return s->ext.early_data;
1912 }
1913
1914 static int ssl_peek_internal(SSL *s, void *buf, size_t num, size_t *readbytes)
1915 {
1916     if (s->handshake_func == NULL) {
1917         SSLerr(SSL_F_SSL_PEEK_INTERNAL, SSL_R_UNINITIALIZED);
1918         return -1;
1919     }
1920
1921     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
1922         return 0;
1923     }
1924     if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1925         struct ssl_async_args args;
1926         int ret;
1927
1928         args.s = s;
1929         args.buf = buf;
1930         args.num = num;
1931         args.type = READFUNC;
1932         args.f.func_read = s->method->ssl_peek;
1933
1934         ret = ssl_start_async_job(s, &args, ssl_io_intern);
1935         *readbytes = s->asyncrw;
1936         return ret;
1937     } else {
1938         return s->method->ssl_peek(s, buf, num, readbytes);
1939     }
1940 }
1941
1942 int SSL_peek(SSL *s, void *buf, int num)
1943 {
1944     int ret;
1945     size_t readbytes;
1946
1947     if (num < 0) {
1948         SSLerr(SSL_F_SSL_PEEK, SSL_R_BAD_LENGTH);
1949         return -1;
1950     }
1951
1952     ret = ssl_peek_internal(s, buf, (size_t)num, &readbytes);
1953
1954     /*
1955      * The cast is safe here because ret should be <= INT_MAX because num is
1956      * <= INT_MAX
1957      */
1958     if (ret > 0)
1959         ret = (int)readbytes;
1960
1961     return ret;
1962 }
1963
1964
1965 int SSL_peek_ex(SSL *s, void *buf, size_t num, size_t *readbytes)
1966 {
1967     int ret = ssl_peek_internal(s, buf, num, readbytes);
1968
1969     if (ret < 0)
1970         ret = 0;
1971     return ret;
1972 }
1973
1974 int ssl_write_internal(SSL *s, const void *buf, size_t num, size_t *written)
1975 {
1976     if (s->handshake_func == NULL) {
1977         SSLerr(SSL_F_SSL_WRITE_INTERNAL, SSL_R_UNINITIALIZED);
1978         return -1;
1979     }
1980
1981     if (s->shutdown & SSL_SENT_SHUTDOWN) {
1982         s->rwstate = SSL_NOTHING;
1983         SSLerr(SSL_F_SSL_WRITE_INTERNAL, SSL_R_PROTOCOL_IS_SHUTDOWN);
1984         return -1;
1985     }
1986
1987     if (s->early_data_state == SSL_EARLY_DATA_CONNECT_RETRY
1988                 || s->early_data_state == SSL_EARLY_DATA_ACCEPT_RETRY
1989                 || s->early_data_state == SSL_EARLY_DATA_READ_RETRY) {
1990         SSLerr(SSL_F_SSL_WRITE_INTERNAL, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1991         return 0;
1992     }
1993     /* If we are a client and haven't sent the Finished we better do that */
1994     ossl_statem_check_finish_init(s, 1);
1995
1996     if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1997         int ret;
1998         struct ssl_async_args args;
1999
2000         args.s = s;
2001         args.buf = (void *)buf;
2002         args.num = num;
2003         args.type = WRITEFUNC;
2004         args.f.func_write = s->method->ssl_write;
2005
2006         ret = ssl_start_async_job(s, &args, ssl_io_intern);
2007         *written = s->asyncrw;
2008         return ret;
2009     } else {
2010         return s->method->ssl_write(s, buf, num, written);
2011     }
2012 }
2013
2014 int SSL_write(SSL *s, const void *buf, int num)
2015 {
2016     int ret;
2017     size_t written;
2018
2019     if (num < 0) {
2020         SSLerr(SSL_F_SSL_WRITE, SSL_R_BAD_LENGTH);
2021         return -1;
2022     }
2023
2024     ret = ssl_write_internal(s, buf, (size_t)num, &written);
2025
2026     /*
2027      * The cast is safe here because ret should be <= INT_MAX because num is
2028      * <= INT_MAX
2029      */
2030     if (ret > 0)
2031         ret = (int)written;
2032
2033     return ret;
2034 }
2035
2036 int SSL_write_ex(SSL *s, const void *buf, size_t num, size_t *written)
2037 {
2038     int ret = ssl_write_internal(s, buf, num, written);
2039
2040     if (ret < 0)
2041         ret = 0;
2042     return ret;
2043 }
2044
2045 int SSL_write_early_data(SSL *s, const void *buf, size_t num, size_t *written)
2046 {
2047     int ret, early_data_state;
2048     size_t writtmp;
2049     uint32_t partialwrite;
2050
2051     switch (s->early_data_state) {
2052     case SSL_EARLY_DATA_NONE:
2053         if (s->server
2054                 || !SSL_in_before(s)
2055                 || ((s->session == NULL || s->session->ext.max_early_data == 0)
2056                      && (s->psk_use_session_cb == NULL))) {
2057             SSLerr(SSL_F_SSL_WRITE_EARLY_DATA,
2058                    ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
2059             return 0;
2060         }
2061         /* fall through */
2062
2063     case SSL_EARLY_DATA_CONNECT_RETRY:
2064         s->early_data_state = SSL_EARLY_DATA_CONNECTING;
2065         ret = SSL_connect(s);
2066         if (ret <= 0) {
2067             /* NBIO or error */
2068             s->early_data_state = SSL_EARLY_DATA_CONNECT_RETRY;
2069             return 0;
2070         }
2071         /* fall through */
2072
2073     case SSL_EARLY_DATA_WRITE_RETRY:
2074         s->early_data_state = SSL_EARLY_DATA_WRITING;
2075         /*
2076          * We disable partial write for early data because we don't keep track
2077          * of how many bytes we've written between the SSL_write_ex() call and
2078          * the flush if the flush needs to be retried)
2079          */
2080         partialwrite = s->mode & SSL_MODE_ENABLE_PARTIAL_WRITE;
2081         s->mode &= ~SSL_MODE_ENABLE_PARTIAL_WRITE;
2082         ret = SSL_write_ex(s, buf, num, &writtmp);
2083         s->mode |= partialwrite;
2084         if (!ret) {
2085             s->early_data_state = SSL_EARLY_DATA_WRITE_RETRY;
2086             return ret;
2087         }
2088         s->early_data_state = SSL_EARLY_DATA_WRITE_FLUSH;
2089         /* fall through */
2090
2091     case SSL_EARLY_DATA_WRITE_FLUSH:
2092         /* The buffering BIO is still in place so we need to flush it */
2093         if (statem_flush(s) != 1)
2094             return 0;
2095         *written = num;
2096         s->early_data_state = SSL_EARLY_DATA_WRITE_RETRY;
2097         return 1;
2098
2099     case SSL_EARLY_DATA_FINISHED_READING:
2100     case SSL_EARLY_DATA_READ_RETRY:
2101         early_data_state = s->early_data_state;
2102         /* We are a server writing to an unauthenticated client */
2103         s->early_data_state = SSL_EARLY_DATA_UNAUTH_WRITING;
2104         ret = SSL_write_ex(s, buf, num, written);
2105         /* The buffering BIO is still in place */
2106         if (ret)
2107             (void)BIO_flush(s->wbio);
2108         s->early_data_state = early_data_state;
2109         return ret;
2110
2111     default:
2112         SSLerr(SSL_F_SSL_WRITE_EARLY_DATA, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
2113         return 0;
2114     }
2115 }
2116
2117 int SSL_shutdown(SSL *s)
2118 {
2119     /*
2120      * Note that this function behaves differently from what one might
2121      * expect.  Return values are 0 for no success (yet), 1 for success; but
2122      * calling it once is usually not enough, even if blocking I/O is used
2123      * (see ssl3_shutdown).
2124      */
2125
2126     if (s->handshake_func == NULL) {
2127         SSLerr(SSL_F_SSL_SHUTDOWN, SSL_R_UNINITIALIZED);
2128         return -1;
2129     }
2130
2131     if (!SSL_in_init(s)) {
2132         if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
2133             struct ssl_async_args args;
2134
2135             args.s = s;
2136             args.type = OTHERFUNC;
2137             args.f.func_other = s->method->ssl_shutdown;
2138
2139             return ssl_start_async_job(s, &args, ssl_io_intern);
2140         } else {
2141             return s->method->ssl_shutdown(s);
2142         }
2143     } else {
2144         SSLerr(SSL_F_SSL_SHUTDOWN, SSL_R_SHUTDOWN_WHILE_IN_INIT);
2145         return -1;
2146     }
2147 }
2148
2149 int SSL_key_update(SSL *s, int updatetype)
2150 {
2151     /*
2152      * TODO(TLS1.3): How will applications know whether TLSv1.3 has been
2153      * negotiated, and that it is appropriate to call SSL_key_update() instead
2154      * of SSL_renegotiate().
