Fix OCSP Status Request extension unbounded memory growth
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
24                               const unsigned char *sess_id, int sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS1_FINISH_MAC_LENGTH,
37     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
38     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
39     tls1_alert_code,
40     tls1_export_keying_material,
41     0,
42     SSL3_HM_HEADER_LENGTH,
43     ssl3_set_handshake_header,
44     ssl3_set_handshake_header2,
45     tls_close_construct_packet,
46     ssl3_handshake_write
47 };
48
49 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
50     tls1_enc,
51     tls1_mac,
52     tls1_setup_key_block,
53     tls1_generate_master_secret,
54     tls1_change_cipher_state,
55     tls1_final_finish_mac,
56     TLS1_FINISH_MAC_LENGTH,
57     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
58     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
59     tls1_alert_code,
60     tls1_export_keying_material,
61     SSL_ENC_FLAG_EXPLICIT_IV,
62     SSL3_HM_HEADER_LENGTH,
63     ssl3_set_handshake_header,
64     ssl3_set_handshake_header2,
65     tls_close_construct_packet,
66     ssl3_handshake_write
67 };
68
69 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
70     tls1_enc,
71     tls1_mac,
72     tls1_setup_key_block,
73     tls1_generate_master_secret,
74     tls1_change_cipher_state,
75     tls1_final_finish_mac,
76     TLS1_FINISH_MAC_LENGTH,
77     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
78     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
79     tls1_alert_code,
80     tls1_export_keying_material,
81     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
82         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
83     SSL3_HM_HEADER_LENGTH,
84     ssl3_set_handshake_header,
85     ssl3_set_handshake_header2,
86     tls_close_construct_packet,
87     ssl3_handshake_write
88 };
89
90 long tls1_default_timeout(void)
91 {
92     /*
93      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
94      * http, the cache would over fill
95      */
96     return (60 * 60 * 2);
97 }
98
99 int tls1_new(SSL *s)
100 {
101     if (!ssl3_new(s))
102         return (0);
103     s->method->ssl_clear(s);
104     return (1);
105 }
106
107 void tls1_free(SSL *s)
108 {
109     OPENSSL_free(s->tlsext_session_ticket);
110     ssl3_free(s);
111 }
112
113 void tls1_clear(SSL *s)
114 {
115     ssl3_clear(s);
116     if (s->method->version == TLS_ANY_VERSION)
117         s->version = TLS_MAX_VERSION;
118     else
119         s->version = s->method->version;
120 }
121
122 #ifndef OPENSSL_NO_EC
123
124 typedef struct {
125     int nid;                    /* Curve NID */
126     int secbits;                /* Bits of security (from SP800-57) */
127     unsigned int flags;         /* Flags: currently just field type */
128 } tls_curve_info;
129
130 /*
131  * Table of curve information.
132  * Do not delete entries or reorder this array! It is used as a lookup
133  * table: the index of each entry is one less than the TLS curve id.
134  */
135 static const tls_curve_info nid_list[] = {
136     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
137     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
138     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
139     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
140     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
141     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
142     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
143     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
144     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
145     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
146     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
147     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
148     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
149     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
150     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
151     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
152     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
153     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
154     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
155     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
156     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
157     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
158     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
159     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
160     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
161     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
162     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
163     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
164     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
165 };
166
167 static const unsigned char ecformats_default[] = {
168     TLSEXT_ECPOINTFORMAT_uncompressed,
169     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
170     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
171 };
172
173 /* The default curves */
174 static const unsigned char eccurves_default[] = {
175     0, 29,                      /* X25519 (29) */
176     0, 23,                      /* secp256r1 (23) */
177     0, 25,                      /* secp521r1 (25) */
178     0, 24,                      /* secp384r1 (24) */
179 };
180
181 static const unsigned char eccurves_all[] = {
182     0, 29,                      /* X25519 (29) */
183     0, 23,                      /* secp256r1 (23) */
184     0, 25,                      /* secp521r1 (25) */
185     0, 24,                      /* secp384r1 (24) */
186     0, 26,                      /* brainpoolP256r1 (26) */
187     0, 27,                      /* brainpoolP384r1 (27) */
188     0, 28,                      /* brainpool512r1 (28) */
189
190     /*
191      * Remaining curves disabled by default but still permitted if set
192      * via an explicit callback or parameters.
193      */
194     0, 22,                      /* secp256k1 (22) */
195     0, 14,                      /* sect571r1 (14) */
196     0, 13,                      /* sect571k1 (13) */
197     0, 11,                      /* sect409k1 (11) */
198     0, 12,                      /* sect409r1 (12) */
199     0, 9,                       /* sect283k1 (9) */
200     0, 10,                      /* sect283r1 (10) */
201     0, 20,                      /* secp224k1 (20) */
202     0, 21,                      /* secp224r1 (21) */
203     0, 18,                      /* secp192k1 (18) */
204     0, 19,                      /* secp192r1 (19) */
205     0, 15,                      /* secp160k1 (15) */
206     0, 16,                      /* secp160r1 (16) */
207     0, 17,                      /* secp160r2 (17) */
208     0, 8,                       /* sect239k1 (8) */
209     0, 6,                       /* sect233k1 (6) */
210     0, 7,                       /* sect233r1 (7) */
211     0, 4,                       /* sect193r1 (4) */
212     0, 5,                       /* sect193r2 (5) */
213     0, 1,                       /* sect163k1 (1) */
214     0, 2,                       /* sect163r1 (2) */
215     0, 3,                       /* sect163r2 (3) */
216 };
217
218 static const unsigned char suiteb_curves[] = {
219     0, TLSEXT_curve_P_256,
220     0, TLSEXT_curve_P_384
221 };
222
223 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
224 {
225     const tls_curve_info *cinfo;
226     /* ECC curves from RFC 4492 and RFC 7027 */
227     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
228         return 0;
229     cinfo = nid_list + curve_id - 1;
230     if (pflags)
231         *pflags = cinfo->flags;
232     return cinfo->nid;
233 }
234
235 int tls1_ec_nid2curve_id(int nid)
236 {
237     size_t i;
238     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
239         if (nid_list[i].nid == nid)
240             return i + 1;
241     }
242     return 0;
243 }
244
245 /*
246  * Get curves list, if "sess" is set return client curves otherwise
247  * preferred list.
248  * Sets |num_curves| to the number of curves in the list, i.e.,
249  * the length of |pcurves| is 2 * num_curves.
250  * Returns 1 on success and 0 if the client curves list has invalid format.
251  * The latter indicates an internal error: we should not be accepting such
252  * lists in the first place.
253  * TODO(emilia): we should really be storing the curves list in explicitly
254  * parsed form instead. (However, this would affect binary compatibility
255  * so cannot happen in the 1.0.x series.)
256  */
257 static int tls1_get_curvelist(SSL *s, int sess,
258                               const unsigned char **pcurves, size_t *num_curves)
259 {
260     size_t pcurveslen = 0;
261     if (sess) {
262         *pcurves = s->session->tlsext_ellipticcurvelist;
263         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
264     } else {
265         /* For Suite B mode only include P-256, P-384 */
266         switch (tls1_suiteb(s)) {
267         case SSL_CERT_FLAG_SUITEB_128_LOS:
268             *pcurves = suiteb_curves;
269             pcurveslen = sizeof(suiteb_curves);
270             break;
271
272         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
273             *pcurves = suiteb_curves;
274             pcurveslen = 2;
275             break;
276
277         case SSL_CERT_FLAG_SUITEB_192_LOS:
278             *pcurves = suiteb_curves + 2;
279             pcurveslen = 2;
280             break;
281         default:
282             *pcurves = s->tlsext_ellipticcurvelist;
283             pcurveslen = s->tlsext_ellipticcurvelist_length;
284         }
285         if (!*pcurves) {
286             *pcurves = eccurves_default;
287             pcurveslen = sizeof(eccurves_default);
288         }
289     }
290
291     /* We do not allow odd length arrays to enter the system. */
292     if (pcurveslen & 1) {
293         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
294         *num_curves = 0;
295         return 0;
296     } else {
297         *num_curves = pcurveslen / 2;
298         return 1;
299     }
300 }
301
302 /* See if curve is allowed by security callback */
303 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
304 {
305     const tls_curve_info *cinfo;
306     if (curve[0])
307         return 1;
308     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
309         return 0;
310     cinfo = &nid_list[curve[1] - 1];
311 # ifdef OPENSSL_NO_EC2M
312     if (cinfo->flags & TLS_CURVE_CHAR2)
313         return 0;
314 # endif
315     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
316 }
317
318 /* Check a curve is one of our preferences */
319 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
320 {
321     const unsigned char *curves;
322     size_t num_curves, i;
323     unsigned int suiteb_flags = tls1_suiteb(s);
324     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
325         return 0;
326     /* Check curve matches Suite B preferences */
327     if (suiteb_flags) {
328         unsigned long cid = s->s3->tmp.new_cipher->id;
329         if (p[1])
330             return 0;
331         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
332             if (p[2] != TLSEXT_curve_P_256)
333                 return 0;
334         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
335             if (p[2] != TLSEXT_curve_P_384)
336                 return 0;
337         } else                  /* Should never happen */
338             return 0;
339     }
340     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
341         return 0;
342     for (i = 0; i < num_curves; i++, curves += 2) {
343         if (p[1] == curves[0] && p[2] == curves[1])
344             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
345     }
346     return 0;
347 }
348
349 /*-
350  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
351  * if there is no match.
