Don't set the handshake header in every message
[openssl.git] / ssl / statem / statem_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  * ECC cipher suite support in OpenSSL originally developed by
13  * SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.
14  */
15
16 #include <limits.h>
17 #include <string.h>
18 #include <stdio.h>
19 #include "../ssl_locl.h"
20 #include "statem_locl.h"
21 #include <openssl/buffer.h>
22 #include <openssl/objects.h>
23 #include <openssl/evp.h>
24 #include <openssl/x509.h>
25
26 /*
27  * send s->init_buf in records of type 'type' (SSL3_RT_HANDSHAKE or
28  * SSL3_RT_CHANGE_CIPHER_SPEC)
29  */
30 int ssl3_do_write(SSL *s, int type)
31 {
32     int ret;
33
34     ret = ssl3_write_bytes(s, type, &s->init_buf->data[s->init_off],
35                            s->init_num);
36     if (ret < 0)
37         return (-1);
38     if (type == SSL3_RT_HANDSHAKE)
39         /*
40          * should not be done for 'Hello Request's, but in that case we'll
41          * ignore the result anyway
42          */
43         if (!ssl3_finish_mac(s,
44                              (unsigned char *)&s->init_buf->data[s->init_off],
45                              ret))
46             return -1;
47
48     if (ret == s->init_num) {
49         if (s->msg_callback)
50             s->msg_callback(1, s->version, type, s->init_buf->data,
51                             (size_t)(s->init_off + s->init_num), s,
52                             s->msg_callback_arg);
53         return (1);
54     }
55     s->init_off += ret;
56     s->init_num -= ret;
57     return (0);
58 }
59
60 int tls_close_construct_packet(SSL *s, WPACKET *pkt)
61 {
62     size_t msglen;
63
64     if (!WPACKET_close(pkt)
65             || !WPACKET_get_length(pkt, &msglen)
66             || msglen > INT_MAX)
67         return 0;
68     s->init_num = (int)msglen;
69     s->init_off = 0;
70
71     return 1;
72 }
73
74 int tls_construct_finished(SSL *s, WPACKET *pkt, const char *sender, int slen)
75 {
76     int i;
77
78     i = s->method->ssl3_enc->final_finish_mac(s,
79                                               sender, slen,
80                                               s->s3->tmp.finish_md);
81     if (i <= 0) {
82         SSLerr(SSL_F_TLS_CONSTRUCT_FINISHED, ERR_R_INTERNAL_ERROR);
83         goto err;
84     }
85
86     s->s3->tmp.finish_md_len = i;
87
88     if (!WPACKET_memcpy(pkt, s->s3->tmp.finish_md, i)) {
89         SSLerr(SSL_F_TLS_CONSTRUCT_FINISHED, ERR_R_INTERNAL_ERROR);
90         goto err;
91     }
92
93     /*
94      * Copy the finished so we can use it for renegotiation checks
95      */
96     if (!s->server) {
97         OPENSSL_assert(i <= EVP_MAX_MD_SIZE);
98         memcpy(s->s3->previous_client_finished, s->s3->tmp.finish_md, i);
99         s->s3->previous_client_finished_len = i;
100     } else {
101         OPENSSL_assert(i <= EVP_MAX_MD_SIZE);
102         memcpy(s->s3->previous_server_finished, s->s3->tmp.finish_md, i);
103         s->s3->previous_server_finished_len = i;
104     }
105
106     return 1;
107  err:
108     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
109     return 0;
110 }
111
112 #ifndef OPENSSL_NO_NEXTPROTONEG
113 /*
114  * ssl3_take_mac calculates the Finished MAC for the handshakes messages seen
115  * to far.
116  */
117 static void ssl3_take_mac(SSL *s)
118 {
119     const char *sender;
120     int slen;
121     /*
122      * If no new cipher setup return immediately: other functions will set
123      * the appropriate error.
