Remove unnecessary #include <openssl/lhash.h> directives.
[openssl.git] / ssl / ssl_lib.c
1 /*
2  * Copyright 1995-2017 The OpenSSL Project Authors. All Rights Reserved.
3  * Copyright (c) 2002, Oracle and/or its affiliates. All rights reserved
4  * Copyright 2005 Nokia. All rights reserved.
5  *
6  * Licensed under the OpenSSL license (the "License").  You may not use
7  * this file except in compliance with the License.  You can obtain a copy
8  * in the file LICENSE in the source distribution or at
9  * https://www.openssl.org/source/license.html
10  */
11
12 #include <stdio.h>
13 #include "ssl_locl.h"
14 #include <openssl/objects.h>
15 #include <openssl/x509v3.h>
16 #include <openssl/rand.h>
17 #include <openssl/ocsp.h>
18 #include <openssl/dh.h>
19 #include <openssl/engine.h>
20 #include <openssl/async.h>
21 #include <openssl/ct.h>
22 #include "internal/cryptlib.h"
23 #include "internal/rand.h"
24 #include "internal/refcount.h"
25
26 const char SSL_version_str[] = OPENSSL_VERSION_TEXT;
27
28 SSL3_ENC_METHOD ssl3_undef_enc_method = {
29     /*
30      * evil casts, but these functions are only called if there's a library
31      * bug
32      */
33     (int (*)(SSL *, SSL3_RECORD *, size_t, int))ssl_undefined_function,
34     (int (*)(SSL *, SSL3_RECORD *, unsigned char *, int))ssl_undefined_function,
35     ssl_undefined_function,
36     (int (*)(SSL *, unsigned char *, unsigned char *, size_t, size_t *))
37         ssl_undefined_function,
38     (int (*)(SSL *, int))ssl_undefined_function,
39     (size_t (*)(SSL *, const char *, size_t, unsigned char *))
40         ssl_undefined_function,
41     NULL,                       /* client_finished_label */
42     0,                          /* client_finished_label_len */
43     NULL,                       /* server_finished_label */
44     0,                          /* server_finished_label_len */
45     (int (*)(int))ssl_undefined_function,
46     (int (*)(SSL *, unsigned char *, size_t, const char *,
47              size_t, const unsigned char *, size_t,
48              int use_context))ssl_undefined_function,
49 };
50
51 struct ssl_async_args {
52     SSL *s;
53     void *buf;
54     size_t num;
55     enum { READFUNC, WRITEFUNC, OTHERFUNC } type;
56     union {
57         int (*func_read) (SSL *, void *, size_t, size_t *);
58         int (*func_write) (SSL *, const void *, size_t, size_t *);
59         int (*func_other) (SSL *);
60     } f;
61 };
62
63 static const struct {
64     uint8_t mtype;
65     uint8_t ord;
66     int nid;
67 } dane_mds[] = {
68     {
69         DANETLS_MATCHING_FULL, 0, NID_undef
70     },
71     {
72         DANETLS_MATCHING_2256, 1, NID_sha256
73     },
74     {
75         DANETLS_MATCHING_2512, 2, NID_sha512
76     },
77 };
78
79 static int dane_ctx_enable(struct dane_ctx_st *dctx)
80 {
81     const EVP_MD **mdevp;
82     uint8_t *mdord;
83     uint8_t mdmax = DANETLS_MATCHING_LAST;
84     int n = ((int)mdmax) + 1;   /* int to handle PrivMatch(255) */
85     size_t i;
86
87     if (dctx->mdevp != NULL)
88         return 1;
89
90     mdevp = OPENSSL_zalloc(n * sizeof(*mdevp));
91     mdord = OPENSSL_zalloc(n * sizeof(*mdord));
92
93     if (mdord == NULL || mdevp == NULL) {
94         OPENSSL_free(mdord);
95         OPENSSL_free(mdevp);
96         SSLerr(SSL_F_DANE_CTX_ENABLE, ERR_R_MALLOC_FAILURE);
97         return 0;
98     }
99
100     /* Install default entries */
101     for (i = 0; i < OSSL_NELEM(dane_mds); ++i) {
102         const EVP_MD *md;
103
104         if (dane_mds[i].nid == NID_undef ||
105             (md = EVP_get_digestbynid(dane_mds[i].nid)) == NULL)
106             continue;
107         mdevp[dane_mds[i].mtype] = md;
108         mdord[dane_mds[i].mtype] = dane_mds[i].ord;
109     }
110
111     dctx->mdevp = mdevp;
112     dctx->mdord = mdord;
113     dctx->mdmax = mdmax;
114
115     return 1;
116 }
117
118 static void dane_ctx_final(struct dane_ctx_st *dctx)
119 {
120     OPENSSL_free(dctx->mdevp);
121     dctx->mdevp = NULL;
122
123     OPENSSL_free(dctx->mdord);
124     dctx->mdord = NULL;
125     dctx->mdmax = 0;
126 }
127
128 static void tlsa_free(danetls_record *t)
129 {
130     if (t == NULL)
131         return;
132     OPENSSL_free(t->data);
133     EVP_PKEY_free(t->spki);
134     OPENSSL_free(t);
135 }
136
137 static void dane_final(SSL_DANE *dane)
138 {
139     sk_danetls_record_pop_free(dane->trecs, tlsa_free);
140     dane->trecs = NULL;
141
142     sk_X509_pop_free(dane->certs, X509_free);
143     dane->certs = NULL;
144
145     X509_free(dane->mcert);
146     dane->mcert = NULL;
147     dane->mtlsa = NULL;
148     dane->mdpth = -1;
149     dane->pdpth = -1;
150 }
151
152 /*
153  * dane_copy - Copy dane configuration, sans verification state.
154  */
155 static int ssl_dane_dup(SSL *to, SSL *from)
156 {
157     int num;
158     int i;
159
160     if (!DANETLS_ENABLED(&from->dane))
161         return 1;
162
163     num = sk_danetls_record_num(from->dane.trecs);
164     dane_final(&to->dane);
165     to->dane.flags = from->dane.flags;
166     to->dane.dctx = &to->ctx->dane;
167     to->dane.trecs = sk_danetls_record_new_null();
168
169     if (to->dane.trecs == NULL) {
170         SSLerr(SSL_F_SSL_DANE_DUP, ERR_R_MALLOC_FAILURE);
171         return 0;
172     }
173     if (!sk_danetls_record_reserve(to->dane.trecs, num))
174         return 0;
175
176     for (i = 0; i < num; ++i) {
177         danetls_record *t = sk_danetls_record_value(from->dane.trecs, i);
178
179         if (SSL_dane_tlsa_add(to, t->usage, t->selector, t->mtype,
180                               t->data, t->dlen) <= 0)
181             return 0;
182     }
183     return 1;
184 }
185
186 static int dane_mtype_set(struct dane_ctx_st *dctx,
187                           const EVP_MD *md, uint8_t mtype, uint8_t ord)
188 {
189     int i;
190
191     if (mtype == DANETLS_MATCHING_FULL && md != NULL) {
192         SSLerr(SSL_F_DANE_MTYPE_SET, SSL_R_DANE_CANNOT_OVERRIDE_MTYPE_FULL);
193         return 0;
194     }
195
196     if (mtype > dctx->mdmax) {
197         const EVP_MD **mdevp;
198         uint8_t *mdord;
199         int n = ((int)mtype) + 1;
200
201         mdevp = OPENSSL_realloc(dctx->mdevp, n * sizeof(*mdevp));
202         if (mdevp == NULL) {
203             SSLerr(SSL_F_DANE_MTYPE_SET, ERR_R_MALLOC_FAILURE);
204             return -1;
205         }
206         dctx->mdevp = mdevp;
207
208         mdord = OPENSSL_realloc(dctx->mdord, n * sizeof(*mdord));
209         if (mdord == NULL) {
210             SSLerr(SSL_F_DANE_MTYPE_SET, ERR_R_MALLOC_FAILURE);
211             return -1;
212         }
213         dctx->mdord = mdord;
214
215         /* Zero-fill any gaps */
216         for (i = dctx->mdmax + 1; i < mtype; ++i) {
217             mdevp[i] = NULL;
218             mdord[i] = 0;
219         }
220
221         dctx->mdmax = mtype;
222     }
223
224     dctx->mdevp[mtype] = md;
225     /* Coerce ordinal of disabled matching types to 0 */
226     dctx->mdord[mtype] = (md == NULL) ? 0 : ord;
227
228     return 1;
229 }
230
231 static const EVP_MD *tlsa_md_get(SSL_DANE *dane, uint8_t mtype)
232 {
233     if (mtype > dane->dctx->mdmax)
234         return NULL;
235     return dane->dctx->mdevp[mtype];
236 }
237
238 static int dane_tlsa_add(SSL_DANE *dane,
239                          uint8_t usage,
240                          uint8_t selector,
241                          uint8_t mtype, unsigned char *data, size_t dlen)
242 {
243     danetls_record *t;
244     const EVP_MD *md = NULL;
245     int ilen = (int)dlen;
246     int i;
247     int num;
248
249     if (dane->trecs == NULL) {
250         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_NOT_ENABLED);
251         return -1;
252     }
253
254     if (ilen < 0 || dlen != (size_t)ilen) {
255         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_DATA_LENGTH);
256         return 0;
257     }
258
259     if (usage > DANETLS_USAGE_LAST) {
260         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_CERTIFICATE_USAGE);
261         return 0;
262     }
263
264     if (selector > DANETLS_SELECTOR_LAST) {
265         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_SELECTOR);
266         return 0;
267     }
268
269     if (mtype != DANETLS_MATCHING_FULL) {
270         md = tlsa_md_get(dane, mtype);
271         if (md == NULL) {
272             SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_MATCHING_TYPE);
273             return 0;
274         }
275     }
276
277     if (md != NULL && dlen != (size_t)EVP_MD_size(md)) {
278         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_DIGEST_LENGTH);
279         return 0;
280     }
281     if (!data) {
282         SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_NULL_DATA);
283         return 0;
284     }
285
286     if ((t = OPENSSL_zalloc(sizeof(*t))) == NULL) {
287         SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
288         return -1;
289     }
290
291     t->usage = usage;
292     t->selector = selector;
293     t->mtype = mtype;
294     t->data = OPENSSL_malloc(dlen);
295     if (t->data == NULL) {
296         tlsa_free(t);
297         SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
298         return -1;
299     }
300     memcpy(t->data, data, dlen);
301     t->dlen = dlen;
302
303     /* Validate and cache full certificate or public key */
304     if (mtype == DANETLS_MATCHING_FULL) {
305         const unsigned char *p = data;
306         X509 *cert = NULL;
307         EVP_PKEY *pkey = NULL;
308
309         switch (selector) {
310         case DANETLS_SELECTOR_CERT:
311             if (!d2i_X509(&cert, &p, ilen) || p < data ||
312                 dlen != (size_t)(p - data)) {
313                 tlsa_free(t);
314                 SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_CERTIFICATE);
315                 return 0;
316             }
317             if (X509_get0_pubkey(cert) == NULL) {
318                 tlsa_free(t);
319                 SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_CERTIFICATE);
320                 return 0;
321             }
322
323             if ((DANETLS_USAGE_BIT(usage) & DANETLS_TA_MASK) == 0) {
324                 X509_free(cert);
325                 break;
326             }
327
328             /*
329              * For usage DANE-TA(2), we support authentication via "2 0 0" TLSA
330              * records that contain full certificates of trust-anchors that are
331              * not present in the wire chain.  For usage PKIX-TA(0), we augment
332              * the chain with untrusted Full(0) certificates from DNS, in case
333              * they are missing from the chain.
334              */
335             if ((dane->certs == NULL &&
336                  (dane->certs = sk_X509_new_null()) == NULL) ||
337                 !sk_X509_push(dane->certs, cert)) {
338                 SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
339                 X509_free(cert);
340                 tlsa_free(t);
341                 return -1;
342             }
343             break;
344
345         case DANETLS_SELECTOR_SPKI:
346             if (!d2i_PUBKEY(&pkey, &p, ilen) || p < data ||
347                 dlen != (size_t)(p - data)) {
348                 tlsa_free(t);
349                 SSLerr(SSL_F_DANE_TLSA_ADD, SSL_R_DANE_TLSA_BAD_PUBLIC_KEY);
350                 return 0;
351             }
352
353             /*
354              * For usage DANE-TA(2), we support authentication via "2 1 0" TLSA
355              * records that contain full bare keys of trust-anchors that are
356              * not present in the wire chain.
357              */
358             if (usage == DANETLS_USAGE_DANE_TA)
359                 t->spki = pkey;
360             else
361                 EVP_PKEY_free(pkey);
362             break;
363         }
364     }
365
366     /*-
367      * Find the right insertion point for the new record.
368      *
369      * See crypto/x509/x509_vfy.c.  We sort DANE-EE(3) records first, so that
370      * they can be processed first, as they require no chain building, and no
371      * expiration or hostname checks.  Because DANE-EE(3) is numerically
372      * largest, this is accomplished via descending sort by "usage".
373      *
374      * We also sort in descending order by matching ordinal to simplify
375      * the implementation of digest agility in the verification code.
376      *
377      * The choice of order for the selector is not significant, so we
378      * use the same descending order for consistency.
379      */
380     num = sk_danetls_record_num(dane->trecs);
381     for (i = 0; i < num; ++i) {
382         danetls_record *rec = sk_danetls_record_value(dane->trecs, i);
383
384         if (rec->usage > usage)
385             continue;
386         if (rec->usage < usage)
387             break;
388         if (rec->selector > selector)
389             continue;
390         if (rec->selector < selector)
391             break;
392         if (dane->dctx->mdord[rec->mtype] > dane->dctx->mdord[mtype])
393             continue;
394         break;
395     }
396
397     if (!sk_danetls_record_insert(dane->trecs, t, i)) {
398         tlsa_free(t);
399         SSLerr(SSL_F_DANE_TLSA_ADD, ERR_R_MALLOC_FAILURE);
400         return -1;
401     }
402     dane->umask |= DANETLS_USAGE_BIT(usage);
403
404     return 1;
405 }
406
407 /*
408  * Return 0 if there is only one version configured and it was disabled
409  * at configure time.  Return 1 otherwise.
410  */
411 static int ssl_check_allowed_versions(int min_version, int max_version)
412 {
413     int minisdtls = 0, maxisdtls = 0;
414
415     /* Figure out if we're doing DTLS versions or TLS versions */
416     if (min_version == DTLS1_BAD_VER
417         || min_version >> 8 == DTLS1_VERSION_MAJOR)
418         minisdtls = 1;
419     if (max_version == DTLS1_BAD_VER
420         || max_version >> 8 == DTLS1_VERSION_MAJOR)
421         maxisdtls = 1;
422     /* A wildcard version of 0 could be DTLS or TLS. */
423     if ((minisdtls && !maxisdtls && max_version != 0)
424         || (maxisdtls && !minisdtls && min_version != 0)) {
425         /* Mixing DTLS and TLS versions will lead to sadness; deny it. */
426         return 0;
427     }
428
429     if (minisdtls || maxisdtls) {
430         /* Do DTLS version checks. */
431         if (min_version == 0)
432             /* Ignore DTLS1_BAD_VER */
433             min_version = DTLS1_VERSION;
434         if (max_version == 0)
435             max_version = DTLS1_2_VERSION;
436 #ifdef OPENSSL_NO_DTLS1_2
437         if (max_version == DTLS1_2_VERSION)
438             max_version = DTLS1_VERSION;
439 #endif
440 #ifdef OPENSSL_NO_DTLS1
441         if (min_version == DTLS1_VERSION)
442             min_version = DTLS1_2_VERSION;
443 #endif
444         /* Done massaging versions; do the check. */
445         if (0
446 #ifdef OPENSSL_NO_DTLS1
447             || (DTLS_VERSION_GE(min_version, DTLS1_VERSION)
448                 && DTLS_VERSION_GE(DTLS1_VERSION, max_version))
449 #endif
450 #ifdef OPENSSL_NO_DTLS1_2
451             || (DTLS_VERSION_GE(min_version, DTLS1_2_VERSION)
452                 && DTLS_VERSION_GE(DTLS1_2_VERSION, max_version))
453 #endif
454             )
455             return 0;
456     } else {
457         /* Regular TLS version checks. */
458         if (min_version == 0)
459             min_version = SSL3_VERSION;
460         if (max_version == 0)
461             max_version = TLS1_3_VERSION;
462 #ifdef OPENSSL_NO_TLS1_3
463         if (max_version == TLS1_3_VERSION)
464             max_version = TLS1_2_VERSION;
465 #endif
466 #ifdef OPENSSL_NO_TLS1_2
467         if (max_version == TLS1_2_VERSION)
468             max_version = TLS1_1_VERSION;
469 #endif
470 #ifdef OPENSSL_NO_TLS1_1
471         if (max_version == TLS1_1_VERSION)
472             max_version = TLS1_VERSION;
473 #endif
474 #ifdef OPENSSL_NO_TLS1
475         if (max_version == TLS1_VERSION)
476             max_version = SSL3_VERSION;
477 #endif
478 #ifdef OPENSSL_NO_SSL3
479         if (min_version == SSL3_VERSION)
480             min_version = TLS1_VERSION;
481 #endif
482 #ifdef OPENSSL_NO_TLS1
483         if (min_version == TLS1_VERSION)
484             min_version = TLS1_1_VERSION;
485 #endif
486 #ifdef OPENSSL_NO_TLS1_1
487         if (min_version == TLS1_1_VERSION)
488             min_version = TLS1_2_VERSION;
489 #endif
490 #ifdef OPENSSL_NO_TLS1_2
491         if (min_version == TLS1_2_VERSION)
492             min_version = TLS1_3_VERSION;
493 #endif
494         /* Done massaging versions; do the check. */
495         if (0
496 #ifdef OPENSSL_NO_SSL3
497             || (min_version <= SSL3_VERSION && SSL3_VERSION <= max_version)
498 #endif
499 #ifdef OPENSSL_NO_TLS1
500             || (min_version <= TLS1_VERSION && TLS1_VERSION <= max_version)
501 #endif
502 #ifdef OPENSSL_NO_TLS1_1
503             || (min_version <= TLS1_1_VERSION && TLS1_1_VERSION <= max_version)
504 #endif
505 #ifdef OPENSSL_NO_TLS1_2
506             || (min_version <= TLS1_2_VERSION && TLS1_2_VERSION <= max_version)
507 #endif
508 #ifdef OPENSSL_NO_TLS1_3
509             || (min_version <= TLS1_3_VERSION && TLS1_3_VERSION <= max_version)
510 #endif
511             )
512             return 0;
513     }
514     return 1;
515 }
516
517 static void clear_ciphers(SSL *s)
518 {
519     /* clear the current cipher */
520     ssl_clear_cipher_ctx(s);
521     ssl_clear_hash_ctx(&s->read_hash);
522     ssl_clear_hash_ctx(&s->write_hash);
523 }
524
525 int SSL_clear(SSL *s)
526 {
527     if (s->method == NULL) {
528         SSLerr(SSL_F_SSL_CLEAR, SSL_R_NO_METHOD_SPECIFIED);
529         return 0;
530     }
531
532     if (ssl_clear_bad_session(s)) {
533         SSL_SESSION_free(s->session);
534         s->session = NULL;
535     }
536     SSL_SESSION_free(s->psksession);
537     s->psksession = NULL;
538     OPENSSL_free(s->psksession_id);
539     s->psksession_id = NULL;
540     s->psksession_id_len = 0;
541
542     s->error = 0;
543     s->hit = 0;
544     s->shutdown = 0;
545
546     if (s->renegotiate) {
547         SSLerr(SSL_F_SSL_CLEAR, ERR_R_INTERNAL_ERROR);
548         return 0;
549     }
550
551     ossl_statem_clear(s);
552
553     s->version = s->method->version;
554     s->client_version = s->version;
555     s->rwstate = SSL_NOTHING;
556
557     BUF_MEM_free(s->init_buf);
558     s->init_buf = NULL;
559     clear_ciphers(s);
560     s->first_packet = 0;
561
562     s->key_update = SSL_KEY_UPDATE_NONE;
563
564     /* Reset DANE verification result state */
565     s->dane.mdpth = -1;
566     s->dane.pdpth = -1;
567     X509_free(s->dane.mcert);
568     s->dane.mcert = NULL;
569     s->dane.mtlsa = NULL;
570
571     /* Clear the verification result peername */
572     X509_VERIFY_PARAM_move_peername(s->param, NULL);
573
574     /*
575      * Check to see if we were changed into a different method, if so, revert
576      * back.
577      */
578     if (s->method != s->ctx->method) {
579         s->method->ssl_free(s);
580         s->method = s->ctx->method;
581         if (!s->method->ssl_new(s))
582             return 0;
583     } else {
584         if (!s->method->ssl_clear(s))
585             return 0;
586     }
587
588     RECORD_LAYER_clear(&s->rlayer);
589
590     return 1;
591 }
592
593 /** Used to change an SSL_CTXs default SSL method type */
594 int SSL_CTX_set_ssl_version(SSL_CTX *ctx, const SSL_METHOD *meth)
595 {
596     STACK_OF(SSL_CIPHER) *sk;
597
598     ctx->method = meth;
599
600     sk = ssl_create_cipher_list(ctx->method, &(ctx->cipher_list),
601                                 &(ctx->cipher_list_by_id),
602                                 SSL_DEFAULT_CIPHER_LIST, ctx->cert);
603     if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= 0)) {
604         SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
605         return (0);
606     }
607     return (1);
608 }
609
610 SSL *SSL_new(SSL_CTX *ctx)
611 {
612     SSL *s;
613
614     if (ctx == NULL) {
615         SSLerr(SSL_F_SSL_NEW, SSL_R_NULL_SSL_CTX);
616         return (NULL);
617     }
618     if (ctx->method == NULL) {
619         SSLerr(SSL_F_SSL_NEW, SSL_R_SSL_CTX_HAS_NO_DEFAULT_SSL_VERSION);
620         return (NULL);
621     }
622
623     s = OPENSSL_zalloc(sizeof(*s));
624     if (s == NULL)
625         goto err;
626
627     s->lock = CRYPTO_THREAD_lock_new();
628     if (s->lock == NULL)
629         goto err;
630
631     /*
632      * If not using the standard RAND (say for fuzzing), then don't use a
633      * chained DRBG.