352  * For nmatch == -1, return number of matches
353  * For nmatch == -2, return the NID of the curve to use for
354  * an EC tmp key, or NID_undef if there is no match.
355  */
356 int tls1_shared_curve(SSL *s, int nmatch)
357 {
358     const unsigned char *pref, *supp;
359     size_t num_pref, num_supp, i, j;
360     int k;
361     /* Can't do anything on client side */
362     if (s->server == 0)
363         return -1;
364     if (nmatch == -2) {
365         if (tls1_suiteb(s)) {
366             /*
367              * For Suite B ciphersuite determines curve: we already know
368              * these are acceptable due to previous checks.
369              */
370             unsigned long cid = s->s3->tmp.new_cipher->id;
371             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
372                 return NID_X9_62_prime256v1; /* P-256 */
373             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
374                 return NID_secp384r1; /* P-384 */
375             /* Should never happen */
376             return NID_undef;
377         }
378         /* If not Suite B just return first preference shared curve */
379         nmatch = 0;
380     }
381     /*
382      * Avoid truncation. tls1_get_curvelist takes an int
383      * but s->options is a long...
384      */
385     if (!tls1_get_curvelist
386         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
387          &num_supp))
388         /* In practice, NID_undef == 0 but let's be precise. */
389         return nmatch == -1 ? 0 : NID_undef;
390     if (!tls1_get_curvelist
391         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
392         return nmatch == -1 ? 0 : NID_undef;
393
394     /*
395      * If the client didn't send the elliptic_curves extension all of them
396      * are allowed.
397      */
398     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
399         supp = eccurves_all;
400         num_supp = sizeof(eccurves_all) / 2;
401     } else if (num_pref == 0 &&
402                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
403         pref = eccurves_all;
404         num_pref = sizeof(eccurves_all) / 2;
405     }
406
407     k = 0;
408     for (i = 0; i < num_pref; i++, pref += 2) {
409         const unsigned char *tsupp = supp;
410         for (j = 0; j < num_supp; j++, tsupp += 2) {
411             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
412                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
413                     continue;
414                 if (nmatch == k) {
415                     int id = (pref[0] << 8) | pref[1];
416                     return tls1_ec_curve_id2nid(id, NULL);
417                 }
418                 k++;
419             }
420         }
421     }
422     if (nmatch == -1)
423         return k;
424     /* Out of range (nmatch > k). */
425     return NID_undef;
426 }
427
428 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
429                     int *curves, size_t ncurves)
430 {
431     unsigned char *clist, *p;
432     size_t i;
433     /*
434      * Bitmap of curves included to detect duplicates: only works while curve
435      * ids < 32
436      */
437     unsigned long dup_list = 0;
438     clist = OPENSSL_malloc(ncurves * 2);
439     if (clist == NULL)
440         return 0;
441     for (i = 0, p = clist; i < ncurves; i++) {
442         unsigned long idmask;
443         int id;
444         id = tls1_ec_nid2curve_id(curves[i]);
445         idmask = 1L << id;
446         if (!id || (dup_list & idmask)) {
447             OPENSSL_free(clist);
448             return 0;
449         }
450         dup_list |= idmask;
451         s2n(id, p);
452     }
453     OPENSSL_free(*pext);
454     *pext = clist;
455     *pextlen = ncurves * 2;
456     return 1;
457 }
458
459 # define MAX_CURVELIST   28
460
461 typedef struct {
462     size_t nidcnt;
463     int nid_arr[MAX_CURVELIST];
464 } nid_cb_st;
465
466 static int nid_cb(const char *elem, int len, void *arg)
467 {
468     nid_cb_st *narg = arg;
469     size_t i;
470     int nid;
471     char etmp[20];
472     if (elem == NULL)
473         return 0;
474     if (narg->nidcnt == MAX_CURVELIST)
475         return 0;
476     if (len > (int)(sizeof(etmp) - 1))
477         return 0;
478     memcpy(etmp, elem, len);
479     etmp[len] = 0;
480     nid = EC_curve_nist2nid(etmp);
481     if (nid == NID_undef)
482         nid = OBJ_sn2nid(etmp);
483     if (nid == NID_undef)
484         nid = OBJ_ln2nid(etmp);
485     if (nid == NID_undef)
486         return 0;
487     for (i = 0; i < narg->nidcnt; i++)
488         if (narg->nid_arr[i] == nid)
489             return 0;
490     narg->nid_arr[narg->nidcnt++] = nid;
491     return 1;
492 }
493
494 /* Set curves based on a colon separate list */
495 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
496 {
497     nid_cb_st ncb;
498     ncb.nidcnt = 0;
499     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
500         return 0;
501     if (pext == NULL)
502         return 1;
503     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
504 }
505
506 /* For an EC key set TLS id and required compression based on parameters */
507 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
508                           EC_KEY *ec)
509 {
510     int id;
511     const EC_GROUP *grp;
512     if (!ec)
513         return 0;
514     /* Determine if it is a prime field */
515     grp = EC_KEY_get0_group(ec);
516     if (!grp)
517         return 0;
518     /* Determine curve ID */
519     id = EC_GROUP_get_curve_name(grp);
520     id = tls1_ec_nid2curve_id(id);
521     /* If no id return error: we don't support arbitrary explicit curves */
522     if (id == 0)
523         return 0;
524     curve_id[0] = 0;
525     curve_id[1] = (unsigned char)id;
526     if (comp_id) {
527         if (EC_KEY_get0_public_key(ec) == NULL)
528             return 0;
529         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
530             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
531         } else {
532             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
533                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
534             else
535                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
536         }
537     }
538     return 1;
539 }
540
541 /* Check an EC key is compatible with extensions */
542 static int tls1_check_ec_key(SSL *s,
543                              unsigned char *curve_id, unsigned char *comp_id)
544 {
545     const unsigned char *pformats, *pcurves;
546     size_t num_formats, num_curves, i;
547     int j;
548     /*
549      * If point formats extension present check it, otherwise everything is
550      * supported (see RFC4492).
551      */
552     if (comp_id && s->session->tlsext_ecpointformatlist) {
553         pformats = s->session->tlsext_ecpointformatlist;
554         num_formats = s->session->tlsext_ecpointformatlist_length;
555         for (i = 0; i < num_formats; i++, pformats++) {
556             if (*comp_id == *pformats)
557                 break;
558         }
559         if (i == num_formats)
560             return 0;
561     }
562     if (!curve_id)
563         return 1;
564     /* Check curve is consistent with client and server preferences */
565     for (j = 0; j <= 1; j++) {
566         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
567             return 0;
568         if (j == 1 && num_curves == 0) {
569             /*
570              * If we've not received any curves then skip this check.
571              * RFC 4492 does not require the supported elliptic curves extension
572              * so if it is not sent we can just choose any curve.
573              * It is invalid to send an empty list in the elliptic curves
574              * extension, so num_curves == 0 always means no extension.
575              */
576             break;
577         }
578         for (i = 0; i < num_curves; i++, pcurves += 2) {
579             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
580                 break;
581         }
582         if (i == num_curves)
583             return 0;
584         /* For clients can only check sent curve list */
585         if (!s->server)
586             break;
587     }
588     return 1;
589 }
590
591 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
592                                 size_t *num_formats)
593 {
594     /*
595      * If we have a custom point format list use it otherwise use default
596      */
597     if (s->tlsext_ecpointformatlist) {
598         *pformats = s->tlsext_ecpointformatlist;
599         *num_formats = s->tlsext_ecpointformatlist_length;
600     } else {
601         *pformats = ecformats_default;
602         /* For Suite B we don't support char2 fields */
603         if (tls1_suiteb(s))
604             *num_formats = sizeof(ecformats_default) - 1;
605         else
606             *num_formats = sizeof(ecformats_default);
607     }
608 }
609
610 /*
611  * Check cert parameters compatible with extensions: currently just checks EC
612  * certificates have compatible curves and compression.