124      */
125     if (s->s3->tmp.new_cipher == NULL)
126         return;
127     if (!s->server) {
128         sender = s->method->ssl3_enc->server_finished_label;
129         slen = s->method->ssl3_enc->server_finished_label_len;
130     } else {
131         sender = s->method->ssl3_enc->client_finished_label;
132         slen = s->method->ssl3_enc->client_finished_label_len;
133     }
134
135     s->s3->tmp.peer_finish_md_len = s->method->ssl3_enc->final_finish_mac(s,
136                                                                           sender,
137                                                                           slen,
138                                                                           s->s3->tmp.peer_finish_md);
139 }
140 #endif
141
142 MSG_PROCESS_RETURN tls_process_change_cipher_spec(SSL *s, PACKET *pkt)
143 {
144     int al;
145     long remain;
146
147     remain = PACKET_remaining(pkt);
148     /*
149      * 'Change Cipher Spec' is just a single byte, which should already have
150      * been consumed by ssl_get_message() so there should be no bytes left,
151      * unless we're using DTLS1_BAD_VER, which has an extra 2 bytes
152      */
153     if (SSL_IS_DTLS(s)) {
154         if ((s->version == DTLS1_BAD_VER
155              && remain != DTLS1_CCS_HEADER_LENGTH + 1)
156             || (s->version != DTLS1_BAD_VER
157                 && remain != DTLS1_CCS_HEADER_LENGTH - 1)) {
158             al = SSL_AD_ILLEGAL_PARAMETER;
159             SSLerr(SSL_F_TLS_PROCESS_CHANGE_CIPHER_SPEC,
160                    SSL_R_BAD_CHANGE_CIPHER_SPEC);
161             goto f_err;
162         }
163     } else {
164         if (remain != 0) {
165             al = SSL_AD_ILLEGAL_PARAMETER;
166             SSLerr(SSL_F_TLS_PROCESS_CHANGE_CIPHER_SPEC,
167                    SSL_R_BAD_CHANGE_CIPHER_SPEC);
168             goto f_err;
169         }
170     }
171
172     /* Check we have a cipher to change to */
173     if (s->s3->tmp.new_cipher == NULL) {
174         al = SSL_AD_UNEXPECTED_MESSAGE;
175         SSLerr(SSL_F_TLS_PROCESS_CHANGE_CIPHER_SPEC, SSL_R_CCS_RECEIVED_EARLY);
176         goto f_err;
177     }
178
179     s->s3->change_cipher_spec = 1;
180     if (!ssl3_do_change_cipher_spec(s)) {
181         al = SSL_AD_INTERNAL_ERROR;
182         SSLerr(SSL_F_TLS_PROCESS_CHANGE_CIPHER_SPEC, ERR_R_INTERNAL_ERROR);
183         goto f_err;
184     }
185
186     if (SSL_IS_DTLS(s)) {
187         dtls1_reset_seq_numbers(s, SSL3_CC_READ);
188
189         if (s->version == DTLS1_BAD_VER)
190             s->d1->handshake_read_seq++;
191
192 #ifndef OPENSSL_NO_SCTP
193         /*
194          * Remember that a CCS has been received, so that an old key of
195          * SCTP-Auth can be deleted when a CCS is sent. Will be ignored if no
196          * SCTP is used
197          */
198         BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_AUTH_CCS_RCVD, 1, NULL);
199 #endif
200     }
201
202     return MSG_PROCESS_CONTINUE_READING;
203  f_err:
204     ssl3_send_alert(s, SSL3_AL_FATAL, al);
205     ossl_statem_set_error(s);
206     return MSG_PROCESS_ERROR;
207 }
208
209 MSG_PROCESS_RETURN tls_process_finished(SSL *s, PACKET *pkt)
210 {
211     int al, i;
212
213     /* If this occurs, we have missed a message */
214     if (!s->s3->change_cipher_spec) {
215         al = SSL_AD_UNEXPECTED_MESSAGE;
216         SSLerr(SSL_F_TLS_PROCESS_FINISHED, SSL_R_GOT_A_FIN_BEFORE_A_CCS);
217         goto f_err;
218     }
219     s->s3->change_cipher_spec = 0;
220
221     i = s->s3->tmp.peer_finish_md_len;
222
223     if ((unsigned long)i != PACKET_remaining(pkt)) {
224         al = SSL_AD_DECODE_ERROR;
225         SSLerr(SSL_F_TLS_PROCESS_FINISHED, SSL_R_BAD_DIGEST_LENGTH);
226         goto f_err;
227     }
228
229     if (CRYPTO_memcmp(PACKET_data(pkt), s->s3->tmp.peer_finish_md, i) != 0) {
230         al = SSL_AD_DECRYPT_ERROR;
231         SSLerr(SSL_F_TLS_PROCESS_FINISHED, SSL_R_DIGEST_CHECK_FAILED);
232         goto f_err;
233     }
234
235     /*
236      * Copy the finished so we can use it for renegotiation checks
237      */
238     if (s->server) {
239         OPENSSL_assert(i <= EVP_MAX_MD_SIZE);
240         memcpy(s->s3->previous_client_finished, s->s3->tmp.peer_finish_md, i);
241         s->s3->previous_client_finished_len = i;
242     } else {
243         OPENSSL_assert(i <= EVP_MAX_MD_SIZE);
244         memcpy(s->s3->previous_server_finished, s->s3->tmp.peer_finish_md, i);
245         s->s3->previous_server_finished_len = i;
246     }
247
248     return MSG_PROCESS_FINISHED_READING;
249  f_err:
250     ssl3_send_alert(s, SSL3_AL_FATAL, al);
251     ossl_statem_set_error(s);
252     return MSG_PROCESS_ERROR;
253 }
254
255 int tls_construct_change_cipher_spec(SSL *s, WPACKET *pkt)
256 {
257     if (!WPACKET_put_bytes_u8(pkt, SSL3_MT_CCS)) {
258         SSLerr(SSL_F_TLS_CONSTRUCT_CHANGE_CIPHER_SPEC, ERR_R_INTERNAL_ERROR);