634      */
635     if (RAND_get_rand_method() == RAND_OpenSSL()) {
636         s->drbg = RAND_DRBG_new(NID_aes_128_ctr, RAND_DRBG_FLAG_CTR_USE_DF,
637                                 RAND_DRBG_get0_global());
638         if (s->drbg == NULL
639             || RAND_DRBG_instantiate(s->drbg, NULL, 0) == 0) {
640             CRYPTO_THREAD_lock_free(s->lock);
641             goto err;
642         }
643     }
644
645     RECORD_LAYER_init(&s->rlayer, s);
646
647     s->options = ctx->options;
648     s->dane.flags = ctx->dane.flags;
649     s->min_proto_version = ctx->min_proto_version;
650     s->max_proto_version = ctx->max_proto_version;
651     s->mode = ctx->mode;
652     s->max_cert_list = ctx->max_cert_list;
653     s->references = 1;
654     s->max_early_data = ctx->max_early_data;
655
656     /*
657      * Earlier library versions used to copy the pointer to the CERT, not
658      * its contents; only when setting new parameters for the per-SSL
659      * copy, ssl_cert_new would be called (and the direct reference to
660      * the per-SSL_CTX settings would be lost, but those still were
661      * indirectly accessed for various purposes, and for that reason they
662      * used to be known as s->ctx->default_cert). Now we don't look at the
663      * SSL_CTX's CERT after having duplicated it once.
664      */
665     s->cert = ssl_cert_dup(ctx->cert);
666     if (s->cert == NULL)
667         goto err;
668
669     RECORD_LAYER_set_read_ahead(&s->rlayer, ctx->read_ahead);
670     s->msg_callback = ctx->msg_callback;
671     s->msg_callback_arg = ctx->msg_callback_arg;
672     s->verify_mode = ctx->verify_mode;
673     s->not_resumable_session_cb = ctx->not_resumable_session_cb;
674     s->record_padding_cb = ctx->record_padding_cb;
675     s->record_padding_arg = ctx->record_padding_arg;
676     s->block_padding = ctx->block_padding;
677     s->sid_ctx_length = ctx->sid_ctx_length;
678     if (!ossl_assert(s->sid_ctx_length <= sizeof s->sid_ctx))
679         goto err;
680     memcpy(&s->sid_ctx, &ctx->sid_ctx, sizeof(s->sid_ctx));
681     s->verify_callback = ctx->default_verify_callback;
682     s->generate_session_id = ctx->generate_session_id;
683
684     s->param = X509_VERIFY_PARAM_new();
685     if (s->param == NULL)
686         goto err;
687     X509_VERIFY_PARAM_inherit(s->param, ctx->param);
688     s->quiet_shutdown = ctx->quiet_shutdown;
689     s->max_send_fragment = ctx->max_send_fragment;
690     s->split_send_fragment = ctx->split_send_fragment;
691     s->max_pipelines = ctx->max_pipelines;
692     if (s->max_pipelines > 1)
693         RECORD_LAYER_set_read_ahead(&s->rlayer, 1);
694     if (ctx->default_read_buf_len > 0)
695         SSL_set_default_read_buffer_len(s, ctx->default_read_buf_len);
696
697     SSL_CTX_up_ref(ctx);
698     s->ctx = ctx;
699     s->ext.debug_cb = 0;
700     s->ext.debug_arg = NULL;
701     s->ext.ticket_expected = 0;
702     s->ext.status_type = ctx->ext.status_type;
703     s->ext.status_expected = 0;
704     s->ext.ocsp.ids = NULL;
705     s->ext.ocsp.exts = NULL;
706     s->ext.ocsp.resp = NULL;
707     s->ext.ocsp.resp_len = 0;
708     SSL_CTX_up_ref(ctx);
709     s->session_ctx = ctx;
710 #ifndef OPENSSL_NO_EC
711     if (ctx->ext.ecpointformats) {
712         s->ext.ecpointformats =
713             OPENSSL_memdup(ctx->ext.ecpointformats,
714                            ctx->ext.ecpointformats_len);
715         if (!s->ext.ecpointformats)
716             goto err;
717         s->ext.ecpointformats_len =
718             ctx->ext.ecpointformats_len;
719     }
720     if (ctx->ext.supportedgroups) {
721         s->ext.supportedgroups =
722             OPENSSL_memdup(ctx->ext.supportedgroups,
723                            ctx->ext.supportedgroups_len
724                                 * sizeof(*ctx->ext.supportedgroups));
725         if (!s->ext.supportedgroups)
726             goto err;
727         s->ext.supportedgroups_len = ctx->ext.supportedgroups_len;
728     }
729 #endif
730 #ifndef OPENSSL_NO_NEXTPROTONEG
731     s->ext.npn = NULL;
732 #endif
733
734     if (s->ctx->ext.alpn) {
735         s->ext.alpn = OPENSSL_malloc(s->ctx->ext.alpn_len);
736         if (s->ext.alpn == NULL)
737             goto err;
738         memcpy(s->ext.alpn, s->ctx->ext.alpn, s->ctx->ext.alpn_len);
739         s->ext.alpn_len = s->ctx->ext.alpn_len;
740     }
741
742     s->verified_chain = NULL;
743     s->verify_result = X509_V_OK;
744
745     s->default_passwd_callback = ctx->default_passwd_callback;
746     s->default_passwd_callback_userdata = ctx->default_passwd_callback_userdata;
747
748     s->method = ctx->method;
749
750     s->key_update = SSL_KEY_UPDATE_NONE;
751
752     if (!s->method->ssl_new(s))
753         goto err;
754
755     s->server = (ctx->method->ssl_accept == ssl_undefined_function) ? 0 : 1;
756
757     if (!SSL_clear(s))
758         goto err;
759
760     if (!CRYPTO_new_ex_data(CRYPTO_EX_INDEX_SSL, s, &s->ex_data))
761         goto err;
762
763 #ifndef OPENSSL_NO_PSK
764     s->psk_client_callback = ctx->psk_client_callback;
765     s->psk_server_callback = ctx->psk_server_callback;
766 #endif
767     s->psk_find_session_cb = ctx->psk_find_session_cb;
768     s->psk_use_session_cb = ctx->psk_use_session_cb;
769
770     s->job = NULL;
771
772 #ifndef OPENSSL_NO_CT
773     if (!SSL_set_ct_validation_callback(s, ctx->ct_validation_callback,
774                                         ctx->ct_validation_callback_arg))
775         goto err;
776 #endif
777
778     return s;
779  err:
780     SSL_free(s);
781     SSLerr(SSL_F_SSL_NEW, ERR_R_MALLOC_FAILURE);
782     return NULL;
783 }
784
785 int SSL_is_dtls(const SSL *s)
786 {
787     return SSL_IS_DTLS(s) ? 1 : 0;
788 }
789
790 int SSL_up_ref(SSL *s)
791 {
792     int i;
793
794     if (CRYPTO_UP_REF(&s->references, &i, s->lock) <= 0)
795         return 0;
796
797     REF_PRINT_COUNT("SSL", s);
798     REF_ASSERT_ISNT(i < 2);
799     return ((i > 1) ? 1 : 0);
800 }
801
802 int SSL_CTX_set_session_id_context(SSL_CTX *ctx, const unsigned char *sid_ctx,
803                                    unsigned int sid_ctx_len)
804 {
805     if (sid_ctx_len > sizeof ctx->sid_ctx) {
806         SSLerr(SSL_F_SSL_CTX_SET_SESSION_ID_CONTEXT,
807                SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
808         return 0;
809     }
810     ctx->sid_ctx_length = sid_ctx_len;
811     memcpy(ctx->sid_ctx, sid_ctx, sid_ctx_len);
812
813     return 1;
814 }
815
816 int SSL_set_session_id_context(SSL *ssl, const unsigned char *sid_ctx,
817                                unsigned int sid_ctx_len)
818 {
819     if (sid_ctx_len > SSL_MAX_SID_CTX_LENGTH) {
820         SSLerr(SSL_F_SSL_SET_SESSION_ID_CONTEXT,
821                SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
822         return 0;
823     }
824     ssl->sid_ctx_length = sid_ctx_len;
825     memcpy(ssl->sid_ctx, sid_ctx, sid_ctx_len);
826
827     return 1;
828 }
829
830 int SSL_CTX_set_generate_session_id(SSL_CTX *ctx, GEN_SESSION_CB cb)
831 {
832     CRYPTO_THREAD_write_lock(ctx->lock);
833     ctx->generate_session_id = cb;
834     CRYPTO_THREAD_unlock(ctx->lock);
835     return 1;
836 }
837
838 int SSL_set_generate_session_id(SSL *ssl, GEN_SESSION_CB cb)
839 {
840     CRYPTO_THREAD_write_lock(ssl->lock);
841     ssl->generate_session_id = cb;
842     CRYPTO_THREAD_unlock(ssl->lock);
843     return 1;
844 }
845
846 int SSL_has_matching_session_id(const SSL *ssl, const unsigned char *id,
847                                 unsigned int id_len)
848 {
849     /*
850      * A quick examination of SSL_SESSION_hash and SSL_SESSION_cmp shows how
851      * we can "construct" a session to give us the desired check - i.e. to
852      * find if there's a session in the hash table that would conflict with
853      * any new session built out of this id/id_len and the ssl_version in use
854      * by this SSL.
855      */
856     SSL_SESSION r, *p;
857
858     if (id_len > sizeof r.session_id)
859         return 0;
860
861     r.ssl_version = ssl->version;
862     r.session_id_length = id_len;
863     memcpy(r.session_id, id, id_len);
864
865     CRYPTO_THREAD_read_lock(ssl->session_ctx->lock);
866     p = lh_SSL_SESSION_retrieve(ssl->session_ctx->sessions, &r);
867     CRYPTO_THREAD_unlock(ssl->session_ctx->lock);
868     return (p != NULL);
869 }
870
871 int SSL_CTX_set_purpose(SSL_CTX *s, int purpose)
872 {
873     return X509_VERIFY_PARAM_set_purpose(s->param, purpose);
874 }
875
876 int SSL_set_purpose(SSL *s, int purpose)
877 {
878     return X509_VERIFY_PARAM_set_purpose(s->param, purpose);
879 }
880
881 int SSL_CTX_set_trust(SSL_CTX *s, int trust)
882 {
883     return X509_VERIFY_PARAM_set_trust(s->param, trust);
884 }
885
886 int SSL_set_trust(SSL *s, int trust)
887 {
888     return X509_VERIFY_PARAM_set_trust(s->param, trust);
889 }
890
891 int SSL_set1_host(SSL *s, const char *hostname)
892 {
893     return X509_VERIFY_PARAM_set1_host(s->param, hostname, 0);
894 }
895
896 int SSL_add1_host(SSL *s, const char *hostname)
897 {
898     return X509_VERIFY_PARAM_add1_host(s->param, hostname, 0);
899 }
900
901 void SSL_set_hostflags(SSL *s, unsigned int flags)
902 {
903     X509_VERIFY_PARAM_set_hostflags(s->param, flags);
904 }
905
906 const char *SSL_get0_peername(SSL *s)
907 {
908     return X509_VERIFY_PARAM_get0_peername(s->param);
909 }
910
911 int SSL_CTX_dane_enable(SSL_CTX *ctx)
912 {
913     return dane_ctx_enable(&ctx->dane);
914 }
915
916 unsigned long SSL_CTX_dane_set_flags(SSL_CTX *ctx, unsigned long flags)
917 {
918     unsigned long orig = ctx->dane.flags;
919
920     ctx->dane.flags |= flags;
921     return orig;
922 }
923
924 unsigned long SSL_CTX_dane_clear_flags(SSL_CTX *ctx, unsigned long flags)
925 {
926     unsigned long orig = ctx->dane.flags;
927
928     ctx->dane.flags &= ~flags;
929     return orig;
930 }
931
932 int SSL_dane_enable(SSL *s, const char *basedomain)
933 {
934     SSL_DANE *dane = &s->dane;
935
936     if (s->ctx->dane.mdmax == 0) {
937         SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_CONTEXT_NOT_DANE_ENABLED);
938         return 0;
939     }
940     if (dane->trecs != NULL) {
941         SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_DANE_ALREADY_ENABLED);
942         return 0;
943     }
944
945     /*
946      * Default SNI name.  This rejects empty names, while set1_host below
947      * accepts them and disables host name checks.  To avoid side-effects with
948      * invalid input, set the SNI name first.
949      */
950     if (s->ext.hostname == NULL) {
951         if (!SSL_set_tlsext_host_name(s, basedomain)) {
952             SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_ERROR_SETTING_TLSA_BASE_DOMAIN);
953             return -1;
954         }
955     }
956
957     /* Primary RFC6125 reference identifier */
958     if (!X509_VERIFY_PARAM_set1_host(s->param, basedomain, 0)) {
959         SSLerr(SSL_F_SSL_DANE_ENABLE, SSL_R_ERROR_SETTING_TLSA_BASE_DOMAIN);
960         return -1;
961     }
962
963     dane->mdpth = -1;
964     dane->pdpth = -1;
965     dane->dctx = &s->ctx->dane;
966     dane->trecs = sk_danetls_record_new_null();
967
968     if (dane->trecs == NULL) {
969         SSLerr(SSL_F_SSL_DANE_ENABLE, ERR_R_MALLOC_FAILURE);
970         return -1;
971     }
972     return 1;
973 }
974
975 unsigned long SSL_dane_set_flags(SSL *ssl, unsigned long flags)
976 {
977     unsigned long orig = ssl->dane.flags;
978
979     ssl->dane.flags |= flags;
980     return orig;
981 }
982
983 unsigned long SSL_dane_clear_flags(SSL *ssl, unsigned long flags)
984 {
985     unsigned long orig = ssl->dane.flags;
986
987     ssl->dane.flags &= ~flags;
988     return orig;
989 }
990
991 int SSL_get0_dane_authority(SSL *s, X509 **mcert, EVP_PKEY **mspki)
992 {
993     SSL_DANE *dane = &s->dane;
994
995     if (!DANETLS_ENABLED(dane) || s->verify_result != X509_V_OK)
996         return -1;
997     if (dane->mtlsa) {
998         if (mcert)
999             *mcert = dane->mcert;
1000         if (mspki)
1001             *mspki = (dane->mcert == NULL) ? dane->mtlsa->spki : NULL;
1002     }
1003     return dane->mdpth;
1004 }
1005
1006 int SSL_get0_dane_tlsa(SSL *s, uint8_t *usage, uint8_t *selector,
1007                        uint8_t *mtype, unsigned const char **data, size_t *dlen)
1008 {
1009     SSL_DANE *dane = &s->dane;
1010
1011     if (!DANETLS_ENABLED(dane) || s->verify_result != X509_V_OK)
1012         return -1;
1013     if (dane->mtlsa) {
1014         if (usage)
1015             *usage = dane->mtlsa->usage;
1016         if (selector)
1017             *selector = dane->mtlsa->selector;
1018         if (mtype)
1019             *mtype = dane->mtlsa->mtype;
1020         if (data)
1021             *data = dane->mtlsa->data;
1022         if (dlen)
1023             *dlen = dane->mtlsa->dlen;
1024     }
1025     return dane->mdpth;
1026 }
1027
1028 SSL_DANE *SSL_get0_dane(SSL *s)
1029 {
1030     return &s->dane;
1031 }
1032
1033 int SSL_dane_tlsa_add(SSL *s, uint8_t usage, uint8_t selector,
1034                       uint8_t mtype, unsigned char *data, size_t dlen)
1035 {
1036     return dane_tlsa_add(&s->dane, usage, selector, mtype, data, dlen);
1037 }
1038
1039 int SSL_CTX_dane_mtype_set(SSL_CTX *ctx, const EVP_MD *md, uint8_t mtype,
1040                            uint8_t ord)
1041 {
1042     return dane_mtype_set(&ctx->dane, md, mtype, ord);
1043 }
1044
1045 int SSL_CTX_set1_param(SSL_CTX *ctx, X509_VERIFY_PARAM *vpm)
1046 {
1047     return X509_VERIFY_PARAM_set1(ctx->param, vpm);
1048 }
1049
1050 int SSL_set1_param(SSL *ssl, X509_VERIFY_PARAM *vpm)
1051 {
1052     return X509_VERIFY_PARAM_set1(ssl->param, vpm);
1053 }
1054
1055 X509_VERIFY_PARAM *SSL_CTX_get0_param(SSL_CTX *ctx)
1056 {
1057     return ctx->param;
1058 }
1059
1060 X509_VERIFY_PARAM *SSL_get0_param(SSL *ssl)
1061 {
1062     return ssl->param;
1063 }
1064
1065 void SSL_certs_clear(SSL *s)
1066 {
1067     ssl_cert_clear_certs(s->cert);
1068 }
1069
1070 void SSL_free(SSL *s)
1071 {
1072     int i;
1073
1074     if (s == NULL)
1075         return;
1076
1077     CRYPTO_DOWN_REF(&s->references, &i, s->lock);
1078     REF_PRINT_COUNT("SSL", s);
1079     if (i > 0)
1080         return;
1081     REF_ASSERT_ISNT(i < 0);
1082
1083     X509_VERIFY_PARAM_free(s->param);
1084     dane_final(&s->dane);
1085     CRYPTO_free_ex_data(CRYPTO_EX_INDEX_SSL, s, &s->ex_data);
1086
1087     /* Ignore return value */
1088     ssl_free_wbio_buffer(s);
1089
1090     BIO_free_all(s->wbio);
1091     BIO_free_all(s->rbio);
1092
1093     BUF_MEM_free(s->init_buf);
1094
1095     /* add extra stuff */
1096     sk_SSL_CIPHER_free(s->cipher_list);
1097     sk_SSL_CIPHER_free(s->cipher_list_by_id);
1098
1099     /* Make the next call work :-) */
1100     if (s->session != NULL) {
1101         ssl_clear_bad_session(s);
1102         SSL_SESSION_free(s->session);
1103     }
1104     SSL_SESSION_free(s->psksession);
1105     OPENSSL_free(s->psksession_id);
1106
1107     clear_ciphers(s);
1108
1109     ssl_cert_free(s->cert);
1110     /* Free up if allocated */
1111
1112     OPENSSL_free(s->ext.hostname);
1113     SSL_CTX_free(s->session_ctx);
1114 #ifndef OPENSSL_NO_EC
1115     OPENSSL_free(s->ext.ecpointformats);
1116     OPENSSL_free(s->ext.supportedgroups);
1117 #endif                          /* OPENSSL_NO_EC */
1118     sk_X509_EXTENSION_pop_free(s->ext.ocsp.exts, X509_EXTENSION_free);
1119 #ifndef OPENSSL_NO_OCSP
1120     sk_OCSP_RESPID_pop_free(s->ext.ocsp.ids, OCSP_RESPID_free);
1121 #endif
1122 #ifndef OPENSSL_NO_CT
1123     SCT_LIST_free(s->scts);
1124     OPENSSL_free(s->ext.scts);
1125 #endif
1126     OPENSSL_free(s->ext.ocsp.resp);
1127     OPENSSL_free(s->ext.alpn);
1128     OPENSSL_free(s->ext.tls13_cookie);
1129     OPENSSL_free(s->clienthello);
1130
1131     sk_X509_NAME_pop_free(s->ca_names, X509_NAME_free);
1132
1133     sk_X509_pop_free(s->verified_chain, X509_free);
1134
1135     if (s->method != NULL)
1136         s->method->ssl_free(s);
1137
1138     RECORD_LAYER_release(&s->rlayer);
1139
1140     SSL_CTX_free(s->ctx);
1141
1142     ASYNC_WAIT_CTX_free(s->waitctx);
1143
1144 #if !defined(OPENSSL_NO_NEXTPROTONEG)
1145     OPENSSL_free(s->ext.npn);
1146 #endif
1147
1148 #ifndef OPENSSL_NO_SRTP
1149     sk_SRTP_PROTECTION_PROFILE_free(s->srtp_profiles);
1150 #endif
1151
1152     RAND_DRBG_free(s->drbg);
1153     CRYPTO_THREAD_lock_free(s->lock);
1154
1155     OPENSSL_free(s);
1156 }
1157
1158 void SSL_set0_rbio(SSL *s, BIO *rbio)
1159 {
1160     BIO_free_all(s->rbio);
1161     s->rbio = rbio;
1162 }
1163
1164 void SSL_set0_wbio(SSL *s, BIO *wbio)
1165 {
1166     /*
1167      * If the output buffering BIO is still in place, remove it
1168      */
1169     if (s->bbio != NULL)
1170         s->wbio = BIO_pop(s->wbio);
1171
1172     BIO_free_all(s->wbio);
1173     s->wbio = wbio;
1174
1175     /* Re-attach |bbio| to the new |wbio|. */
1176     if (s->bbio != NULL)
1177         s->wbio = BIO_push(s->bbio, s->wbio);
1178 }
1179
1180 void SSL_set_bio(SSL *s, BIO *rbio, BIO *wbio)
1181 {
1182     /*
1183      * For historical reasons, this function has many different cases in
1184      * ownership handling.
1185      */
1186
1187     /* If nothing has changed, do nothing */
1188     if (rbio == SSL_get_rbio(s) && wbio == SSL_get_wbio(s))
1189         return;
1190
1191     /*
1192      * If the two arguments are equal then one fewer reference is granted by the
1193      * caller than we want to take
1194      */
1195     if (rbio != NULL && rbio == wbio)
1196         BIO_up_ref(rbio);
1197
1198     /*
1199      * If only the wbio is changed only adopt one reference.
1200      */
1201     if (rbio == SSL_get_rbio(s)) {
1202         SSL_set0_wbio(s, wbio);
1203         return;
1204     }
1205     /*
1206      * There is an asymmetry here for historical reasons. If only the rbio is
1207      * changed AND the rbio and wbio were originally different, then we only
1208      * adopt one reference.
1209      */
1210     if (wbio == SSL_get_wbio(s) && SSL_get_rbio(s) != SSL_get_wbio(s)) {
1211         SSL_set0_rbio(s, rbio);
1212         return;
1213     }
1214
1215     /* Otherwise, adopt both references. */
1216     SSL_set0_rbio(s, rbio);
1217     SSL_set0_wbio(s, wbio);
1218 }
1219
1220 BIO *SSL_get_rbio(const SSL *s)
1221 {
1222     return s->rbio;
1223 }
1224
1225 BIO *SSL_get_wbio(const SSL *s)
1226 {
1227     if (s->bbio != NULL) {
1228         /*
1229          * If |bbio| is active, the true caller-configured BIO is its
1230          * |next_bio|.