613  */
614 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
615 {
616     unsigned char comp_id, curve_id[2];
617     EVP_PKEY *pkey;
618     int rv;
619     pkey = X509_get0_pubkey(x);
620     if (!pkey)
621         return 0;
622     /* If not EC nothing to do */
623     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
624         return 1;
625     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
626     if (!rv)
627         return 0;
628     /*
629      * Can't check curve_id for client certs as we don't have a supported
630      * curves extension.
631      */
632     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
633     if (!rv)
634         return 0;
635     /*
636      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
637      * SHA384+P-384, adjust digest if necessary.
638      */
639     if (set_ee_md && tls1_suiteb(s)) {
640         int check_md;
641         size_t i;
642         CERT *c = s->cert;
643         if (curve_id[0])
644             return 0;
645         /* Check to see we have necessary signing algorithm */
646         if (curve_id[1] == TLSEXT_curve_P_256)
647             check_md = NID_ecdsa_with_SHA256;
648         else if (curve_id[1] == TLSEXT_curve_P_384)
649             check_md = NID_ecdsa_with_SHA384;
650         else
651             return 0;           /* Should never happen */
652         for (i = 0; i < c->shared_sigalgslen; i++)
653             if (check_md == c->shared_sigalgs[i].signandhash_nid)
654                 break;
655         if (i == c->shared_sigalgslen)
656             return 0;
657         if (set_ee_md == 2) {
658             if (check_md == NID_ecdsa_with_SHA256)
659                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
660             else
661                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
662         }
663     }
664     return rv;
665 }
666
667 # ifndef OPENSSL_NO_EC
668 /*
669  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
670  * @s: SSL connection
671  * @cid: Cipher ID we're considering using
672  *
673  * Checks that the kECDHE cipher suite we're considering using
674  * is compatible with the client extensions.
675  *
676  * Returns 0 when the cipher can't be used or 1 when it can.
677  */
678 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
679 {
680     /*
681      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
682      * curves permitted.
683      */
684     if (tls1_suiteb(s)) {
685         unsigned char curve_id[2];
686         /* Curve to check determined by ciphersuite */
687         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
688             curve_id[1] = TLSEXT_curve_P_256;
689         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
690             curve_id[1] = TLSEXT_curve_P_384;
691         else
692             return 0;
693         curve_id[0] = 0;
694         /* Check this curve is acceptable */
695         if (!tls1_check_ec_key(s, curve_id, NULL))
696             return 0;
697         return 1;
698     }
699     /* Need a shared curve */
700     if (tls1_shared_curve(s, 0))
701         return 1;
702     return 0;
703 }
704 # endif                         /* OPENSSL_NO_EC */
705
706 #else
707
708 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
709 {
710     return 1;
711 }
712
713 #endif                          /* OPENSSL_NO_EC */
714
715 /*
716  * List of supported signature algorithms and hashes. Should make this
717  * customisable at some point, for now include everything we support.
718  */
719
720 #ifdef OPENSSL_NO_RSA
721 # define tlsext_sigalg_rsa(md)  /* */
722 #else
723 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
724 #endif
725
726 #ifdef OPENSSL_NO_DSA
727 # define tlsext_sigalg_dsa(md)  /* */
728 #else
729 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
730 #endif
731
732 #ifdef OPENSSL_NO_EC
733 # define tlsext_sigalg_ecdsa(md)/* */
734 #else
735 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
736 #endif
737
738 #define tlsext_sigalg(md) \
739                 tlsext_sigalg_rsa(md) \
740                 tlsext_sigalg_dsa(md) \
741                 tlsext_sigalg_ecdsa(md)
742
743 static const unsigned char tls12_sigalgs[] = {
744     tlsext_sigalg(TLSEXT_hash_sha512)
745         tlsext_sigalg(TLSEXT_hash_sha384)
746         tlsext_sigalg(TLSEXT_hash_sha256)
747         tlsext_sigalg(TLSEXT_hash_sha224)
748         tlsext_sigalg(TLSEXT_hash_sha1)
749 #ifndef OPENSSL_NO_GOST
750         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
751     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
752     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
753 #endif
754 };
755
756 #ifndef OPENSSL_NO_EC
757 static const unsigned char suiteb_sigalgs[] = {
758     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
759         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
760 };
761 #endif
762 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
763 {
764     /*
765      * If Suite B mode use Suite B sigalgs only, ignore any other
766      * preferences.
767      */
768 #ifndef OPENSSL_NO_EC
769     switch (tls1_suiteb(s)) {
770     case SSL_CERT_FLAG_SUITEB_128_LOS:
771         *psigs = suiteb_sigalgs;
772         return sizeof(suiteb_sigalgs);
773
774     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
775         *psigs = suiteb_sigalgs;
776         return 2;
777
778     case SSL_CERT_FLAG_SUITEB_192_LOS:
779         *psigs = suiteb_sigalgs + 2;
780         return 2;
781     }
782 #endif
783     /* If server use client authentication sigalgs if not NULL */
784     if (s->server && s->cert->client_sigalgs) {
785         *psigs = s->cert->client_sigalgs;
786         return s->cert->client_sigalgslen;
787     } else if (s->cert->conf_sigalgs) {
788         *psigs = s->cert->conf_sigalgs;
789         return s->cert->conf_sigalgslen;
790     } else {
791         *psigs = tls12_sigalgs;
792         return sizeof(tls12_sigalgs);
793     }
794 }
795
796 /*
797  * Check signature algorithm is consistent with sent supported signature
798  * algorithms and if so return relevant digest.
799  */
800 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
801                             const unsigned char *sig, EVP_PKEY *pkey)
802 {
803     const unsigned char *sent_sigs;
804     size_t sent_sigslen, i;
805     int sigalg = tls12_get_sigid(pkey);
806     /* Should never happen */
807     if (sigalg == -1)
808         return -1;
809     /* Check key type is consistent with signature */
810     if (sigalg != (int)sig[1]) {
811         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
812         return 0;
813     }
814 #ifndef OPENSSL_NO_EC
815     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
816         unsigned char curve_id[2], comp_id;
817         /* Check compression and curve matches extensions */
818         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
819             return 0;
820         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
821             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
822             return 0;
823         }
824         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
825         if (tls1_suiteb(s)) {
826             if (curve_id[0])
827                 return 0;
828             if (curve_id[1] == TLSEXT_curve_P_256) {
829                 if (sig[0] != TLSEXT_hash_sha256) {
830                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
831                            SSL_R_ILLEGAL_SUITEB_DIGEST);
832                     return 0;
833                 }
834             } else if (curve_id[1] == TLSEXT_curve_P_384) {
835                 if (sig[0] != TLSEXT_hash_sha384) {
836                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
837                            SSL_R_ILLEGAL_SUITEB_DIGEST);
838                     return 0;
839                 }
840             } else
841                 return 0;
842         }
843     } else if (tls1_suiteb(s))
844         return 0;
845 #endif
846
847     /* Check signature matches a type we sent */
848     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
849     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
850         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
851             break;
852     }
853     /* Allow fallback to SHA1 if not strict mode */
854     if (i == sent_sigslen
855         && (sig[0] != TLSEXT_hash_sha1
856             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
857         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
858         return 0;
859     }
860     *pmd = tls12_get_hash(sig[0]);
861     if (*pmd == NULL) {
862         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
863         return 0;
864     }
865     /* Make sure security callback allows algorithm */
866     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
867                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
868         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
869         return 0;
870     }
871     /*
872      * Store the digest used so applications can retrieve it if they wish.
873      */
874     s->s3->tmp.peer_md = *pmd;
875     return 1;
876 }
877
878 /*
879  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
880  * supported, doesn't appear in supported signature algorithms, isn't supported
881  * by the enabled protocol versions or by the security level.
882  *
883  * This function should only be used for checking which ciphers are supported
884  * by the client.
885  *
886  * Call ssl_cipher_disabled() to check that it's enabled or not.
887  */
888 void ssl_set_client_disabled(SSL *s)
889 {
890     s->s3->tmp.mask_a = 0;
891     s->s3->tmp.mask_k = 0;
892     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
893     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
894 #ifndef OPENSSL_NO_PSK
895     /* with PSK there must be client callback set */
896     if (!s->psk_client_callback) {
897         s->s3->tmp.mask_a |= SSL_aPSK;
898         s->s3->tmp.mask_k |= SSL_PSK;
899     }
900 #endif                          /* OPENSSL_NO_PSK */
901 #ifndef OPENSSL_NO_SRP
902     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
903         s->s3->tmp.mask_a |= SSL_aSRP;
904         s->s3->tmp.mask_k |= SSL_kSRP;
905     }
906 #endif
907 }
908
909 /*
910  * ssl_cipher_disabled - check that a cipher is disabled or not
911  * @s: SSL connection that you want to use the cipher on
912  * @c: cipher to check
913  * @op: Security check that you want to do
914  *
915  * Returns 1 when it's disabled, 0 when enabled.