259         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
260         return 0;
261     }
262
263     s->init_num = 1;
264     s->init_off = 0;
265
266     return 1;
267 }
268
269 unsigned long ssl3_output_cert_chain(SSL *s, WPACKET *pkt, CERT_PKEY *cpk)
270 {
271     if (!WPACKET_start_sub_packet_u24(pkt)
272             || !ssl_add_cert_chain(s, pkt, cpk)
273             || !WPACKET_close(pkt)) {
274         SSLerr(SSL_F_SSL3_OUTPUT_CERT_CHAIN, ERR_R_INTERNAL_ERROR);
275         return 0;
276     }
277     return 1;
278 }
279
280 WORK_STATE tls_finish_handshake(SSL *s, WORK_STATE wst)
281 {
282     void (*cb) (const SSL *ssl, int type, int val) = NULL;
283
284 #ifndef OPENSSL_NO_SCTP
285     if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s))) {
286         WORK_STATE ret;
287         ret = dtls_wait_for_dry(s);
288         if (ret != WORK_FINISHED_CONTINUE)
289             return ret;
290     }
291 #endif
292
293     /* clean a few things up */
294     ssl3_cleanup_key_block(s);
295
296     if (!SSL_IS_DTLS(s)) {
297         /*
298          * We don't do this in DTLS because we may still need the init_buf
299          * in case there are any unexpected retransmits
300          */
301         BUF_MEM_free(s->init_buf);
302         s->init_buf = NULL;
303     }
304
305     ssl_free_wbio_buffer(s);
306
307     s->init_num = 0;
308
309     if (!s->server || s->renegotiate == 2) {
310         /* skipped if we just sent a HelloRequest */
311         s->renegotiate = 0;
312         s->new_session = 0;
313
314         if (s->server) {
315             ssl_update_cache(s, SSL_SESS_CACHE_SERVER);
316
317             s->ctx->stats.sess_accept_good++;
318             s->handshake_func = ossl_statem_accept;
319         } else {
320             ssl_update_cache(s, SSL_SESS_CACHE_CLIENT);
321             if (s->hit)
322                 s->ctx->stats.sess_hit++;
323
324             s->handshake_func = ossl_statem_connect;
325             s->ctx->stats.sess_connect_good++;
326         }
327
328         if (s->info_callback != NULL)
329             cb = s->info_callback;
330         else if (s->ctx->info_callback != NULL)
331             cb = s->ctx->info_callback;
332
333         if (cb != NULL)
334             cb(s, SSL_CB_HANDSHAKE_DONE, 1);
335
336         if (SSL_IS_DTLS(s)) {
337             /* done with handshaking */
338             s->d1->handshake_read_seq = 0;
339             s->d1->handshake_write_seq = 0;
340             s->d1->next_handshake_write_seq = 0;
341             dtls1_clear_received_buffer(s);
342         }
343     }
344
345     return WORK_FINISHED_STOP;
346 }
347
348 int tls_get_message_header(SSL *s, int *mt)
349 {
350     /* s->init_num < SSL3_HM_HEADER_LENGTH */
351     int skip_message, i, recvd_type, al;
352     unsigned char *p;
353     unsigned long l;
354
355     p = (unsigned char *)s->init_buf->data;
356
357     do {
358         while (s->init_num < SSL3_HM_HEADER_LENGTH) {
359             i = s->method->ssl_read_bytes(s, SSL3_RT_HANDSHAKE, &recvd_type,
360                                           &p[s->init_num],
361                                           SSL3_HM_HEADER_LENGTH - s->init_num,
362                                           0);
363             if (i <= 0) {
364                 s->rwstate = SSL_READING;
365                 return 0;
366             }
367             if (recvd_type == SSL3_RT_CHANGE_CIPHER_SPEC) {
368                 /*
369                  * A ChangeCipherSpec must be a single byte and may not occur
370                  * in the middle of a handshake message.
371                  */
372                 if (s->init_num != 0 || i != 1 || p[0] != SSL3_MT_CCS) {
373                     al = SSL_AD_UNEXPECTED_MESSAGE;
374                     SSLerr(SSL_F_TLS_GET_MESSAGE_HEADER,
375                            SSL_R_BAD_CHANGE_CIPHER_SPEC);
376                     goto f_err;
377                 }
378                 s->s3->tmp.message_type = *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
379                 s->init_num = i - 1;
380                 s->s3->tmp.message_size = i;
381                 return 1;
382             } else if (recvd_type != SSL3_RT_HANDSHAKE) {
383                 al = SSL_AD_UNEXPECTED_MESSAGE;
384                 SSLerr(SSL_F_TLS_GET_MESSAGE_HEADER, SSL_R_CCS_RECEIVED_EARLY);
385                 goto f_err;
386             }
387             s->init_num += i;
388         }
389
390         skip_message = 0;
391         if (!s->server)
392             if (p[0] == SSL3_MT_HELLO_REQUEST)
393                 /*
394                  * The server may always send 'Hello Request' messages --
395                  * we are doing a handshake anyway now, so ignore them if
396                  * their format is correct. Does not count for 'Finished'
397                  * MAC.