1231          */
1232         return BIO_next(s->bbio);
1233     }
1234     return s->wbio;
1235 }
1236
1237 int SSL_get_fd(const SSL *s)
1238 {
1239     return SSL_get_rfd(s);
1240 }
1241
1242 int SSL_get_rfd(const SSL *s)
1243 {
1244     int ret = -1;
1245     BIO *b, *r;
1246
1247     b = SSL_get_rbio(s);
1248     r = BIO_find_type(b, BIO_TYPE_DESCRIPTOR);
1249     if (r != NULL)
1250         BIO_get_fd(r, &ret);
1251     return (ret);
1252 }
1253
1254 int SSL_get_wfd(const SSL *s)
1255 {
1256     int ret = -1;
1257     BIO *b, *r;
1258
1259     b = SSL_get_wbio(s);
1260     r = BIO_find_type(b, BIO_TYPE_DESCRIPTOR);
1261     if (r != NULL)
1262         BIO_get_fd(r, &ret);
1263     return (ret);
1264 }
1265
1266 #ifndef OPENSSL_NO_SOCK
1267 int SSL_set_fd(SSL *s, int fd)
1268 {
1269     int ret = 0;
1270     BIO *bio = NULL;
1271
1272     bio = BIO_new(BIO_s_socket());
1273
1274     if (bio == NULL) {
1275         SSLerr(SSL_F_SSL_SET_FD, ERR_R_BUF_LIB);
1276         goto err;
1277     }
1278     BIO_set_fd(bio, fd, BIO_NOCLOSE);
1279     SSL_set_bio(s, bio, bio);
1280     ret = 1;
1281  err:
1282     return (ret);
1283 }
1284
1285 int SSL_set_wfd(SSL *s, int fd)
1286 {
1287     BIO *rbio = SSL_get_rbio(s);
1288
1289     if (rbio == NULL || BIO_method_type(rbio) != BIO_TYPE_SOCKET
1290         || (int)BIO_get_fd(rbio, NULL) != fd) {
1291         BIO *bio = BIO_new(BIO_s_socket());
1292
1293         if (bio == NULL) {
1294             SSLerr(SSL_F_SSL_SET_WFD, ERR_R_BUF_LIB);
1295             return 0;
1296         }
1297         BIO_set_fd(bio, fd, BIO_NOCLOSE);
1298         SSL_set0_wbio(s, bio);
1299     } else {
1300         BIO_up_ref(rbio);
1301         SSL_set0_wbio(s, rbio);
1302     }
1303     return 1;
1304 }
1305
1306 int SSL_set_rfd(SSL *s, int fd)
1307 {
1308     BIO *wbio = SSL_get_wbio(s);
1309
1310     if (wbio == NULL || BIO_method_type(wbio) != BIO_TYPE_SOCKET
1311         || ((int)BIO_get_fd(wbio, NULL) != fd)) {
1312         BIO *bio = BIO_new(BIO_s_socket());
1313
1314         if (bio == NULL) {
1315             SSLerr(SSL_F_SSL_SET_RFD, ERR_R_BUF_LIB);
1316             return 0;
1317         }
1318         BIO_set_fd(bio, fd, BIO_NOCLOSE);
1319         SSL_set0_rbio(s, bio);
1320     } else {
1321         BIO_up_ref(wbio);
1322         SSL_set0_rbio(s, wbio);
1323     }
1324
1325     return 1;
1326 }
1327 #endif
1328
1329 /* return length of latest Finished message we sent, copy to 'buf' */
1330 size_t SSL_get_finished(const SSL *s, void *buf, size_t count)
1331 {
1332     size_t ret = 0;
1333
1334     if (s->s3 != NULL) {
1335         ret = s->s3->tmp.finish_md_len;
1336         if (count > ret)
1337             count = ret;
1338         memcpy(buf, s->s3->tmp.finish_md, count);
1339     }
1340     return ret;
1341 }
1342
1343 /* return length of latest Finished message we expected, copy to 'buf' */
1344 size_t SSL_get_peer_finished(const SSL *s, void *buf, size_t count)
1345 {
1346     size_t ret = 0;
1347
1348     if (s->s3 != NULL) {
1349         ret = s->s3->tmp.peer_finish_md_len;
1350         if (count > ret)
1351             count = ret;
1352         memcpy(buf, s->s3->tmp.peer_finish_md, count);
1353     }
1354     return ret;
1355 }
1356
1357 int SSL_get_verify_mode(const SSL *s)
1358 {
1359     return (s->verify_mode);
1360 }
1361
1362 int SSL_get_verify_depth(const SSL *s)
1363 {
1364     return X509_VERIFY_PARAM_get_depth(s->param);
1365 }
1366
1367 int (*SSL_get_verify_callback(const SSL *s)) (int, X509_STORE_CTX *) {
1368     return (s->verify_callback);
1369 }
1370
1371 int SSL_CTX_get_verify_mode(const SSL_CTX *ctx)
1372 {
1373     return (ctx->verify_mode);
1374 }
1375
1376 int SSL_CTX_get_verify_depth(const SSL_CTX *ctx)
1377 {
1378     return X509_VERIFY_PARAM_get_depth(ctx->param);
1379 }
1380
1381 int (*SSL_CTX_get_verify_callback(const SSL_CTX *ctx)) (int, X509_STORE_CTX *) {
1382     return (ctx->default_verify_callback);
1383 }
1384
1385 void SSL_set_verify(SSL *s, int mode,
1386                     int (*callback) (int ok, X509_STORE_CTX *ctx))
1387 {
1388     s->verify_mode = mode;
1389     if (callback != NULL)
1390         s->verify_callback = callback;
1391 }
1392
1393 void SSL_set_verify_depth(SSL *s, int depth)
1394 {
1395     X509_VERIFY_PARAM_set_depth(s->param, depth);
1396 }
1397
1398 void SSL_set_read_ahead(SSL *s, int yes)
1399 {
1400     RECORD_LAYER_set_read_ahead(&s->rlayer, yes);
1401 }
1402
1403 int SSL_get_read_ahead(const SSL *s)
1404 {
1405     return RECORD_LAYER_get_read_ahead(&s->rlayer);
1406 }
1407
1408 int SSL_pending(const SSL *s)
1409 {
1410     size_t pending = s->method->ssl_pending(s);
1411
1412     /*
1413      * SSL_pending cannot work properly if read-ahead is enabled
1414      * (SSL_[CTX_]ctrl(..., SSL_CTRL_SET_READ_AHEAD, 1, NULL)), and it is
1415      * impossible to fix since SSL_pending cannot report errors that may be
1416      * observed while scanning the new data. (Note that SSL_pending() is
1417      * often used as a boolean value, so we'd better not return -1.)
1418      *
1419      * SSL_pending also cannot work properly if the value >INT_MAX. In that case
1420      * we just return INT_MAX.
1421      */
1422     return pending < INT_MAX ? (int)pending : INT_MAX;
1423 }
1424
1425 int SSL_has_pending(const SSL *s)
1426 {
1427     /*
1428      * Similar to SSL_pending() but returns a 1 to indicate that we have
1429      * unprocessed data available or 0 otherwise (as opposed to the number of
1430      * bytes available). Unlike SSL_pending() this will take into account
1431      * read_ahead data. A 1 return simply indicates that we have unprocessed
1432      * data. That data may not result in any application data, or we may fail
1433      * to parse the records for some reason.
1434      */
1435     if (RECORD_LAYER_processed_read_pending(&s->rlayer))
1436         return 1;
1437
1438     return RECORD_LAYER_read_pending(&s->rlayer);
1439 }
1440
1441 X509 *SSL_get_peer_certificate(const SSL *s)
1442 {
1443     X509 *r;
1444
1445     if ((s == NULL) || (s->session == NULL))
1446         r = NULL;
1447     else
1448         r = s->session->peer;
1449
1450     if (r == NULL)
1451         return (r);
1452
1453     X509_up_ref(r);
1454
1455     return (r);
1456 }
1457
1458 STACK_OF(X509) *SSL_get_peer_cert_chain(const SSL *s)
1459 {
1460     STACK_OF(X509) *r;
1461
1462     if ((s == NULL) || (s->session == NULL))
1463         r = NULL;
1464     else
1465         r = s->session->peer_chain;
1466
1467     /*
1468      * If we are a client, cert_chain includes the peer's own certificate; if
1469      * we are a server, it does not.
1470      */
1471
1472     return (r);
1473 }
1474
1475 /*
1476  * Now in theory, since the calling process own 't' it should be safe to
1477  * modify.  We need to be able to read f without being hassled
1478  */
1479 int SSL_copy_session_id(SSL *t, const SSL *f)
1480 {
1481     int i;
1482     /* Do we need to to SSL locking? */
1483     if (!SSL_set_session(t, SSL_get_session(f))) {
1484         return 0;
1485     }
1486
1487     /*
1488      * what if we are setup for one protocol version but want to talk another
1489      */
1490     if (t->method != f->method) {
1491         t->method->ssl_free(t);
1492         t->method = f->method;
1493         if (t->method->ssl_new(t) == 0)
1494             return 0;
1495     }
1496
1497     CRYPTO_UP_REF(&f->cert->references, &i, f->cert->lock);
1498     ssl_cert_free(t->cert);
1499     t->cert = f->cert;
1500     if (!SSL_set_session_id_context(t, f->sid_ctx, (int)f->sid_ctx_length)) {
1501         return 0;
1502     }
1503
1504     return 1;
1505 }
1506
1507 /* Fix this so it checks all the valid key/cert options */
1508 int SSL_CTX_check_private_key(const SSL_CTX *ctx)
1509 {
1510     if ((ctx == NULL) || (ctx->cert->key->x509 == NULL)) {
1511         SSLerr(SSL_F_SSL_CTX_CHECK_PRIVATE_KEY, SSL_R_NO_CERTIFICATE_ASSIGNED);
1512         return (0);
1513     }
1514     if (ctx->cert->key->privatekey == NULL) {
1515         SSLerr(SSL_F_SSL_CTX_CHECK_PRIVATE_KEY, SSL_R_NO_PRIVATE_KEY_ASSIGNED);
1516         return (0);
1517     }
1518     return (X509_check_private_key
1519             (ctx->cert->key->x509, ctx->cert->key->privatekey));
1520 }
1521
1522 /* Fix this function so that it takes an optional type parameter */
1523 int SSL_check_private_key(const SSL *ssl)
1524 {
1525     if (ssl == NULL) {
1526         SSLerr(SSL_F_SSL_CHECK_PRIVATE_KEY, ERR_R_PASSED_NULL_PARAMETER);
1527         return (0);
1528     }
1529     if (ssl->cert->key->x509 == NULL) {
1530         SSLerr(SSL_F_SSL_CHECK_PRIVATE_KEY, SSL_R_NO_CERTIFICATE_ASSIGNED);
1531         return (0);
1532     }
1533     if (ssl->cert->key->privatekey == NULL) {
1534         SSLerr(SSL_F_SSL_CHECK_PRIVATE_KEY, SSL_R_NO_PRIVATE_KEY_ASSIGNED);
1535         return (0);
1536     }
1537     return (X509_check_private_key(ssl->cert->key->x509,
1538                                    ssl->cert->key->privatekey));
1539 }
1540
1541 int SSL_waiting_for_async(SSL *s)
1542 {
1543     if (s->job)
1544         return 1;
1545
1546     return 0;
1547 }
1548
1549 int SSL_get_all_async_fds(SSL *s, OSSL_ASYNC_FD *fds, size_t *numfds)
1550 {
1551     ASYNC_WAIT_CTX *ctx = s->waitctx;
1552
1553     if (ctx == NULL)
1554         return 0;
1555     return ASYNC_WAIT_CTX_get_all_fds(ctx, fds, numfds);
1556 }
1557
1558 int SSL_get_changed_async_fds(SSL *s, OSSL_ASYNC_FD *addfd, size_t *numaddfds,
1559                               OSSL_ASYNC_FD *delfd, size_t *numdelfds)
1560 {
1561     ASYNC_WAIT_CTX *ctx = s->waitctx;
1562
1563     if (ctx == NULL)
1564         return 0;
1565     return ASYNC_WAIT_CTX_get_changed_fds(ctx, addfd, numaddfds, delfd,
1566                                           numdelfds);
1567 }
1568
1569 int SSL_accept(SSL *s)
1570 {
1571     if (s->handshake_func == NULL) {
1572         /* Not properly initialized yet */
1573         SSL_set_accept_state(s);
1574     }
1575
1576     return SSL_do_handshake(s);
1577 }
1578
1579 int SSL_connect(SSL *s)
1580 {
1581     if (s->handshake_func == NULL) {
1582         /* Not properly initialized yet */
1583         SSL_set_connect_state(s);
1584     }
1585
1586     return SSL_do_handshake(s);
1587 }
1588
1589 long SSL_get_default_timeout(const SSL *s)
1590 {
1591     return (s->method->get_timeout());
1592 }
1593
1594 static int ssl_start_async_job(SSL *s, struct ssl_async_args *args,
1595                                int (*func) (void *))
1596 {
1597     int ret;
1598     if (s->waitctx == NULL) {
1599         s->waitctx = ASYNC_WAIT_CTX_new();
1600         if (s->waitctx == NULL)
1601             return -1;
1602     }
1603     switch (ASYNC_start_job(&s->job, s->waitctx, &ret, func, args,
1604                             sizeof(struct ssl_async_args))) {
1605     case ASYNC_ERR:
1606         s->rwstate = SSL_NOTHING;
1607         SSLerr(SSL_F_SSL_START_ASYNC_JOB, SSL_R_FAILED_TO_INIT_ASYNC);
1608         return -1;
1609     case ASYNC_PAUSE:
1610         s->rwstate = SSL_ASYNC_PAUSED;
1611         return -1;
1612     case ASYNC_NO_JOBS:
1613         s->rwstate = SSL_ASYNC_NO_JOBS;
1614         return -1;
1615     case ASYNC_FINISH:
1616         s->job = NULL;
1617         return ret;
1618     default:
1619         s->rwstate = SSL_NOTHING;
1620         SSLerr(SSL_F_SSL_START_ASYNC_JOB, ERR_R_INTERNAL_ERROR);
1621         /* Shouldn't happen */
1622         return -1;
1623     }
1624 }
1625
1626 static int ssl_io_intern(void *vargs)
1627 {
1628     struct ssl_async_args *args;
1629     SSL *s;
1630     void *buf;
1631     size_t num;
1632
1633     args = (struct ssl_async_args *)vargs;
1634     s = args->s;
1635     buf = args->buf;
1636     num = args->num;
1637     switch (args->type) {
1638     case READFUNC:
1639         return args->f.func_read(s, buf, num, &s->asyncrw);
1640     case WRITEFUNC:
1641         return args->f.func_write(s, buf, num, &s->asyncrw);
1642     case OTHERFUNC:
1643         return args->f.func_other(s);
1644     }
1645     return -1;
1646 }
1647
1648 int ssl_read_internal(SSL *s, void *buf, size_t num, size_t *readbytes)
1649 {
1650     if (s->handshake_func == NULL) {
1651         SSLerr(SSL_F_SSL_READ_INTERNAL, SSL_R_UNINITIALIZED);
1652         return -1;
1653     }
1654
1655     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
1656         s->rwstate = SSL_NOTHING;
1657         return 0;
1658     }
1659
1660     if (s->early_data_state == SSL_EARLY_DATA_CONNECT_RETRY
1661                 || s->early_data_state == SSL_EARLY_DATA_ACCEPT_RETRY) {
1662         SSLerr(SSL_F_SSL_READ_INTERNAL, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1663         return 0;
1664     }
1665     /*
1666      * If we are a client and haven't received the ServerHello etc then we
1667      * better do that
1668      */
1669     ossl_statem_check_finish_init(s, 0);
1670
1671     if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1672         struct ssl_async_args args;
1673         int ret;
1674
1675         args.s = s;
1676         args.buf = buf;
1677         args.num = num;
1678         args.type = READFUNC;
1679         args.f.func_read = s->method->ssl_read;
1680
1681         ret = ssl_start_async_job(s, &args, ssl_io_intern);
1682         *readbytes = s->asyncrw;
1683         return ret;
1684     } else {
1685         return s->method->ssl_read(s, buf, num, readbytes);
1686     }
1687 }
1688
1689 int SSL_read(SSL *s, void *buf, int num)
1690 {
1691     int ret;
1692     size_t readbytes;
1693
1694     if (num < 0) {
1695         SSLerr(SSL_F_SSL_READ, SSL_R_BAD_LENGTH);
1696         return -1;
1697     }
1698
1699     ret = ssl_read_internal(s, buf, (size_t)num, &readbytes);
1700
1701     /*
1702      * The cast is safe here because ret should be <= INT_MAX because num is
1703      * <= INT_MAX
1704      */
1705     if (ret > 0)
1706         ret = (int)readbytes;
1707
1708     return ret;
1709 }
1710
1711 int SSL_read_ex(SSL *s, void *buf, size_t num, size_t *readbytes)
1712 {
1713     int ret = ssl_read_internal(s, buf, num, readbytes);
1714
1715     if (ret < 0)
1716         ret = 0;
1717     return ret;
1718 }
1719
1720 int SSL_read_early_data(SSL *s, void *buf, size_t num, size_t *readbytes)
1721 {
1722     int ret;
1723
1724     if (!s->server) {
1725         SSLerr(SSL_F_SSL_READ_EARLY_DATA, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1726         return SSL_READ_EARLY_DATA_ERROR;
1727     }
1728
1729     switch (s->early_data_state) {
1730     case SSL_EARLY_DATA_NONE:
1731         if (!SSL_in_before(s)) {
1732             SSLerr(SSL_F_SSL_READ_EARLY_DATA,
1733                    ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1734             return SSL_READ_EARLY_DATA_ERROR;
1735         }
1736         /* fall through */
1737
1738     case SSL_EARLY_DATA_ACCEPT_RETRY:
1739         s->early_data_state = SSL_EARLY_DATA_ACCEPTING;
1740         ret = SSL_accept(s);
1741         if (ret <= 0) {
1742             /* NBIO or error */
1743             s->early_data_state = SSL_EARLY_DATA_ACCEPT_RETRY;
1744             return SSL_READ_EARLY_DATA_ERROR;
1745         }
1746         /* fall through */
1747
1748     case SSL_EARLY_DATA_READ_RETRY:
1749         if (s->ext.early_data == SSL_EARLY_DATA_ACCEPTED) {
1750             s->early_data_state = SSL_EARLY_DATA_READING;
1751             ret = SSL_read_ex(s, buf, num, readbytes);
1752             /*
1753              * State machine will update early_data_state to
1754              * SSL_EARLY_DATA_FINISHED_READING if we get an EndOfEarlyData
1755              * message
1756              */
1757             if (ret > 0 || (ret <= 0 && s->early_data_state
1758                                         != SSL_EARLY_DATA_FINISHED_READING)) {
1759                 s->early_data_state = SSL_EARLY_DATA_READ_RETRY;
1760                 return ret > 0 ? SSL_READ_EARLY_DATA_SUCCESS
1761                                : SSL_READ_EARLY_DATA_ERROR;
1762             }
1763         } else {
1764             s->early_data_state = SSL_EARLY_DATA_FINISHED_READING;
1765         }
1766         *readbytes = 0;
1767         return SSL_READ_EARLY_DATA_FINISH;
1768
1769     default:
1770         SSLerr(SSL_F_SSL_READ_EARLY_DATA, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1771         return SSL_READ_EARLY_DATA_ERROR;
1772     }
1773 }
1774
1775 int SSL_get_early_data_status(const SSL *s)
1776 {
1777     return s->ext.early_data;
1778 }
1779
1780 static int ssl_peek_internal(SSL *s, void *buf, size_t num, size_t *readbytes)
1781 {
1782     if (s->handshake_func == NULL) {
1783         SSLerr(SSL_F_SSL_PEEK_INTERNAL, SSL_R_UNINITIALIZED);
1784         return -1;
1785     }
1786
1787     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
1788         return 0;
1789     }
1790     if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1791         struct ssl_async_args args;
1792         int ret;
1793
1794         args.s = s;
1795         args.buf = buf;
1796         args.num = num;
1797         args.type = READFUNC;
1798         args.f.func_read = s->method->ssl_peek;
1799
1800         ret = ssl_start_async_job(s, &args, ssl_io_intern);
1801         *readbytes = s->asyncrw;
1802         return ret;
1803     } else {
1804         return s->method->ssl_peek(s, buf, num, readbytes);
1805     }
1806 }
1807
1808 int SSL_peek(SSL *s, void *buf, int num)
1809 {
1810     int ret;
1811     size_t readbytes;
1812
1813     if (num < 0) {
1814         SSLerr(SSL_F_SSL_PEEK, SSL_R_BAD_LENGTH);
1815         return -1;
1816     }
1817
1818     ret = ssl_peek_internal(s, buf, (size_t)num, &readbytes);
1819
1820     /*
1821      * The cast is safe here because ret should be <= INT_MAX because num is
1822      * <= INT_MAX
1823      */
1824     if (ret > 0)
1825         ret = (int)readbytes;
1826
1827     return ret;
1828 }
1829
1830
1831 int SSL_peek_ex(SSL *s, void *buf, size_t num, size_t *readbytes)
1832 {
1833     int ret = ssl_peek_internal(s, buf, num, readbytes);
1834
1835     if (ret < 0)
1836         ret = 0;
1837     return ret;
1838 }
1839
1840 int ssl_write_internal(SSL *s, const void *buf, size_t num, size_t *written)
1841 {
1842     if (s->handshake_func == NULL) {
1843         SSLerr(SSL_F_SSL_WRITE_INTERNAL, SSL_R_UNINITIALIZED);
1844         return -1;
1845     }
1846
1847     if (s->shutdown & SSL_SENT_SHUTDOWN) {
1848         s->rwstate = SSL_NOTHING;
1849         SSLerr(SSL_F_SSL_WRITE_INTERNAL, SSL_R_PROTOCOL_IS_SHUTDOWN);
1850         return -1;
1851     }
1852
1853     if (s->early_data_state == SSL_EARLY_DATA_CONNECT_RETRY
1854                 || s->early_data_state == SSL_EARLY_DATA_ACCEPT_RETRY
1855                 || s->early_data_state == SSL_EARLY_DATA_READ_RETRY) {
1856         SSLerr(SSL_F_SSL_WRITE_INTERNAL, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1857         return 0;
1858     }
1859     /* If we are a client and haven't sent the Finished we better do that */
1860     ossl_statem_check_finish_init(s, 1);
1861
1862     if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1863         int ret;
1864         struct ssl_async_args args;
1865
1866         args.s = s;
1867         args.buf = (void *)buf;
1868         args.num = num;
1869         args.type = WRITEFUNC;
1870         args.f.func_write = s->method->ssl_write;
1871
1872         ret = ssl_start_async_job(s, &args, ssl_io_intern);
1873         *written = s->asyncrw;
1874         return ret;
1875     } else {
1876         return s->method->ssl_write(s, buf, num, written);
1877     }
1878 }
1879
1880 int SSL_write(SSL *s, const void *buf, int num)
1881 {
1882     int ret;
1883     size_t written;
1884
1885     if (num < 0) {
1886         SSLerr(SSL_F_SSL_WRITE, SSL_R_BAD_LENGTH);
1887         return -1;
1888     }
1889
1890     ret = ssl_write_internal(s, buf, (size_t)num, &written);
1891
1892     /*
1893      * The cast is safe here because ret should be <= INT_MAX because num is
1894      * <= INT_MAX
1895      */
1896     if (ret > 0)
1897         ret = (int)written;
1898
1899     return ret;
1900 }
1901
1902 int SSL_write_ex(SSL *s, const void *buf, size_t num, size_t *written)
1903 {
1904     int ret = ssl_write_internal(s, buf, num, written);
1905
1906     if (ret < 0)
1907         ret = 0;
1908     return ret;
1909 }
1910
1911 int SSL_write_early_data(SSL *s, const void *buf, size_t num, size_t *written)
1912 {
1913     int ret, early_data_state;
1914
1915     switch (s->early_data_state) {
1916     case SSL_EARLY_DATA_NONE:
1917         if (s->server
1918                 || !SSL_in_before(s)
1919                 || ((s->session == NULL || s->session->ext.max_early_data == 0)
1920                      && (s->psk_use_session_cb == NULL))) {
1921             SSLerr(SSL_F_SSL_WRITE_EARLY_DATA,
1922                    ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1923             return 0;
1924         }
1925         /* fall through */
1926
1927     case SSL_EARLY_DATA_CONNECT_RETRY:
1928         s->early_data_state = SSL_EARLY_DATA_CONNECTING;
1929         ret = SSL_connect(s);
1930         if (ret <= 0) {
1931             /* NBIO or error */
1932             s->early_data_state = SSL_EARLY_DATA_CONNECT_RETRY;
1933             return 0;
1934         }
1935         /* fall through */
1936
1937     case SSL_EARLY_DATA_WRITE_RETRY:
1938         s->early_data_state = SSL_EARLY_DATA_WRITING;
1939         ret = SSL_write_ex(s, buf, num, written);
1940         s->early_data_state = SSL_EARLY_DATA_WRITE_RETRY;
1941         return ret;
1942
1943     case SSL_EARLY_DATA_FINISHED_READING:
1944     case SSL_EARLY_DATA_READ_RETRY:
1945         early_data_state = s->early_data_state;
1946         /* We are a server writing to an unauthenticated client */
1947         s->early_data_state = SSL_EARLY_DATA_UNAUTH_WRITING;
1948         ret = SSL_write_ex(s, buf, num, written);
1949         s->early_data_state = early_data_state;
1950         return ret;
1951
1952     default:
1953         SSLerr(SSL_F_SSL_WRITE_EARLY_DATA, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
1954         return 0;
1955     }
1956 }
1957
1958 int SSL_shutdown(SSL *s)
1959 {
1960     /*
1961      * Note that this function behaves differently from what one might
1962      * expect.  Return values are 0 for no success (yet), 1 for success; but
1963      * calling it once is usually not enough, even if blocking I/O is used
1964      * (see ssl3_shutdown).