916  */
917 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
918 {
919     if (c->algorithm_mkey & s->s3->tmp.mask_k
920         || c->algorithm_auth & s->s3->tmp.mask_a)
921         return 1;
922     if (s->s3->tmp.max_ver == 0)
923         return 1;
924     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
925                             || (c->max_tls < s->s3->tmp.min_ver)))
926         return 1;
927     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
928                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
929         return 1;
930
931     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
932 }
933
934 static int tls_use_ticket(SSL *s)
935 {
936     if (s->options & SSL_OP_NO_TICKET)
937         return 0;
938     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
939 }
940
941 static int compare_uint(const void *p1, const void *p2)
942 {
943     unsigned int u1 = *((const unsigned int *)p1);
944     unsigned int u2 = *((const unsigned int *)p2);
945     if (u1 < u2)
946         return -1;
947     else if (u1 > u2)
948         return 1;
949     else
950         return 0;
951 }
952
953 /*
954  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
955  * more than one extension of the same type in a ClientHello or ServerHello.
956  * This function does an initial scan over the extensions block to filter those
957  * out. It returns 1 if all extensions are unique, and 0 if the extensions
958  * contain duplicates, could not be successfully parsed, or an internal error
959  * occurred.
960  */
961 static int tls1_check_duplicate_extensions(const PACKET *packet)
962 {
963     PACKET extensions = *packet;
964     size_t num_extensions = 0, i = 0;
965     unsigned int *extension_types = NULL;
966     int ret = 0;
967
968     /* First pass: count the extensions. */
969     while (PACKET_remaining(&extensions) > 0) {
970         unsigned int type;
971         PACKET extension;
972         if (!PACKET_get_net_2(&extensions, &type) ||
973             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
974             goto done;
975         }
976         num_extensions++;
977     }
978
979     if (num_extensions <= 1)
980         return 1;
981
982     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
983     if (extension_types == NULL) {
984         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
985         goto done;
986     }
987
988     /* Second pass: gather the extension types. */
989     extensions = *packet;
990     for (i = 0; i < num_extensions; i++) {
991         PACKET extension;
992         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
993             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
994             /* This should not happen. */
995             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
996             goto done;
997         }
998     }
999
1000     if (PACKET_remaining(&extensions) != 0) {
1001         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1002         goto done;
1003     }
1004     /* Sort the extensions and make sure there are no duplicates. */
1005     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1006     for (i = 1; i < num_extensions; i++) {
1007         if (extension_types[i - 1] == extension_types[i])
1008             goto done;
1009     }
1010     ret = 1;
1011  done:
1012     OPENSSL_free(extension_types);
1013     return ret;
1014 }
1015
1016 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1017 {
1018 #ifndef OPENSSL_NO_EC
1019     /* See if we support any ECC ciphersuites */
1020     int using_ecc = 0;
1021     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1022         int i;
1023         unsigned long alg_k, alg_a;
1024         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1025
1026         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1027             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1028
1029             alg_k = c->algorithm_mkey;
1030             alg_a = c->algorithm_auth;
1031             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1032                 || (alg_a & SSL_aECDSA)) {
1033                 using_ecc = 1;
1034                 break;
1035             }
1036         }
1037     }
1038 #endif
1039
1040     /* Add RI if renegotiating */
1041     if (s->renegotiate) {
1042         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_renegotiate)
1043                 || !WPACKET_sub_memcpy_u16(pkt, s->s3->previous_client_finished,
1044                                    s->s3->previous_client_finished_len)) {
1045             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1046             return 0;
1047         }
1048     }
1049     /* Only add RI for SSLv3 */
1050     if (s->client_version == SSL3_VERSION)
1051         goto done;
1052
1053     if (s->tlsext_hostname != NULL) {
1054         /* Add TLS extension servername to the Client Hello message */
1055         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1056                    /* Sub-packet for server_name extension */
1057                 || !WPACKET_start_sub_packet_u16(pkt)
1058                    /* Sub-packet for servername list (always 1 hostname)*/
1059                 || !WPACKET_start_sub_packet_u16(pkt)
1060                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_NAMETYPE_host_name)
1061                 || !WPACKET_sub_memcpy_u16(pkt, s->tlsext_hostname,
1062                                            strlen(s->tlsext_hostname))
1063                 || !WPACKET_close(pkt)
1064                 || !WPACKET_close(pkt)) {
1065             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1066             return 0;
1067         }
1068     }
1069 #ifndef OPENSSL_NO_SRP
1070     /* Add SRP username if there is one */
1071     if (s->srp_ctx.login != NULL) {
1072         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_srp)
1073                    /* Sub-packet for SRP extension */
1074                 || !WPACKET_start_sub_packet_u16(pkt)
1075                 || !WPACKET_start_sub_packet_u8(pkt)
1076                    /* login must not be zero...internal error if so */
1077                 || !WPACKET_set_flags(pkt, WPACKET_FLAGS_NON_ZERO_LENGTH)
1078                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1079                                    strlen(s->srp_ctx.login))
1080                 || !WPACKET_close(pkt)
1081                 || !WPACKET_close(pkt)) {
1082             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1083             return 0;
1084         }
1085     }
1086 #endif
1087
1088 #ifndef OPENSSL_NO_EC
1089     if (using_ecc) {
1090         /*
1091          * Add TLS extension ECPointFormats to the ClientHello message
1092          */
1093         const unsigned char *pcurves, *pformats;
1094         size_t num_curves, num_formats;
1095         size_t i;
1096
1097         tls1_get_formatlist(s, &pformats, &num_formats);
1098
1099         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1100                    /* Sub-packet for formats extension */
1101                 || !WPACKET_start_sub_packet_u16(pkt)
1102                 || !WPACKET_sub_memcpy_u8(pkt, pformats, num_formats)
1103                 || !WPACKET_close(pkt)) {
1104             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1105             return 0;
1106         }
1107
1108         /*
1109          * Add TLS extension EllipticCurves to the ClientHello message
1110          */
1111         pcurves = s->tlsext_ellipticcurvelist;
1112         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1113             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1114             return 0;
1115         }
1116
1117         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_elliptic_curves)
1118                    /* Sub-packet for curves extension */
1119                 || !WPACKET_start_sub_packet_u16(pkt)
1120                 || !WPACKET_start_sub_packet_u16(pkt)) {
1121             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1122             return 0;
1123         }
1124         /* Copy curve ID if supported */
1125         for (i = 0; i < num_curves; i++, pcurves += 2) {
1126             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1127                 if (!WPACKET_put_bytes_u8(pkt, pcurves[0])
1128                     || !WPACKET_put_bytes_u8(pkt, pcurves[1])) {
1129                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1130                                ERR_R_INTERNAL_ERROR);
1131                         return 0;
1132                     }
1133             }
1134         }
1135         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1136             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1137             return 0;
1138         }
1139     }
1140 #endif                          /* OPENSSL_NO_EC */
1141
1142     if (tls_use_ticket(s)) {
1143         int ticklen;
1144         if (!s->new_session && s->session && s->session->tlsext_tick)
1145             ticklen = s->session->tlsext_ticklen;
1146         else if (s->session && s->tlsext_session_ticket &&
1147                  s->tlsext_session_ticket->data) {
1148             ticklen = s->tlsext_session_ticket->length;
1149             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1150             if (s->session->tlsext_tick == NULL) {
1151                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1152                 return 0;
1153             }
1154             memcpy(s->session->tlsext_tick,
1155                    s->tlsext_session_ticket->data, ticklen);
1156             s->session->tlsext_ticklen = ticklen;
1157         } else
1158             ticklen = 0;
1159         if (ticklen == 0 && s->tlsext_session_ticket &&
1160             s->tlsext_session_ticket->data == NULL)
1161             goto skip_ext;
1162
1163         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1164                 || !WPACKET_sub_memcpy_u16(pkt, s->session->tlsext_tick,
1165                                            ticklen)) {
1166             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1167             return 0;
1168         }
1169     }
1170  skip_ext:
1171
1172     if (SSL_CLIENT_USE_SIGALGS(s)) {
1173         size_t salglen;
1174         const unsigned char *salg;
1175
1176         salglen = tls12_get_psigalgs(s, &salg);
1177
1178         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signature_algorithms)
1179                    /* Sub-packet for sig-algs extension */
1180                 || !WPACKET_start_sub_packet_u16(pkt)
1181                    /* Sub-packet for the actual list */
1182                 || !WPACKET_start_sub_packet_u16(pkt)
1183                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1184                 || !WPACKET_close(pkt)
1185                 || !WPACKET_close(pkt)) {