398                  */
399                 if (p[1] == 0 && p[2] == 0 && p[3] == 0) {
400                     s->init_num = 0;
401                     skip_message = 1;
402
403                     if (s->msg_callback)
404                         s->msg_callback(0, s->version, SSL3_RT_HANDSHAKE,
405                                         p, SSL3_HM_HEADER_LENGTH, s,
406                                         s->msg_callback_arg);
407                 }
408     } while (skip_message);
409     /* s->init_num == SSL3_HM_HEADER_LENGTH */
410
411     *mt = *p;
412     s->s3->tmp.message_type = *(p++);
413
414     if (RECORD_LAYER_is_sslv2_record(&s->rlayer)) {
415         /*
416          * Only happens with SSLv3+ in an SSLv2 backward compatible
417          * ClientHello
418          *
419          * Total message size is the remaining record bytes to read
420          * plus the SSL3_HM_HEADER_LENGTH bytes that we already read
421          */
422         l = RECORD_LAYER_get_rrec_length(&s->rlayer)
423             + SSL3_HM_HEADER_LENGTH;
424         s->s3->tmp.message_size = l;
425
426         s->init_msg = s->init_buf->data;
427         s->init_num = SSL3_HM_HEADER_LENGTH;
428     } else {
429         n2l3(p, l);
430         /* BUF_MEM_grow takes an 'int' parameter */
431         if (l > (INT_MAX - SSL3_HM_HEADER_LENGTH)) {
432             al = SSL_AD_ILLEGAL_PARAMETER;
433             SSLerr(SSL_F_TLS_GET_MESSAGE_HEADER, SSL_R_EXCESSIVE_MESSAGE_SIZE);
434             goto f_err;
435         }
436         s->s3->tmp.message_size = l;
437
438         s->init_msg = s->init_buf->data + SSL3_HM_HEADER_LENGTH;
439         s->init_num = 0;
440     }
441
442     return 1;
443  f_err:
444     ssl3_send_alert(s, SSL3_AL_FATAL, al);
445     return 0;
446 }
447
448 int tls_get_message_body(SSL *s, unsigned long *len)
449 {
450     long n;
451     unsigned char *p;
452     int i;
453
454     if (s->s3->tmp.message_type == SSL3_MT_CHANGE_CIPHER_SPEC) {
455         /* We've already read everything in */
456         *len = (unsigned long)s->init_num;
457         return 1;
458     }
459
460     p = s->init_msg;
461     n = s->s3->tmp.message_size - s->init_num;
462     while (n > 0) {
463         i = s->method->ssl_read_bytes(s, SSL3_RT_HANDSHAKE, NULL,
464                                       &p[s->init_num], n, 0);
465         if (i <= 0) {
466             s->rwstate = SSL_READING;
467             *len = 0;
468             return 0;
469         }
470         s->init_num += i;
471         n -= i;
472     }
473
474 #ifndef OPENSSL_NO_NEXTPROTONEG
475     /*
476      * If receiving Finished, record MAC of prior handshake messages for
477      * Finished verification.
478      */
479     if (*s->init_buf->data == SSL3_MT_FINISHED)
480         ssl3_take_mac(s);
481 #endif
482
483     /* Feed this message into MAC computation. */
484     if (RECORD_LAYER_is_sslv2_record(&s->rlayer)) {
485         if (!ssl3_finish_mac(s, (unsigned char *)s->init_buf->data,
486                              s->init_num)) {
487             SSLerr(SSL_F_TLS_GET_MESSAGE_BODY, ERR_R_EVP_LIB);
488             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
489             *len = 0;
490             return 0;
491         }
492         if (s->msg_callback)
493             s->msg_callback(0, SSL2_VERSION, 0, s->init_buf->data,
494                             (size_t)s->init_num, s, s->msg_callback_arg);
495     } else {
496         if (!ssl3_finish_mac(s, (unsigned char *)s->init_buf->data,
497                              s->init_num + SSL3_HM_HEADER_LENGTH)) {
498             SSLerr(SSL_F_TLS_GET_MESSAGE_BODY, ERR_R_EVP_LIB);
499             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
500             *len = 0;
501             return 0;
502         }
503         if (s->msg_callback)
504             s->msg_callback(0, s->version, SSL3_RT_HANDSHAKE, s->init_buf->data,
505                             (size_t)s->init_num + SSL3_HM_HEADER_LENGTH, s,
506                             s->msg_callback_arg);
507     }
508
509     /*
510      * init_num should never be negative...should probably be declared
511      * unsigned
512      */
513     if (s->init_num < 0) {
514         SSLerr(SSL_F_TLS_GET_MESSAGE_BODY, ERR_R_INTERNAL_ERROR);
515         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
516         *len = 0;
517         return 0;
518     }
519     *len = (unsigned long)s->init_num;
520     return 1;
521 }
522
523 int ssl_cert_type(const X509 *x, const EVP_PKEY *pk)
524 {
525     if (pk == NULL && (pk = X509_get0_pubkey(x)) == NULL)
526         return -1;
527
528     switch (EVP_PKEY_id(pk)) {
529     default:
530         return -1;
531     case EVP_PKEY_RSA:
532         return SSL_PKEY_RSA_ENC;