1965      */
1966
1967     if (s->handshake_func == NULL) {
1968         SSLerr(SSL_F_SSL_SHUTDOWN, SSL_R_UNINITIALIZED);
1969         return -1;
1970     }
1971
1972     if (!SSL_in_init(s)) {
1973         if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
1974             struct ssl_async_args args;
1975
1976             args.s = s;
1977             args.type = OTHERFUNC;
1978             args.f.func_other = s->method->ssl_shutdown;
1979
1980             return ssl_start_async_job(s, &args, ssl_io_intern);
1981         } else {
1982             return s->method->ssl_shutdown(s);
1983         }
1984     } else {
1985         SSLerr(SSL_F_SSL_SHUTDOWN, SSL_R_SHUTDOWN_WHILE_IN_INIT);
1986         return -1;
1987     }
1988 }
1989
1990 int SSL_key_update(SSL *s, int updatetype)
1991 {
1992     /*
1993      * TODO(TLS1.3): How will applications know whether TLSv1.3 has been
1994      * negotiated, and that it is appropriate to call SSL_key_update() instead
1995      * of SSL_renegotiate().
1996      */
1997     if (!SSL_IS_TLS13(s)) {
1998         SSLerr(SSL_F_SSL_KEY_UPDATE, SSL_R_WRONG_SSL_VERSION);
1999         return 0;
2000     }
2001
2002     if (updatetype != SSL_KEY_UPDATE_NOT_REQUESTED
2003             && updatetype != SSL_KEY_UPDATE_REQUESTED) {
2004         SSLerr(SSL_F_SSL_KEY_UPDATE, SSL_R_INVALID_KEY_UPDATE_TYPE);
2005         return 0;
2006     }
2007
2008     if (!SSL_is_init_finished(s)) {
2009         SSLerr(SSL_F_SSL_KEY_UPDATE, SSL_R_STILL_IN_INIT);
2010         return 0;
2011     }
2012
2013     ossl_statem_set_in_init(s, 1);
2014     s->key_update = updatetype;
2015     return 1;
2016 }
2017
2018 int SSL_get_key_update_type(SSL *s)
2019 {
2020     return s->key_update;
2021 }
2022
2023 int SSL_renegotiate(SSL *s)
2024 {
2025     if (SSL_IS_TLS13(s)) {
2026         SSLerr(SSL_F_SSL_RENEGOTIATE, SSL_R_WRONG_SSL_VERSION);
2027         return 0;
2028     }
2029
2030     if ((s->options & SSL_OP_NO_RENEGOTIATION)) {
2031         SSLerr(SSL_F_SSL_RENEGOTIATE, SSL_R_NO_RENEGOTIATION);
2032         return 0;
2033     }
2034
2035     s->renegotiate = 1;
2036     s->new_session = 1;
2037
2038     return (s->method->ssl_renegotiate(s));
2039 }
2040
2041 int SSL_renegotiate_abbreviated(SSL *s)
2042 {
2043     if (SSL_IS_TLS13(s)) {
2044         SSLerr(SSL_F_SSL_RENEGOTIATE_ABBREVIATED, SSL_R_WRONG_SSL_VERSION);
2045         return 0;
2046     }
2047
2048     if ((s->options & SSL_OP_NO_RENEGOTIATION)) {
2049         SSLerr(SSL_F_SSL_RENEGOTIATE_ABBREVIATED, SSL_R_NO_RENEGOTIATION);
2050         return 0;
2051     }
2052
2053     s->renegotiate = 1;
2054     s->new_session = 0;
2055
2056     return (s->method->ssl_renegotiate(s));
2057 }
2058
2059 int SSL_renegotiate_pending(SSL *s)
2060 {
2061     /*
2062      * becomes true when negotiation is requested; false again once a
2063      * handshake has finished
2064      */
2065     return (s->renegotiate != 0);
2066 }
2067
2068 long SSL_ctrl(SSL *s, int cmd, long larg, void *parg)
2069 {
2070     long l;
2071
2072     switch (cmd) {
2073     case SSL_CTRL_GET_READ_AHEAD:
2074         return (RECORD_LAYER_get_read_ahead(&s->rlayer));
2075     case SSL_CTRL_SET_READ_AHEAD:
2076         l = RECORD_LAYER_get_read_ahead(&s->rlayer);
2077         RECORD_LAYER_set_read_ahead(&s->rlayer, larg);
2078         return (l);
2079
2080     case SSL_CTRL_SET_MSG_CALLBACK_ARG:
2081         s->msg_callback_arg = parg;
2082         return 1;
2083
2084     case SSL_CTRL_MODE:
2085         return (s->mode |= larg);
2086     case SSL_CTRL_CLEAR_MODE:
2087         return (s->mode &= ~larg);
2088     case SSL_CTRL_GET_MAX_CERT_LIST:
2089         return (long)(s->max_cert_list);
2090     case SSL_CTRL_SET_MAX_CERT_LIST:
2091         if (larg < 0)
2092             return 0;
2093         l = (long)s->max_cert_list;
2094         s->max_cert_list = (size_t)larg;
2095         return l;
2096     case SSL_CTRL_SET_MAX_SEND_FRAGMENT:
2097         if (larg < 512 || larg > SSL3_RT_MAX_PLAIN_LENGTH)
2098             return 0;
2099         s->max_send_fragment = larg;
2100         if (s->max_send_fragment < s->split_send_fragment)
2101             s->split_send_fragment = s->max_send_fragment;
2102         return 1;
2103     case SSL_CTRL_SET_SPLIT_SEND_FRAGMENT:
2104         if ((size_t)larg > s->max_send_fragment || larg == 0)
2105             return 0;
2106         s->split_send_fragment = larg;
2107         return 1;
2108     case SSL_CTRL_SET_MAX_PIPELINES:
2109         if (larg < 1 || larg > SSL_MAX_PIPELINES)
2110             return 0;
2111         s->max_pipelines = larg;
2112         if (larg > 1)
2113             RECORD_LAYER_set_read_ahead(&s->rlayer, 1);
2114         return 1;
2115     case SSL_CTRL_GET_RI_SUPPORT:
2116         if (s->s3)
2117             return s->s3->send_connection_binding;
2118         else
2119             return 0;
2120     case SSL_CTRL_CERT_FLAGS:
2121         return (s->cert->cert_flags |= larg);
2122     case SSL_CTRL_CLEAR_CERT_FLAGS:
2123         return (s->cert->cert_flags &= ~larg);
2124
2125     case SSL_CTRL_GET_RAW_CIPHERLIST:
2126         if (parg) {
2127             if (s->s3->tmp.ciphers_raw == NULL)
2128                 return 0;
2129             *(unsigned char **)parg = s->s3->tmp.ciphers_raw;
2130             return (int)s->s3->tmp.ciphers_rawlen;
2131         } else {
2132             return TLS_CIPHER_LEN;
2133         }
2134     case SSL_CTRL_GET_EXTMS_SUPPORT:
2135         if (!s->session || SSL_in_init(s) || ossl_statem_get_in_handshake(s))
2136             return -1;
2137         if (s->session->flags & SSL_SESS_FLAG_EXTMS)
2138             return 1;
2139         else
2140             return 0;
2141     case SSL_CTRL_SET_MIN_PROTO_VERSION:
2142         return ssl_check_allowed_versions(larg, s->max_proto_version)
2143                && ssl_set_version_bound(s->ctx->method->version, (int)larg,
2144                                         &s->min_proto_version);
2145     case SSL_CTRL_GET_MIN_PROTO_VERSION:
2146         return s->min_proto_version;
2147     case SSL_CTRL_SET_MAX_PROTO_VERSION:
2148         return ssl_check_allowed_versions(s->min_proto_version, larg)
2149                && ssl_set_version_bound(s->ctx->method->version, (int)larg,
2150                                         &s->max_proto_version);
2151     case SSL_CTRL_GET_MAX_PROTO_VERSION:
2152         return s->max_proto_version;
2153     default:
2154         return (s->method->ssl_ctrl(s, cmd, larg, parg));
2155     }
2156 }
2157
2158 long SSL_callback_ctrl(SSL *s, int cmd, void (*fp) (void))
2159 {
2160     switch (cmd) {
2161     case SSL_CTRL_SET_MSG_CALLBACK:
2162         s->msg_callback = (void (*)
2163                            (int write_p, int version, int content_type,
2164                             const void *buf, size_t len, SSL *ssl,
2165                             void *arg))(fp);
2166         return 1;
2167
2168     default:
2169         return (s->method->ssl_callback_ctrl(s, cmd, fp));
2170     }
2171 }
2172
2173 LHASH_OF(SSL_SESSION) *SSL_CTX_sessions(SSL_CTX *ctx)
2174 {
2175     return ctx->sessions;
2176 }
2177
2178 long SSL_CTX_ctrl(SSL_CTX *ctx, int cmd, long larg, void *parg)
2179 {
2180     long l;
2181     /* For some cases with ctx == NULL perform syntax checks */
2182     if (ctx == NULL) {
2183         switch (cmd) {
2184 #ifndef OPENSSL_NO_EC
2185         case SSL_CTRL_SET_GROUPS_LIST:
2186             return tls1_set_groups_list(NULL, NULL, parg);
2187 #endif
2188         case SSL_CTRL_SET_SIGALGS_LIST:
2189         case SSL_CTRL_SET_CLIENT_SIGALGS_LIST:
2190             return tls1_set_sigalgs_list(NULL, parg, 0);
2191         default:
2192             return 0;
2193         }
2194     }
2195
2196     switch (cmd) {
2197     case SSL_CTRL_GET_READ_AHEAD:
2198         return (ctx->read_ahead);
2199     case SSL_CTRL_SET_READ_AHEAD:
2200         l = ctx->read_ahead;
2201         ctx->read_ahead = larg;
2202         return (l);
2203
2204     case SSL_CTRL_SET_MSG_CALLBACK_ARG:
2205         ctx->msg_callback_arg = parg;
2206         return 1;
2207
2208     case SSL_CTRL_GET_MAX_CERT_LIST:
2209         return (long)(ctx->max_cert_list);
2210     case SSL_CTRL_SET_MAX_CERT_LIST:
2211         if (larg < 0)
2212             return 0;
2213         l = (long)ctx->max_cert_list;
2214         ctx->max_cert_list = (size_t)larg;
2215         return l;
2216
2217     case SSL_CTRL_SET_SESS_CACHE_SIZE:
2218         if (larg < 0)
2219             return 0;
2220         l = (long)ctx->session_cache_size;
2221         ctx->session_cache_size = (size_t)larg;
2222         return l;
2223     case SSL_CTRL_GET_SESS_CACHE_SIZE:
2224         return (long)(ctx->session_cache_size);
2225     case SSL_CTRL_SET_SESS_CACHE_MODE:
2226         l = ctx->session_cache_mode;
2227         ctx->session_cache_mode = larg;
2228         return (l);
2229     case SSL_CTRL_GET_SESS_CACHE_MODE:
2230         return (ctx->session_cache_mode);
2231
2232     case SSL_CTRL_SESS_NUMBER:
2233         return (lh_SSL_SESSION_num_items(ctx->sessions));
2234     case SSL_CTRL_SESS_CONNECT:
2235         return (ctx->stats.sess_connect);
2236     case SSL_CTRL_SESS_CONNECT_GOOD:
2237         return (ctx->stats.sess_connect_good);
2238     case SSL_CTRL_SESS_CONNECT_RENEGOTIATE:
2239         return (ctx->stats.sess_connect_renegotiate);
2240     case SSL_CTRL_SESS_ACCEPT:
2241         return (ctx->stats.sess_accept);
2242     case SSL_CTRL_SESS_ACCEPT_GOOD:
2243         return (ctx->stats.sess_accept_good);
2244     case SSL_CTRL_SESS_ACCEPT_RENEGOTIATE:
2245         return (ctx->stats.sess_accept_renegotiate);
2246     case SSL_CTRL_SESS_HIT:
2247         return (ctx->stats.sess_hit);
2248     case SSL_CTRL_SESS_CB_HIT:
2249         return (ctx->stats.sess_cb_hit);
2250     case SSL_CTRL_SESS_MISSES:
2251         return (ctx->stats.sess_miss);
2252     case SSL_CTRL_SESS_TIMEOUTS:
2253         return (ctx->stats.sess_timeout);
2254     case SSL_CTRL_SESS_CACHE_FULL:
2255         return (ctx->stats.sess_cache_full);
2256     case SSL_CTRL_MODE:
2257         return (ctx->mode |= larg);
2258     case SSL_CTRL_CLEAR_MODE:
2259         return (ctx->mode &= ~larg);
2260     case SSL_CTRL_SET_MAX_SEND_FRAGMENT:
2261         if (larg < 512 || larg > SSL3_RT_MAX_PLAIN_LENGTH)
2262             return 0;
2263         ctx->max_send_fragment = larg;
2264         if (ctx->max_send_fragment < ctx->split_send_fragment)
2265             ctx->split_send_fragment = ctx->max_send_fragment;
2266         return 1;
2267     case SSL_CTRL_SET_SPLIT_SEND_FRAGMENT:
2268         if ((size_t)larg > ctx->max_send_fragment || larg == 0)
2269             return 0;
2270         ctx->split_send_fragment = larg;
2271         return 1;
2272     case SSL_CTRL_SET_MAX_PIPELINES:
2273         if (larg < 1 || larg > SSL_MAX_PIPELINES)
2274             return 0;
2275         ctx->max_pipelines = larg;
2276         return 1;
2277     case SSL_CTRL_CERT_FLAGS:
2278         return (ctx->cert->cert_flags |= larg);
2279     case SSL_CTRL_CLEAR_CERT_FLAGS:
2280         return (ctx->cert->cert_flags &= ~larg);
2281     case SSL_CTRL_SET_MIN_PROTO_VERSION:
2282         return ssl_check_allowed_versions(larg, ctx->max_proto_version)
2283                && ssl_set_version_bound(ctx->method->version, (int)larg,
2284                                         &ctx->min_proto_version);
2285     case SSL_CTRL_GET_MIN_PROTO_VERSION:
2286         return ctx->min_proto_version;
2287     case SSL_CTRL_SET_MAX_PROTO_VERSION:
2288         return ssl_check_allowed_versions(ctx->min_proto_version, larg)
2289                && ssl_set_version_bound(ctx->method->version, (int)larg,
2290                                         &ctx->max_proto_version);
2291     case SSL_CTRL_GET_MAX_PROTO_VERSION:
2292         return ctx->max_proto_version;
2293     default:
2294         return (ctx->method->ssl_ctx_ctrl(ctx, cmd, larg, parg));
2295     }
2296 }
2297
2298 long SSL_CTX_callback_ctrl(SSL_CTX *ctx, int cmd, void (*fp) (void))
2299 {
2300     switch (cmd) {
2301     case SSL_CTRL_SET_MSG_CALLBACK:
2302         ctx->msg_callback = (void (*)
2303                              (int write_p, int version, int content_type,
2304                               const void *buf, size_t len, SSL *ssl,
2305                               void *arg))(fp);
2306         return 1;
2307
2308     default:
2309         return (ctx->method->ssl_ctx_callback_ctrl(ctx, cmd, fp));
2310     }
2311 }
2312
2313 int ssl_cipher_id_cmp(const SSL_CIPHER *a, const SSL_CIPHER *b)
2314 {
2315     if (a->id > b->id)
2316         return 1;
2317     if (a->id < b->id)
2318         return -1;
2319     return 0;
2320 }
2321
2322 int ssl_cipher_ptr_id_cmp(const SSL_CIPHER *const *ap,
2323                           const SSL_CIPHER *const *bp)
2324 {
2325     if ((*ap)->id > (*bp)->id)
2326         return 1;
2327     if ((*ap)->id < (*bp)->id)
2328         return -1;
2329     return 0;
2330 }
2331
2332 /** return a STACK of the ciphers available for the SSL and in order of
2333  * preference */
2334 STACK_OF(SSL_CIPHER) *SSL_get_ciphers(const SSL *s)
2335 {
2336     if (s != NULL) {
2337         if (s->cipher_list != NULL) {
2338             return (s->cipher_list);
2339         } else if ((s->ctx != NULL) && (s->ctx->cipher_list != NULL)) {
2340             return (s->ctx->cipher_list);
2341         }
2342     }
2343     return (NULL);
2344 }
2345
2346 STACK_OF(SSL_CIPHER) *SSL_get_client_ciphers(const SSL *s)
2347 {
2348     if ((s == NULL) || (s->session == NULL) || !s->server)
2349         return NULL;
2350     return s->session->ciphers;
2351 }
2352
2353 STACK_OF(SSL_CIPHER) *SSL_get1_supported_ciphers(SSL *s)
2354 {
2355     STACK_OF(SSL_CIPHER) *sk = NULL, *ciphers;
2356     int i;
2357     ciphers = SSL_get_ciphers(s);
2358     if (!ciphers)
2359         return NULL;
2360     ssl_set_client_disabled(s);
2361     for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
2362         const SSL_CIPHER *c = sk_SSL_CIPHER_value(ciphers, i);
2363         if (!ssl_cipher_disabled(s, c, SSL_SECOP_CIPHER_SUPPORTED, 0)) {
2364             if (!sk)
2365                 sk = sk_SSL_CIPHER_new_null();
2366             if (!sk)
2367                 return NULL;
2368             if (!sk_SSL_CIPHER_push(sk, c)) {
2369                 sk_SSL_CIPHER_free(sk);
2370                 return NULL;
2371             }
2372         }
2373     }
2374     return sk;
2375 }
2376
2377 /** return a STACK of the ciphers available for the SSL and in order of
2378  * algorithm id */
2379 STACK_OF(SSL_CIPHER) *ssl_get_ciphers_by_id(SSL *s)
2380 {
2381     if (s != NULL) {
2382         if (s->cipher_list_by_id != NULL) {
2383             return (s->cipher_list_by_id);
2384         } else if ((s->ctx != NULL) && (s->ctx->cipher_list_by_id != NULL)) {
2385             return (s->ctx->cipher_list_by_id);
2386         }
2387     }
2388     return (NULL);
2389 }
2390
2391 /** The old interface to get the same thing as SSL_get_ciphers() */
2392 const char *SSL_get_cipher_list(const SSL *s, int n)
2393 {
2394     const SSL_CIPHER *c;
2395     STACK_OF(SSL_CIPHER) *sk;
2396
2397     if (s == NULL)
2398         return (NULL);
2399     sk = SSL_get_ciphers(s);
2400     if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= n))
2401         return (NULL);
2402     c = sk_SSL_CIPHER_value(sk, n);
2403     if (c == NULL)
2404         return (NULL);
2405     return (c->name);
2406 }
2407
2408 /** return a STACK of the ciphers available for the SSL_CTX and in order of
2409  * preference */
2410 STACK_OF(SSL_CIPHER) *SSL_CTX_get_ciphers(const SSL_CTX *ctx)
2411 {
2412     if (ctx != NULL)
2413         return ctx->cipher_list;
2414     return NULL;
2415 }
2416
2417 /** specify the ciphers to be used by default by the SSL_CTX */
2418 int SSL_CTX_set_cipher_list(SSL_CTX *ctx, const char *str)
2419 {
2420     STACK_OF(SSL_CIPHER) *sk;
2421
2422     sk = ssl_create_cipher_list(ctx->method, &ctx->cipher_list,
2423                                 &ctx->cipher_list_by_id, str, ctx->cert);
2424     /*
2425      * ssl_create_cipher_list may return an empty stack if it was unable to
2426      * find a cipher matching the given rule string (for example if the rule
2427      * string specifies a cipher which has been disabled). This is not an
2428      * error as far as ssl_create_cipher_list is concerned, and hence
2429      * ctx->cipher_list and ctx->cipher_list_by_id has been updated.