1186             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1187             return 0;
1188         }
1189     }
1190 #ifndef OPENSSL_NO_OCSP
1191     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1192         int i;
1193
1194         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1195                    /* Sub-packet for status request extension */
1196                 || !WPACKET_start_sub_packet_u16(pkt)
1197                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_STATUSTYPE_ocsp)
1198                    /* Sub-packet for the ids */
1199                 || !WPACKET_start_sub_packet_u16(pkt)) {
1200             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1201             return 0;
1202         }
1203         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1204             unsigned char *idbytes;
1205             int idlen;
1206             OCSP_RESPID *id;
1207
1208             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1209             idlen = i2d_OCSP_RESPID(id, NULL);
1210             if (idlen <= 0
1211                        /* Sub-packet for an individual id */
1212                     || !WPACKET_sub_allocate_bytes_u16(pkt, idlen, &idbytes)
1213                     || i2d_OCSP_RESPID(id, &idbytes) != idlen) {
1214                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1215                 return 0;
1216             }
1217         }
1218         if (!WPACKET_close(pkt)
1219                 || !WPACKET_start_sub_packet_u16(pkt)) {
1220             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1221             return 0;
1222         }
1223         if (s->tlsext_ocsp_exts) {
1224             unsigned char *extbytes;
1225             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1226
1227             if (extlen < 0) {
1228                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1229                 return 0;
1230             }
1231             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1232                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1233                        != extlen) {
1234                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1235                 return 0;
1236            }
1237         }
1238         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1239             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1240             return 0;
1241         }
1242     }
1243 #endif
1244 #ifndef OPENSSL_NO_HEARTBEATS
1245     if (SSL_IS_DTLS(s)) {
1246         unsigned int mode;
1247
1248         /*-
1249          * Set mode:
1250          * 1: peer may send requests
1251          * 2: peer not allowed to send requests
1252          */
1253         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1254             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1255         else
1256             mode = SSL_DTLSEXT_HB_ENABLED;
1257
1258         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1259                    /* Sub-packet for Hearbeat extension */
1260                 || !WPACKET_start_sub_packet_u16(pkt)
1261                 || !WPACKET_put_bytes_u8(pkt, mode)
1262                 || !WPACKET_close(pkt)) {
1263             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1264             return 0;
1265         }
1266     }
1267 #endif
1268
1269 #ifndef OPENSSL_NO_NEXTPROTONEG
1270     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1271         /*
1272          * The client advertises an empty extension to indicate its support
1273          * for Next Protocol Negotiation
1274          */
1275         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1276                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1277             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1278             return 0;
1279         }
1280     }
1281 #endif
1282
1283     /*
1284      * finish_md_len is non-zero during a renegotiation, so
1285      * this avoids sending ALPN during the renegotiation
1286      * (see longer comment below)
1287      */
1288     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1289         if (!WPACKET_put_bytes_u16(pkt,
1290                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1291                    /* Sub-packet ALPN extension */
1292                 || !WPACKET_start_sub_packet_u16(pkt)
1293                 || !WPACKET_sub_memcpy_u16(pkt, s->alpn_client_proto_list,
1294                                            s->alpn_client_proto_list_len)
1295                 || !WPACKET_close(pkt)) {
1296             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1297             return 0;
1298         }
1299         s->s3->alpn_sent = 1;
1300     }
1301 #ifndef OPENSSL_NO_SRTP
1302     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1303         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = 0;
1304         SRTP_PROTECTION_PROFILE *prof;
1305         int i, ct;
1306
1307         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1308                    /* Sub-packet for SRTP extension */
1309                 || !WPACKET_start_sub_packet_u16(pkt)
1310                    /* Sub-packet for the protection profile list */
1311                 || !WPACKET_start_sub_packet_u16(pkt)) {
1312             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1313             return 0;
1314         }
1315         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1316         for (i = 0; i < ct; i++) {
1317             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1318             if (prof == NULL || !WPACKET_put_bytes_u16(pkt, prof->id)) {
1319                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1320                 return 0;
1321             }
1322         }
1323         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1324             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1325             return 0;
1326         }
1327     }
1328 #endif
1329     custom_ext_init(&s->cert->cli_ext);
1330     /* Add custom TLS Extensions to ClientHello */
1331     if (!custom_ext_add(s, 0, pkt, al)) {
1332         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1333         return 0;
1334     }
1335
1336     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1337             || !WPACKET_put_bytes_u16(pkt, 0)) {
1338         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1339         return 0;
1340     }
1341
1342 #ifndef OPENSSL_NO_CT
1343     if (s->ct_validation_callback != NULL) {
1344         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signed_certificate_timestamp)
1345                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1346             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1347             return 0;
1348         }
1349     }
1350 #endif
1351
1352     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1353             || !WPACKET_put_bytes_u16(pkt, 0)) {
1354         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1355         return 0;
1356     }
1357
1358     /*
1359      * Add padding to workaround bugs in F5 terminators. See
1360      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1361      * code works out the length of all existing extensions it MUST always
1362      * appear last.
1363      */
1364     if (s->options & SSL_OP_TLSEXT_PADDING) {
1365         unsigned char *padbytes;
1366         size_t hlen;
1367
1368         if (!WPACKET_get_total_written(pkt, &hlen)) {
1369             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1370             return 0;
1371         }
1372
1373         if (hlen > 0xff && hlen < 0x200) {
1374             hlen = 0x200 - hlen;
1375             if (hlen >= 4)
1376                 hlen -= 4;
1377             else
1378                 hlen = 0;
1379
1380             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_padding)
1381                     || !WPACKET_sub_allocate_bytes_u16(pkt, hlen, &padbytes)) {
1382                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1383                 return 0;
1384             }
1385             memset(padbytes, 0, hlen);
1386         }
1387     }
1388
1389  done:
1390     return 1;
1391 }
1392
1393 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1394                                           unsigned char *limit, int *al)
1395 {
1396     int extdatalen = 0;
1397     unsigned char *orig = buf;
1398     unsigned char *ret = buf;
1399 #ifndef OPENSSL_NO_NEXTPROTONEG
1400     int next_proto_neg_seen;
1401 #endif
1402 #ifndef OPENSSL_NO_EC
1403     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1404     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1405     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1406     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1407 #endif
1408
1409     ret += 2;
1410     if (ret >= limit)
1411         return NULL;            /* this really never occurs, but ... */
1412
1413     if (s->s3->send_connection_binding) {
1414         int el;
1415
1416         if (!ssl_add_serverhello_renegotiate_ext(s, 0, &el, 0)) {
1417             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1418             return NULL;
1419         }
1420
1421         if ((limit - ret - 4 - el) < 0)
1422             return NULL;
1423
1424         s2n(TLSEXT_TYPE_renegotiate, ret);
1425         s2n(el, ret);
1426
1427         if (!ssl_add_serverhello_renegotiate_ext(s, ret, &el, el)) {
1428             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1429             return NULL;
1430         }
1431
1432         ret += el;
1433     }
1434
1435     /* Only add RI for SSLv3 */
1436     if (s->version == SSL3_VERSION)
1437         goto done;
1438
1439     if (!s->hit && s->servername_done == 1
1440         && s->session->tlsext_hostname != NULL) {
1441         if ((long)(limit - ret - 4) < 0)
1442             return NULL;
1443
1444         s2n(TLSEXT_TYPE_server_name, ret);
1445         s2n(0, ret);
1446     }
1447 #ifndef OPENSSL_NO_EC
1448     if (using_ecc) {
1449         const unsigned char *plist;
1450         size_t plistlen;
1451         /*
1452          * Add TLS extension ECPointFormats to the ServerHello message
1453          */
1454         long lenmax;
1455
1456         tls1_get_formatlist(s, &plist, &plistlen);
1457
1458         if ((lenmax = limit - ret - 5) < 0)
1459             return NULL;
1460         if (plistlen > (size_t)lenmax)
1461             return NULL;
1462         if (plistlen > 255) {
1463             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1464             return NULL;
1465         }
1466
1467         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1468         s2n(plistlen + 1, ret);
1469         *(ret++) = (unsigned char)plistlen;
1470         memcpy(ret, plist, plistlen);
1471         ret += plistlen;