533     case EVP_PKEY_DSA:
534         return SSL_PKEY_DSA_SIGN;
535 #ifndef OPENSSL_NO_EC
536     case EVP_PKEY_EC:
537         return SSL_PKEY_ECC;
538 #endif
539 #ifndef OPENSSL_NO_GOST
540     case NID_id_GostR3410_2001:
541         return SSL_PKEY_GOST01;
542     case NID_id_GostR3410_2012_256:
543         return SSL_PKEY_GOST12_256;
544     case NID_id_GostR3410_2012_512:
545         return SSL_PKEY_GOST12_512;
546 #endif
547     }
548 }
549
550 int ssl_verify_alarm_type(long type)
551 {
552     int al;
553
554     switch (type) {
555     case X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT:
556     case X509_V_ERR_UNABLE_TO_GET_CRL:
557     case X509_V_ERR_UNABLE_TO_GET_CRL_ISSUER:
558         al = SSL_AD_UNKNOWN_CA;
559         break;
560     case X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE:
561     case X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE:
562     case X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY:
563     case X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD:
564     case X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD:
565     case X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD:
566     case X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD:
567     case X509_V_ERR_CERT_NOT_YET_VALID:
568     case X509_V_ERR_CRL_NOT_YET_VALID:
569     case X509_V_ERR_CERT_UNTRUSTED:
570     case X509_V_ERR_CERT_REJECTED:
571     case X509_V_ERR_HOSTNAME_MISMATCH:
572     case X509_V_ERR_EMAIL_MISMATCH:
573     case X509_V_ERR_IP_ADDRESS_MISMATCH:
574     case X509_V_ERR_DANE_NO_MATCH:
575     case X509_V_ERR_EE_KEY_TOO_SMALL:
576     case X509_V_ERR_CA_KEY_TOO_SMALL:
577     case X509_V_ERR_CA_MD_TOO_WEAK:
578         al = SSL_AD_BAD_CERTIFICATE;
579         break;
580     case X509_V_ERR_CERT_SIGNATURE_FAILURE:
581     case X509_V_ERR_CRL_SIGNATURE_FAILURE:
582         al = SSL_AD_DECRYPT_ERROR;
583         break;
584     case X509_V_ERR_CERT_HAS_EXPIRED:
585     case X509_V_ERR_CRL_HAS_EXPIRED:
586         al = SSL_AD_CERTIFICATE_EXPIRED;
587         break;
588     case X509_V_ERR_CERT_REVOKED:
589         al = SSL_AD_CERTIFICATE_REVOKED;
590         break;
591     case X509_V_ERR_UNSPECIFIED:
592     case X509_V_ERR_OUT_OF_MEM:
593     case X509_V_ERR_INVALID_CALL:
594     case X509_V_ERR_STORE_LOOKUP:
595         al = SSL_AD_INTERNAL_ERROR;
596         break;
597     case X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT:
598     case X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN:
599     case X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY:
600     case X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE:
601     case X509_V_ERR_CERT_CHAIN_TOO_LONG:
602     case X509_V_ERR_PATH_LENGTH_EXCEEDED:
603     case X509_V_ERR_INVALID_CA:
604         al = SSL_AD_UNKNOWN_CA;
605         break;
606     case X509_V_ERR_APPLICATION_VERIFICATION:
607         al = SSL_AD_HANDSHAKE_FAILURE;
608         break;
609     case X509_V_ERR_INVALID_PURPOSE:
610         al = SSL_AD_UNSUPPORTED_CERTIFICATE;
611         break;
612     default:
613         al = SSL_AD_CERTIFICATE_UNKNOWN;
614         break;
615     }
616     return (al);
617 }
618
619 int ssl_allow_compression(SSL *s)
620 {
621     if (s->options & SSL_OP_NO_COMPRESSION)
622         return 0;
623     return ssl_security(s, SSL_SECOP_COMPRESSION, 0, 0, NULL);
624 }
625
626 static int version_cmp(const SSL *s, int a, int b)
627 {
628     int dtls = SSL_IS_DTLS(s);
629
630     if (a == b)
631         return 0;
632     if (!dtls)
633         return a < b ? -1 : 1;
634     return DTLS_VERSION_LT(a, b) ? -1 : 1;
635 }
636
637 typedef struct {
638     int version;
639     const SSL_METHOD *(*cmeth) (void);
640     const SSL_METHOD *(*smeth) (void);
641 } version_info;
642
643 #if TLS_MAX_VERSION != TLS1_2_VERSION
644 # error Code needs update for TLS_method() support beyond TLS1_2_VERSION.
645 #endif
646
647 static const version_info tls_version_table[] = {
648 #ifndef OPENSSL_NO_TLS1_2
649     {TLS1_2_VERSION, tlsv1_2_client_method, tlsv1_2_server_method},
650 #else
651     {TLS1_2_VERSION, NULL, NULL},
652 #endif
653 #ifndef OPENSSL_NO_TLS1_1
654     {TLS1_1_VERSION, tlsv1_1_client_method, tlsv1_1_server_method},
655 #else
656     {TLS1_1_VERSION, NULL, NULL},
657 #endif
658 #ifndef OPENSSL_NO_TLS1
659     {TLS1_VERSION, tlsv1_client_method, tlsv1_server_method},
660 #else
661     {TLS1_VERSION, NULL, NULL},
662 #endif
663 #ifndef OPENSSL_NO_SSL3
664     {SSL3_VERSION, sslv3_client_method, sslv3_server_method},
665 #else
666     {SSL3_VERSION, NULL, NULL},
667 #endif
668     {0, NULL, NULL},
669 };
670
671 #if DTLS_MAX_VERSION != DTLS1_2_VERSION
672 # error Code needs update for DTLS_method() support beyond DTLS1_2_VERSION.