2430      */
2431     if (sk == NULL)
2432         return 0;
2433     else if (sk_SSL_CIPHER_num(sk) == 0) {
2434         SSLerr(SSL_F_SSL_CTX_SET_CIPHER_LIST, SSL_R_NO_CIPHER_MATCH);
2435         return 0;
2436     }
2437     return 1;
2438 }
2439
2440 /** specify the ciphers to be used by the SSL */
2441 int SSL_set_cipher_list(SSL *s, const char *str)
2442 {
2443     STACK_OF(SSL_CIPHER) *sk;
2444
2445     sk = ssl_create_cipher_list(s->ctx->method, &s->cipher_list,
2446                                 &s->cipher_list_by_id, str, s->cert);
2447     /* see comment in SSL_CTX_set_cipher_list */
2448     if (sk == NULL)
2449         return 0;
2450     else if (sk_SSL_CIPHER_num(sk) == 0) {
2451         SSLerr(SSL_F_SSL_SET_CIPHER_LIST, SSL_R_NO_CIPHER_MATCH);
2452         return 0;
2453     }
2454     return 1;
2455 }
2456
2457 char *SSL_get_shared_ciphers(const SSL *s, char *buf, int len)
2458 {
2459     char *p;
2460     STACK_OF(SSL_CIPHER) *sk;
2461     const SSL_CIPHER *c;
2462     int i;
2463
2464     if ((s->session == NULL) || (s->session->ciphers == NULL) || (len < 2))
2465         return (NULL);
2466
2467     p = buf;
2468     sk = s->session->ciphers;
2469
2470     if (sk_SSL_CIPHER_num(sk) == 0)
2471         return NULL;
2472
2473     for (i = 0; i < sk_SSL_CIPHER_num(sk); i++) {
2474         int n;
2475
2476         c = sk_SSL_CIPHER_value(sk, i);
2477         n = strlen(c->name);
2478         if (n + 1 > len) {
2479             if (p != buf)
2480                 --p;
2481             *p = '\0';
2482             return buf;
2483         }
2484         strcpy(p, c->name);
2485         p += n;
2486         *(p++) = ':';
2487         len -= n + 1;
2488     }
2489     p[-1] = '\0';
2490     return (buf);
2491 }
2492
2493 /** return a servername extension value if provided in Client Hello, or NULL.
2494  * So far, only host_name types are defined (RFC 3546).
2495  */
2496
2497 const char *SSL_get_servername(const SSL *s, const int type)
2498 {
2499     if (type != TLSEXT_NAMETYPE_host_name)
2500         return NULL;
2501
2502     return s->session && !s->ext.hostname ?
2503         s->session->ext.hostname : s->ext.hostname;
2504 }
2505
2506 int SSL_get_servername_type(const SSL *s)
2507 {
2508     if (s->session
2509         && (!s->ext.hostname ? s->session->
2510             ext.hostname : s->ext.hostname))
2511         return TLSEXT_NAMETYPE_host_name;
2512     return -1;
2513 }
2514
2515 /*
2516  * SSL_select_next_proto implements the standard protocol selection. It is
2517  * expected that this function is called from the callback set by
2518  * SSL_CTX_set_next_proto_select_cb. The protocol data is assumed to be a
2519  * vector of 8-bit, length prefixed byte strings. The length byte itself is
2520  * not included in the length. A byte string of length 0 is invalid. No byte
2521  * string may be truncated. The current, but experimental algorithm for
2522  * selecting the protocol is: 1) If the server doesn't support NPN then this
2523  * is indicated to the callback. In this case, the client application has to
2524  * abort the connection or have a default application level protocol. 2) If
2525  * the server supports NPN, but advertises an empty list then the client
2526  * selects the first protocol in its list, but indicates via the API that this
2527  * fallback case was enacted. 3) Otherwise, the client finds the first
2528  * protocol in the server's list that it supports and selects this protocol.
2529  * This is because it's assumed that the server has better information about
2530  * which protocol a client should use. 4) If the client doesn't support any
2531  * of the server's advertised protocols, then this is treated the same as
2532  * case 2. It returns either OPENSSL_NPN_NEGOTIATED if a common protocol was
2533  * found, or OPENSSL_NPN_NO_OVERLAP if the fallback case was reached.
2534  */
2535 int SSL_select_next_proto(unsigned char **out, unsigned char *outlen,
2536                           const unsigned char *server,
2537                           unsigned int server_len,
2538                           const unsigned char *client, unsigned int client_len)
2539 {
2540     unsigned int i, j;
2541     const unsigned char *result;
2542     int status = OPENSSL_NPN_UNSUPPORTED;
2543
2544     /*
2545      * For each protocol in server preference order, see if we support it.
2546      */
2547     for (i = 0; i < server_len;) {
2548         for (j = 0; j < client_len;) {
2549             if (server[i] == client[j] &&
2550                 memcmp(&server[i + 1], &client[j + 1], server[i]) == 0) {
2551                 /* We found a match */
2552                 result = &server[i];
2553                 status = OPENSSL_NPN_NEGOTIATED;
2554                 goto found;
2555             }
2556             j += client[j];
2557             j++;
2558         }
2559         i += server[i];
2560         i++;
2561     }
2562
2563     /* There's no overlap between our protocols and the server's list. */
2564     result = client;
2565     status = OPENSSL_NPN_NO_OVERLAP;
2566
2567  found:
2568     *out = (unsigned char *)result + 1;
2569     *outlen = result[0];
2570     return status;
2571 }
2572
2573 #ifndef OPENSSL_NO_NEXTPROTONEG
2574 /*
2575  * SSL_get0_next_proto_negotiated sets *data and *len to point to the
2576  * client's requested protocol for this connection and returns 0. If the
2577  * client didn't request any protocol, then *data is set to NULL. Note that
2578  * the client can request any protocol it chooses. The value returned from
2579  * this function need not be a member of the list of supported protocols
2580  * provided by the callback.
2581  */
2582 void SSL_get0_next_proto_negotiated(const SSL *s, const unsigned char **data,
2583                                     unsigned *len)
2584 {
2585     *data = s->ext.npn;
2586     if (!*data) {
2587         *len = 0;
2588     } else {
2589         *len = (unsigned int)s->ext.npn_len;
2590     }
2591 }
2592
2593 /*
2594  * SSL_CTX_set_npn_advertised_cb sets a callback that is called when
2595  * a TLS server needs a list of supported protocols for Next Protocol
2596  * Negotiation. The returned list must be in wire format.  The list is
2597  * returned by setting |out| to point to it and |outlen| to its length. This
2598  * memory will not be modified, but one should assume that the SSL* keeps a
2599  * reference to it. The callback should return SSL_TLSEXT_ERR_OK if it
2600  * wishes to advertise. Otherwise, no such extension will be included in the
2601  * ServerHello.
2602  */
2603 void SSL_CTX_set_npn_advertised_cb(SSL_CTX *ctx,
2604                                    SSL_CTX_npn_advertised_cb_func cb,
2605                                    void *arg)
2606 {
2607     ctx->ext.npn_advertised_cb = cb;
2608     ctx->ext.npn_advertised_cb_arg = arg;
2609 }
2610
2611 /*
2612  * SSL_CTX_set_next_proto_select_cb sets a callback that is called when a
2613  * client needs to select a protocol from the server's provided list. |out|
2614  * must be set to point to the selected protocol (which may be within |in|).
2615  * The length of the protocol name must be written into |outlen|. The
2616  * server's advertised protocols are provided in |in| and |inlen|. The
2617  * callback can assume that |in| is syntactically valid. The client must
2618  * select a protocol. It is fatal to the connection if this callback returns
2619  * a value other than SSL_TLSEXT_ERR_OK.
2620  */
2621 void SSL_CTX_set_npn_select_cb(SSL_CTX *ctx,
2622                                SSL_CTX_npn_select_cb_func cb,
2623                                void *arg)
2624 {
2625     ctx->ext.npn_select_cb = cb;
2626     ctx->ext.npn_select_cb_arg = arg;
2627 }
2628 #endif
2629
2630 /*
2631  * SSL_CTX_set_alpn_protos sets the ALPN protocol list on |ctx| to |protos|.
2632  * |protos| must be in wire-format (i.e. a series of non-empty, 8-bit
2633  * length-prefixed strings). Returns 0 on success.
2634  */
2635 int SSL_CTX_set_alpn_protos(SSL_CTX *ctx, const unsigned char *protos,
2636                             unsigned int protos_len)
2637 {
2638     OPENSSL_free(ctx->ext.alpn);
2639     ctx->ext.alpn = OPENSSL_memdup(protos, protos_len);
2640     if (ctx->ext.alpn == NULL) {
2641         SSLerr(SSL_F_SSL_CTX_SET_ALPN_PROTOS, ERR_R_MALLOC_FAILURE);
2642         return 1;
2643     }
2644     ctx->ext.alpn_len = protos_len;
2645
2646     return 0;
2647 }
2648
2649 /*
2650  * SSL_set_alpn_protos sets the ALPN protocol list on |ssl| to |protos|.
2651  * |protos| must be in wire-format (i.e. a series of non-empty, 8-bit
2652  * length-prefixed strings). Returns 0 on success.
2653  */
2654 int SSL_set_alpn_protos(SSL *ssl, const unsigned char *protos,
2655                         unsigned int protos_len)
2656 {
2657     OPENSSL_free(ssl->ext.alpn);
2658     ssl->ext.alpn = OPENSSL_memdup(protos, protos_len);
2659     if (ssl->ext.alpn == NULL) {
2660         SSLerr(SSL_F_SSL_SET_ALPN_PROTOS, ERR_R_MALLOC_FAILURE);
2661         return 1;
2662     }
2663     ssl->ext.alpn_len = protos_len;
2664
2665     return 0;
2666 }
2667
2668 /*
2669  * SSL_CTX_set_alpn_select_cb sets a callback function on |ctx| that is
2670  * called during ClientHello processing in order to select an ALPN protocol
2671  * from the client's list of offered protocols.
2672  */
2673 void SSL_CTX_set_alpn_select_cb(SSL_CTX *ctx,
2674                                 SSL_CTX_alpn_select_cb_func cb,
2675                                 void *arg)
2676 {
2677     ctx->ext.alpn_select_cb = cb;
2678     ctx->ext.alpn_select_cb_arg = arg;
2679 }
2680
2681 /*
2682  * SSL_get0_alpn_selected gets the selected ALPN protocol (if any) from |ssl|.
2683  * On return it sets |*data| to point to |*len| bytes of protocol name
2684  * (not including the leading length-prefix byte). If the server didn't
2685  * respond with a negotiated protocol then |*len| will be zero.
2686  */
2687 void SSL_get0_alpn_selected(const SSL *ssl, const unsigned char **data,
2688                             unsigned int *len)
2689 {
2690     *data = NULL;
2691     if (ssl->s3)
2692         *data = ssl->s3->alpn_selected;
2693     if (*data == NULL)
2694         *len = 0;
2695     else
2696         *len = (unsigned int)ssl->s3->alpn_selected_len;
2697 }
2698
2699 int SSL_export_keying_material(SSL *s, unsigned char *out, size_t olen,
2700                                const char *label, size_t llen,
2701                                const unsigned char *context, size_t contextlen,
2702                                int use_context)
2703 {
2704     if (s->version < TLS1_VERSION && s->version != DTLS1_BAD_VER)
2705         return -1;
2706
2707     return s->method->ssl3_enc->export_keying_material(s, out, olen, label,
2708                                                        llen, context,
2709                                                        contextlen, use_context);
2710 }
2711
2712 static unsigned long ssl_session_hash(const SSL_SESSION *a)
2713 {
2714     const unsigned char *session_id = a->session_id;
2715     unsigned long l;
2716     unsigned char tmp_storage[4];
2717
2718     if (a->session_id_length < sizeof(tmp_storage)) {
2719         memset(tmp_storage, 0, sizeof(tmp_storage));
2720         memcpy(tmp_storage, a->session_id, a->session_id_length);
2721         session_id = tmp_storage;
2722     }
2723
2724     l = (unsigned long)
2725         ((unsigned long)session_id[0]) |
2726         ((unsigned long)session_id[1] << 8L) |
2727         ((unsigned long)session_id[2] << 16L) |
2728         ((unsigned long)session_id[3] << 24L);
2729     return (l);
2730 }
2731
2732 /*
2733  * NB: If this function (or indeed the hash function which uses a sort of
2734  * coarser function than this one) is changed, ensure
2735  * SSL_CTX_has_matching_session_id() is checked accordingly. It relies on
2736  * being able to construct an SSL_SESSION that will collide with any existing
2737  * session with a matching session ID.
2738  */
2739 static int ssl_session_cmp(const SSL_SESSION *a, const SSL_SESSION *b)
2740 {
2741     if (a->ssl_version != b->ssl_version)
2742         return (1);
2743     if (a->session_id_length != b->session_id_length)
2744         return (1);
2745     return (memcmp(a->session_id, b->session_id, a->session_id_length));
2746 }
2747
2748 /*
2749  * These wrapper functions should remain rather than redeclaring
2750  * SSL_SESSION_hash and SSL_SESSION_cmp for void* types and casting each
2751  * variable. The reason is that the functions aren't static, they're exposed
2752  * via ssl.h.
2753  */
2754
2755 SSL_CTX *SSL_CTX_new(const SSL_METHOD *meth)
2756 {
2757     SSL_CTX *ret = NULL;
2758
2759     if (meth == NULL) {
2760         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_NULL_SSL_METHOD_PASSED);
2761         return (NULL);
2762     }
2763
2764     if (!OPENSSL_init_ssl(OPENSSL_INIT_LOAD_SSL_STRINGS, NULL))
2765         return NULL;
2766
2767     if (SSL_get_ex_data_X509_STORE_CTX_idx() < 0) {
2768         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_X509_VERIFICATION_SETUP_PROBLEMS);
2769         goto err;
2770     }
2771     ret = OPENSSL_zalloc(sizeof(*ret));
2772     if (ret == NULL)
2773         goto err;
2774
2775     ret->method = meth;
2776     ret->min_proto_version = 0;
2777     ret->max_proto_version = 0;
2778     ret->session_cache_mode = SSL_SESS_CACHE_SERVER;
2779     ret->session_cache_size = SSL_SESSION_CACHE_MAX_SIZE_DEFAULT;
2780     /* We take the system default. */
2781     ret->session_timeout = meth->get_timeout();
2782     ret->references = 1;
2783     ret->lock = CRYPTO_THREAD_lock_new();
2784     if (ret->lock == NULL) {
2785         SSLerr(SSL_F_SSL_CTX_NEW, ERR_R_MALLOC_FAILURE);
2786         OPENSSL_free(ret);
2787         return NULL;
2788     }
2789     ret->max_cert_list = SSL_MAX_CERT_LIST_DEFAULT;
2790     ret->verify_mode = SSL_VERIFY_NONE;
2791     if ((ret->cert = ssl_cert_new()) == NULL)
2792         goto err;
2793
2794     ret->sessions = lh_SSL_SESSION_new(ssl_session_hash, ssl_session_cmp);
2795     if (ret->sessions == NULL)
2796         goto err;
2797     ret->cert_store = X509_STORE_new();
2798     if (ret->cert_store == NULL)
2799         goto err;
2800 #ifndef OPENSSL_NO_CT
2801     ret->ctlog_store = CTLOG_STORE_new();
2802     if (ret->ctlog_store == NULL)
2803         goto err;
2804 #endif
2805     if (!ssl_create_cipher_list(ret->method,
2806                                 &ret->cipher_list, &ret->cipher_list_by_id,
2807                                 SSL_DEFAULT_CIPHER_LIST, ret->cert)
2808         || sk_SSL_CIPHER_num(ret->cipher_list) <= 0) {
2809         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_LIBRARY_HAS_NO_CIPHERS);
2810         goto err2;
2811     }
2812
2813     ret->param = X509_VERIFY_PARAM_new();
2814     if (ret->param == NULL)
2815         goto err;
2816
2817     if ((ret->md5 = EVP_get_digestbyname("ssl3-md5")) == NULL) {
2818         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_UNABLE_TO_LOAD_SSL3_MD5_ROUTINES);
2819         goto err2;
2820     }
2821     if ((ret->sha1 = EVP_get_digestbyname("ssl3-sha1")) == NULL) {
2822         SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_UNABLE_TO_LOAD_SSL3_SHA1_ROUTINES);
2823         goto err2;
2824     }
2825
2826     if ((ret->ca_names = sk_X509_NAME_new_null()) == NULL)
2827         goto err;
2828
2829     if (!CRYPTO_new_ex_data(CRYPTO_EX_INDEX_SSL_CTX, ret, &ret->ex_data))
2830         goto err;
2831
2832     /* No compression for DTLS */
2833     if (!(meth->ssl3_enc->enc_flags & SSL_ENC_FLAG_DTLS))
2834         ret->comp_methods = SSL_COMP_get_compression_methods();
2835
2836     ret->max_send_fragment = SSL3_RT_MAX_PLAIN_LENGTH;
2837     ret->split_send_fragment = SSL3_RT_MAX_PLAIN_LENGTH;
2838
2839     /* Setup RFC5077 ticket keys */
2840     if ((RAND_bytes(ret->ext.tick_key_name,
2841                     sizeof(ret->ext.tick_key_name)) <= 0)
2842         || (RAND_bytes(ret->ext.tick_hmac_key,
2843                        sizeof(ret->ext.tick_hmac_key)) <= 0)
2844         || (RAND_bytes(ret->ext.tick_aes_key,
2845                        sizeof(ret->ext.tick_aes_key)) <= 0))
2846         ret->options |= SSL_OP_NO_TICKET;
2847
2848 #ifndef OPENSSL_NO_SRP
2849     if (!SSL_CTX_SRP_CTX_init(ret))
2850         goto err;
2851 #endif
2852 #ifndef OPENSSL_NO_ENGINE
2853 # ifdef OPENSSL_SSL_CLIENT_ENGINE_AUTO
2854 #  define eng_strx(x)     #x
2855 #  define eng_str(x)      eng_strx(x)
2856     /* Use specific client engine automatically... ignore errors */
2857     {
2858         ENGINE *eng;
2859         eng = ENGINE_by_id(eng_str(OPENSSL_SSL_CLIENT_ENGINE_AUTO));
2860         if (!eng) {
2861             ERR_clear_error();
2862             ENGINE_load_builtin_engines();
2863             eng = ENGINE_by_id(eng_str(OPENSSL_SSL_CLIENT_ENGINE_AUTO));
2864         }
2865         if (!eng || !SSL_CTX_set_client_cert_engine(ret, eng))
2866             ERR_clear_error();
2867     }
2868 # endif
2869 #endif
2870     /*
2871      * Default is to connect to non-RI servers. When RI is more widely
2872      * deployed might change this.
2873      */
2874     ret->options |= SSL_OP_LEGACY_SERVER_CONNECT;
2875     /*
2876      * Disable compression by default to prevent CRIME. Applications can
2877      * re-enable compression by configuring
2878      * SSL_CTX_clear_options(ctx, SSL_OP_NO_COMPRESSION);
2879      * or by using the SSL_CONF library.
2880      */
2881     ret->options |= SSL_OP_NO_COMPRESSION;
2882
2883     ret->ext.status_type = TLSEXT_STATUSTYPE_nothing;
2884
2885     /*
2886      * Default max early data is a fully loaded single record. Could be split
2887      * across multiple records in practice
2888      */
2889     ret->max_early_data = SSL3_RT_MAX_PLAIN_LENGTH;
2890
2891     return ret;
2892  err:
2893     SSLerr(SSL_F_SSL_CTX_NEW, ERR_R_MALLOC_FAILURE);
2894  err2:
2895     SSL_CTX_free(ret);
2896     return NULL;
2897 }
2898
2899 int SSL_CTX_up_ref(SSL_CTX *ctx)
2900 {
2901     int i;
2902
2903     if (CRYPTO_UP_REF(&ctx->references, &i, ctx->lock) <= 0)
2904         return 0;
2905
2906     REF_PRINT_COUNT("SSL_CTX", ctx);
2907     REF_ASSERT_ISNT(i < 2);
2908     return ((i > 1) ? 1 : 0);
2909 }
2910
2911 void SSL_CTX_free(SSL_CTX *a)
2912 {
2913     int i;
2914
2915     if (a == NULL)
2916         return;
2917
2918     CRYPTO_DOWN_REF(&a->references, &i, a->lock);
2919     REF_PRINT_COUNT("SSL_CTX", a);
2920     if (i > 0)
2921         return;
2922     REF_ASSERT_ISNT(i < 0);
2923
2924     X509_VERIFY_PARAM_free(a->param);
2925     dane_ctx_final(&a->dane);
2926
2927     /*
2928      * Free internal session cache. However: the remove_cb() may reference
2929      * the ex_data of SSL_CTX, thus the ex_data store can only be removed
2930      * after the sessions were flushed.
2931      * As the ex_data handling routines might also touch the session cache,
2932      * the most secure solution seems to be: empty (flush) the cache, then
2933      * free ex_data, then finally free the cache.
2934      * (See ticket [openssl.org #212].)