2155      */
2156     if (!SSL_IS_TLS13(s)) {
2157         SSLerr(SSL_F_SSL_KEY_UPDATE, SSL_R_WRONG_SSL_VERSION);
2158         return 0;
2159     }
2160
2161     if (updatetype != SSL_KEY_UPDATE_NOT_REQUESTED
2162             && updatetype != SSL_KEY_UPDATE_REQUESTED) {
2163         SSLerr(SSL_F_SSL_KEY_UPDATE, SSL_R_INVALID_KEY_UPDATE_TYPE);
2164         return 0;
2165     }
2166
2167     if (!SSL_is_init_finished(s)) {
2168         SSLerr(SSL_F_SSL_KEY_UPDATE, SSL_R_STILL_IN_INIT);
2169         return 0;
2170     }
2171
2172     ossl_statem_set_in_init(s, 1);
2173     s->key_update = updatetype;
2174     return 1;
2175 }
2176
2177 int SSL_get_key_update_type(const SSL *s)
2178 {
2179     return s->key_update;
2180 }
2181
2182 int SSL_renegotiate(SSL *s)
2183 {
2184     if (SSL_IS_TLS13(s)) {
2185         SSLerr(SSL_F_SSL_RENEGOTIATE, SSL_R_WRONG_SSL_VERSION);
2186         return 0;
2187     }
2188
2189     if ((s->options & SSL_OP_NO_RENEGOTIATION)) {
2190         SSLerr(SSL_F_SSL_RENEGOTIATE, SSL_R_NO_RENEGOTIATION);
2191         return 0;
2192     }
2193
2194     s->renegotiate = 1;
2195     s->new_session = 1;
2196
2197     return s->method->ssl_renegotiate(s);
2198 }
2199
2200 int SSL_renegotiate_abbreviated(SSL *s)
2201 {
2202     if (SSL_IS_TLS13(s)) {
2203         SSLerr(SSL_F_SSL_RENEGOTIATE_ABBREVIATED, SSL_R_WRONG_SSL_VERSION);
2204         return 0;
2205     }
2206
2207     if ((s->options & SSL_OP_NO_RENEGOTIATION)) {
2208         SSLerr(SSL_F_SSL_RENEGOTIATE_ABBREVIATED, SSL_R_NO_RENEGOTIATION);
2209         return 0;
2210     }
2211
2212     s->renegotiate = 1;
2213     s->new_session = 0;
2214
2215     return s->method->ssl_renegotiate(s);
2216 }
2217
2218 int SSL_renegotiate_pending(const SSL *s)
2219 {
2220     /*
2221      * becomes true when negotiation is requested; false again once a
2222      * handshake has finished
2223      */
2224     return (s->renegotiate != 0);
2225 }
2226
2227 long SSL_ctrl(SSL *s, int cmd, long larg, void *parg)
2228 {
2229     long l;
2230
2231     switch (cmd) {
2232     case SSL_CTRL_GET_READ_AHEAD:
2233         return RECORD_LAYER_get_read_ahead(&s->rlayer);
2234     case SSL_CTRL_SET_READ_AHEAD:
2235         l = RECORD_LAYER_get_read_ahead(&s->rlayer);
2236         RECORD_LAYER_set_read_ahead(&s->rlayer, larg);
2237         return l;
2238
2239     case SSL_CTRL_SET_MSG_CALLBACK_ARG:
2240         s->msg_callback_arg = parg;
2241         return 1;
2242
2243     case SSL_CTRL_MODE:
2244         return (s->mode |= larg);
2245     case SSL_CTRL_CLEAR_MODE:
2246         return (s->mode &= ~larg);
2247     case SSL_CTRL_GET_MAX_CERT_LIST:
2248         return (long)s->max_cert_list;
2249     case SSL_CTRL_SET_MAX_CERT_LIST:
2250         if (larg < 0)
2251             return 0;
2252         l = (long)s->max_cert_list;
2253         s->max_cert_list = (size_t)larg;
2254         return l;
2255     case SSL_CTRL_SET_MAX_SEND_FRAGMENT:
2256         if (larg < 512 || larg > SSL3_RT_MAX_PLAIN_LENGTH)
2257             return 0;
2258 #ifndef OPENSSL_NO_KTLS
2259         if (s->wbio != NULL && BIO_get_ktls_send(s->wbio))
2260             return 0;
2261 #endif /* OPENSSL_NO_KTLS */
2262         s->max_send_fragment = larg;
2263         if (s->max_send_fragment < s->split_send_fragment)
2264             s->split_send_fragment = s->max_send_fragment;
2265         return 1;
2266     case SSL_CTRL_SET_SPLIT_SEND_FRAGMENT:
2267         if ((size_t)larg > s->max_send_fragment || larg == 0)
2268             return 0;
2269         s->split_send_fragment = larg;
2270         return 1;
2271     case SSL_CTRL_SET_MAX_PIPELINES:
2272         if (larg < 1 || larg > SSL_MAX_PIPELINES)
2273             return 0;
2274         s->max_pipelines = larg;
2275         if (larg > 1)
2276             RECORD_LAYER_set_read_ahead(&s->rlayer, 1);
2277         return 1;
2278     case SSL_CTRL_GET_RI_SUPPORT:
2279         if (s->s3)
2280             return s->s3->send_connection_binding;
2281         else
2282             return 0;
2283     case SSL_CTRL_CERT_FLAGS:
2284         return (s->cert->cert_flags |= larg);
2285     case SSL_CTRL_CLEAR_CERT_FLAGS:
2286         return (s->cert->cert_flags &= ~larg);
2287
2288     case SSL_CTRL_GET_RAW_CIPHERLIST:
2289         if (parg) {
2290             if (s->s3->tmp.ciphers_raw == NULL)
2291                 return 0;
2292             *(unsigned char **)parg = s->s3->tmp.ciphers_raw;
2293             return (int)s->s3->tmp.ciphers_rawlen;
2294         } else {
2295             return TLS_CIPHER_LEN;
2296         }
2297     case SSL_CTRL_GET_EXTMS_SUPPORT:
2298         if (!s->session || SSL_in_init(s) || ossl_statem_get_in_handshake(s))
2299             return -1;
2300         if (s->session->flags & SSL_SESS_FLAG_EXTMS)
2301             return 1;
2302         else
2303             return 0;
2304     case SSL_CTRL_SET_MIN_PROTO_VERSION:
2305         return ssl_check_allowed_versions(larg, s->max_proto_version)
2306                && ssl_set_version_bound(s->ctx->method->version, (int)larg,
2307                                         &s->min_proto_version);
2308     case SSL_CTRL_GET_MIN_PROTO_VERSION:
2309         return s->min_proto_version;
2310     case SSL_CTRL_SET_MAX_PROTO_VERSION:
2311         return ssl_check_allowed_versions(s->min_proto_version, larg)
2312                && ssl_set_version_bound(s->ctx->method->version, (int)larg,
2313                                         &s->max_proto_version);
2314     case SSL_CTRL_GET_MAX_PROTO_VERSION:
2315         return s->max_proto_version;
2316     default:
2317         return s->method->ssl_ctrl(s, cmd, larg, parg);
2318     }
2319 }
2320
2321 long SSL_callback_ctrl(SSL *s, int cmd, void (*fp) (void))
2322 {
2323     switch (cmd) {
2324     case SSL_CTRL_SET_MSG_CALLBACK:
2325         s->msg_callback = (void (*)
2326                            (int write_p, int version, int content_type,
2327                             const void *buf, size_t len, SSL *ssl,
2328                             void *arg))(fp);
2329         return 1;
2330
2331     default:
2332         return s->method->ssl_callback_ctrl(s, cmd, fp);
2333     }
2334 }
2335
2336 LHASH_OF(SSL_SESSION) *SSL_CTX_sessions(SSL_CTX *ctx)
2337 {
2338     return ctx->sessions;
2339 }
2340
2341 long SSL_CTX_ctrl(SSL_CTX *ctx, int cmd, long larg, void *parg)
2342 {
2343     long l;
2344     /* For some cases with ctx == NULL perform syntax checks */
2345     if (ctx == NULL) {
2346         switch (cmd) {
2347 #ifndef OPENSSL_NO_EC
2348         case SSL_CTRL_SET_GROUPS_LIST:
2349             return tls1_set_groups_list(NULL, NULL, parg);
2350 #endif
2351         case SSL_CTRL_SET_SIGALGS_LIST:
2352         case SSL_CTRL_SET_CLIENT_SIGALGS_LIST:
2353             return tls1_set_sigalgs_list(NULL, parg, 0);
2354         default:
2355             return 0;
2356         }
2357     }
2358
2359     switch (cmd) {
2360     case SSL_CTRL_GET_READ_AHEAD:
2361         return ctx->read_ahead;
2362     case SSL_CTRL_SET_READ_AHEAD:
2363         l = ctx->read_ahead;
2364         ctx->read_ahead = larg;
2365         return l;
2366
2367     case SSL_CTRL_SET_MSG_CALLBACK_ARG:
2368         ctx->msg_callback_arg = parg;
2369         return 1;
2370
2371     case SSL_CTRL_GET_MAX_CERT_LIST:
2372         return (long)ctx->max_cert_list;
2373     case SSL_CTRL_SET_MAX_CERT_LIST:
2374         if (larg < 0)
2375             return 0;
2376         l = (long)ctx->max_cert_list;
2377         ctx->max_cert_list = (size_t)larg;
2378         return l;
2379
2380     case SSL_CTRL_SET_SESS_CACHE_SIZE:
2381         if (larg < 0)
2382             return 0;
2383         l = (long)ctx->session_cache_size;
2384         ctx->session_cache_size = (size_t)larg;
2385         return l;
2386     case SSL_CTRL_GET_SESS_CACHE_SIZE:
2387         return (long)ctx->session_cache_size;
2388     case SSL_CTRL_SET_SESS_CACHE_MODE:
2389         l = ctx->session_cache_mode;
2390         ctx->session_cache_mode = larg;
2391         return l;
2392     case SSL_CTRL_GET_SESS_CACHE_MODE:
2393         return ctx->session_cache_mode;
2394
2395     case SSL_CTRL_SESS_NUMBER:
2396         return lh_SSL_SESSION_num_items(ctx->sessions);
2397     case SSL_CTRL_SESS_CONNECT:
2398         return tsan_load(&ctx->stats.sess_connect);
2399     case SSL_CTRL_SESS_CONNECT_GOOD:
2400         return tsan_load(&ctx->stats.sess_connect_good);
2401     case SSL_CTRL_SESS_CONNECT_RENEGOTIATE:
2402         return tsan_load(&ctx->stats.sess_connect_renegotiate);
2403     case SSL_CTRL_SESS_ACCEPT:
2404         return tsan_load(&ctx->stats.sess_accept);
2405     case SSL_CTRL_SESS_ACCEPT_GOOD:
2406         return tsan_load(&ctx->stats.sess_accept_good);
2407     case SSL_CTRL_SESS_ACCEPT_RENEGOTIATE:
2408         return tsan_load(&ctx->stats.sess_accept_renegotiate);
2409     case SSL_CTRL_SESS_HIT:
2410         return tsan_load(&ctx->stats.sess_hit);
2411     case SSL_CTRL_SESS_CB_HIT:
2412         return tsan_load(&ctx->stats.sess_cb_hit);
2413     case SSL_CTRL_SESS_MISSES:
2414         return tsan_load(&ctx->stats.sess_miss);
2415     case SSL_CTRL_SESS_TIMEOUTS:
2416         return tsan_load(&ctx->stats.sess_timeout);
2417     case SSL_CTRL_SESS_CACHE_FULL:
2418         return tsan_load(&ctx->stats.sess_cache_full);