673 #endif
674
675 static const version_info dtls_version_table[] = {
676 #ifndef OPENSSL_NO_DTLS1_2
677     {DTLS1_2_VERSION, dtlsv1_2_client_method, dtlsv1_2_server_method},
678 #else
679     {DTLS1_2_VERSION, NULL, NULL},
680 #endif
681 #ifndef OPENSSL_NO_DTLS1
682     {DTLS1_VERSION, dtlsv1_client_method, dtlsv1_server_method},
683     {DTLS1_BAD_VER, dtls_bad_ver_client_method, NULL},
684 #else
685     {DTLS1_VERSION, NULL, NULL},
686     {DTLS1_BAD_VER, NULL, NULL},
687 #endif
688     {0, NULL, NULL},
689 };
690
691 /*
692  * ssl_method_error - Check whether an SSL_METHOD is enabled.
693  *
694  * @s: The SSL handle for the candidate method
695  * @method: the intended method.
696  *
697  * Returns 0 on success, or an SSL error reason on failure.
698  */
699 static int ssl_method_error(const SSL *s, const SSL_METHOD *method)
700 {
701     int version = method->version;
702
703     if ((s->min_proto_version != 0 &&
704          version_cmp(s, version, s->min_proto_version) < 0) ||
705         ssl_security(s, SSL_SECOP_VERSION, 0, version, NULL) == 0)
706         return SSL_R_VERSION_TOO_LOW;
707
708     if (s->max_proto_version != 0 &&
709         version_cmp(s, version, s->max_proto_version) > 0)
710         return SSL_R_VERSION_TOO_HIGH;
711
712     if ((s->options & method->mask) != 0)
713         return SSL_R_UNSUPPORTED_PROTOCOL;
714     if ((method->flags & SSL_METHOD_NO_SUITEB) != 0 && tls1_suiteb(s))
715         return SSL_R_AT_LEAST_TLS_1_2_NEEDED_IN_SUITEB_MODE;
716     else if ((method->flags & SSL_METHOD_NO_FIPS) != 0 && FIPS_mode())
717         return SSL_R_AT_LEAST_TLS_1_0_NEEDED_IN_FIPS_MODE;
718
719     return 0;
720 }
721
722 /*
723  * ssl_version_supported - Check that the specified `version` is supported by
724  * `SSL *` instance
725  *
726  * @s: The SSL handle for the candidate method
727  * @version: Protocol version to test against
728  *
729  * Returns 1 when supported, otherwise 0
730  */
731 int ssl_version_supported(const SSL *s, int version)
732 {
733     const version_info *vent;
734     const version_info *table;
735
736     switch (s->method->version) {
737     default:
738         /* Version should match method version for non-ANY method */
739         return version_cmp(s, version, s->version) == 0;
740     case TLS_ANY_VERSION:
741         table = tls_version_table;
742         break;
743     case DTLS_ANY_VERSION:
744         table = dtls_version_table;
745         break;
746     }
747
748     for (vent = table;
749          vent->version != 0 && version_cmp(s, version, vent->version) <= 0;
750          ++vent) {
751         if (vent->cmeth != NULL &&
752             version_cmp(s, version, vent->version) == 0 &&
753             ssl_method_error(s, vent->cmeth()) == 0) {
754             return 1;
755         }
756     }
757     return 0;
758 }
759
760 /*
761  * ssl_check_version_downgrade - In response to RFC7507 SCSV version
762  * fallback indication from a client check whether we're using the highest
763  * supported protocol version.
764  *
765  * @s server SSL handle.
766  *
767  * Returns 1 when using the highest enabled version, 0 otherwise.
768  */
769 int ssl_check_version_downgrade(SSL *s)
770 {
771     const version_info *vent;
772     const version_info *table;
773
774     /*
775      * Check that the current protocol is the highest enabled version
776      * (according to s->ctx->method, as version negotiation may have changed
777      * s->method).
778      */
779     if (s->version == s->ctx->method->version)
780         return 1;
781
782     /*
783      * Apparently we're using a version-flexible SSL_METHOD (not at its
784      * highest protocol version).
785      */
786     if (s->ctx->method->version == TLS_method()->version)
787         table = tls_version_table;
788     else if (s->ctx->method->version == DTLS_method()->version)
789         table = dtls_version_table;
790     else {
791         /* Unexpected state; fail closed. */
792         return 0;
793     }
794
795     for (vent = table; vent->version != 0; ++vent) {
796         if (vent->smeth != NULL && ssl_method_error(s, vent->smeth()) == 0)
797             return s->version == vent->version;
798     }
799     return 0;
800 }
801
802 /*
803  * ssl_set_version_bound - set an upper or lower bound on the supported (D)TLS
804  * protocols, provided the initial (D)TLS method is version-flexible.  This
805  * function sanity-checks the proposed value and makes sure the method is
806  * version-flexible, then sets the limit if all is well.