2935      */
2936     if (a->sessions != NULL)
2937         SSL_CTX_flush_sessions(a, 0);
2938
2939     CRYPTO_free_ex_data(CRYPTO_EX_INDEX_SSL_CTX, a, &a->ex_data);
2940     lh_SSL_SESSION_free(a->sessions);
2941     X509_STORE_free(a->cert_store);
2942 #ifndef OPENSSL_NO_CT
2943     CTLOG_STORE_free(a->ctlog_store);
2944 #endif
2945     sk_SSL_CIPHER_free(a->cipher_list);
2946     sk_SSL_CIPHER_free(a->cipher_list_by_id);
2947     ssl_cert_free(a->cert);
2948     sk_X509_NAME_pop_free(a->ca_names, X509_NAME_free);
2949     sk_X509_pop_free(a->extra_certs, X509_free);
2950     a->comp_methods = NULL;
2951 #ifndef OPENSSL_NO_SRTP
2952     sk_SRTP_PROTECTION_PROFILE_free(a->srtp_profiles);
2953 #endif
2954 #ifndef OPENSSL_NO_SRP
2955     SSL_CTX_SRP_CTX_free(a);
2956 #endif
2957 #ifndef OPENSSL_NO_ENGINE
2958     ENGINE_finish(a->client_cert_engine);
2959 #endif
2960
2961 #ifndef OPENSSL_NO_EC
2962     OPENSSL_free(a->ext.ecpointformats);
2963     OPENSSL_free(a->ext.supportedgroups);
2964 #endif
2965     OPENSSL_free(a->ext.alpn);
2966
2967     CRYPTO_THREAD_lock_free(a->lock);
2968
2969     OPENSSL_free(a);
2970 }
2971
2972 void SSL_CTX_set_default_passwd_cb(SSL_CTX *ctx, pem_password_cb *cb)
2973 {
2974     ctx->default_passwd_callback = cb;
2975 }
2976
2977 void SSL_CTX_set_default_passwd_cb_userdata(SSL_CTX *ctx, void *u)
2978 {
2979     ctx->default_passwd_callback_userdata = u;
2980 }
2981
2982 pem_password_cb *SSL_CTX_get_default_passwd_cb(SSL_CTX *ctx)
2983 {
2984     return ctx->default_passwd_callback;
2985 }
2986
2987 void *SSL_CTX_get_default_passwd_cb_userdata(SSL_CTX *ctx)
2988 {
2989     return ctx->default_passwd_callback_userdata;
2990 }
2991
2992 void SSL_set_default_passwd_cb(SSL *s, pem_password_cb *cb)
2993 {
2994     s->default_passwd_callback = cb;
2995 }
2996
2997 void SSL_set_default_passwd_cb_userdata(SSL *s, void *u)
2998 {
2999     s->default_passwd_callback_userdata = u;
3000 }
3001
3002 pem_password_cb *SSL_get_default_passwd_cb(SSL *s)
3003 {
3004     return s->default_passwd_callback;
3005 }
3006
3007 void *SSL_get_default_passwd_cb_userdata(SSL *s)
3008 {
3009     return s->default_passwd_callback_userdata;
3010 }
3011
3012 void SSL_CTX_set_cert_verify_callback(SSL_CTX *ctx,
3013                                       int (*cb) (X509_STORE_CTX *, void *),
3014                                       void *arg)
3015 {
3016     ctx->app_verify_callback = cb;
3017     ctx->app_verify_arg = arg;
3018 }
3019
3020 void SSL_CTX_set_verify(SSL_CTX *ctx, int mode,
3021                         int (*cb) (int, X509_STORE_CTX *))
3022 {
3023     ctx->verify_mode = mode;
3024     ctx->default_verify_callback = cb;
3025 }
3026
3027 void SSL_CTX_set_verify_depth(SSL_CTX *ctx, int depth)
3028 {
3029     X509_VERIFY_PARAM_set_depth(ctx->param, depth);
3030 }
3031
3032 void SSL_CTX_set_cert_cb(SSL_CTX *c, int (*cb) (SSL *ssl, void *arg), void *arg)
3033 {
3034     ssl_cert_set_cert_cb(c->cert, cb, arg);
3035 }
3036
3037 void SSL_set_cert_cb(SSL *s, int (*cb) (SSL *ssl, void *arg), void *arg)
3038 {
3039     ssl_cert_set_cert_cb(s->cert, cb, arg);
3040 }
3041
3042 void ssl_set_masks(SSL *s)
3043 {
3044     CERT *c = s->cert;
3045     uint32_t *pvalid = s->s3->tmp.valid_flags;
3046     int rsa_enc, rsa_sign, dh_tmp, dsa_sign;
3047     unsigned long mask_k, mask_a;
3048 #ifndef OPENSSL_NO_EC
3049     int have_ecc_cert, ecdsa_ok;
3050 #endif
3051     if (c == NULL)
3052         return;
3053
3054 #ifndef OPENSSL_NO_DH
3055     dh_tmp = (c->dh_tmp != NULL || c->dh_tmp_cb != NULL || c->dh_tmp_auto);
3056 #else
3057     dh_tmp = 0;
3058 #endif
3059
3060     rsa_enc = pvalid[SSL_PKEY_RSA] & CERT_PKEY_VALID;
3061     rsa_sign = pvalid[SSL_PKEY_RSA] & CERT_PKEY_VALID;
3062     dsa_sign = pvalid[SSL_PKEY_DSA_SIGN] & CERT_PKEY_VALID;
3063 #ifndef OPENSSL_NO_EC
3064     have_ecc_cert = pvalid[SSL_PKEY_ECC] & CERT_PKEY_VALID;
3065 #endif
3066     mask_k = 0;
3067     mask_a = 0;
3068
3069 #ifdef CIPHER_DEBUG
3070     fprintf(stderr, "dht=%d re=%d rs=%d ds=%d\n",
3071             dh_tmp, rsa_enc, rsa_sign, dsa_sign);
3072 #endif
3073
3074 #ifndef OPENSSL_NO_GOST
3075     if (ssl_has_cert(s, SSL_PKEY_GOST12_512)) {
3076         mask_k |= SSL_kGOST;
3077         mask_a |= SSL_aGOST12;
3078     }
3079     if (ssl_has_cert(s, SSL_PKEY_GOST12_256)) {
3080         mask_k |= SSL_kGOST;
3081         mask_a |= SSL_aGOST12;
3082     }
3083     if (ssl_has_cert(s, SSL_PKEY_GOST01)) {
3084         mask_k |= SSL_kGOST;
3085         mask_a |= SSL_aGOST01;
3086     }
3087 #endif
3088
3089     if (rsa_enc)
3090         mask_k |= SSL_kRSA;
3091
3092     if (dh_tmp)
3093         mask_k |= SSL_kDHE;
3094
3095     /*
3096      * If we only have an RSA-PSS certificate allow RSA authentication
3097      * if TLS 1.2 and peer supports it.
3098      */
3099
3100     if (rsa_enc || rsa_sign || (ssl_has_cert(s, SSL_PKEY_RSA_PSS_SIGN)
3101                 && pvalid[SSL_PKEY_RSA_PSS_SIGN] & CERT_PKEY_EXPLICIT_SIGN
3102                 && TLS1_get_version(s) == TLS1_2_VERSION))
3103         mask_a |= SSL_aRSA;
3104
3105     if (dsa_sign) {
3106         mask_a |= SSL_aDSS;
3107     }
3108
3109     mask_a |= SSL_aNULL;
3110
3111     /*
3112      * An ECC certificate may be usable for ECDH and/or ECDSA cipher suites
3113      * depending on the key usage extension.
3114      */
3115 #ifndef OPENSSL_NO_EC
3116     if (have_ecc_cert) {
3117         uint32_t ex_kusage;
3118         ex_kusage = X509_get_key_usage(c->pkeys[SSL_PKEY_ECC].x509);
3119         ecdsa_ok = ex_kusage & X509v3_KU_DIGITAL_SIGNATURE;
3120         if (!(pvalid[SSL_PKEY_ECC] & CERT_PKEY_SIGN))
3121             ecdsa_ok = 0;
3122         if (ecdsa_ok)
3123             mask_a |= SSL_aECDSA;
3124     }
3125     /* Allow Ed25519 for TLS 1.2 if peer supports it */
3126     if (!(mask_a & SSL_aECDSA) && ssl_has_cert(s, SSL_PKEY_ED25519)
3127             && pvalid[SSL_PKEY_ED25519] & CERT_PKEY_EXPLICIT_SIGN
3128             && TLS1_get_version(s) == TLS1_2_VERSION)
3129             mask_a |= SSL_aECDSA;
3130 #endif
3131
3132 #ifndef OPENSSL_NO_EC
3133     mask_k |= SSL_kECDHE;
3134 #endif
3135
3136 #ifndef OPENSSL_NO_PSK
3137     mask_k |= SSL_kPSK;
3138     mask_a |= SSL_aPSK;
3139     if (mask_k & SSL_kRSA)
3140         mask_k |= SSL_kRSAPSK;
3141     if (mask_k & SSL_kDHE)
3142         mask_k |= SSL_kDHEPSK;
3143     if (mask_k & SSL_kECDHE)
3144         mask_k |= SSL_kECDHEPSK;
3145 #endif
3146
3147     s->s3->tmp.mask_k = mask_k;
3148     s->s3->tmp.mask_a = mask_a;
3149 }
3150
3151 #ifndef OPENSSL_NO_EC
3152
3153 int ssl_check_srvr_ecc_cert_and_alg(X509 *x, SSL *s)
3154 {
3155     if (s->s3->tmp.new_cipher->algorithm_auth & SSL_aECDSA) {
3156         /* key usage, if present, must allow signing */
3157         if (!(X509_get_key_usage(x) & X509v3_KU_DIGITAL_SIGNATURE)) {
3158             SSLerr(SSL_F_SSL_CHECK_SRVR_ECC_CERT_AND_ALG,
3159                    SSL_R_ECC_CERT_NOT_FOR_SIGNING);
3160             return 0;
3161         }
3162     }
3163     return 1;                   /* all checks are ok */
3164 }
3165
3166 #endif
3167
3168 int ssl_get_server_cert_serverinfo(SSL *s, const unsigned char **serverinfo,
3169                                    size_t *serverinfo_length)
3170 {
3171     CERT_PKEY *cpk = s->s3->tmp.cert;
3172     *serverinfo_length = 0;
3173
3174     if (cpk == NULL || cpk->serverinfo == NULL)
3175         return 0;
3176
3177     *serverinfo = cpk->serverinfo;
3178     *serverinfo_length = cpk->serverinfo_length;
3179     return 1;
3180 }
3181
3182 void ssl_update_cache(SSL *s, int mode)
3183 {
3184     int i;
3185
3186     /*
3187      * If the session_id_length is 0, we are not supposed to cache it, and it
3188      * would be rather hard to do anyway :-)
3189      */
3190     if (s->session->session_id_length == 0)
3191         return;
3192
3193     i = s->session_ctx->session_cache_mode;
3194     if ((i & mode) != 0
3195         && (!s->hit || SSL_IS_TLS13(s))
3196         && ((i & SSL_SESS_CACHE_NO_INTERNAL_STORE) != 0
3197             || SSL_CTX_add_session(s->session_ctx, s->session))
3198         && s->session_ctx->new_session_cb != NULL) {
3199         SSL_SESSION_up_ref(s->session);
3200         if (!s->session_ctx->new_session_cb(s, s->session))
3201             SSL_SESSION_free(s->session);
3202     }
3203
3204     /* auto flush every 255 connections */
3205     if ((!(i & SSL_SESS_CACHE_NO_AUTO_CLEAR)) && ((i & mode) == mode)) {
3206         if ((((mode & SSL_SESS_CACHE_CLIENT)
3207               ? s->session_ctx->stats.sess_connect_good
3208               : s->session_ctx->stats.sess_accept_good) & 0xff) == 0xff) {
3209             SSL_CTX_flush_sessions(s->session_ctx, (unsigned long)time(NULL));
3210         }
3211     }
3212 }
3213
3214 const SSL_METHOD *SSL_CTX_get_ssl_method(SSL_CTX *ctx)
3215 {
3216     return ctx->method;
3217 }
3218
3219 const SSL_METHOD *SSL_get_ssl_method(SSL *s)
3220 {
3221     return (s->method);
3222 }
3223
3224 int SSL_set_ssl_method(SSL *s, const SSL_METHOD *meth)
3225 {
3226     int ret = 1;
3227
3228     if (s->method != meth) {
3229         const SSL_METHOD *sm = s->method;
3230         int (*hf) (SSL *) = s->handshake_func;
3231
3232         if (sm->version == meth->version)
3233             s->method = meth;
3234         else {
3235             sm->ssl_free(s);
3236             s->method = meth;
3237             ret = s->method->ssl_new(s);
3238         }
3239
3240         if (hf == sm->ssl_connect)
3241             s->handshake_func = meth->ssl_connect;
3242         else if (hf == sm->ssl_accept)
3243             s->handshake_func = meth->ssl_accept;
3244     }
3245     return (ret);
3246 }
3247
3248 int SSL_get_error(const SSL *s, int i)
3249 {
3250     int reason;
3251     unsigned long l;
3252     BIO *bio;
3253
3254     if (i > 0)
3255         return (SSL_ERROR_NONE);
3256
3257     /*
3258      * Make things return SSL_ERROR_SYSCALL when doing SSL_do_handshake etc,
3259      * where we do encode the error
3260      */
3261     if ((l = ERR_peek_error()) != 0) {
3262         if (ERR_GET_LIB(l) == ERR_LIB_SYS)
3263             return (SSL_ERROR_SYSCALL);
3264         else
3265             return (SSL_ERROR_SSL);
3266     }
3267
3268     if (SSL_want_read(s)) {
3269         bio = SSL_get_rbio(s);
3270         if (BIO_should_read(bio))
3271             return (SSL_ERROR_WANT_READ);
3272         else if (BIO_should_write(bio))
3273             /*
3274              * This one doesn't make too much sense ... We never try to write
3275              * to the rbio, and an application program where rbio and wbio
3276              * are separate couldn't even know what it should wait for.
3277              * However if we ever set s->rwstate incorrectly (so that we have
3278              * SSL_want_read(s) instead of SSL_want_write(s)) and rbio and
3279              * wbio *are* the same, this test works around that bug; so it
3280              * might be safer to keep it.
3281              */
3282             return (SSL_ERROR_WANT_WRITE);
3283         else if (BIO_should_io_special(bio)) {
3284             reason = BIO_get_retry_reason(bio);
3285             if (reason == BIO_RR_CONNECT)
3286                 return (SSL_ERROR_WANT_CONNECT);
3287             else if (reason == BIO_RR_ACCEPT)
3288                 return (SSL_ERROR_WANT_ACCEPT);
3289             else
3290                 return (SSL_ERROR_SYSCALL); /* unknown */
3291         }
3292     }
3293
3294     if (SSL_want_write(s)) {
3295         /* Access wbio directly - in order to use the buffered bio if present */
3296         bio = s->wbio;
3297         if (BIO_should_write(bio))
3298             return (SSL_ERROR_WANT_WRITE);
3299         else if (BIO_should_read(bio))
3300             /*
3301              * See above (SSL_want_read(s) with BIO_should_write(bio))
3302              */
3303             return (SSL_ERROR_WANT_READ);
3304         else if (BIO_should_io_special(bio)) {
3305             reason = BIO_get_retry_reason(bio);
3306             if (reason == BIO_RR_CONNECT)
3307                 return (SSL_ERROR_WANT_CONNECT);
3308             else if (reason == BIO_RR_ACCEPT)
3309                 return (SSL_ERROR_WANT_ACCEPT);
3310             else
3311                 return (SSL_ERROR_SYSCALL);
3312         }
3313     }
3314     if (SSL_want_x509_lookup(s))
3315         return (SSL_ERROR_WANT_X509_LOOKUP);
3316     if (SSL_want_async(s))
3317         return SSL_ERROR_WANT_ASYNC;
3318     if (SSL_want_async_job(s))
3319         return SSL_ERROR_WANT_ASYNC_JOB;
3320     if (SSL_want_client_hello_cb(s))
3321         return SSL_ERROR_WANT_CLIENT_HELLO_CB;
3322
3323     if ((s->shutdown & SSL_RECEIVED_SHUTDOWN) &&
3324         (s->s3->warn_alert == SSL_AD_CLOSE_NOTIFY))
3325         return (SSL_ERROR_ZERO_RETURN);
3326
3327     return (SSL_ERROR_SYSCALL);
3328 }
3329
3330 static int ssl_do_handshake_intern(void *vargs)
3331 {
3332     struct ssl_async_args *args;
3333     SSL *s;
3334
3335     args = (struct ssl_async_args *)vargs;
3336     s = args->s;
3337
3338     return s->handshake_func(s);
3339 }
3340
3341 int SSL_do_handshake(SSL *s)
3342 {
3343     int ret = 1;
3344
3345     if (s->handshake_func == NULL) {
3346         SSLerr(SSL_F_SSL_DO_HANDSHAKE, SSL_R_CONNECTION_TYPE_NOT_SET);
3347         return -1;
3348     }
3349
3350     ossl_statem_check_finish_init(s, -1);
3351
3352     s->method->ssl_renegotiate_check(s, 0);
3353
3354     if (SSL_is_server(s)) {
3355         /* clear SNI settings at server-side */
3356         OPENSSL_free(s->ext.hostname);
3357         s->ext.hostname = NULL;
3358     }
3359
3360     if (SSL_in_init(s) || SSL_in_before(s)) {
3361         if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {
3362             struct ssl_async_args args;
3363
3364             args.s = s;
3365
3366             ret = ssl_start_async_job(s, &args, ssl_do_handshake_intern);
3367         } else {
3368             ret = s->handshake_func(s);
3369         }
3370     }
3371     return ret;
3372 }
3373
3374 void SSL_set_accept_state(SSL *s)
3375 {
3376     s->server = 1;
3377     s->shutdown = 0;
3378     ossl_statem_clear(s);
3379     s->handshake_func = s->method->ssl_accept;
3380     clear_ciphers(s);
3381 }
3382
3383 void SSL_set_connect_state(SSL *s)
3384 {
3385     s->server = 0;
3386     s->shutdown = 0;
3387     ossl_statem_clear(s);
3388     s->handshake_func = s->method->ssl_connect;
3389     clear_ciphers(s);
3390 }
3391
3392 int ssl_undefined_function(SSL *s)
3393 {
3394     SSLerr(SSL_F_SSL_UNDEFINED_FUNCTION, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
3395     return (0);
3396 }
3397
3398 int ssl_undefined_void_function(void)
3399 {
3400     SSLerr(SSL_F_SSL_UNDEFINED_VOID_FUNCTION,
3401            ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
3402     return (0);
3403 }
3404
3405 int ssl_undefined_const_function(const SSL *s)
3406 {
3407     return (0);
3408 }
3409
3410 const SSL_METHOD *ssl_bad_method(int ver)
3411 {
3412     SSLerr(SSL_F_SSL_BAD_METHOD, ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
3413     return (NULL);
3414 }
3415
3416 const char *ssl_protocol_to_string(int version)
3417 {
3418     switch(version)
3419     {
3420     case TLS1_3_VERSION:
3421         return "TLSv1.3";
3422
3423     case TLS1_2_VERSION:
3424         return "TLSv1.2";
3425
3426     case TLS1_1_VERSION:
3427         return "TLSv1.1";
3428
3429     case TLS1_VERSION:
3430         return "TLSv1";
3431
3432     case SSL3_VERSION:
3433         return "SSLv3";
3434
3435     case DTLS1_BAD_VER:
3436         return "DTLSv0.9";
3437
3438     case DTLS1_VERSION:
3439         return "DTLSv1";
3440
3441     case DTLS1_2_VERSION:
3442         return "DTLSv1.2";
3443
3444     default:
3445         return "unknown";
3446     }
3447 }
3448
3449 const char *SSL_get_version(const SSL *s)
3450 {
3451     return ssl_protocol_to_string(s->version);
3452 }
3453
3454 SSL *SSL_dup(SSL *s)
3455 {
3456     STACK_OF(X509_NAME) *sk;
3457     X509_NAME *xn;
3458     SSL *ret;
3459     int i;
3460
3461     /* If we're not quiescent, just up_ref! */
3462     if (!SSL_in_init(s) || !SSL_in_before(s)) {
3463         CRYPTO_UP_REF(&s->references, &i, s->lock);
3464         return s;
3465     }
3466
3467     /*
3468      * Otherwise, copy configuration state, and session if set.
3469      */
3470     if ((ret = SSL_new(SSL_get_SSL_CTX(s))) == NULL)
3471         return (NULL);
3472
3473     if (s->session != NULL) {
3474         /*
3475          * Arranges to share the same session via up_ref.  This "copies"
3476          * session-id, SSL_METHOD, sid_ctx, and 'cert'
3477          */
3478         if (!SSL_copy_session_id(ret, s))
3479             goto err;
3480     } else {
3481         /*
3482          * No session has been established yet, so we have to expect that
3483          * s->cert or ret->cert will be changed later -- they should not both
3484          * point to the same object, and thus we can't use
3485          * SSL_copy_session_id.