2419     case SSL_CTRL_MODE:
2420         return (ctx->mode |= larg);
2421     case SSL_CTRL_CLEAR_MODE:
2422         return (ctx->mode &= ~larg);
2423     case SSL_CTRL_SET_MAX_SEND_FRAGMENT:
2424         if (larg < 512 || larg > SSL3_RT_MAX_PLAIN_LENGTH)
2425             return 0;
2426         ctx->max_send_fragment = larg;
2427         if (ctx->max_send_fragment < ctx->split_send_fragment)
2428             ctx->split_send_fragment = ctx->max_send_fragment;
2429         return 1;
2430     case SSL_CTRL_SET_SPLIT_SEND_FRAGMENT:
2431         if ((size_t)larg > ctx->max_send_fragment || larg == 0)
2432             return 0;
2433         ctx->split_send_fragment = larg;
2434         return 1;
2435     case SSL_CTRL_SET_MAX_PIPELINES:
2436         if (larg < 1 || larg > SSL_MAX_PIPELINES)
2437             return 0;
2438         ctx->max_pipelines = larg;
2439         return 1;
2440     case SSL_CTRL_CERT_FLAGS:
2441         return (ctx->cert->cert_flags |= larg);
2442     case SSL_CTRL_CLEAR_CERT_FLAGS:
2443         return (ctx->cert->cert_flags &= ~larg);
2444     case SSL_CTRL_SET_MIN_PROTO_VERSION:
2445         return ssl_check_allowed_versions(larg, ctx->max_proto_version)
2446                && ssl_set_version_bound(ctx->method->version, (int)larg,
2447                                         &ctx->min_proto_version);
2448     case SSL_CTRL_GET_MIN_PROTO_VERSION:
2449         return ctx->min_proto_version;
2450     case SSL_CTRL_SET_MAX_PROTO_VERSION:
2451         return ssl_check_allowed_versions(ctx->min_proto_version, larg)
2452                && ssl_set_version_bound(ctx->method->version, (int)larg,
2453                                         &ctx->max_proto_version);
2454     case SSL_CTRL_GET_MAX_PROTO_VERSION:
2455         return ctx->max_proto_version;
2456     default:
2457         return ctx->method->ssl_ctx_ctrl(ctx, cmd, larg, parg);
2458     }
2459 }
2460
2461 long SSL_CTX_callback_ctrl(SSL_CTX *ctx, int cmd, void (*fp) (void))
2462 {
2463     switch (cmd) {
2464     case SSL_CTRL_SET_MSG_CALLBACK:
2465         ctx->msg_callback = (void (*)
2466                              (int write_p, int version, int content_type,
2467                               const void *buf, size_t len, SSL *ssl,
2468                               void *arg))(fp);
2469         return 1;
2470
2471     default:
2472         return ctx->method->ssl_ctx_callback_ctrl(ctx, cmd, fp);
2473     }
2474 }
2475
2476 int ssl_cipher_id_cmp(const SSL_CIPHER *a, const SSL_CIPHER *b)
2477 {
2478     if (a->id > b->id)
2479         return 1;
2480     if (a->id < b->id)
2481         return -1;
2482     return 0;
2483 }
2484
2485 int ssl_cipher_ptr_id_cmp(const SSL_CIPHER *const *ap,
2486                           const SSL_CIPHER *const *bp)
2487 {
2488     if ((*ap)->id > (*bp)->id)
2489         return 1;
2490     if ((*ap)->id < (*bp)->id)
2491         return -1;
2492     return 0;
2493 }
2494
2495 /** return a STACK of the ciphers available for the SSL and in order of
2496  * preference */
2497 STACK_OF(SSL_CIPHER) *SSL_get_ciphers(const SSL *s)
2498 {
2499     if (s != NULL) {
2500         if (s->cipher_list != NULL) {
2501             return s->cipher_list;
2502         } else if ((s->ctx != NULL) && (s->ctx->cipher_list != NULL)) {
2503             return s->ctx->cipher_list;
2504         }
2505     }
2506     return NULL;
2507 }
2508
2509 STACK_OF(SSL_CIPHER) *SSL_get_client_ciphers(const SSL *s)
2510 {
2511     if ((s == NULL) || (s->session == NULL) || !s->server)
2512         return NULL;
2513     return s->session->ciphers;
2514 }
2515
2516 STACK_OF(SSL_CIPHER) *SSL_get1_supported_ciphers(SSL *s)
2517 {
2518     STACK_OF(SSL_CIPHER) *sk = NULL, *ciphers;
2519     int i;
2520
2521     ciphers = SSL_get_ciphers(s);
2522     if (!ciphers)
2523         return NULL;
2524     if (!ssl_set_client_disabled(s))
2525         return NULL;
2526     for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
2527         const SSL_CIPHER *c = sk_SSL_CIPHER_value(ciphers, i);
2528         if (!ssl_cipher_disabled(s, c, SSL_SECOP_CIPHER_SUPPORTED, 0)) {
2529             if (!sk)
2530                 sk = sk_SSL_CIPHER_new_null();
2531             if (!sk)
2532                 return NULL;
2533             if (!sk_SSL_CIPHER_push(sk, c)) {
2534                 sk_SSL_CIPHER_free(sk);
2535                 return NULL;
2536             }
2537         }
2538     }
2539     return sk;
2540 }
2541
2542 /** return a STACK of the ciphers available for the SSL and in order of
2543  * algorithm id */
2544 STACK_OF(SSL_CIPHER) *ssl_get_ciphers_by_id(SSL *s)
2545 {
2546     if (s != NULL) {
2547         if (s->cipher_list_by_id != NULL) {
2548             return s->cipher_list_by_id;
2549         } else if ((s->ctx != NULL) && (s->ctx->cipher_list_by_id != NULL)) {
2550             return s->ctx->cipher_list_by_id;
2551         }
2552     }
2553     return NULL;
2554 }
2555
2556 /** The old interface to get the same thing as SSL_get_ciphers() */
2557 const char *SSL_get_cipher_list(const SSL *s, int n)
2558 {
2559     const SSL_CIPHER *c;
2560     STACK_OF(SSL_CIPHER) *sk;
2561
2562     if (s == NULL)
2563         return NULL;
2564     sk = SSL_get_ciphers(s);
2565     if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= n))
2566         return NULL;
2567     c = sk_SSL_CIPHER_value(sk, n);
2568     if (c == NULL)
2569         return NULL;
2570     return c->name;
2571 }
2572
2573 /** return a STACK of the ciphers available for the SSL_CTX and in order of
2574  * preference */
2575 STACK_OF(SSL_CIPHER) *SSL_CTX_get_ciphers(const SSL_CTX *ctx)
2576 {
2577     if (ctx != NULL)
2578         return ctx->cipher_list;
2579     return NULL;
2580 }
2581
2582 /*
2583  * Distinguish between ciphers controlled by set_ciphersuite() and
2584  * set_cipher_list() when counting.
2585  */
2586 static int cipher_list_tls12_num(STACK_OF(SSL_CIPHER) *sk)
2587 {
2588     int i, num = 0;
2589     const SSL_CIPHER *c;
2590
2591     if (sk == NULL)
2592         return 0;
2593     for (i = 0; i < sk_SSL_CIPHER_num(sk); ++i) {
2594         c = sk_SSL_CIPHER_value(sk, i);
2595         if (c->min_tls >= TLS1_3_VERSION)
2596             continue;
2597         num++;
2598     }
2599     return num;
2600 }
2601
2602 /** specify the ciphers to be used by default by the SSL_CTX */
2603 int SSL_CTX_set_cipher_list(SSL_CTX *ctx, const char *str)
2604 {
2605     STACK_OF(SSL_CIPHER) *sk;
2606
2607     sk = ssl_create_cipher_list(ctx->method, ctx->tls13_ciphersuites,
2608                                 &ctx->cipher_list, &ctx->cipher_list_by_id, str,
2609                                 ctx->cert);
2610     /*
2611      * ssl_create_cipher_list may return an empty stack if it was unable to
2612      * find a cipher matching the given rule string (for example if the rule
2613      * string specifies a cipher which has been disabled). This is not an
2614      * error as far as ssl_create_cipher_list is concerned, and hence
2615      * ctx->cipher_list and ctx->cipher_list_by_id has been updated.
2616      */
2617     if (sk == NULL)
2618         return 0;
2619     else if (cipher_list_tls12_num(sk) == 0) {
2620         SSLerr(SSL_F_SSL_CTX_SET_CIPHER_LIST, SSL_R_NO_CIPHER_MATCH);
2621         return 0;
2622     }
2623     return 1;
2624 }
2625
2626 /** specify the ciphers to be used by the SSL */
2627 int SSL_set_cipher_list(SSL *s, const char *str)
2628 {
2629     STACK_OF(SSL_CIPHER) *sk;
2630
2631     sk = ssl_create_cipher_list(s->ctx->method, s->tls13_ciphersuites,
2632                                 &s->cipher_list, &s->cipher_list_by_id, str,
2633                                 s->cert);
2634     /* see comment in SSL_CTX_set_cipher_list */
2635     if (sk == NULL)
2636         return 0;
2637     else if (cipher_list_tls12_num(sk) == 0) {
2638         SSLerr(SSL_F_SSL_SET_CIPHER_LIST, SSL_R_NO_CIPHER_MATCH);
2639         return 0;
2640     }
2641     return 1;
2642 }
2643
2644 char *SSL_get_shared_ciphers(const SSL *s, char *buf, int size)
2645 {
2646     char *p;
2647     STACK_OF(SSL_CIPHER) *clntsk, *srvrsk;
2648     const SSL_CIPHER *c;
2649     int i;
2650
2651     if (!s->server
2652             || s->session == NULL
2653             || s->session->ciphers == NULL
2654             || size < 2)
2655         return NULL;
2656
2657     p = buf;
2658     clntsk = s->session->ciphers;
2659     srvrsk = SSL_get_ciphers(s);
2660     if (clntsk == NULL || srvrsk == NULL)
2661         return NULL;
2662
2663     if (sk_SSL_CIPHER_num(clntsk) == 0 || sk_SSL_CIPHER_num(srvrsk) == 0)
2664         return NULL;
2665
2666     for (i = 0; i < sk_SSL_CIPHER_num(clntsk); i++) {
2667         int n;
2668
2669         c = sk_SSL_CIPHER_value(clntsk, i);
2670         if (sk_SSL_CIPHER_find(srvrsk, c) < 0)
2671             continue;
2672
2673         n = strlen(c->name);
2674         if (n + 1 > size) {
2675             if (p != buf)
2676                 --p;
2677             *p = '\0';
2678             return buf;
2679         }
2680         strcpy(p, c->name);
2681         p += n;
2682         *(p++) = ':';
2683         size -= n + 1;
2684     }
2685     p[-1] = '\0';
2686     return buf;
2687 }
2688
2689 /** return a servername extension value if provided in Client Hello, or NULL.