1472
1473     }
1474     /*
1475      * Currently the server should not respond with a SupportedCurves
1476      * extension
1477      */
1478 #endif                          /* OPENSSL_NO_EC */
1479
1480     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1481         if ((long)(limit - ret - 4) < 0)
1482             return NULL;
1483         s2n(TLSEXT_TYPE_session_ticket, ret);
1484         s2n(0, ret);
1485     } else {
1486         /*
1487          * if we don't add the above TLSEXT, we can't add a session ticket
1488          * later
1489          */
1490         s->tlsext_ticket_expected = 0;
1491     }
1492
1493     if (s->tlsext_status_expected) {
1494         if ((long)(limit - ret - 4) < 0)
1495             return NULL;
1496         s2n(TLSEXT_TYPE_status_request, ret);
1497         s2n(0, ret);
1498     }
1499 #ifndef OPENSSL_NO_SRTP
1500     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1501         int el;
1502
1503         /* Returns 0 on success!! */
1504         if (ssl_add_serverhello_use_srtp_ext(s, 0, &el, 0)) {
1505             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1506             return NULL;
1507         }
1508         if ((limit - ret - 4 - el) < 0)
1509             return NULL;
1510
1511         s2n(TLSEXT_TYPE_use_srtp, ret);
1512         s2n(el, ret);
1513
1514         if (ssl_add_serverhello_use_srtp_ext(s, ret, &el, el)) {
1515             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1516             return NULL;
1517         }
1518         ret += el;
1519     }
1520 #endif
1521
1522     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1523          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1524         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1525         const unsigned char cryptopro_ext[36] = {
1526             0xfd, 0xe8,         /* 65000 */
1527             0x00, 0x20,         /* 32 bytes length */
1528             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1529             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1530             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1531             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1532         };
1533         if (limit - ret < 36)
1534             return NULL;
1535         memcpy(ret, cryptopro_ext, 36);
1536         ret += 36;
1537
1538     }
1539 #ifndef OPENSSL_NO_HEARTBEATS
1540     /* Add Heartbeat extension if we've received one */
1541     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1542         if ((limit - ret - 4 - 1) < 0)
1543             return NULL;
1544         s2n(TLSEXT_TYPE_heartbeat, ret);
1545         s2n(1, ret);
1546         /*-
1547          * Set mode:
1548          * 1: peer may send requests
1549          * 2: peer not allowed to send requests
1550          */
1551         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1552             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1553         else
1554             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1555
1556     }
1557 #endif
1558
1559 #ifndef OPENSSL_NO_NEXTPROTONEG
1560     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1561     s->s3->next_proto_neg_seen = 0;
1562     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1563         const unsigned char *npa;
1564         unsigned int npalen;
1565         int r;
1566
1567         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1568                                               s->
1569                                               ctx->next_protos_advertised_cb_arg);
1570         if (r == SSL_TLSEXT_ERR_OK) {
1571             if ((long)(limit - ret - 4 - npalen) < 0)
1572                 return NULL;
1573             s2n(TLSEXT_TYPE_next_proto_neg, ret);
1574             s2n(npalen, ret);
1575             memcpy(ret, npa, npalen);
1576             ret += npalen;
1577             s->s3->next_proto_neg_seen = 1;
1578         }
1579     }
1580 #endif
1581     if (!custom_ext_add_old(s, 1, &ret, limit, al))
1582         return NULL;
1583     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1584         /*
1585          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1586          * for other cases too.
1587          */
1588         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1589             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1590             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1591             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1592             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1593         else {
1594             s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1595             s2n(0, ret);
1596         }
1597     }
1598     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1599         s2n(TLSEXT_TYPE_extended_master_secret, ret);
1600         s2n(0, ret);
1601     }
1602
1603     if (s->s3->alpn_selected != NULL) {
1604         const unsigned char *selected = s->s3->alpn_selected;
1605         unsigned int len = s->s3->alpn_selected_len;
1606
1607         if ((long)(limit - ret - 4 - 2 - 1 - len) < 0)
1608             return NULL;
1609         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1610         s2n(3 + len, ret);
1611         s2n(1 + len, ret);
1612         *ret++ = len;
1613         memcpy(ret, selected, len);
1614         ret += len;
1615     }
1616
1617  done:
1618
1619     if ((extdatalen = ret - orig - 2) == 0)
1620         return orig;
1621
1622     s2n(extdatalen, orig);
1623     return ret;
1624 }
1625
1626 /*
1627  * Save the ALPN extension in a ClientHello.
1628  * pkt: the contents of the ALPN extension, not including type and length.
1629  * al: a pointer to the  alert value to send in the event of a failure.
1630  * returns: 1 on success, 0 on error.
1631  */
1632 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1633 {
1634     PACKET protocol_list, save_protocol_list, protocol;
1635
1636     *al = SSL_AD_DECODE_ERROR;
1637
1638     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1639         || PACKET_remaining(&protocol_list) < 2) {
1640         return 0;
1641     }
1642
1643     save_protocol_list = protocol_list;
1644     do {
1645         /* Protocol names can't be empty. */
1646         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1647             || PACKET_remaining(&protocol) == 0) {
1648             return 0;
1649         }
1650     } while (PACKET_remaining(&protocol_list) != 0);
1651
1652     if (!PACKET_memdup(&save_protocol_list,
1653                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1654         *al = TLS1_AD_INTERNAL_ERROR;
1655         return 0;
1656     }
1657
1658     return 1;
1659 }
1660
1661 /*
1662  * Process the ALPN extension in a ClientHello.
1663  * al: a pointer to the alert value to send in the event of a failure.
1664  * returns 1 on success, 0 on error.
1665  */
1666 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1667 {
1668     const unsigned char *selected = NULL;
1669     unsigned char selected_len = 0;
1670
1671     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1672         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1673                                        s->s3->alpn_proposed,
1674                                        s->s3->alpn_proposed_len,
1675                                        s->ctx->alpn_select_cb_arg);
1676
1677         if (r == SSL_TLSEXT_ERR_OK) {
1678             OPENSSL_free(s->s3->alpn_selected);
1679             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1680             if (s->s3->alpn_selected == NULL) {
1681                 *al = SSL_AD_INTERNAL_ERROR;
1682                 return 0;
1683             }
1684             s->s3->alpn_selected_len = selected_len;
1685 #ifndef OPENSSL_NO_NEXTPROTONEG
1686             /* ALPN takes precedence over NPN. */
1687             s->s3->next_proto_neg_seen = 0;
1688 #endif
1689         } else {
1690             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1691             return 0;
1692         }
1693     }
1694
1695     return 1;
1696 }
1697
1698 #ifndef OPENSSL_NO_EC
1699 /*-
1700  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1701  * SecureTransport using the TLS extension block in |pkt|.
1702  * Safari, since 10.6, sends exactly these extensions, in this order:
1703  *   SNI,
1704  *   elliptic_curves
1705  *   ec_point_formats
1706  *
1707  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1708  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1709  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1710  * 10.8..10.8.3 (which don't work).
1711  */
1712 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1713 {
1714     unsigned int type;
1715     PACKET sni, tmppkt;
1716     size_t ext_len;
1717
1718     static const unsigned char kSafariExtensionsBlock[] = {
1719         0x00, 0x0a,             /* elliptic_curves extension */
1720         0x00, 0x08,             /* 8 bytes */
1721         0x00, 0x06,             /* 6 bytes of curve ids */
1722         0x00, 0x17,             /* P-256 */
1723         0x00, 0x18,             /* P-384 */
1724         0x00, 0x19,             /* P-521 */
1725
1726         0x00, 0x0b,             /* ec_point_formats */
1727         0x00, 0x02,             /* 2 bytes */
1728         0x01,                   /* 1 point format */
1729         0x00,                   /* uncompressed */
1730         /* The following is only present in TLS 1.2 */
1731         0x00, 0x0d,             /* signature_algorithms */
1732         0x00, 0x0c,             /* 12 bytes */
1733         0x00, 0x0a,             /* 10 bytes */
1734         0x05, 0x01,             /* SHA-384/RSA */
1735         0x04, 0x01,             /* SHA-256/RSA */
1736         0x02, 0x01,             /* SHA-1/RSA */
1737         0x04, 0x03,             /* SHA-256/ECDSA */
1738         0x02, 0x03,             /* SHA-1/ECDSA */
1739     };
1740
1741     /* Length of the common prefix (first two extensions). */
1742     static const size_t kSafariCommonExtensionsLength = 18;
1743
1744     tmppkt = *pkt;
1745
1746     if (!PACKET_forward(&tmppkt, 2)
1747         || !PACKET_get_net_2(&tmppkt, &type)
1748         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1749         return;
1750     }
1751
1752     if (type != TLSEXT_TYPE_server_name)
1753         return;
1754
1755     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1756         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1757
1758     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1759                                              ext_len);
1760 }
1761 #endif                          /* !OPENSSL_NO_EC */
1762
1763 /*
1764  * Parse ClientHello extensions and stash extension info in various parts of
1765  * the SSL object. Verify that there are no duplicate extensions.