807  *
808  * @method_version: The version of the current SSL_METHOD.
809  * @version: the intended limit.
810  * @bound: pointer to limit to be updated.
811  *
812  * Returns 1 on success, 0 on failure.
813  */
814 int ssl_set_version_bound(int method_version, int version, int *bound)
815 {
816     if (version == 0) {
817         *bound = version;
818         return 1;
819     }
820
821     /*-
822      * Restrict TLS methods to TLS protocol versions.
823      * Restrict DTLS methods to DTLS protocol versions.
824      * Note, DTLS version numbers are decreasing, use comparison macros.
825      *
826      * Note that for both lower-bounds we use explicit versions, not
827      * (D)TLS_MIN_VERSION.  This is because we don't want to break user
828      * configurations.  If the MIN (supported) version ever rises, the user's
829      * "floor" remains valid even if no longer available.  We don't expect the
830      * MAX ceiling to ever get lower, so making that variable makes sense.
831      */
832     switch (method_version) {
833     default:
834         /*
835          * XXX For fixed version methods, should we always fail and not set any
836          * bounds, always succeed and not set any bounds, or set the bounds and
837          * arrange to fail later if they are not met?  At present fixed-version
838          * methods are not subject to controls that disable individual protocol
839          * versions.
840          */
841         return 0;
842
843     case TLS_ANY_VERSION:
844         if (version < SSL3_VERSION || version > TLS_MAX_VERSION)
845             return 0;
846         break;
847
848     case DTLS_ANY_VERSION:
849         if (DTLS_VERSION_GT(version, DTLS_MAX_VERSION) ||
850             DTLS_VERSION_LT(version, DTLS1_BAD_VER))
851             return 0;
852         break;
853     }
854
855     *bound = version;
856     return 1;
857 }
858
859 /*
860  * ssl_choose_server_version - Choose server (D)TLS version.  Called when the
861  * client HELLO is received to select the final server protocol version and
862  * the version specific method.
863  *
864  * @s: server SSL handle.
865  *
866  * Returns 0 on success or an SSL error reason number on failure.
867  */
868 int ssl_choose_server_version(SSL *s)
869 {
870     /*-
871      * With version-flexible methods we have an initial state with:
872      *
873      *   s->method->version == (D)TLS_ANY_VERSION,
874      *   s->version == (D)TLS_MAX_VERSION.
875      *
876      * So we detect version-flexible methods via the method version, not the
877      * handle version.
878      */
879     int server_version = s->method->version;
880     int client_version = s->client_version;
881     const version_info *vent;
882     const version_info *table;
883     int disabled = 0;
884
885     switch (server_version) {
886     default:
887         if (version_cmp(s, client_version, s->version) < 0)
888             return SSL_R_WRONG_SSL_VERSION;
889         /*
890          * If this SSL handle is not from a version flexible method we don't
891          * (and never did) check min/max FIPS or Suite B constraints.  Hope
892          * that's OK.  It is up to the caller to not choose fixed protocol
893          * versions they don't want.  If not, then easy to fix, just return
894          * ssl_method_error(s, s->method)
895          */
896         return 0;
897     case TLS_ANY_VERSION:
898         table = tls_version_table;
899         break;
900     case DTLS_ANY_VERSION:
901         table = dtls_version_table;
902         break;
903     }
904
905     for (vent = table; vent->version != 0; ++vent) {
906         const SSL_METHOD *method;
907
908         if (vent->smeth == NULL ||
909             version_cmp(s, client_version, vent->version) < 0)
910             continue;
911         method = vent->smeth();
912         if (ssl_method_error(s, method) == 0) {
913             s->version = vent->version;
914             s->method = method;
915             return 0;
916         }
917         disabled = 1;
918     }
919     return disabled ? SSL_R_UNSUPPORTED_PROTOCOL : SSL_R_VERSION_TOO_LOW;
920 }
921
922 /*
923  * ssl_choose_client_version - Choose client (D)TLS version.  Called when the
924  * server HELLO is received to select the final client protocol version and
925  * the version specific method.
926  *
927  * @s: client SSL handle.
928  * @version: The proposed version from the server's HELLO.
929  *
930  * Returns 0 on success or an SSL error reason number on failure.