2690  * So far, only host_name types are defined (RFC 3546).
2691  */
2692
2693 const char *SSL_get_servername(const SSL *s, const int type)
2694 {
2695     if (type != TLSEXT_NAMETYPE_host_name)
2696         return NULL;
2697
2698     /*
2699      * SNI is not negotiated in pre-TLS-1.3 resumption flows, so fake up an
2700      * SNI value to return if we are resuming/resumed.  N.B. that we still
2701      * call the relevant callbacks for such resumption flows, and callbacks
2702      * might error out if there is not a SNI value available.
2703      */
2704     if (s->hit)
2705         return s->session->ext.hostname;
2706     return s->ext.hostname;
2707 }
2708
2709 int SSL_get_servername_type(const SSL *s)
2710 {
2711     if (s->session
2712         && (!s->ext.hostname ? s->session->
2713             ext.hostname : s->ext.hostname))
2714         return TLSEXT_NAMETYPE_host_name;
2715     return -1;
2716 }
2717
2718 /*
2719  * SSL_select_next_proto implements the standard protocol selection. It is
2720  * expected that this function is called from the callback set by
2721  * SSL_CTX_set_next_proto_select_cb. The protocol data is assumed to be a
2722  * vector of 8-bit, length prefixed byte strings. The length byte itself is
2723  * not included in the length. A byte string of length 0 is invalid. No byte
2724  * string may be truncated. The current, but experimental algorithm for
2725  * selecting the protocol is: 1) If the server doesn't support NPN then this
2726  * is indicated to the callback. In this case, the client application has to
2727  * abort the connection or have a default application level protocol. 2) If
2728  * the server supports NPN, but advertises an empty list then the client
2729  * selects the first protocol in its list, but indicates via the API that this
2730  * fallback case was enacted. 3) Otherwise, the client finds the first
2731  * protocol in the server's list that it supports and selects this protocol.
2732  * This is because it's assumed that the server has better information about
2733  * which protocol a client should use. 4) If the client doesn't support any
2734  * of the server's advertised protocols, then this is treated the same as
2735  * case 2. It returns either OPENSSL_NPN_NEGOTIATED if a common protocol was
2736  * found, or OPENSSL_NPN_NO_OVERLAP if the fallback case was reached.
2737  */
2738 int SSL_select_next_proto(unsigned char **out, unsigned char *outlen,
2739                           const unsigned char *server,
2740                           unsigned int server_len,
2741                           const unsigned char *client, unsigned int client_len)
2742 {
2743     unsigned int i, j;
2744     const unsigned char *result;
2745     int status = OPENSSL_NPN_UNSUPPORTED;
2746
2747     /*
2748      * For each protocol in server preference order, see if we support it.
2749      */
2750     for (i = 0; i < server_len;) {
2751         for (j = 0; j < client_len;) {
2752             if (server[i] == client[j] &&
2753                 memcmp(&server[i + 1], &client[j + 1], server[i]) == 0) {
2754                 /* We found a match */
2755                 result = &server[i];
2756                 status = OPENSSL_NPN_NEGOTIATED;
2757                 goto found;
2758             }
2759             j += client[j];
2760             j++;
2761         }
2762         i += server[i];
2763         i++;
2764     }
2765
2766     /* There's no overlap between our protocols and the server's list. */
2767     result = client;
2768     status = OPENSSL_NPN_NO_OVERLAP;
2769
2770  found:
2771     *out = (unsigned char *)result + 1;
2772     *outlen = result[0];
2773     return status;
2774 }
2775
2776 #ifndef OPENSSL_NO_NEXTPROTONEG
2777 /*
2778  * SSL_get0_next_proto_negotiated sets *data and *len to point to the
2779  * client's requested protocol for this connection and returns 0. If the
2780  * client didn't request any protocol, then *data is set to NULL. Note that
2781  * the client can request any protocol it chooses. The value returned from
2782  * this function need not be a member of the list of supported protocols
2783  * provided by the callback.
2784  */
2785 void SSL_get0_next_proto_negotiated(const SSL *s, const unsigned char **data,
2786                                     unsigned *len)
2787 {
2788     *data = s->ext.npn;
2789     if (!*data) {
2790         *len = 0;
2791     } else {
2792         *len = (unsigned int)s->ext.npn_len;
2793     }
2794 }
2795
2796 /*
2797  * SSL_CTX_set_npn_advertised_cb sets a callback that is called when
2798  * a TLS server needs a list of supported protocols for Next Protocol
2799  * Negotiation. The returned list must be in wire format.  The list is
2800  * returned by setting |out| to point to it and |outlen| to its length. This
2801  * memory will not be modified, but one should assume that the SSL* keeps a
2802  * reference to it. The callback should return SSL_TLSEXT_ERR_OK if it
2803  * wishes to advertise. Otherwise, no such extension will be included in the
2804  * ServerHello.
2805  */
2806 void SSL_CTX_set_npn_advertised_cb(SSL_CTX *ctx,
2807                                    SSL_CTX_npn_advertised_cb_func cb,
2808                                    void *arg)
2809 {
2810     ctx->ext.npn_advertised_cb = cb;
2811     ctx->ext.npn_advertised_cb_arg = arg;
2812 }
2813
2814 /*
2815  * SSL_CTX_set_next_proto_select_cb sets a callback that is called when a
2816  * client needs to select a protocol from the server's provided list. |out|
2817  * must be set to point to the selected protocol (which may be within |in|).
2818  * The length of the protocol name must be written into |outlen|. The
2819  * server's advertised protocols are provided in |in| and |inlen|. The
2820  * callback can assume that |in| is syntactically valid. The client must
2821  * select a protocol. It is fatal to the connection if this callback returns
2822  * a value other than SSL_TLSEXT_ERR_OK.
2823  */
2824 void SSL_CTX_set_npn_select_cb(SSL_CTX *ctx,
2825                                SSL_CTX_npn_select_cb_func cb,
2826                                void *arg)
2827 {
2828     ctx->ext.npn_select_cb = cb;
2829     ctx->ext.npn_select_cb_arg = arg;
2830 }
2831 #endif
2832
2833 /*
2834  * SSL_CTX_set_alpn_protos sets the ALPN protocol list on |ctx| to |protos|.
2835  * |protos| must be in wire-format (i.e. a series of non-empty, 8-bit
2836  * length-prefixed strings). Returns 0 on success.
2837  */
2838 int SSL_CTX_set_alpn_protos(SSL_CTX *ctx, const unsigned char *protos,
2839                             unsigned int protos_len)
2840 {
2841     OPENSSL_free(ctx->ext.alpn);
2842     ctx->ext.alpn = OPENSSL_memdup(protos, protos_len);
2843     if (ctx->ext.alpn == NULL) {
2844         SSLerr(SSL_F_SSL_CTX_SET_ALPN_PROTOS, ERR_R_MALLOC_FAILURE);
2845         return 1;
2846     }
2847     ctx->ext.alpn_len = protos_len;
2848
2849     return 0;
2850 }
2851
2852 /*
2853  * SSL_set_alpn_protos sets the ALPN protocol list on |ssl| to |protos|.
2854  * |protos| must be in wire-format (i.e. a series of non-empty, 8-bit
2855  * length-prefixed strings). Returns 0 on success.
2856  */
2857 int SSL_set_alpn_protos(SSL *ssl, const unsigned char *protos,
2858                         unsigned int protos_len)
2859 {
2860     OPENSSL_free(ssl->ext.alpn);
2861     ssl->ext.alpn = OPENSSL_memdup(protos, protos_len);
2862     if (ssl->ext.alpn == NULL) {
2863         SSLerr(SSL_F_SSL_SET_ALPN_PROTOS, ERR_R_MALLOC_FAILURE);
2864         return 1;
2865     }
2866     ssl->ext.alpn_len = protos_len;
2867
2868     return 0;
2869 }
2870
2871 /*
2872  * SSL_CTX_set_alpn_select_cb sets a callback function on |ctx| that is
2873  * called during ClientHello processing in order to select an ALPN protocol
2874  * from the client's list of offered protocols.
2875  */
2876 void SSL_CTX_set_alpn_select_cb(SSL_CTX *ctx,
2877                                 SSL_CTX_alpn_select_cb_func cb,
2878                                 void *arg)
2879 {
2880     ctx->ext.alpn_select_cb = cb;
2881     ctx->ext.alpn_select_cb_arg = arg;
2882 }
2883
2884 /*
2885  * SSL_get0_alpn_selected gets the selected ALPN protocol (if any) from |ssl|.
2886  * On return it sets |*data| to point to |*len| bytes of protocol name
2887  * (not including the leading length-prefix byte). If the server didn't
2888  * respond with a negotiated protocol then |*len| will be zero.
2889  */
2890 void SSL_get0_alpn_selected(const SSL *ssl, const unsigned char **data,
2891                             unsigned int *len)
2892 {
2893     *data = NULL;
2894     if (ssl->s3)
2895         *data = ssl->s3->alpn_selected;
2896     if (*data == NULL)
2897         *len = 0;
2898     else
2899         *len = (unsigned int)ssl->s3->alpn_selected_len;
2900 }
2901
2902 int SSL_export_keying_material(SSL *s, unsigned char *out, size_t olen,
2903                                const char *label, size_t llen,
2904                                const unsigned char *context, size_t contextlen,
2905                                int use_context)
2906 {
2907     if (s->version < TLS1_VERSION && s->version != DTLS1_BAD_VER)
2908         return -1;
2909
2910     return s->method->ssl3_enc->export_keying_material(s, out, olen, label,
2911                                                        llen, context,
2912                                                        contextlen, use_context);
2913 }
2914
2915 int SSL_export_keying_material_early(SSL *s, unsigned char *out, size_t olen,
2916                                      const char *label, size_t llen,
2917                                      const unsigned char *context,
2918                                      size_t contextlen)
2919 {
2920     if (s->version != TLS1_3_VERSION)
2921         return 0;
2922
2923     return tls13_export_keying_material_early(s, out, olen, label, llen,
2924                                               context, contextlen);
2925 }
2926
2927 static unsigned long ssl_session_hash(const SSL_SESSION *a)
2928 {
2929     const unsigned char *session_id = a->session_id;
2930     unsigned long l;
2931     unsigned char tmp_storage[4];
2932
2933     if (a->session_id_length < sizeof(tmp_storage)) {
2934         memset(tmp_storage, 0, sizeof(tmp_storage));
2935         memcpy(tmp_storage, a->session_id, a->session_id_length);
2936         session_id = tmp_storage;
2937     }
2938
2939     l = (unsigned long)
2940         ((unsigned long)session_id[0]) |
2941         ((unsigned long)session_id[1] << 8L) |
2942         ((unsigned long)session_id[2] << 16L) |
2943         ((unsigned long)session_id[3] << 24L);
2944     return l;
2945 }
2946
2947 /*
2948  * NB: If this function (or indeed the hash function which uses a sort of
2949  * coarser function than this one) is changed, ensure
2950  * SSL_CTX_has_matching_session_id() is checked accordingly. It relies on
2951  * being able to construct an SSL_SESSION that will collide with any existing
2952  * session with a matching session ID.