3486          */
3487         if (!SSL_set_ssl_method(ret, s->method))
3488             goto err;
3489
3490         if (s->cert != NULL) {
3491             ssl_cert_free(ret->cert);
3492             ret->cert = ssl_cert_dup(s->cert);
3493             if (ret->cert == NULL)
3494                 goto err;
3495         }
3496
3497         if (!SSL_set_session_id_context(ret, s->sid_ctx,
3498                                         (int)s->sid_ctx_length))
3499             goto err;
3500     }
3501
3502     if (!ssl_dane_dup(ret, s))
3503         goto err;
3504     ret->version = s->version;
3505     ret->options = s->options;
3506     ret->mode = s->mode;
3507     SSL_set_max_cert_list(ret, SSL_get_max_cert_list(s));
3508     SSL_set_read_ahead(ret, SSL_get_read_ahead(s));
3509     ret->msg_callback = s->msg_callback;
3510     ret->msg_callback_arg = s->msg_callback_arg;
3511     SSL_set_verify(ret, SSL_get_verify_mode(s), SSL_get_verify_callback(s));
3512     SSL_set_verify_depth(ret, SSL_get_verify_depth(s));
3513     ret->generate_session_id = s->generate_session_id;
3514
3515     SSL_set_info_callback(ret, SSL_get_info_callback(s));
3516
3517     /* copy app data, a little dangerous perhaps */
3518     if (!CRYPTO_dup_ex_data(CRYPTO_EX_INDEX_SSL, &ret->ex_data, &s->ex_data))
3519         goto err;
3520
3521     /* setup rbio, and wbio */
3522     if (s->rbio != NULL) {
3523         if (!BIO_dup_state(s->rbio, (char *)&ret->rbio))
3524             goto err;
3525     }
3526     if (s->wbio != NULL) {
3527         if (s->wbio != s->rbio) {
3528             if (!BIO_dup_state(s->wbio, (char *)&ret->wbio))
3529                 goto err;
3530         } else {
3531             BIO_up_ref(ret->rbio);
3532             ret->wbio = ret->rbio;
3533         }
3534     }
3535
3536     ret->server = s->server;
3537     if (s->handshake_func) {
3538         if (s->server)
3539             SSL_set_accept_state(ret);
3540         else
3541             SSL_set_connect_state(ret);
3542     }
3543     ret->shutdown = s->shutdown;
3544     ret->hit = s->hit;
3545
3546     ret->default_passwd_callback = s->default_passwd_callback;
3547     ret->default_passwd_callback_userdata = s->default_passwd_callback_userdata;
3548
3549     X509_VERIFY_PARAM_inherit(ret->param, s->param);
3550
3551     /* dup the cipher_list and cipher_list_by_id stacks */
3552     if (s->cipher_list != NULL) {
3553         if ((ret->cipher_list = sk_SSL_CIPHER_dup(s->cipher_list)) == NULL)
3554             goto err;
3555     }
3556     if (s->cipher_list_by_id != NULL)
3557         if ((ret->cipher_list_by_id = sk_SSL_CIPHER_dup(s->cipher_list_by_id))
3558             == NULL)
3559             goto err;
3560
3561     /* Dup the client_CA list */
3562     if (s->ca_names != NULL) {
3563         if ((sk = sk_X509_NAME_dup(s->ca_names)) == NULL)
3564             goto err;
3565         ret->ca_names = sk;
3566         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
3567             xn = sk_X509_NAME_value(sk, i);
3568             if (sk_X509_NAME_set(sk, i, X509_NAME_dup(xn)) == NULL) {
3569                 X509_NAME_free(xn);
3570                 goto err;
3571             }
3572         }
3573     }
3574     return ret;
3575
3576  err:
3577     SSL_free(ret);
3578     return NULL;
3579 }
3580
3581 void ssl_clear_cipher_ctx(SSL *s)
3582 {
3583     if (s->enc_read_ctx != NULL) {
3584         EVP_CIPHER_CTX_free(s->enc_read_ctx);
3585         s->enc_read_ctx = NULL;
3586     }
3587     if (s->enc_write_ctx != NULL) {
3588         EVP_CIPHER_CTX_free(s->enc_write_ctx);
3589         s->enc_write_ctx = NULL;
3590     }
3591 #ifndef OPENSSL_NO_COMP
3592     COMP_CTX_free(s->expand);
3593     s->expand = NULL;
3594     COMP_CTX_free(s->compress);
3595     s->compress = NULL;
3596 #endif
3597 }
3598
3599 X509 *SSL_get_certificate(const SSL *s)
3600 {
3601     if (s->cert != NULL)
3602         return (s->cert->key->x509);
3603     else
3604         return (NULL);
3605 }
3606
3607 EVP_PKEY *SSL_get_privatekey(const SSL *s)
3608 {
3609     if (s->cert != NULL)
3610         return (s->cert->key->privatekey);
3611     else
3612         return (NULL);
3613 }
3614
3615 X509 *SSL_CTX_get0_certificate(const SSL_CTX *ctx)
3616 {
3617     if (ctx->cert != NULL)
3618         return ctx->cert->key->x509;
3619     else
3620         return NULL;
3621 }
3622
3623 EVP_PKEY *SSL_CTX_get0_privatekey(const SSL_CTX *ctx)
3624 {
3625     if (ctx->cert != NULL)
3626         return ctx->cert->key->privatekey;
3627     else
3628         return NULL;
3629 }
3630
3631 const SSL_CIPHER *SSL_get_current_cipher(const SSL *s)
3632 {
3633     if ((s->session != NULL) && (s->session->cipher != NULL))
3634         return (s->session->cipher);
3635     return (NULL);
3636 }
3637
3638 const SSL_CIPHER *SSL_get_pending_cipher(const SSL *s)
3639 {
3640     return s->s3->tmp.new_cipher;
3641 }
3642
3643 const COMP_METHOD *SSL_get_current_compression(SSL *s)
3644 {
3645 #ifndef OPENSSL_NO_COMP
3646     return s->compress ? COMP_CTX_get_method(s->compress) : NULL;
3647 #else
3648     return NULL;
3649 #endif
3650 }
3651
3652 const COMP_METHOD *SSL_get_current_expansion(SSL *s)
3653 {
3654 #ifndef OPENSSL_NO_COMP
3655     return s->expand ? COMP_CTX_get_method(s->expand) : NULL;
3656 #else
3657     return NULL;
3658 #endif
3659 }
3660
3661 int ssl_init_wbio_buffer(SSL *s)
3662 {
3663     BIO *bbio;
3664
3665     if (s->bbio != NULL) {
3666         /* Already buffered. */
3667         return 1;
3668     }
3669
3670     bbio = BIO_new(BIO_f_buffer());
3671     if (bbio == NULL || !BIO_set_read_buffer_size(bbio, 1)) {
3672         BIO_free(bbio);
3673         SSLerr(SSL_F_SSL_INIT_WBIO_BUFFER, ERR_R_BUF_LIB);
3674         return 0;
3675     }
3676     s->bbio = bbio;
3677     s->wbio = BIO_push(bbio, s->wbio);
3678
3679     return 1;
3680 }
3681
3682 int ssl_free_wbio_buffer(SSL *s)
3683 {
3684     /* callers ensure s is never null */
3685     if (s->bbio == NULL)
3686         return 1;
3687
3688     s->wbio = BIO_pop(s->wbio);
3689     if (!ossl_assert(s->wbio != NULL))
3690         return 0;
3691     BIO_free(s->bbio);
3692     s->bbio = NULL;
3693
3694     return 1;
3695 }
3696
3697 void SSL_CTX_set_quiet_shutdown(SSL_CTX *ctx, int mode)
3698 {
3699     ctx->quiet_shutdown = mode;
3700 }
3701
3702 int SSL_CTX_get_quiet_shutdown(const SSL_CTX *ctx)
3703 {
3704     return (ctx->quiet_shutdown);
3705 }
3706
3707 void SSL_set_quiet_shutdown(SSL *s, int mode)
3708 {
3709     s->quiet_shutdown = mode;
3710 }
3711
3712 int SSL_get_quiet_shutdown(const SSL *s)
3713 {
3714     return (s->quiet_shutdown);
3715 }
3716
3717 void SSL_set_shutdown(SSL *s, int mode)
3718 {
3719     s->shutdown = mode;
3720 }
3721
3722 int SSL_get_shutdown(const SSL *s)
3723 {
3724     return s->shutdown;
3725 }
3726
3727 int SSL_version(const SSL *s)
3728 {
3729     return s->version;
3730 }
3731
3732 int SSL_client_version(const SSL *s)
3733 {
3734     return s->client_version;
3735 }
3736
3737 SSL_CTX *SSL_get_SSL_CTX(const SSL *ssl)
3738 {
3739     return ssl->ctx;
3740 }
3741
3742 SSL_CTX *SSL_set_SSL_CTX(SSL *ssl, SSL_CTX *ctx)
3743 {
3744     CERT *new_cert;
3745     if (ssl->ctx == ctx)
3746         return ssl->ctx;
3747     if (ctx == NULL)
3748         ctx = ssl->session_ctx;
3749     new_cert = ssl_cert_dup(ctx->cert);
3750     if (new_cert == NULL) {
3751         return NULL;
3752     }
3753
3754     if (!custom_exts_copy_flags(&new_cert->custext, &ssl->cert->custext)) {
3755         ssl_cert_free(new_cert);
3756         return NULL;
3757     }
3758
3759     ssl_cert_free(ssl->cert);
3760     ssl->cert = new_cert;
3761
3762     /*
3763      * Program invariant: |sid_ctx| has fixed size (SSL_MAX_SID_CTX_LENGTH),
3764      * so setter APIs must prevent invalid lengths from entering the system.
3765      */
3766     if (!ossl_assert(ssl->sid_ctx_length <= sizeof(ssl->sid_ctx)))
3767         return NULL;
3768
3769     /*
3770      * If the session ID context matches that of the parent SSL_CTX,
3771      * inherit it from the new SSL_CTX as well. If however the context does
3772      * not match (i.e., it was set per-ssl with SSL_set_session_id_context),
3773      * leave it unchanged.
3774      */
3775     if ((ssl->ctx != NULL) &&
3776         (ssl->sid_ctx_length == ssl->ctx->sid_ctx_length) &&
3777         (memcmp(ssl->sid_ctx, ssl->ctx->sid_ctx, ssl->sid_ctx_length) == 0)) {
3778         ssl->sid_ctx_length = ctx->sid_ctx_length;
3779         memcpy(&ssl->sid_ctx, &ctx->sid_ctx, sizeof(ssl->sid_ctx));
3780     }
3781
3782     SSL_CTX_up_ref(ctx);
3783     SSL_CTX_free(ssl->ctx);     /* decrement reference count */
3784     ssl->ctx = ctx;
3785
3786     return ssl->ctx;
3787 }
3788
3789 int SSL_CTX_set_default_verify_paths(SSL_CTX *ctx)
3790 {
3791     return (X509_STORE_set_default_paths(ctx->cert_store));
3792 }
3793
3794 int SSL_CTX_set_default_verify_dir(SSL_CTX *ctx)
3795 {
3796     X509_LOOKUP *lookup;
3797
3798     lookup = X509_STORE_add_lookup(ctx->cert_store, X509_LOOKUP_hash_dir());
3799     if (lookup == NULL)
3800         return 0;
3801     X509_LOOKUP_add_dir(lookup, NULL, X509_FILETYPE_DEFAULT);
3802
3803     /* Clear any errors if the default directory does not exist */
3804     ERR_clear_error();
3805
3806     return 1;
3807 }
3808
3809 int SSL_CTX_set_default_verify_file(SSL_CTX *ctx)
3810 {
3811     X509_LOOKUP *lookup;
3812
3813     lookup = X509_STORE_add_lookup(ctx->cert_store, X509_LOOKUP_file());
3814     if (lookup == NULL)
3815         return 0;
3816
3817     X509_LOOKUP_load_file(lookup, NULL, X509_FILETYPE_DEFAULT);
3818
3819     /* Clear any errors if the default file does not exist */
3820     ERR_clear_error();
3821
3822     return 1;
3823 }
3824
3825 int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,
3826                                   const char *CApath)
3827 {
3828     return (X509_STORE_load_locations(ctx->cert_store, CAfile, CApath));
3829 }
3830
3831 void SSL_set_info_callback(SSL *ssl,
3832                            void (*cb) (const SSL *ssl, int type, int val))
3833 {
3834     ssl->info_callback = cb;
3835 }
3836
3837 /*
3838  * One compiler (Diab DCC) doesn't like argument names in returned function
3839  * pointer.
3840  */
3841 void (*SSL_get_info_callback(const SSL *ssl)) (const SSL * /* ssl */ ,
3842                                                int /* type */ ,
3843                                                int /* val */ ) {
3844     return ssl->info_callback;
3845 }
3846
3847 void SSL_set_verify_result(SSL *ssl, long arg)
3848 {
3849     ssl->verify_result = arg;
3850 }
3851
3852 long SSL_get_verify_result(const SSL *ssl)
3853 {
3854     return (ssl->verify_result);
3855 }
3856
3857 size_t SSL_get_client_random(const SSL *ssl, unsigned char *out, size_t outlen)
3858 {
3859     if (outlen == 0)
3860         return sizeof(ssl->s3->client_random);
3861     if (outlen > sizeof(ssl->s3->client_random))
3862         outlen = sizeof(ssl->s3->client_random);
3863     memcpy(out, ssl->s3->client_random, outlen);
3864     return outlen;
3865 }
3866
3867 size_t SSL_get_server_random(const SSL *ssl, unsigned char *out, size_t outlen)
3868 {
3869     if (outlen == 0)
3870         return sizeof(ssl->s3->server_random);
3871     if (outlen > sizeof(ssl->s3->server_random))
3872         outlen = sizeof(ssl->s3->server_random);
3873     memcpy(out, ssl->s3->server_random, outlen);
3874     return outlen;
3875 }
3876
3877 size_t SSL_SESSION_get_master_key(const SSL_SESSION *session,
3878                                   unsigned char *out, size_t outlen)
3879 {
3880     if (outlen == 0)
3881         return session->master_key_length;
3882     if (outlen > session->master_key_length)
3883         outlen = session->master_key_length;
3884     memcpy(out, session->master_key, outlen);
3885     return outlen;
3886 }
3887
3888 int SSL_SESSION_set1_master_key(SSL_SESSION *sess, const unsigned char *in,
3889                                 size_t len)
3890 {
3891     if (len > sizeof(sess->master_key))
3892         return 0;
3893
3894     memcpy(sess->master_key, in, len);
3895     sess->master_key_length = len;
3896     return 1;
3897 }
3898
3899
3900 int SSL_set_ex_data(SSL *s, int idx, void *arg)
3901 {
3902     return (CRYPTO_set_ex_data(&s->ex_data, idx, arg));
3903 }
3904
3905 void *SSL_get_ex_data(const SSL *s, int idx)
3906 {
3907     return (CRYPTO_get_ex_data(&s->ex_data, idx));
3908 }
3909
3910 int SSL_CTX_set_ex_data(SSL_CTX *s, int idx, void *arg)
3911 {
3912     return (CRYPTO_set_ex_data(&s->ex_data, idx, arg));
3913 }
3914
3915 void *SSL_CTX_get_ex_data(const SSL_CTX *s, int idx)
3916 {
3917     return (CRYPTO_get_ex_data(&s->ex_data, idx));
3918 }
3919
3920 X509_STORE *SSL_CTX_get_cert_store(const SSL_CTX *ctx)
3921 {
3922     return (ctx->cert_store);
3923 }
3924
3925 void SSL_CTX_set_cert_store(SSL_CTX *ctx, X509_STORE *store)
3926 {
3927     X509_STORE_free(ctx->cert_store);
3928     ctx->cert_store = store;
3929 }
3930
3931 void SSL_CTX_set1_cert_store(SSL_CTX *ctx, X509_STORE *store)
3932 {
3933     if (store != NULL)
3934         X509_STORE_up_ref(store);
3935     SSL_CTX_set_cert_store(ctx, store);
3936 }
3937
3938 int SSL_want(const SSL *s)
3939 {
3940     return (s->rwstate);
3941 }
3942
3943 /**
3944  * \brief Set the callback for generating temporary DH keys.
3945  * \param ctx the SSL context.
3946  * \param dh the callback
3947  */
3948
3949 #ifndef OPENSSL_NO_DH
3950 void SSL_CTX_set_tmp_dh_callback(SSL_CTX *ctx,
3951                                  DH *(*dh) (SSL *ssl, int is_export,
3952                                             int keylength))
3953 {
3954     SSL_CTX_callback_ctrl(ctx, SSL_CTRL_SET_TMP_DH_CB, (void (*)(void))dh);
3955 }
3956
3957 void SSL_set_tmp_dh_callback(SSL *ssl, DH *(*dh) (SSL *ssl, int is_export,
3958                                                   int keylength))
3959 {
3960     SSL_callback_ctrl(ssl, SSL_CTRL_SET_TMP_DH_CB, (void (*)(void))dh);
3961 }
3962 #endif
3963
3964 #ifndef OPENSSL_NO_PSK
3965 int SSL_CTX_use_psk_identity_hint(SSL_CTX *ctx, const char *identity_hint)
3966 {
3967     if (identity_hint != NULL && strlen(identity_hint) > PSK_MAX_IDENTITY_LEN) {
3968         SSLerr(SSL_F_SSL_CTX_USE_PSK_IDENTITY_HINT, SSL_R_DATA_LENGTH_TOO_LONG);
3969         return 0;
3970     }
3971     OPENSSL_free(ctx->cert->psk_identity_hint);
3972     if (identity_hint != NULL) {
3973         ctx->cert->psk_identity_hint = OPENSSL_strdup(identity_hint);
3974         if (ctx->cert->psk_identity_hint == NULL)
3975             return 0;
3976     } else
3977         ctx->cert->psk_identity_hint = NULL;
3978     return 1;
3979 }
3980
3981 int SSL_use_psk_identity_hint(SSL *s, const char *identity_hint)
3982 {
3983     if (s == NULL)
3984         return 0;
3985
3986     if (identity_hint != NULL && strlen(identity_hint) > PSK_MAX_IDENTITY_LEN) {
3987         SSLerr(SSL_F_SSL_USE_PSK_IDENTITY_HINT, SSL_R_DATA_LENGTH_TOO_LONG);
3988         return 0;
3989     }
3990     OPENSSL_free(s->cert->psk_identity_hint);
3991     if (identity_hint != NULL) {
3992         s->cert->psk_identity_hint = OPENSSL_strdup(identity_hint);
3993         if (s->cert->psk_identity_hint == NULL)
3994             return 0;
3995     } else
3996         s->cert->psk_identity_hint = NULL;
3997     return 1;
3998 }
3999
4000 const char *SSL_get_psk_identity_hint(const SSL *s)
4001 {
4002     if (s == NULL || s->session == NULL)
4003         return NULL;
4004     return (s->session->psk_identity_hint);
4005 }
4006
4007 const char *SSL_get_psk_identity(const SSL *s)
4008 {
4009     if (s == NULL || s->session == NULL)
4010         return NULL;
4011     return (s->session->psk_identity);
4012 }
4013
4014 void SSL_set_psk_client_callback(SSL *s, SSL_psk_client_cb_func cb)
4015 {
4016     s->psk_client_callback = cb;
4017 }
4018
4019 void SSL_CTX_set_psk_client_callback(SSL_CTX *ctx, SSL_psk_client_cb_func cb)
4020 {
4021     ctx->psk_client_callback = cb;
4022 }
4023
4024 void SSL_set_psk_server_callback(SSL *s, SSL_psk_server_cb_func cb)
4025 {
4026     s->psk_server_callback = cb;
4027 }
4028
4029 void SSL_CTX_set_psk_server_callback(SSL_CTX *ctx, SSL_psk_server_cb_func cb)
4030 {
4031     ctx->psk_server_callback = cb;
4032 }
4033 #endif
4034
4035 void SSL_set_psk_find_session_callback(SSL *s, SSL_psk_find_session_cb_func cb)
4036 {
4037     s->psk_find_session_cb = cb;
4038 }
4039
4040 void SSL_CTX_set_psk_find_session_callback(SSL_CTX *ctx,
4041                                            SSL_psk_find_session_cb_func cb)
4042 {
4043     ctx->psk_find_session_cb = cb;
4044 }
4045
4046 void SSL_set_psk_use_session_callback(SSL *s, SSL_psk_use_session_cb_func cb)
4047 {
4048     s->psk_use_session_cb = cb;
4049 }
4050
4051 void SSL_CTX_set_psk_use_session_callback(SSL_CTX *ctx,
4052                                            SSL_psk_use_session_cb_func cb)
4053 {
4054     ctx->psk_use_session_cb = cb;
4055 }
4056
4057 void SSL_CTX_set_msg_callback(SSL_CTX *ctx,
4058                               void (*cb) (int write_p, int version,
4059                                           int content_type, const void *buf,
4060                                           size_t len, SSL *ssl, void *arg))
4061 {
4062     SSL_CTX_callback_ctrl(ctx, SSL_CTRL_SET_MSG_CALLBACK, (void (*)(void))cb);
4063 }
4064
4065 void SSL_set_msg_callback(SSL *ssl,
4066                           void (*cb) (int write_p, int version,
4067                                       int content_type, const void *buf,
4068                                       size_t len, SSL *ssl, void *arg))
4069 {
4070     SSL_callback_ctrl(ssl, SSL_CTRL_SET_MSG_CALLBACK, (void (*)(void))cb);
4071 }
4072
4073 void SSL_CTX_set_not_resumable_session_callback(SSL_CTX *ctx,
4074                                                 int (*cb) (SSL *ssl,
4075                                                            int
4076                                                            is_forward_secure))
4077 {
4078     SSL_CTX_callback_ctrl(ctx, SSL_CTRL_SET_NOT_RESUMABLE_SESS_CB,
4079                           (void (*)(void))cb);
4080 }
4081
4082 void SSL_set_not_resumable_session_callback(SSL *ssl,
4083                                             int (*cb) (SSL *ssl,
4084                                                        int is_forward_secure))
4085 {
4086     SSL_callback_ctrl(ssl, SSL_CTRL_SET_NOT_RESUMABLE_SESS_CB,
4087                       (void (*)(void))cb);
4088 }
4089
4090 void SSL_CTX_set_record_padding_callback(SSL_CTX *ctx,
4091                                          size_t (*cb) (SSL *ssl, int type,
4092                                                        size_t len, void *arg))
4093 {
4094     ctx->record_padding_cb = cb;
4095 }
4096
4097 void SSL_CTX_set_record_padding_callback_arg(SSL_CTX *ctx, void *arg)
4098 {
4099     ctx->record_padding_arg = arg;
4100 }
4101
4102 void *SSL_CTX_get_record_padding_callback_arg(SSL_CTX *ctx)
4103 {
4104     return ctx->record_padding_arg;
4105 }
4106
4107 int SSL_CTX_set_block_padding(SSL_CTX *ctx, size_t block_size)
4108 {
4109     /* block size of 0 or 1 is basically no padding */
4110     if (block_size == 1)
4111         ctx->block_padding = 0;
4112     else if (block_size <= SSL3_RT_MAX_PLAIN_LENGTH)
4113         ctx->block_padding = block_size;
4114     else
4115         return 0;
4116     return 1;
4117 }
4118
4119 void SSL_set_record_padding_callback(SSL *ssl,
4120                                      size_t (*cb) (SSL *ssl, int type,
4121                                                    size_t len, void *arg))
4122 {
4123     ssl->record_padding_cb = cb;
4124 }
4125
4126 void SSL_set_record_padding_callback_arg(SSL *ssl, void *arg)
4127 {
4128     ssl->record_padding_arg = arg;
4129 }
4130
4131 void *SSL_get_record_padding_callback_arg(SSL *ssl)
4132 {
4133     return ssl->record_padding_arg;
4134 }
4135
4136 int SSL_set_block_padding(SSL *ssl, size_t block_size)
4137 {
4138     /* block size of 0 or 1 is basically no padding */
4139     if (block_size == 1)
4140         ssl->block_padding = 0;
4141     else if (block_size <= SSL3_RT_MAX_PLAIN_LENGTH)
4142         ssl->block_padding = block_size;
4143     else
4144         return 0;
4145     return 1;
4146 }
4147
4148 /*
4149  * Allocates new EVP_MD_CTX and sets pointer to it into given pointer
4150  * variable, freeing EVP_MD_CTX previously stored in that variable, if any.
4151  * If EVP_MD pointer is passed, initializes ctx with this |md|.