931  */
932 int ssl_choose_client_version(SSL *s, int version)
933 {
934     const version_info *vent;
935     const version_info *table;
936
937     switch (s->method->version) {
938     default:
939         if (version != s->version)
940             return SSL_R_WRONG_SSL_VERSION;
941         /*
942          * If this SSL handle is not from a version flexible method we don't
943          * (and never did) check min/max, FIPS or Suite B constraints.  Hope
944          * that's OK.  It is up to the caller to not choose fixed protocol
945          * versions they don't want.  If not, then easy to fix, just return
946          * ssl_method_error(s, s->method)
947          */
948         return 0;
949     case TLS_ANY_VERSION:
950         table = tls_version_table;
951         break;
952     case DTLS_ANY_VERSION:
953         table = dtls_version_table;
954         break;
955     }
956
957     for (vent = table; vent->version != 0; ++vent) {
958         const SSL_METHOD *method;
959         int err;
960
961         if (version != vent->version)
962             continue;
963         if (vent->cmeth == NULL)
964             break;
965         method = vent->cmeth();
966         err = ssl_method_error(s, method);
967         if (err != 0)
968             return err;
969         s->method = method;
970         s->version = version;
971         return 0;
972     }
973
974     return SSL_R_UNSUPPORTED_PROTOCOL;
975 }
976
977 /*
978  * ssl_get_client_min_max_version - get minimum and maximum client version
979  * @s: The SSL connection
980  * @min_version: The minimum supported version
981  * @max_version: The maximum supported version
982  *
983  * Work out what version we should be using for the initial ClientHello if the
984  * version is initially (D)TLS_ANY_VERSION.  We apply any explicit SSL_OP_NO_xxx
985  * options, the MinProtocol and MaxProtocol configuration commands, any Suite B
986  * or FIPS_mode() constraints and any floor imposed by the security level here,
987  * so we don't advertise the wrong protocol version to only reject the outcome later.
988  *
989  * Computing the right floor matters.  If, e.g., TLS 1.0 and 1.2 are enabled,
990  * TLS 1.1 is disabled, but the security level, Suite-B  and/or MinProtocol
991  * only allow TLS 1.2, we want to advertise TLS1.2, *not* TLS1.
992  *
993  * Returns 0 on success or an SSL error reason number on failure.  On failure
994  * min_version and max_version will also be set to 0.
995  */
996 int ssl_get_client_min_max_version(const SSL *s, int *min_version,
997                                    int *max_version)
998 {
999     int version;
1000     int hole;
1001     const SSL_METHOD *single = NULL;
1002     const SSL_METHOD *method;
1003     const version_info *table;
1004     const version_info *vent;
1005
1006     switch (s->method->version) {
1007     default:
1008         /*
1009          * If this SSL handle is not from a version flexible method we don't
1010          * (and never did) check min/max FIPS or Suite B constraints.  Hope
1011          * that's OK.  It is up to the caller to not choose fixed protocol
1012          * versions they don't want.  If not, then easy to fix, just return
1013          * ssl_method_error(s, s->method)
1014          */
1015         *min_version = *max_version = s->version;
1016         return 0;
1017     case TLS_ANY_VERSION:
1018         table = tls_version_table;
1019         break;
1020     case DTLS_ANY_VERSION:
1021         table = dtls_version_table;
1022         break;
1023     }
1024
1025     /*
1026      * SSL_OP_NO_X disables all protocols above X *if* there are some protocols
1027      * below X enabled. This is required in order to maintain the "version
1028      * capability" vector contiguous. Any versions with a NULL client method
1029      * (protocol version client is disabled at compile-time) is also a "hole".
1030      *
1031      * Our initial state is hole == 1, version == 0.  That is, versions above
1032      * the first version in the method table are disabled (a "hole" above
1033      * the valid protocol entries) and we don't have a selected version yet.
1034      *
1035      * Whenever "hole == 1", and we hit an enabled method, its version becomes
1036      * the selected version, and the method becomes a candidate "single"
1037      * method.  We're no longer in a hole, so "hole" becomes 0.
1038      *
1039      * If "hole == 0" and we hit an enabled method, then "single" is cleared,
1040      * as we support a contiguous range of at least two methods.  If we hit
1041      * a disabled method, then hole becomes true again, but nothing else
1042      * changes yet, because all the remaining methods may be disabled too.
1043      * If we again hit an enabled method after the new hole, it becomes
1044      * selected, as we start from scratch.
1045      */
1046     *min_version = version = 0;
1047     hole = 1;
1048     for (vent = table; vent->version != 0; ++vent) {
1049         /*
1050          * A table entry with a NULL client method is still a hole in the
1051          * "version capability" vector.
1052          */
1053         if (vent->cmeth == NULL) {
1054             hole = 1;
1055             continue;
1056         }
1057         method = vent->cmeth();
1058         if (ssl_method_error(s, method) != 0) {
1059             hole = 1;
1060         } else if (!hole) {
1061             single = NULL;
1062             *min_version = method->version;
1063         } else {
1064             version = (single = method)->version;
1065             *min_version = version;
1066             hole = 0;
1067         }
1068     }
1069
1070     *max_version = version;
1071
1072     /* Fail if everything is disabled */
1073     if (version == 0)
1074         return SSL_R_NO_PROTOCOLS_AVAILABLE;
1075
1076     return 0;
1077 }
1078
1079 /*
1080  * ssl_set_client_hello_version - Work out what version we should be using for
1081  * the initial ClientHello.
1082  *
1083  * @s: client SSL handle.
1084  *
1085  * Returns 0 on success or an SSL error reason number on failure.
1086  */
1087 int ssl_set_client_hello_version(SSL *s)
1088 {
1089     int ver_min, ver_max, ret;
1090
1091     ret = ssl_get_client_min_max_version(s, &ver_min, &ver_max);
1092
1093     if (ret != 0)
1094         return ret;
1095
1096     s->client_version = s->version = ver_max;
1097     return 0;
1098 }