2953  */
2954 static int ssl_session_cmp(const SSL_SESSION *a, const SSL_SESSION *b)
2955 {
2956     if (a->ssl_version != b->ssl_version)
2957         return 1;
2958     if (a->session_id_length != b->session_id_length)
2959         return 1;
2960     return memcmp(a->session_id, b->session_id, a->session_id_length);
2961 }
2962
2963 /*
2964  * These wrapper functions should remain rather than redeclaring
2965  * SSL_SESSION_hash and SSL_SESSION_cmp for void* types and casting each
2966  * variable. The reason is that the functions aren't static, they're exposed
2967  * via ssl.h.
2968  */
2969
2970 SSL_CTX *SSL_CTX_new(const SSL_METHOD *meth)
2971 {
2972     SSL_CTX *ret = NULL;
2973
2974     if (meth == NULL) {
2975         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_NULL_SSL_METHOD_PASSED);
2976         return NULL;
2977     }
2978
2979     if (!OPENSSL_init_ssl(OPENSSL_INIT_LOAD_SSL_STRINGS, NULL))
2980         return NULL;
2981
2982     if (SSL_get_ex_data_X509_STORE_CTX_idx() < 0) {
2983         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_X509_VERIFICATION_SETUP_PROBLEMS);
2984         goto err;
2985     }
2986     ret = OPENSSL_zalloc(sizeof(*ret));
2987     if (ret == NULL)
2988         goto err;
2989
2990     ret->method = meth;
2991     ret->min_proto_version = 0;
2992     ret->max_proto_version = 0;
2993     ret->mode = SSL_MODE_AUTO_RETRY;
2994     ret->session_cache_mode = SSL_SESS_CACHE_SERVER;
2995     ret->session_cache_size = SSL_SESSION_CACHE_MAX_SIZE_DEFAULT;
2996     /* We take the system default. */
2997     ret->session_timeout = meth->get_timeout();
2998     ret->references = 1;
2999     ret->lock = CRYPTO_THREAD_lock_new();
3000     if (ret->lock == NULL) {
3001         SSLerr(SSL_F_SSL_CTX_NEW, ERR_R_MALLOC_FAILURE);
3002         OPENSSL_free(ret);
3003         return NULL;
3004     }
3005     ret->max_cert_list = SSL_MAX_CERT_LIST_DEFAULT;
3006     ret->verify_mode = SSL_VERIFY_NONE;
3007     if ((ret->cert = ssl_cert_new()) == NULL)
3008         goto err;
3009
3010     ret->sessions = lh_SSL_SESSION_new(ssl_session_hash, ssl_session_cmp);
3011     if (ret->sessions == NULL)
3012         goto err;
3013     ret->cert_store = X509_STORE_new();
3014     if (ret->cert_store == NULL)
3015         goto err;
3016 #ifndef OPENSSL_NO_CT
3017     ret->ctlog_store = CTLOG_STORE_new();
3018     if (ret->ctlog_store == NULL)
3019         goto err;
3020 #endif
3021
3022     if (!SSL_CTX_set_ciphersuites(ret, TLS_DEFAULT_CIPHERSUITES))
3023         goto err;
3024
3025     if (!ssl_create_cipher_list(ret->method,
3026                                 ret->tls13_ciphersuites,
3027                                 &ret->cipher_list, &ret->cipher_list_by_id,
3028                                 SSL_DEFAULT_CIPHER_LIST, ret->cert)
3029         || sk_SSL_CIPHER_num(ret->cipher_list) <= 0) {
3030         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_LIBRARY_HAS_NO_CIPHERS);
3031         goto err2;
3032     }
3033
3034     ret->param = X509_VERIFY_PARAM_new();
3035     if (ret->param == NULL)
3036         goto err;
3037
3038     if ((ret->md5 = EVP_get_digestbyname("ssl3-md5")) == NULL) {
3039         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_UNABLE_TO_LOAD_SSL3_MD5_ROUTINES);
3040         goto err2;
3041     }
3042     if ((ret->sha1 = EVP_get_digestbyname("ssl3-sha1")) == NULL) {
3043         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_UNABLE_TO_LOAD_SSL3_SHA1_ROUTINES);
3044         goto err2;
3045     }
3046
3047     if ((ret->ca_names = sk_X509_NAME_new_null()) == NULL)
3048         goto err;
3049
3050     if ((ret->client_ca_names = sk_X509_NAME_new_null()) == NULL)
3051         goto err;
3052
3053     if (!CRYPTO_new_ex_data(CRYPTO_EX_INDEX_SSL_CTX, ret, &ret->ex_data))
3054         goto err;
3055
3056     if ((ret->ext.secure = OPENSSL_secure_zalloc(sizeof(*ret->ext.secure))) == NULL)
3057         goto err;
3058
3059     /* No compression for DTLS */
3060     if (!(meth->ssl3_enc->enc_flags & SSL_ENC_FLAG_DTLS))
3061         ret->comp_methods = SSL_COMP_get_compression_methods();
3062
3063     ret->max_send_fragment = SSL3_RT_MAX_PLAIN_LENGTH;
3064     ret->split_send_fragment = SSL3_RT_MAX_PLAIN_LENGTH;
3065
3066     /* Setup RFC5077 ticket keys */
3067     if ((RAND_bytes(ret->ext.tick_key_name,
3068                     sizeof(ret->ext.tick_key_name)) <= 0)
3069         || (RAND_priv_bytes(ret->ext.secure->tick_hmac_key,
3070                        sizeof(ret->ext.secure->tick_hmac_key)) <= 0)
3071         || (RAND_priv_bytes(ret->ext.secure->tick_aes_key,
3072                        sizeof(ret->ext.secure->tick_aes_key)) <= 0))
3073         ret->options |= SSL_OP_NO_TICKET;
3074
3075     if (RAND_priv_bytes(ret->ext.cookie_hmac_key,
3076                    sizeof(ret->ext.cookie_hmac_key)) <= 0)
3077         goto err;
3078
3079 #ifndef OPENSSL_NO_SRP
3080     if (!SSL_CTX_SRP_CTX_init(ret))
3081         goto err;
3082 #endif
3083 #ifndef OPENSSL_NO_ENGINE
3084 # ifdef OPENSSL_SSL_CLIENT_ENGINE_AUTO
3085 #  define eng_strx(x)     #x
3086 #  define eng_str(x)      eng_strx(x)
3087     /* Use specific client engine automatically... ignore errors */
3088     {
3089         ENGINE *eng;
3090         eng = ENGINE_by_id(eng_str(OPENSSL_SSL_CLIENT_ENGINE_AUTO));
3091         if (!eng) {
3092             ERR_clear_error();
3093             ENGINE_load_builtin_engines();
3094             eng = ENGINE_by_id(eng_str(OPENSSL_SSL_CLIENT_ENGINE_AUTO));
3095         }
3096         if (!eng || !SSL_CTX_set_client_cert_engine(ret, eng))
3097             ERR_clear_error();
3098     }
3099 # endif
3100 #endif
3101     /*
3102      * Default is to connect to non-RI servers. When RI is more widely
3103      * deployed might change this.
3104      */
3105     ret->options |= SSL_OP_LEGACY_SERVER_CONNECT;
3106     /*
3107      * Disable compression by default to prevent CRIME. Applications can
3108      * re-enable compression by configuring
3109      * SSL_CTX_clear_options(ctx, SSL_OP_NO_COMPRESSION);
3110      * or by using the SSL_CONF library. Similarly we also enable TLSv1.3
3111      * middlebox compatibility by default. This may be disabled by default in
3112      * a later OpenSSL version.
3113      */
3114     ret->options |= SSL_OP_NO_COMPRESSION | SSL_OP_ENABLE_MIDDLEBOX_COMPAT;
3115
3116     ret->ext.status_type = TLSEXT_STATUSTYPE_nothing;
3117
3118     /*
3119      * We cannot usefully set a default max_early_data here (which gets
3120      * propagated in SSL_new(), for the following reason: setting the
3121      * SSL field causes tls_construct_stoc_early_data() to tell the
3122      * client that early data will be accepted when constructing a TLS 1.3
3123      * session ticket, and the client will accordingly send us early data
3124      * when using that ticket (if the client has early data to send).
3125      * However, in order for the early data to actually be consumed by
3126      * the application, the application must also have calls to
3127      * SSL_read_early_data(); otherwise we'll just skip past the early data
3128      * and ignore it.  So, since the application must add calls to
3129      * SSL_read_early_data(), we also require them to add
3130      * calls to SSL_CTX_set_max_early_data() in order to use early data,
3131      * eliminating the bandwidth-wasting early data in the case described
3132      * above.
3133      */
3134     ret->max_early_data = 0;
3135
3136     /*
3137      * Default recv_max_early_data is a fully loaded single record. Could be
3138      * split across multiple records in practice. We set this differently to
3139      * max_early_data so that, in the default case, we do not advertise any
3140      * support for early_data, but if a client were to send us some (e.g.
3141      * because of an old, stale ticket) then we will tolerate it and skip over
3142      * it.