1766  *
1767  * Behaviour upon resumption is extension-specific. If the extension has no
1768  * effect during resumption, it is parsed (to verify its format) but otherwise
1769  * ignored.
1770  *
1771  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1772  * Upon failure, sets |al| to the appropriate alert.
1773  */
1774 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1775 {
1776     unsigned int type;
1777     int renegotiate_seen = 0;
1778     PACKET extensions;
1779
1780     *al = SSL_AD_DECODE_ERROR;
1781     s->servername_done = 0;
1782     s->tlsext_status_type = -1;
1783 #ifndef OPENSSL_NO_NEXTPROTONEG
1784     s->s3->next_proto_neg_seen = 0;
1785 #endif
1786
1787     OPENSSL_free(s->s3->alpn_selected);
1788     s->s3->alpn_selected = NULL;
1789     s->s3->alpn_selected_len = 0;
1790     OPENSSL_free(s->s3->alpn_proposed);
1791     s->s3->alpn_proposed = NULL;
1792     s->s3->alpn_proposed_len = 0;
1793 #ifndef OPENSSL_NO_HEARTBEATS
1794     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1795                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1796 #endif
1797
1798 #ifndef OPENSSL_NO_EC
1799     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1800         ssl_check_for_safari(s, pkt);
1801 #endif                          /* !OPENSSL_NO_EC */
1802
1803     /* Clear any signature algorithms extension received */
1804     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1805     s->s3->tmp.peer_sigalgs = NULL;
1806     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1807
1808 #ifndef OPENSSL_NO_SRP
1809     OPENSSL_free(s->srp_ctx.login);
1810     s->srp_ctx.login = NULL;
1811 #endif
1812
1813     s->srtp_profile = NULL;
1814
1815     if (PACKET_remaining(pkt) == 0)
1816         goto ri_check;
1817
1818     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1819         return 0;
1820
1821     if (!tls1_check_duplicate_extensions(&extensions))
1822         return 0;
1823
1824     /*
1825      * We parse all extensions to ensure the ClientHello is well-formed but,
1826      * unless an extension specifies otherwise, we ignore extensions upon
1827      * resumption.
1828      */
1829     while (PACKET_get_net_2(&extensions, &type)) {
1830         PACKET extension;
1831         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1832             return 0;
1833
1834         if (s->tlsext_debug_cb)
1835             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1836                                PACKET_remaining(&extension),
1837                                s->tlsext_debug_arg);
1838
1839         if (type == TLSEXT_TYPE_renegotiate) {
1840             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1841                 return 0;
1842             renegotiate_seen = 1;
1843         } else if (s->version == SSL3_VERSION) {
1844         }
1845 /*-
1846  * The servername extension is treated as follows:
1847  *
1848  * - Only the hostname type is supported with a maximum length of 255.
1849  * - The servername is rejected if too long or if it contains zeros,
1850  *   in which case an fatal alert is generated.
1851  * - The servername field is maintained together with the session cache.
1852  * - When a session is resumed, the servername call back invoked in order
1853  *   to allow the application to position itself to the right context.
1854  * - The servername is acknowledged if it is new for a session or when
1855  *   it is identical to a previously used for the same session.
1856  *   Applications can control the behaviour.  They can at any time
1857  *   set a 'desirable' servername for a new SSL object. This can be the
1858  *   case for example with HTTPS when a Host: header field is received and
1859  *   a renegotiation is requested. In this case, a possible servername
1860  *   presented in the new client hello is only acknowledged if it matches
1861  *   the value of the Host: field.
1862  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1863  *   if they provide for changing an explicit servername context for the
1864  *   session, i.e. when the session has been established with a servername
1865  *   extension.
1866  * - On session reconnect, the servername extension may be absent.
1867  *
1868  */
1869
1870         else if (type == TLSEXT_TYPE_server_name) {
1871             unsigned int servname_type;
1872             PACKET sni, hostname;
1873
1874             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1875                 /* ServerNameList must be at least 1 byte long. */
1876                 || PACKET_remaining(&sni) == 0) {
1877                 return 0;
1878             }
1879
1880             /*
1881              * Although the server_name extension was intended to be
1882              * extensible to new name types, RFC 4366 defined the
1883              * syntax inextensibility and OpenSSL 1.0.x parses it as
1884              * such.
1885              * RFC 6066 corrected the mistake but adding new name types
1886              * is nevertheless no longer feasible, so act as if no other
1887              * SNI types can exist, to simplify parsing.
1888              *
1889              * Also note that the RFC permits only one SNI value per type,
1890              * i.e., we can only have a single hostname.
1891              */
1892             if (!PACKET_get_1(&sni, &servname_type)
1893                 || servname_type != TLSEXT_NAMETYPE_host_name
1894                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1895                 return 0;
1896             }
1897
1898             if (!s->hit) {
1899                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1900                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1901                     return 0;
1902                 }
1903
1904                 if (PACKET_contains_zero_byte(&hostname)) {
1905                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1906                     return 0;
1907                 }
1908
1909                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1910                     *al = TLS1_AD_INTERNAL_ERROR;
1911                     return 0;
1912                 }
1913
1914                 s->servername_done = 1;
1915             } else {
1916                 /*
1917                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1918                  * fall back to a full handshake.
1919                  */
1920                 s->servername_done = s->session->tlsext_hostname
1921                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1922                                     strlen(s->session->tlsext_hostname));
1923             }
1924         }
1925 #ifndef OPENSSL_NO_SRP
1926         else if (type == TLSEXT_TYPE_srp) {
1927             PACKET srp_I;
1928
1929             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1930                 return 0;
1931
1932             if (PACKET_contains_zero_byte(&srp_I))
1933                 return 0;
1934
1935             /*
1936              * TODO(openssl-team): currently, we re-authenticate the user
1937              * upon resumption. Instead, we MUST ignore the login.
1938              */
1939             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1940                 *al = TLS1_AD_INTERNAL_ERROR;
1941                 return 0;
1942             }
1943         }
1944 #endif
1945
1946 #ifndef OPENSSL_NO_EC
1947         else if (type == TLSEXT_TYPE_ec_point_formats) {
1948             PACKET ec_point_format_list;
1949
1950             if (!PACKET_as_length_prefixed_1(&extension, &ec_point_format_list)
1951                 || PACKET_remaining(&ec_point_format_list) == 0) {
1952                 return 0;
1953             }
1954
1955             if (!s->hit) {
1956                 if (!PACKET_memdup(&ec_point_format_list,
1957                                    &s->session->tlsext_ecpointformatlist,
1958                                    &s->
1959                                    session->tlsext_ecpointformatlist_length)) {
1960                     *al = TLS1_AD_INTERNAL_ERROR;
1961                     return 0;
1962                 }
1963             }
1964         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1965             PACKET elliptic_curve_list;
1966
1967             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1968             if (!PACKET_as_length_prefixed_2(&extension, &elliptic_curve_list)
1969                 || PACKET_remaining(&elliptic_curve_list) == 0
1970                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1971                 return 0;
1972             }
1973
1974             if (!s->hit) {
1975                 if (!PACKET_memdup(&elliptic_curve_list,
1976                                    &s->session->tlsext_ellipticcurvelist,
1977                                    &s->
1978                                    session->tlsext_ellipticcurvelist_length)) {
1979                     *al = TLS1_AD_INTERNAL_ERROR;
1980                     return 0;
1981                 }
1982             }
1983         }
1984 #endif                          /* OPENSSL_NO_EC */
1985         else if (type == TLSEXT_TYPE_session_ticket) {
1986             if (s->tls_session_ticket_ext_cb &&
1987                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
1988                                               PACKET_remaining(&extension),
1989                                               s->tls_session_ticket_ext_cb_arg))
1990             {
1991                 *al = TLS1_AD_INTERNAL_ERROR;
1992                 return 0;
1993             }
1994         } else if (type == TLSEXT_TYPE_signature_algorithms) {
1995             PACKET supported_sig_algs;
1996
1997             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
1998                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
1999                 || PACKET_remaining(&supported_sig_algs) == 0) {
2000                 return 0;
2001             }
2002
2003             if (!s->hit) {
2004                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2005                                        PACKET_remaining(&supported_sig_algs))) {
2006                     return 0;
2007                 }
2008             }
2009         } else if (type == TLSEXT_TYPE_status_request) {
2010             if (!PACKET_get_1(&extension,
2011                               (unsigned int *)&s->tlsext_status_type)) {
2012                 return 0;
2013             }
2014 #ifndef OPENSSL_NO_OCSP
2015             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2016                 const unsigned char *ext_data;
2017                 PACKET responder_id_list, exts;
2018                 if (!PACKET_get_length_prefixed_2