4152  * Returns the newly allocated ctx;
4153  */
4154
4155 EVP_MD_CTX *ssl_replace_hash(EVP_MD_CTX **hash, const EVP_MD *md)
4156 {
4157     ssl_clear_hash_ctx(hash);
4158     *hash = EVP_MD_CTX_new();
4159     if (*hash == NULL || (md && EVP_DigestInit_ex(*hash, md, NULL) <= 0)) {
4160         EVP_MD_CTX_free(*hash);
4161         *hash = NULL;
4162         return NULL;
4163     }
4164     return *hash;
4165 }
4166
4167 void ssl_clear_hash_ctx(EVP_MD_CTX **hash)
4168 {
4169
4170     EVP_MD_CTX_free(*hash);
4171     *hash = NULL;
4172 }
4173
4174 /* Retrieve handshake hashes */
4175 int ssl_handshake_hash(SSL *s, unsigned char *out, size_t outlen,
4176                        size_t *hashlen)
4177 {
4178     EVP_MD_CTX *ctx = NULL;
4179     EVP_MD_CTX *hdgst = s->s3->handshake_dgst;
4180     int hashleni = EVP_MD_CTX_size(hdgst);
4181     int ret = 0;
4182
4183     if (hashleni < 0 || (size_t)hashleni > outlen)
4184         goto err;
4185
4186     ctx = EVP_MD_CTX_new();
4187     if (ctx == NULL)
4188         goto err;
4189
4190     if (!EVP_MD_CTX_copy_ex(ctx, hdgst)
4191         || EVP_DigestFinal_ex(ctx, out, NULL) <= 0)
4192         goto err;
4193
4194     *hashlen = hashleni;
4195
4196     ret = 1;
4197  err:
4198     EVP_MD_CTX_free(ctx);
4199     return ret;
4200 }
4201
4202 int SSL_session_reused(SSL *s)
4203 {
4204     return s->hit;
4205 }
4206
4207 int SSL_is_server(const SSL *s)
4208 {
4209     return s->server;
4210 }
4211
4212 #if OPENSSL_API_COMPAT < 0x10100000L
4213 void SSL_set_debug(SSL *s, int debug)
4214 {
4215     /* Old function was do-nothing anyway... */
4216     (void)s;
4217     (void)debug;
4218 }
4219 #endif
4220
4221 void SSL_set_security_level(SSL *s, int level)
4222 {
4223     s->cert->sec_level = level;
4224 }
4225
4226 int SSL_get_security_level(const SSL *s)
4227 {
4228     return s->cert->sec_level;
4229 }
4230
4231 void SSL_set_security_callback(SSL *s,
4232                                int (*cb) (const SSL *s, const SSL_CTX *ctx,
4233                                           int op, int bits, int nid,
4234                                           void *other, void *ex))
4235 {
4236     s->cert->sec_cb = cb;
4237 }
4238
4239 int (*SSL_get_security_callback(const SSL *s)) (const SSL *s,
4240                                                 const SSL_CTX *ctx, int op,
4241                                                 int bits, int nid, void *other,
4242                                                 void *ex) {
4243     return s->cert->sec_cb;
4244 }
4245
4246 void SSL_set0_security_ex_data(SSL *s, void *ex)
4247 {
4248     s->cert->sec_ex = ex;
4249 }
4250
4251 void *SSL_get0_security_ex_data(const SSL *s)
4252 {
4253     return s->cert->sec_ex;
4254 }
4255
4256 void SSL_CTX_set_security_level(SSL_CTX *ctx, int level)
4257 {
4258     ctx->cert->sec_level = level;
4259 }
4260
4261 int SSL_CTX_get_security_level(const SSL_CTX *ctx)
4262 {
4263     return ctx->cert->sec_level;
4264 }
4265
4266 void SSL_CTX_set_security_callback(SSL_CTX *ctx,
4267                                    int (*cb) (const SSL *s, const SSL_CTX *ctx,
4268                                               int op, int bits, int nid,
4269                                               void *other, void *ex))
4270 {
4271     ctx->cert->sec_cb = cb;
4272 }
4273
4274 int (*SSL_CTX_get_security_callback(const SSL_CTX *ctx)) (const SSL *s,
4275                                                           const SSL_CTX *ctx,
4276                                                           int op, int bits,
4277                                                           int nid,
4278                                                           void *other,
4279                                                           void *ex) {
4280     return ctx->cert->sec_cb;
4281 }
4282
4283 void SSL_CTX_set0_security_ex_data(SSL_CTX *ctx, void *ex)
4284 {
4285     ctx->cert->sec_ex = ex;
4286 }
4287
4288 void *SSL_CTX_get0_security_ex_data(const SSL_CTX *ctx)
4289 {
4290     return ctx->cert->sec_ex;
4291 }
4292
4293 /*
4294  * Get/Set/Clear options in SSL_CTX or SSL, formerly macros, now functions that
4295  * can return unsigned long, instead of the generic long return value from the
4296  * control interface.
4297  */
4298 unsigned long SSL_CTX_get_options(const SSL_CTX *ctx)
4299 {
4300     return ctx->options;
4301 }
4302
4303 unsigned long SSL_get_options(const SSL *s)
4304 {
4305     return s->options;
4306 }
4307
4308 unsigned long SSL_CTX_set_options(SSL_CTX *ctx, unsigned long op)
4309 {
4310     return ctx->options |= op;
4311 }
4312
4313 unsigned long SSL_set_options(SSL *s, unsigned long op)
4314 {
4315     return s->options |= op;
4316 }
4317
4318 unsigned long SSL_CTX_clear_options(SSL_CTX *ctx, unsigned long op)
4319 {
4320     return ctx->options &= ~op;
4321 }
4322
4323 unsigned long SSL_clear_options(SSL *s, unsigned long op)
4324 {
4325     return s->options &= ~op;
4326 }
4327
4328 STACK_OF(X509) *SSL_get0_verified_chain(const SSL *s)
4329 {
4330     return s->verified_chain;
4331 }
4332
4333 IMPLEMENT_OBJ_BSEARCH_GLOBAL_CMP_FN(SSL_CIPHER, SSL_CIPHER, ssl_cipher_id);
4334
4335 #ifndef OPENSSL_NO_CT
4336
4337 /*
4338  * Moves SCTs from the |src| stack to the |dst| stack.
4339  * The source of each SCT will be set to |origin|.
4340  * If |dst| points to a NULL pointer, a new stack will be created and owned by
4341  * the caller.
4342  * Returns the number of SCTs moved, or a negative integer if an error occurs.
4343  */
4344 static int ct_move_scts(STACK_OF(SCT) **dst, STACK_OF(SCT) *src,
4345                         sct_source_t origin)
4346 {
4347     int scts_moved = 0;
4348     SCT *sct = NULL;
4349
4350     if (*dst == NULL) {
4351         *dst = sk_SCT_new_null();
4352         if (*dst == NULL) {
4353             SSLerr(SSL_F_CT_MOVE_SCTS, ERR_R_MALLOC_FAILURE);
4354             goto err;
4355         }
4356     }
4357
4358     while ((sct = sk_SCT_pop(src)) != NULL) {
4359         if (SCT_set_source(sct, origin) != 1)
4360             goto err;
4361
4362         if (sk_SCT_push(*dst, sct) <= 0)
4363             goto err;
4364         scts_moved += 1;
4365     }
4366
4367     return scts_moved;
4368  err:
4369     if (sct != NULL)
4370         sk_SCT_push(src, sct);  /* Put the SCT back */
4371     return -1;
4372 }
4373
4374 /*
4375  * Look for data collected during ServerHello and parse if found.
4376  * Returns the number of SCTs extracted.
4377  */
4378 static int ct_extract_tls_extension_scts(SSL *s)
4379 {
4380     int scts_extracted = 0;
4381
4382     if (s->ext.scts != NULL) {
4383         const unsigned char *p = s->ext.scts;
4384         STACK_OF(SCT) *scts = o2i_SCT_LIST(NULL, &p, s->ext.scts_len);
4385
4386         scts_extracted = ct_move_scts(&s->scts, scts, SCT_SOURCE_TLS_EXTENSION);
4387
4388         SCT_LIST_free(scts);
4389     }
4390
4391     return scts_extracted;
4392 }
4393
4394 /*
4395  * Checks for an OCSP response and then attempts to extract any SCTs found if it
4396  * contains an SCT X509 extension. They will be stored in |s->scts|.
4397  * Returns:
4398  * - The number of SCTs extracted, assuming an OCSP response exists.
4399  * - 0 if no OCSP response exists or it contains no SCTs.
4400  * - A negative integer if an error occurs.
4401  */
4402 static int ct_extract_ocsp_response_scts(SSL *s)
4403 {
4404 # ifndef OPENSSL_NO_OCSP
4405     int scts_extracted = 0;
4406     const unsigned char *p;
4407     OCSP_BASICRESP *br = NULL;
4408     OCSP_RESPONSE *rsp = NULL;
4409     STACK_OF(SCT) *scts = NULL;
4410     int i;
4411
4412     if (s->ext.ocsp.resp == NULL || s->ext.ocsp.resp_len == 0)
4413         goto err;
4414
4415     p = s->ext.ocsp.resp;
4416     rsp = d2i_OCSP_RESPONSE(NULL, &p, (int)s->ext.ocsp.resp_len);
4417     if (rsp == NULL)
4418         goto err;
4419
4420     br = OCSP_response_get1_basic(rsp);
4421     if (br == NULL)
4422         goto err;
4423
4424     for (i = 0; i < OCSP_resp_count(br); ++i) {
4425         OCSP_SINGLERESP *single = OCSP_resp_get0(br, i);
4426
4427         if (single == NULL)
4428             continue;
4429
4430         scts =
4431             OCSP_SINGLERESP_get1_ext_d2i(single, NID_ct_cert_scts, NULL, NULL);
4432         scts_extracted =
4433             ct_move_scts(&s->scts, scts, SCT_SOURCE_OCSP_STAPLED_RESPONSE);
4434         if (scts_extracted < 0)
4435             goto err;
4436     }
4437  err:
4438     SCT_LIST_free(scts);
4439     OCSP_BASICRESP_free(br);
4440     OCSP_RESPONSE_free(rsp);
4441     return scts_extracted;
4442 # else
4443     /* Behave as if no OCSP response exists */
4444     return 0;
4445 # endif
4446 }
4447
4448 /*
4449  * Attempts to extract SCTs from the peer certificate.
4450  * Return the number of SCTs extracted, or a negative integer if an error
4451  * occurs.
4452  */
4453 static int ct_extract_x509v3_extension_scts(SSL *s)
4454 {
4455     int scts_extracted = 0;
4456     X509 *cert = s->session != NULL ? s->session->peer : NULL;
4457
4458     if (cert != NULL) {
4459         STACK_OF(SCT) *scts =
4460             X509_get_ext_d2i(cert, NID_ct_precert_scts, NULL, NULL);
4461
4462         scts_extracted =
4463             ct_move_scts(&s->scts, scts, SCT_SOURCE_X509V3_EXTENSION);
4464
4465         SCT_LIST_free(scts);
4466     }
4467
4468     return scts_extracted;
4469 }
4470
4471 /*
4472  * Attempts to find all received SCTs by checking TLS extensions, the OCSP
4473  * response (if it exists) and X509v3 extensions in the certificate.
4474  * Returns NULL if an error occurs.
4475  */
4476 const STACK_OF(SCT) *SSL_get0_peer_scts(SSL *s)
4477 {
4478     if (!s->scts_parsed) {
4479         if (ct_extract_tls_extension_scts(s) < 0 ||
4480             ct_extract_ocsp_response_scts(s) < 0 ||
4481             ct_extract_x509v3_extension_scts(s) < 0)
4482             goto err;
4483
4484         s->scts_parsed = 1;
4485     }
4486     return s->scts;
4487  err:
4488     return NULL;
4489 }
4490
4491 static int ct_permissive(const CT_POLICY_EVAL_CTX * ctx,
4492                          const STACK_OF(SCT) *scts, void *unused_arg)
4493 {
4494     return 1;
4495 }
4496
4497 static int ct_strict(const CT_POLICY_EVAL_CTX * ctx,
4498                      const STACK_OF(SCT) *scts, void *unused_arg)
4499 {
4500     int count = scts != NULL ? sk_SCT_num(scts) : 0;
4501     int i;
4502
4503     for (i = 0; i < count; ++i) {
4504         SCT *sct = sk_SCT_value(scts, i);
4505         int status = SCT_get_validation_status(sct);
4506
4507         if (status == SCT_VALIDATION_STATUS_VALID)
4508             return 1;
4509     }
4510     SSLerr(SSL_F_CT_STRICT, SSL_R_NO_VALID_SCTS);
4511     return 0;
4512 }
4513
4514 int SSL_set_ct_validation_callback(SSL *s, ssl_ct_validation_cb callback,
4515                                    void *arg)
4516 {
4517     /*
4518      * Since code exists that uses the custom extension handler for CT, look
4519      * for this and throw an error if they have already registered to use CT.
4520      */
4521     if (callback != NULL && SSL_CTX_has_client_custom_ext(s->ctx,
4522                                                           TLSEXT_TYPE_signed_certificate_timestamp))
4523     {
4524         SSLerr(SSL_F_SSL_SET_CT_VALIDATION_CALLBACK,
4525                SSL_R_CUSTOM_EXT_HANDLER_ALREADY_INSTALLED);
4526         return 0;
4527     }
4528
4529     if (callback != NULL) {
4530         /*
4531          * If we are validating CT, then we MUST accept SCTs served via OCSP
4532          */
4533         if (!SSL_set_tlsext_status_type(s, TLSEXT_STATUSTYPE_ocsp))
4534             return 0;
4535     }
4536
4537     s->ct_validation_callback = callback;
4538     s->ct_validation_callback_arg = arg;
4539
4540     return 1;
4541 }
4542
4543 int SSL_CTX_set_ct_validation_callback(SSL_CTX *ctx,
4544                                        ssl_ct_validation_cb callback, void *arg)
4545 {
4546     /*
4547      * Since code exists that uses the custom extension handler for CT, look for
4548      * this and throw an error if they have already registered to use CT.
4549      */
4550     if (callback != NULL && SSL_CTX_has_client_custom_ext(ctx,
4551                                                           TLSEXT_TYPE_signed_certificate_timestamp))
4552     {
4553         SSLerr(SSL_F_SSL_CTX_SET_CT_VALIDATION_CALLBACK,
4554                SSL_R_CUSTOM_EXT_HANDLER_ALREADY_INSTALLED);
4555         return 0;
4556     }
4557
4558     ctx->ct_validation_callback = callback;
4559     ctx->ct_validation_callback_arg = arg;
4560     return 1;
4561 }
4562
4563 int SSL_ct_is_enabled(const SSL *s)
4564 {
4565     return s->ct_validation_callback != NULL;
4566 }
4567
4568 int SSL_CTX_ct_is_enabled(const SSL_CTX *ctx)
4569 {
4570     return ctx->ct_validation_callback != NULL;
4571 }
4572
4573 int ssl_validate_ct(SSL *s)
4574 {
4575     int ret = 0;
4576     X509 *cert = s->session != NULL ? s->session->peer : NULL;
4577     X509 *issuer;
4578     SSL_DANE *dane = &s->dane;
4579     CT_POLICY_EVAL_CTX *ctx = NULL;
4580     const STACK_OF(SCT) *scts;
4581
4582     /*
4583      * If no callback is set, the peer is anonymous, or its chain is invalid,
4584      * skip SCT validation - just return success.  Applications that continue
4585      * handshakes without certificates, with unverified chains, or pinned leaf
4586      * certificates are outside the scope of the WebPKI and CT.
4587      *
4588      * The above exclusions notwithstanding the vast majority of peers will
4589      * have rather ordinary certificate chains validated by typical
4590      * applications that perform certificate verification and therefore will
4591      * process SCTs when enabled.
4592      */
4593     if (s->ct_validation_callback == NULL || cert == NULL ||
4594         s->verify_result != X509_V_OK ||
4595         s->verified_chain == NULL || sk_X509_num(s->verified_chain) <= 1)
4596         return 1;
4597
4598     /*
4599      * CT not applicable for chains validated via DANE-TA(2) or DANE-EE(3)
4600      * trust-anchors.  See https://tools.ietf.org/html/rfc7671#section-4.2
4601      */
4602     if (DANETLS_ENABLED(dane) && dane->mtlsa != NULL) {
4603         switch (dane->mtlsa->usage) {
4604         case DANETLS_USAGE_DANE_TA:
4605         case DANETLS_USAGE_DANE_EE:
4606             return 1;
4607         }
4608     }
4609
4610     ctx = CT_POLICY_EVAL_CTX_new();
4611     if (ctx == NULL) {
4612         SSLerr(SSL_F_SSL_VALIDATE_CT, ERR_R_MALLOC_FAILURE);
4613         goto end;
4614     }
4615
4616     issuer = sk_X509_value(s->verified_chain, 1);
4617     CT_POLICY_EVAL_CTX_set1_cert(ctx, cert);
4618     CT_POLICY_EVAL_CTX_set1_issuer(ctx, issuer);
4619     CT_POLICY_EVAL_CTX_set_shared_CTLOG_STORE(ctx, s->ctx->ctlog_store);
4620     CT_POLICY_EVAL_CTX_set_time(
4621             ctx, (uint64_t)SSL_SESSION_get_time(SSL_get0_session(s)) * 1000);
4622
4623     scts = SSL_get0_peer_scts(s);
4624
4625     /*
4626      * This function returns success (> 0) only when all the SCTs are valid, 0
4627      * when some are invalid, and < 0 on various internal errors (out of
4628      * memory, etc.).  Having some, or even all, invalid SCTs is not sufficient
4629      * reason to abort the handshake, that decision is up to the callback.
4630      * Therefore, we error out only in the unexpected case that the return
4631      * value is negative.
4632      *
4633      * XXX: One might well argue that the return value of this function is an
4634      * unfortunate design choice.  Its job is only to determine the validation
4635      * status of each of the provided SCTs.  So long as it correctly separates
4636      * the wheat from the chaff it should return success.  Failure in this case
4637      * ought to correspond to an inability to carry out its duties.
4638      */
4639     if (SCT_LIST_validate(scts, ctx) < 0) {
4640         SSLerr(SSL_F_SSL_VALIDATE_CT, SSL_R_SCT_VERIFICATION_FAILED);
4641         goto end;
4642     }
4643
4644     ret = s->ct_validation_callback(ctx, scts, s->ct_validation_callback_arg);
4645     if (ret < 0)
4646         ret = 0;                /* This function returns 0 on failure */
4647
4648  end:
4649     CT_POLICY_EVAL_CTX_free(ctx);
4650     /*
4651      * With SSL_VERIFY_NONE the session may be cached and re-used despite a
4652      * failure return code here.  Also the application may wish the complete
4653      * the handshake, and then disconnect cleanly at a higher layer, after
4654      * checking the verification status of the completed connection.
4655      *
4656      * We therefore force a certificate verification failure which will be
4657      * visible via SSL_get_verify_result() and cached as part of any resumed
4658      * session.
4659      *
4660      * Note: the permissive callback is for information gathering only, always
4661      * returns success, and does not affect verification status.  Only the
4662      * strict callback or a custom application-specified callback can trigger
4663      * connection failure or record a verification error.
4664      */
4665     if (ret <= 0)
4666         s->verify_result = X509_V_ERR_NO_VALID_SCTS;
4667     return ret;
4668 }
4669
4670 int SSL_CTX_enable_ct(SSL_CTX *ctx, int validation_mode)
4671 {
4672     switch (validation_mode) {
4673     default:
4674         SSLerr(SSL_F_SSL_CTX_ENABLE_CT, SSL_R_INVALID_CT_VALIDATION_TYPE);
4675         return 0;
4676     case SSL_CT_VALIDATION_PERMISSIVE:
4677         return SSL_CTX_set_ct_validation_callback(ctx, ct_permissive, NULL);
4678     case SSL_CT_VALIDATION_STRICT:
4679         return SSL_CTX_set_ct_validation_callback(ctx, ct_strict, NULL);
4680     }
4681 }
4682
4683 int SSL_enable_ct(SSL *s, int validation_mode)
4684 {
4685     switch (validation_mode) {
4686     default:
4687         SSLerr(SSL_F_SSL_ENABLE_CT, SSL_R_INVALID_CT_VALIDATION_TYPE);
4688         return 0;
4689     case SSL_CT_VALIDATION_PERMISSIVE:
4690         return SSL_set_ct_validation_callback(s, ct_permissive, NULL);
4691     case SSL_CT_VALIDATION_STRICT:
4692         return SSL_set_ct_validation_callback(s, ct_strict, NULL);
4693     }
4694 }
4695
4696 int SSL_CTX_set_default_ctlog_list_file(SSL_CTX *ctx)
4697 {
4698     return CTLOG_STORE_load_default_file(ctx->ctlog_store);
4699 }
4700
4701 int SSL_CTX_set_ctlog_list_file(SSL_CTX *ctx, const char *path)
4702 {
4703     return CTLOG_STORE_load_file(ctx->ctlog_store, path);
4704 }
4705
4706 void SSL_CTX_set0_ctlog_store(SSL_CTX *ctx, CTLOG_STORE * logs)
4707 {
4708     CTLOG_STORE_free(ctx->ctlog_store);
4709     ctx->ctlog_store = logs;
4710 }
4711
4712 const CTLOG_STORE *SSL_CTX_get0_ctlog_store(const SSL_CTX *ctx)
4713 {
4714     return ctx->ctlog_store;
4715 }
4716
4717 #endif  /* OPENSSL_NO_CT */
4718
4719 void SSL_CTX_set_client_hello_cb(SSL_CTX *c, SSL_client_hello_cb_fn cb,
4720                                  void *arg)
4721 {
4722     c->client_hello_cb = cb;
4723     c->client_hello_cb_arg = arg;
4724 }
4725
4726 int SSL_client_hello_isv2(SSL *s)
4727 {
4728     if (s->clienthello == NULL)
4729         return 0;
4730     return s->clienthello->isv2;
4731 }
4732
4733 unsigned int SSL_client_hello_get0_legacy_version(SSL *s)
4734 {
4735     if (s->clienthello == NULL)
4736         return 0;
4737     return s->clienthello->legacy_version;
4738 }
4739
4740 size_t SSL_client_hello_get0_random(SSL *s, const unsigned char **out)
4741 {
4742     if (s->clienthello == NULL)
4743         return 0;
4744     if (out != NULL)
4745         *out = s->clienthello->random;
4746     return SSL3_RANDOM_SIZE;
4747 }
4748
4749 size_t SSL_client_hello_get0_session_id(SSL *s, const unsigned char **out)
4750 {
4751     if (s->clienthello == NULL)
4752         return 0;
4753     if (out != NULL)
4754         *out = s->clienthello->session_id;
4755     return s->clienthello->session_id_len;
4756 }
4757
4758 size_t SSL_client_hello_get0_ciphers(SSL *s, const unsigned char **out)
4759 {
4760     if (s->clienthello == NULL)
4761         return 0;
4762     if (out != NULL)
4763         *out = PACKET_data(&s->clienthello->ciphersuites);
4764     return PACKET_remaining(&s->clienthello->ciphersuites);
4765 }
4766
4767 size_t SSL_client_hello_get0_compression_methods(SSL *s, const unsigned char **out)
4768 {
4769     if (s->clienthello == NULL)
4770         return 0;
4771     if (out != NULL)
4772         *out = s->clienthello->compressions;
4773     return s->clienthello->compressions_len;
4774 }
4775
4776 int SSL_client_hello_get1_extensions_present(SSL *s, int **out, size_t *outlen)
4777 {
4778     RAW_EXTENSION *ext;
4779     int *present;
4780     size_t num = 0, i;