3143      */
3144     ret->recv_max_early_data = SSL3_RT_MAX_PLAIN_LENGTH;
3145
3146     /* By default we send two session tickets automatically in TLSv1.3 */
3147     ret->num_tickets = 2;
3148
3149     ssl_ctx_system_config(ret);
3150
3151     return ret;
3152  err:
3153     SSLerr(SSL_F_SSL_CTX_NEW, ERR_R_MALLOC_FAILURE);
3154  err2:
3155     SSL_CTX_free(ret);
3156     return NULL;
3157 }
3158
3159 int SSL_CTX_up_ref(SSL_CTX *ctx)
3160 {
3161     int i;
3162
3163     if (CRYPTO_UP_REF(&ctx->references, &i, ctx->lock) <= 0)
3164         return 0;
3165
3166     REF_PRINT_COUNT("SSL_CTX", ctx);
3167     REF_ASSERT_ISNT(i < 2);
3168     return ((i > 1) ? 1 : 0);
3169 }
3170
3171 void SSL_CTX_free(SSL_CTX *a)
3172 {
3173     int i;
3174
3175     if (a == NULL)
3176         return;
3177
3178     CRYPTO_DOWN_REF(&a->references, &i, a->lock);
3179     REF_PRINT_COUNT("SSL_CTX", a);
3180     if (i > 0)
3181         return;
3182     REF_ASSERT_ISNT(i < 0);
3183
3184     X509_VERIFY_PARAM_free(a->param);
3185     dane_ctx_final(&a->dane);
3186
3187     /*
3188      * Free internal session cache. However: the remove_cb() may reference
3189      * the ex_data of SSL_CTX, thus the ex_data store can only be removed
3190      * after the sessions were flushed.
3191      * As the ex_data handling routines might also touch the session cache,
3192      * the most secure solution seems to be: empty (flush) the cache, then
3193      * free ex_data, then finally free the cache.
3194      * (See ticket [openssl.org #212].)
3195      */
3196     if (a->sessions != NULL)
3197         SSL_CTX_flush_sessions(a, 0);
3198
3199     CRYPTO_free_ex_data(CRYPTO_EX_INDEX_SSL_CTX, a, &a->ex_data);
3200     lh_SSL_SESSION_free(a->sessions);
3201     X509_STORE_free(a->cert_store);
3202 #ifndef OPENSSL_NO_CT
3203     CTLOG_STORE_free(a->ctlog_store);
3204 #endif
3205     sk_SSL_CIPHER_free(a->cipher_list);
3206     sk_SSL_CIPHER_free(a->cipher_list_by_id);
3207     sk_SSL_CIPHER_free(a->tls13_ciphersuites);
3208     ssl_cert_free(a->cert);
3209     sk_X509_NAME_pop_free(a->ca_names, X509_NAME_free);
3210     sk_X509_NAME_pop_free(a->client_ca_names, X509_NAME_free);
3211     sk_X509_pop_free(a->extra_certs, X509_free);
3212     a->comp_methods = NULL;
3213 #ifndef OPENSSL_NO_SRTP
3214     sk_SRTP_PROTECTION_PROFILE_free(a->srtp_profiles);
3215 #endif
3216 #ifndef OPENSSL_NO_SRP
3217     SSL_CTX_SRP_CTX_free(a);
3218 #endif
3219 #ifndef OPENSSL_NO_ENGINE
3220     ENGINE_finish(a->client_cert_engine);
3221 #endif
3222
3223 #ifndef OPENSSL_NO_EC
3224     OPENSSL_free(a->ext.ecpointformats);
3225     OPENSSL_free(a->ext.supportedgroups);
3226 #endif
3227     OPENSSL_free(a->ext.alpn);
3228     OPENSSL_secure_free(a->ext.secure);
3229
3230     CRYPTO_THREAD_lock_free(a->lock);
3231
3232     OPENSSL_free(a);
3233 }
3234
3235 void SSL_CTX_set_default_passwd_cb(SSL_CTX *ctx, pem_password_cb *cb)
3236 {
3237     ctx->default_passwd_callback = cb;
3238 }
3239
3240 void SSL_CTX_set_default_passwd_cb_userdata(SSL_CTX *ctx, void *u)
3241 {
3242     ctx->default_passwd_callback_userdata = u;
3243 }
3244
3245 pem_password_cb *SSL_CTX_get_default_passwd_cb(SSL_CTX *ctx)
3246 {
3247     return ctx->default_passwd_callback;
3248 }
3249
3250 void *SSL_CTX_get_default_passwd_cb_userdata(SSL_CTX *ctx)
3251 {
3252     return ctx->default_passwd_callback_userdata;
3253 }
3254
3255 void SSL_set_default_passwd_cb(SSL *s, pem_password_cb *cb)
3256 {
3257     s->default_passwd_callback = cb;
3258 }
3259
3260 void SSL_set_default_passwd_cb_userdata(SSL *s, void *u)
3261 {
3262     s->default_passwd_callback_userdata = u;
3263 }
3264
3265 pem_password_cb *SSL_get_default_passwd_cb(SSL *s)
3266 {
3267     return s->default_passwd_callback;
3268 }
3269
3270 void *SSL_get_default_passwd_cb_userdata(SSL *s)
3271 {
3272     return s->default_passwd_callback_userdata;
3273 }
3274
3275 void SSL_CTX_set_cert_verify_callback(SSL_CTX *ctx,
3276                                       int (*cb) (X509_STORE_CTX *, void *),
3277                                       void *arg)
3278 {
3279     ctx->app_verify_callback = cb;
3280     ctx->app_verify_arg = arg;
3281 }
3282
3283 void SSL_CTX_set_verify(SSL_CTX *ctx, int mode,
3284                         int (*cb) (int, X509_STORE_CTX *))
3285 {
3286     ctx->verify_mode = mode;
3287     ctx->default_verify_callback = cb;
3288 }
3289
3290 void SSL_CTX_set_verify_depth(SSL_CTX *ctx, int depth)
3291 {
3292     X509_VERIFY_PARAM_set_depth(ctx->param, depth);
3293 }
3294
3295 void SSL_CTX_set_cert_cb(SSL_CTX *c, int (*cb) (SSL *ssl, void *arg), void *arg)
3296 {
3297     ssl_cert_set_cert_cb(c->cert, cb, arg);
3298 }
3299
3300 void SSL_set_cert_cb(SSL *s, int (*cb) (SSL *ssl, void *arg), void *arg)
3301 {
3302     ssl_cert_set_cert_cb(s->cert, cb, arg);
3303 }
3304
3305 void ssl_set_masks(SSL *s)
3306 {
3307     CERT *c = s->cert;
3308     uint32_t *pvalid = s->s3->tmp.valid_flags;
3309     int rsa_enc, rsa_sign, dh_tmp, dsa_sign;
3310     unsigned long mask_k, mask_a;
3311 #ifndef OPENSSL_NO_EC
3312     int have_ecc_cert, ecdsa_ok;
3313 #endif
3314     if (c == NULL)
3315         return;
3316
3317 #ifndef OPENSSL_NO_DH
3318     dh_tmp = (c->dh_tmp != NULL || c->dh_tmp_cb != NULL || c->dh_tmp_auto);
3319 #else
3320     dh_tmp = 0;
3321 #endif
3322
3323     rsa_enc = pvalid[SSL_PKEY_RSA] & CERT_PKEY_VALID;
3324     rsa_sign = pvalid[SSL_PKEY_RSA] & CERT_PKEY_VALID;
3325     dsa_sign = pvalid[SSL_PKEY_DSA_SIGN] & CERT_PKEY_VALID;
3326 #ifndef OPENSSL_NO_EC
3327     have_ecc_cert = pvalid[SSL_PKEY_ECC] & CERT_PKEY_VALID;
3328 #endif
3329     mask_k = 0;
3330     mask_a = 0;
3331
3332 #ifdef CIPHER_DEBUG
3333     fprintf(stderr, "dht=%d re=%d rs=%d ds=%d\n",
3334             dh_tmp, rsa_enc, rsa_sign, dsa_sign);
3335 #endif
3336
3337 #ifndef OPENSSL_NO_GOST
3338     if (ssl_has_cert(s, SSL_PKEY_GOST12_512)) {
3339         mask_k |= SSL_kGOST;
3340         mask_a |= SSL_aGOST12;
3341     }
3342     if (ssl_has_cert(s, SSL_PKEY_GOST12_256)) {
3343         mask_k |= SSL_kGOST;
3344         mask_a |= SSL_aGOST12;
3345     }
3346     if (ssl_has_cert(s, SSL_PKEY_GOST01)) {
3347         mask_k |= SSL_kGOST;
3348         mask_a |= SSL_aGOST01;
3349     }
3350 #endif
3351
3352     if (rsa_enc)
3353         mask_k |= SSL_kRSA;
3354
3355     if (dh_tmp)
3356         mask_k |= SSL_kDHE;
3357
3358     /*
3359      * If we only have an RSA-PSS certificate allow RSA authentication
3360      * if TLS 1.2 and peer supports it.
3361      */
3362
3363     if (rsa_enc || rsa_sign || (ssl_has_cert(s, SSL_PKEY_RSA_PSS_SIGN)
3364                 && pvalid[SSL_PKEY_RSA_PSS_SIGN] & CERT_PKEY_EXPLICIT_SIGN
3365                 && TLS1_get_version(s) == TLS1_2_VERSION))
3366         mask_a |= SSL_aRSA;
3367
3368     if (dsa_sign) {
3369         mask_a |= SSL_aDSS;
3370     }
3371
3372     mask_a |= SSL_aNULL;
3373
3374     /*
3375      * An ECC certificate may be usable for ECDH and/or ECDSA cipher suites
3376      * depending on the key usage extension.
3377      */
3378 #ifndef OPENSSL_NO_EC
3379     if (have_ecc_cert) {
3380         uint32_t ex_kusage;
3381         ex_kusage = X509_get_key_usage(c->pkeys[SSL_PKEY_ECC].x509);
3382         ecdsa_ok = ex_kusage & X509v3_KU_DIGITAL_SIGNATURE;
3383         if (!(pvalid[SSL_PKEY_ECC] & CERT_PKEY_SIGN))
3384             ecdsa_ok = 0;
3385         if (ecdsa_ok)
3386             mask_a |= SSL_aECDSA;
3387     }
3388     /* Allow Ed25519 for TLS 1.2 if peer supports it */
3389     if (!(mask_a & SSL_aECDSA) && ssl_has_cert(s, SSL_PKEY_ED25519)
3390             && pvalid[SSL_PKEY_ED25519] & CERT_PKEY_EXPLICIT_SIGN
3391             && TLS1_get_version(s) == TLS1_2_VERSION)
3392             mask_a |= SSL_aECDSA;
3393
3394     /* Allow Ed448 for TLS 1.2 if peer supports it */
3395     if (!(mask_a & SSL_aECDSA) && ssl_has_cert(s, SSL_PKEY_ED448)
3396             && pvalid[SSL_PKEY_ED448] & CERT_PKEY_EXPLICIT_SIGN
3397             && TLS1_get_version(s) == TLS1_2_VERSION)
3398             mask_a |= SSL_aECDSA;
3399 #endif
3400
3401 #ifndef OPENSSL_NO_EC
3402     mask_k |= SSL_kECDHE;
3403 #endif
3404
3405 #ifndef OPENSSL_NO_PSK
3406     mask_k |= SSL_kPSK;
3407     mask_a |= SSL_aPSK;
3408     if (mask_k & SSL_kRSA)
3409         mask_k |= SSL_kRSAPSK;
3410     if (mask_k & SSL_kDHE)
3411         mask_k |= SSL_kDHEPSK;
3412     if (mask_k & SSL_kECDHE)
3413         mask_k |= SSL_kECDHEPSK;
3414 #endif
3415
3416     s->s3->tmp.mask_k = mask_k;
3417     s->s3->tmp.mask_a = mask_a;
3418 }
3419
3420 #ifndef OPENSSL_NO_EC
3421
3422 int ssl_check_srvr_ecc_cert_and_alg(X509 *x, SSL *s)
3423 {
3424     if (s->s3->tmp.new_cipher->algorithm_auth & SSL_aECDSA) {
3425         /* key usage, if present, must allow signing */
3426         if (!(X509_get_key_usage(x) & X509v3_KU_DIGITAL_SIGNATURE)) {
3427             SSLerr(SSL_F_SSL_CHECK_SRVR_ECC_CERT_AND_ALG,
3428                    SSL_R_ECC_CERT_NOT_FOR_SIGNING);
3429             return 0;
3430         }
3431     }
3432     return 1;                   /* all checks are ok */
3433 }
3434
3435 #endif
3436
3437 int ssl_get_server_cert_serverinfo(SSL *s, const unsigned char **serverinfo,
3438                                    size_t *serverinfo_length)
3439 {
3440     CERT_PKEY *cpk = s->s3->tmp.cert;
3441     *serverinfo_length = 0;
3442
3443     if (cpk == NULL || cpk->serverinfo == NULL)
3444         return 0;
3445
3446     *serverinfo = cpk->serverinfo;
3447     *serverinfo_length = cpk->serverinfo_length;
3448     return 1;
3449 }
3450
3451 void ssl_update_cache(SSL *s, int mode)
3452 {
3453     int i;
3454
3455     /*
3456      * If the session_id_length is 0, we are not supposed to cache it, and it
3457      * would be rather hard to do anyway :-)
3458      */
3459     if (s->session->session_id_length == 0)
3460         return;
3461
3462     /*
3463      * If sid_ctx_length is 0 there is no specific application context
3464      * associated with this session, so when we try to resume it and
3465      * SSL_VERIFY_PEER is requested to verify the client identity, we have no
3466      * indication that this is actually a session for the proper application
3467      * context, and the *handshake* will fail, not just the resumption attempt.
3468      * Do not cache (on the server) these sessions that are not resumable
3469      * (clients can set SSL_VERIFY_PEER without needing a sid_ctx set).
3470      */
3471     if (s->server && s->session->sid_ctx_length == 0
3472             && (s->verify_mode & SSL_VERIFY_PEER) != 0)
3473         return;
3474
3475     i = s->session_ctx->session_cache_mode;
3476     if ((i & mode) != 0
3477         && (!s->hit || SSL_IS_TLS13(s))) {
3478         /*
3479          * Add the session to the internal cache. In server side TLSv1.3 we
3480          * normally don't do this because by default it's a full stateless ticket
3481          * with only a dummy session id so there is no reason to cache it,
3482          * unless:
3483          * - we are doing early_data, in which case we cache so that we can
3484          *   detect replays
3485          * - the application has set a remove_session_cb so needs to know about
3486          *   session timeout events
3487          * - SSL_OP_NO_TICKET is set in which case it is a stateful ticket
3488          */
3489         if ((i & SSL_SESS_CACHE_NO_INTERNAL_STORE) == 0
3490                 && (!SSL_IS_TLS13(s)
3491                     || !s->server
3492                     || (s->max_early_data > 0
3493                         && (s->options & SSL_OP_NO_ANTI_REPLAY) == 0)
3494                     || s->session_ctx->remove_session_cb != NULL
3495                     || (s->options & SSL_OP_NO_TICKET) != 0))
3496             SSL_CTX_add_session(s->session_ctx, s->session);
3497
3498         /*
3499          * Add the session to the external cache. We do this even in server side
3500          * TLSv1.3 without early data because some applications just want to
3501          * know about the creation of a session and aren't doing a full cache.
3502          */
3503         if (s->session_ctx->new_session_cb != NULL) {
3504             SSL_SESSION_up_ref(s->session);
3505             if (!s->session_ctx->new_session_cb(s, s->session))
3506                 SSL_SESSION_free(s->session);
3507         }
3508     }
3509
3510     /* auto flush every 255 connections */
3511     if ((!(i & SSL_SESS_CACHE_NO_AUTO_CLEAR)) && ((i & mode) == mode)) {
3512         TSAN_QUALIFIER int *stat;
3513         if (mode & SSL_SESS_CACHE_CLIENT)
3514             stat = &s->session_ctx->stats.sess_connect_good;
3515         else
3516             stat = &s->session_ctx->stats.sess_accept_good;
3517         if ((tsan_load(stat) & 0xff) == 0xff)
3518             SSL_CTX_flush_sessions(s->session_ctx, (unsigned long)time(NULL));
3519     }
3520 }
3521
3522 const SSL_METHOD *SSL_CTX_get_ssl_method(const SSL_CTX *ctx)
3523 {
3524     return ctx->method;
3525 }
3526
3527 const SSL_METHOD *SSL_get_ssl_method(const SSL *s)
3528 {
3529     return s->method;
3530 }
3531
3532 int SSL_set_ssl_method(SSL *s, const SSL_METHOD *meth)
3533 {
3534     int ret = 1;
3535
3536     if (s->method != meth) {
3537         const SSL_METHOD *sm = s->method;
3538         int (*hf) (SSL *) = s->handshake_func;
3539
3540         if (sm->version == meth->version)
3541             s->method = meth;
3542         else {
3543             sm->ssl_free(s);
3544             s->method = meth;
3545             ret = s->method->ssl_new(s);
3546         }
3547
3548         if (hf == sm->ssl_connect)
3549             s->handshake_func = meth->ssl_connect;
3550         else if (hf == sm->ssl_accept)
3551             s->handshake_func = meth->ssl_accept;
3552     }
3553     return ret;
3554 }
3555
3556 int SSL_get_error(const SSL *s, int i)
3557 {
3558     int reason;
3559     unsigned long l;
3560     BIO *bio;
3561
3562     if (i > 0)
3563         return SSL_ERROR_NONE;
3564
3565     /*
3566      * Make things return SSL_ERROR_SYSCALL when doing SSL_do_handshake etc,
3567      * where we do encode the error
3568      */
3569     if ((l = ERR_peek_error()) != 0) {
3570         if (ERR_GET_LIB(l) == ERR_LIB_SYS)
3571             return SSL_ERROR_SYSCALL;
3572         else
3573             return SSL_ERROR_SSL;
3574     }
3575
3576     if (SSL_want_read(s)) {
3577         bio = SSL_get_rbio(s);
3578         if (BIO_should_read(bio))
3579             return SSL_ERROR_WANT_READ;
3580         else if (BIO_should_write(bio))
3581             /*
3582              * This one doesn't make too much sense ... We never try to write
3583              * to the rbio, and an application program where rbio and wbio
3584              * are separate couldn't even know what it should wait for.
3585              * However if we ever set s->rwstate incorrectly (so that we have
3586              * SSL_want_read(s) instead of SSL_want_write(s)) and rbio and
3587              * wbio *are* the same, this test works around that bug; so it
3588              * might be safer to keep it.
3589              */
3590             return SSL_ERROR_WANT_WRITE;
3591         else if (BIO_should_io_special(bio)) {
3592             reason = BIO_get_retry_reason(bio);
3593             if (reason == BIO_RR_CONNECT)
3594                 return SSL_ERROR_WANT_CONNECT;
3595             else if (reason == BIO_RR_ACCEPT)
3596                 return SSL_ERROR_WANT_ACCEPT;
3597             else
3598                 return SSL_ERROR_SYSCALL; /* unknown */
3599         }
3600     }
3601
3602     if (SSL_want_write(s)) {
3603         /* Access wbio directly - in order to use the buffered bio if present */
3604         bio = s->wbio;
3605         if (BIO_should_write(bio))
3606             return SSL_ERROR_WANT_WRITE;
3607         else if (BIO_should_read(bio))
3608             /*
3609              * See above (SSL_want_read(s) with BIO_should_write(bio))
3610              */
3611             return SSL_ERROR_WANT_READ;
3612         else if (BIO_should_io_special(bio)) {
3613             reason = BIO_get_retry_reason(bio);
3614             if (reason == BIO_RR_CONNECT)
3615                 return SSL_ERROR_WANT_CONNECT;
3616             else if (reason == BIO_RR_ACCEPT)
3617                 return SSL_ERROR_WANT_ACCEPT;
3618             else
3619                 return SSL_ERROR_SYSCALL;
3620         }
3621     }
3622     if (SSL_want_x509_lookup(s))
3623         return SSL_ERROR_WANT_X509_LOOKUP;
3624     if (SSL_want_async(s))
3625         return SSL_ERROR_WANT_ASYNC;
3626     if (SSL_want_async_job(s))
3627         return SSL_ERROR_WANT_ASYNC_JOB;
3628     if (SSL_want_client_hello_cb(s))
3629         return SSL_ERROR_WANT_CLIENT_HELLO_CB;
3630
3631     if ((s->shutdown & SSL_RECEIVED_SHUTDOWN) &&
3632         (s->s3->warn_alert == SSL_AD_CLOSE_NOTIFY))
3633         return SSL_ERROR_ZERO_RETURN;
3634
3635     return SSL_ERROR_SYSCALL;
3636 }
3637
3638 static int ssl_do_handshake_intern(void *vargs)
3639 {
3640     struct ssl_async_args *args;
3641     SSL *s;
3642
3643     args = (struct ssl_async_args *)vargs;
3644     s = args->s;
3645
3646     return s->handshake_func(s);
3647 }
3648
3649 int SSL_do_handshake(SSL *s)
3650 {
3651     int ret = 1;
3652
3653     if (s->handshake_func == NULL) {
3654         SSLerr(SSL_F_SSL_DO_HANDSHAKE, SSL_R_CONNECTION_TYPE_NOT_SET);
3655         return -1;
3656     }
3657
3658     ossl_statem_check_finish_init(s, -1);
3659
3660     s->method->ssl_renegotiate_check(s, 0);
3661
3662     if (SSL_in_init(s) || SSL_in_before(s)) {
3663         if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
3664             struct ssl_async_args args;
3665
3666             args.s = s;
3667
3668             ret = ssl_start_async_job(s, &args, ssl_do_handshake_intern);
3669         } else {
3670             ret = s->handshake_func(s);
3671         }
3672     }
3673     return ret;
3674 }
3675
3676 void SSL_set_accept_state(SSL *s)
3677 {
3678     s->server = 1;
3679     s->shutdown = 0;
3680     ossl_statem_clear(s);
3681     s->handshake_func = s->method->ssl_accept;
3682     clear_ciphers(s);
3683 }
3684
3685 void SSL_set_connect_state(SSL *s)
3686 {
3687     s->server = 0;
3688     s->shutdown = 0;
3689     ossl_statem_clear(s);
3690     s->handshake_func = s->method->ssl_connect;
3691     clear_ciphers(s);
3692 }
3693
3694 int ssl_undefined_function(SSL *s)
3695 {
3696     SSLerr(SSL_F_SSL_UNDEFINED_FUNCTION, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
3697     return 0;
3698 }
3699
3700 int ssl_undefined_void_function(void)
3701 {
3702     SSLerr(SSL_F_SSL_UNDEFINED_VOID_FUNCTION,
3703            ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
3704     return 0;
3705 }
3706
3707 int ssl_undefined_const_function(const SSL *s)
3708 {
3709     return 0;
3710 }
3711
3712 const SSL_METHOD *ssl_bad_method(int ver)
3713 {
3714     SSLerr(SSL_F_SSL_BAD_METHOD, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
3715     return NULL;
3716 }
3717
3718 const char *ssl_protocol_to_string(int version)
3719 {
3720     switch(version)
3721     {
3722     case TLS1_3_VERSION:
3723         return "TLSv1.3";
3724
3725     case TLS1_2_VERSION:
3726         return "TLSv1.2";
3727
3728     case TLS1_1_VERSION:
3729         return "TLSv1.1";
3730
3731     case TLS1_VERSION:
3732         return "TLSv1";
3733
3734     case SSL3_VERSION:
3735         return "SSLv3";
3736
3737     case DTLS1_BAD_VER:
3738         return "DTLSv0.9";
3739
3740     case DTLS1_VERSION:
3741         return "DTLSv1";
3742
3743     case DTLS1_2_VERSION:
3744         return "DTLSv1.2";
3745
3746     default:
3747         return "unknown";
3748     }
3749 }
3750
3751 const char *SSL_get_version(const SSL *s)
3752 {
3753     return ssl_protocol_to_string(s->version);
3754 }
3755
3756 static int dup_ca_names(STACK_OF(X509_NAME) **dst, STACK_OF(X509_NAME) *src)
3757 {
3758     STACK_OF(X509_NAME) *sk;
3759     X509_NAME *xn;
3760     int i;
3761
3762     if (src == NULL) {
3763         *dst = NULL;
3764         return 1;
3765     }
3766
3767     if ((sk = sk_X509_NAME_new_null()) == NULL)
3768         return 0;
3769     for (i = 0; i < sk_X509_NAME_num(src); i++) {
3770         xn = X509_NAME_dup(sk_X509_NAME_value(src, i));
3771         if (xn == NULL) {
3772             sk_X509_NAME_pop_free(sk, X509_NAME_free);
3773             return 0;
3774         }
3775         if (sk_X509_NAME_insert(sk, xn, i) == 0) {
3776             X509_NAME_free(xn);
3777             sk_X509_NAME_pop_free(sk, X509_NAME_free);
3778             return 0;
3779         }
3780     }
3781     *dst = sk;
3782
3783     return 1;
3784 }
3785
3786 SSL *SSL_dup(SSL *s)
3787 {
3788     SSL *ret;
3789     int i;
3790
3791     /* If we're not quiescent, just up_ref! */
3792     if (!SSL_in_init(s) || !SSL_in_before(s)) {
3793         CRYPTO_UP_REF(&s->references, &i, s->lock);
3794         return s;
3795     }
3796
3797     /*
3798      * Otherwise, copy configuration state, and session if set.
3799      */
3800     if ((ret = SSL_new(SSL_get_SSL_CTX(s))) == NULL)
3801         return NULL;
3802
3803     if (s->session != NULL) {
3804         /*
3805          * Arranges to share the same session via up_ref.  This "copies"
3806          * session-id, SSL_METHOD, sid_ctx, and 'cert'
3807          */
3808         if (!SSL_copy_session_id(ret, s))
3809             goto err;
3810     } else {
3811         /*
3812          * No session has been established yet, so we have to expect that
3813          * s->cert or ret->cert will be changed later -- they should not both
3814          * point to the same object, and thus we can't use
3815          * SSL_copy_session_id.
3816          */
3817         if (!SSL_set_ssl_method(ret, s->method))
3818             goto err;
3819
3820         if (s->cert != NULL) {
3821             ssl_cert_free(ret->cert);
3822             ret->cert = ssl_cert_dup(s->cert);
3823             if (ret->cert == NULL)
3824                 goto err;
3825         }
3826
3827         if (!SSL_set_session_id_context(ret, s->sid_ctx,
3828                                         (int)s->sid_ctx_length))
3829             goto err;
3830     }
3831
3832     if (!ssl_dane_dup(ret, s))
3833         goto err;
3834     ret->version = s->version;
3835     ret->options = s->options;
3836     ret->mode = s->mode;
3837     SSL_set_max_cert_list(ret, SSL_get_max_cert_list(s));
3838     SSL_set_read_ahead(ret, SSL_get_read_ahead(s));
3839     ret->msg_callback = s->msg_callback;
3840     ret->msg_callback_arg = s->msg_callback_arg;
3841     SSL_set_verify(ret, SSL_get_verify_mode(s), SSL_get_verify_callback(s));
3842     SSL_set_verify_depth(ret, SSL_get_verify_depth(s));
3843     ret->generate_session_id = s->generate_session_id;
3844
3845     SSL_set_info_callback(ret, SSL_get_info_callback(s));
3846
3847     /* copy app data, a little dangerous perhaps */
3848     if (!CRYPTO_dup_ex_data(CRYPTO_EX_INDEX_SSL, &ret->ex_data, &s->ex_data))
3849         goto err;
3850
3851     /* setup rbio, and wbio */
3852     if (s->rbio != NULL) {
3853         if (!BIO_dup_state(s->rbio, (char *)&ret->rbio))
3854             goto err;
3855     }
3856     if (s->wbio != NULL) {
3857         if (s->wbio != s->rbio) {
3858             if (!BIO_dup_state(s->wbio, (char *)&ret->wbio))
3859                 goto err;
3860         } else {
3861             BIO_up_ref(ret->rbio);
3862             ret->wbio = ret->rbio;
3863         }
3864     }
3865
3866     ret->server = s->server;
3867     if (s->handshake_func) {
3868         if (s->server)
3869             SSL_set_accept_state(ret);
3870         else
3871             SSL_set_connect_state(ret);
3872     }
3873     ret->shutdown = s->shutdown;
3874     ret->hit = s->hit;
3875
3876     ret->default_passwd_callback = s->default_passwd_callback;
3877     ret->default_passwd_callback_userdata = s->default_passwd_callback_userdata;
3878
3879     X509_VERIFY_PARAM_inherit(ret->param, s->param);
3880
3881     /* dup the cipher_list and cipher_list_by_id stacks */
3882     if (s->cipher_list != NULL) {
3883         if ((ret->cipher_list = sk_SSL_CIPHER_dup(s->cipher_list)) == NULL)
3884             goto err;
3885     }
3886     if (s->cipher_list_by_id != NULL)
3887         if ((ret->cipher_list_by_id = sk_SSL_CIPHER_dup(s->cipher_list_by_id))
3888             == NULL)
3889             goto err;
3890
3891     /* Dup the client_CA list */
3892     if (!dup_ca_names(&ret->ca_names, s->ca_names)
3893             || !dup_ca_names(&ret->client_ca_names, s->client_ca_names))
3894         goto err;
3895
3896     return ret;
3897
3898  err:
3899     SSL_free(ret);
3900     return NULL;
3901 }
3902
3903 void ssl_clear_cipher_ctx(SSL *s)
3904 {
3905     if (s->enc_read_ctx != NULL) {
3906         EVP_CIPHER_CTX_free(s->enc_read_ctx);
3907         s->enc_read_ctx = NULL;
3908     }
3909     if (s->enc_write_ctx != NULL) {
3910         EVP_CIPHER_CTX_free(s->enc_write_ctx);
3911         s->enc_write_ctx = NULL;
3912     }
3913 #ifndef OPENSSL_NO_COMP
3914     COMP_CTX_free(s->expand);
3915     s->expand = NULL;
3916     COMP_CTX_free(s->compress);
3917     s->compress = NULL;
3918 #endif
3919 }
3920
3921 X509 *SSL_get_certificate(const SSL *s)
3922 {
3923     if (s->cert != NULL)
3924         return s->cert->key->x509;
3925     else
3926         return NULL;
3927 }
3928
3929 EVP_PKEY *SSL_get_privatekey(const SSL *s)
3930 {
3931     if (s->cert != NULL)
3932         return s->cert->key->privatekey;
3933     else
3934         return NULL;
3935 }
3936
3937 X509 *SSL_CTX_get0_certificate(const SSL_CTX *ctx)
3938 {
3939     if (ctx->cert != NULL)
3940         return ctx->cert->key->x509;
3941     else
3942         return NULL;
3943 }
3944
3945 EVP_PKEY *SSL_CTX_get0_privatekey(const SSL_CTX *ctx)
3946 {
3947     if (ctx->cert != NULL)
3948         return ctx->cert->key->privatekey;
3949     else
3950         return NULL;
3951 }
3952
3953 const SSL_CIPHER *SSL_get_current_cipher(const SSL *s)
3954 {
3955     if ((s->session != NULL) && (s->session->cipher != NULL))
3956         return s->session->cipher;
3957     return NULL;
3958 }
3959
3960 const SSL_CIPHER *SSL_get_pending_cipher(const SSL *s)
3961 {
3962     return s->s3->tmp.new_cipher;
3963 }
3964
3965 const COMP_METHOD *SSL_get_current_compression(const SSL *s)
3966 {
3967 #ifndef OPENSSL_NO_COMP