2019                     (&extension, &responder_id_list))
2020                     return 0;
2021
2022                 /*
2023                  * We remove any OCSP_RESPIDs from a previous handshake
2024                  * to prevent unbounded memory growth - CVE-2016-6304
2025                  */
2026                 sk_OCSP_RESPID_pop_free(s->tlsext_ocsp_ids,
2027                                         OCSP_RESPID_free);
2028                 if (PACKET_remaining(&responder_id_list) > 0) {
2029                     s->tlsext_ocsp_ids = sk_OCSP_RESPID_new_null();
2030                     if (s->tlsext_ocsp_ids == NULL) {
2031                         *al = SSL_AD_INTERNAL_ERROR;
2032                         return 0;
2033                     }
2034                 } else {
2035                     s->tlsext_ocsp_ids = NULL;
2036                 }
2037
2038                 while (PACKET_remaining(&responder_id_list) > 0) {
2039                     OCSP_RESPID *id;
2040                     PACKET responder_id;
2041                     const unsigned char *id_data;
2042
2043                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2044                                                       &responder_id)
2045                         || PACKET_remaining(&responder_id) == 0) {
2046                         return 0;
2047                     }
2048
2049                     id_data = PACKET_data(&responder_id);
2050                     id = d2i_OCSP_RESPID(NULL, &id_data,
2051                                          PACKET_remaining(&responder_id));
2052                     if (id == NULL)
2053                         return 0;
2054
2055                     if (id_data != PACKET_end(&responder_id)) {
2056                         OCSP_RESPID_free(id);
2057                         return 0;
2058                     }
2059
2060                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2061                         OCSP_RESPID_free(id);
2062                         *al = SSL_AD_INTERNAL_ERROR;
2063                         return 0;
2064                     }
2065                 }
2066
2067                 /* Read in request_extensions */
2068                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2069                     return 0;
2070
2071                 if (PACKET_remaining(&exts) > 0) {
2072                     ext_data = PACKET_data(&exts);
2073                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2074                                                X509_EXTENSION_free);
2075                     s->tlsext_ocsp_exts =
2076                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2077                                             PACKET_remaining(&exts));
2078                     if (s->tlsext_ocsp_exts == NULL
2079                         || ext_data != PACKET_end(&exts)) {
2080                         return 0;
2081                     }
2082                 }
2083             } else
2084 #endif
2085             {
2086                 /*
2087                  * We don't know what to do with any other type so ignore it.
2088                  */
2089                 s->tlsext_status_type = -1;
2090             }
2091         }
2092 #ifndef OPENSSL_NO_HEARTBEATS
2093         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2094             unsigned int hbtype;
2095
2096             if (!PACKET_get_1(&extension, &hbtype)
2097                 || PACKET_remaining(&extension)) {
2098                 *al = SSL_AD_DECODE_ERROR;
2099                 return 0;
2100             }
2101             switch (hbtype) {
2102             case 0x01:         /* Client allows us to send HB requests */
2103                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2104                 break;
2105             case 0x02:         /* Client doesn't accept HB requests */
2106                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2107                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2108                 break;
2109             default:
2110                 *al = SSL_AD_ILLEGAL_PARAMETER;
2111                 return 0;
2112             }
2113         }
2114 #endif
2115 #ifndef OPENSSL_NO_NEXTPROTONEG
2116         else if (type == TLSEXT_TYPE_next_proto_neg &&
2117                  s->s3->tmp.finish_md_len == 0) {
2118             /*-
2119              * We shouldn't accept this extension on a
2120              * renegotiation.
2121              *
2122              * s->new_session will be set on renegotiation, but we
2123              * probably shouldn't rely that it couldn't be set on
2124              * the initial renegotiation too in certain cases (when
2125              * there's some other reason to disallow resuming an
2126              * earlier session -- the current code won't be doing
2127              * anything like that, but this might change).
2128              *
2129              * A valid sign that there's been a previous handshake
2130              * in this connection is if s->s3->tmp.finish_md_len >
2131              * 0.  (We are talking about a check that will happen
2132              * in the Hello protocol round, well before a new
2133              * Finished message could have been computed.)
2134              */
2135             s->s3->next_proto_neg_seen = 1;
2136         }
2137 #endif
2138
2139         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2140                  s->s3->tmp.finish_md_len == 0) {
2141             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2142                 return 0;
2143         }
2144
2145         /* session ticket processed earlier */
2146 #ifndef OPENSSL_NO_SRTP
2147         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2148                  && type == TLSEXT_TYPE_use_srtp) {
2149             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2150                 return 0;
2151         }
2152 #endif
2153         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2154             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2155         /*
2156          * Note: extended master secret extension handled in
2157          * tls_check_serverhello_tlsext_early()
2158          */
2159
2160         /*
2161          * If this ClientHello extension was unhandled and this is a
2162          * nonresumed connection, check whether the extension is a custom
2163          * TLS Extension (has a custom_srv_ext_record), and if so call the
2164          * callback and record the extension number so that an appropriate
2165          * ServerHello may be later returned.
2166          */
2167         else if (!s->hit) {
2168             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2169                                  PACKET_remaining(&extension), al) <= 0)
2170                 return 0;
2171         }
2172     }
2173
2174     if (PACKET_remaining(pkt) != 0) {
2175         /*
2176          * tls1_check_duplicate_extensions should ensure this never happens.
2177          */
2178         *al = SSL_AD_INTERNAL_ERROR;
2179         return 0;
2180     }
2181
2182  ri_check:
2183
2184     /* Need RI if renegotiating */
2185
2186     if (!renegotiate_seen && s->renegotiate &&
2187         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2188         *al = SSL_AD_HANDSHAKE_FAILURE;
2189         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2190                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2191         return 0;
2192     }
2193
2194     /*
2195      * This function currently has no state to clean up, so it returns directly.
2196      * If parsing fails at any point, the function returns early.
2197      * The SSL object may be left with partial data from extensions, but it must
2198      * then no longer be used, and clearing it up will free the leftovers.
2199      */
2200     return 1;
2201 }
2202
2203 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2204 {
2205     int al = -1;
2206     custom_ext_init(&s->cert->srv_ext);
2207     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2208         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2209         return 0;
2210     }
2211     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2212         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2213         return 0;
2214     }
2215     return 1;
2216 }
2217
2218 #ifndef OPENSSL_NO_NEXTPROTONEG
2219 /*
2220  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2221  * elements of zero length are allowed and the set of elements must exactly
2222  * fill the length of the block.
2223  */
2224 static char ssl_next_proto_validate(PACKET *pkt)
2225 {
2226     PACKET tmp_protocol;
2227
2228     while (PACKET_remaining(pkt)) {
2229         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2230             || PACKET_remaining(&tmp_protocol) == 0)
2231             return 0;
2232     }
2233
2234     return 1;
2235 }
2236 #endif
2237
2238 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2239 {
2240     unsigned int length, type, size;
2241     int tlsext_servername = 0;
2242     int renegotiate_seen = 0;
2243
2244 #ifndef OPENSSL_NO_NEXTPROTONEG
2245     s->s3->next_proto_neg_seen = 0;
2246 #endif
2247     s->tlsext_ticket_expected = 0;
2248
2249     OPENSSL_free(s->s3->alpn_selected);
2250     s->s3->alpn_selected = NULL;
2251 #ifndef OPENSSL_NO_HEARTBEATS
2252     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2253                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2254 #endif
2255
2256     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2257
2258     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2259
2260     if (!PACKET_get_net_2(pkt, &length))
2261         goto ri_check;
2262
2263     if (PACKET_remaining(pkt) != length) {
2264         *al = SSL_AD_DECODE_ERROR;
2265         return 0;
2266     }
2267
2268     if (!tls1_check_duplicate_extensions(pkt)) {
2269         *al = SSL_AD_DECODE_ERROR;
2270         return 0;
2271     }
2272
2273     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2274         const unsigned char *data;
2275         PACKET spkt;
2276
2277         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2278             || !PACKET_peek_bytes(&spkt, &data, size))
2279             goto ri_check;
2280
2281         if (s->tlsext_debug_cb)
2282             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2283
2284         if (type == TLSEXT_TYPE_renegotiate) {
2285             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2286                 return 0;
2287             renegotiate_seen = 1;
2288         } else if (s->version == SSL3_VERSION) {
2289         } else if (type == TLSEXT_TYPE_server_name) {
2290             if (s->tlsext_hostname == NULL || size > 0) {
2291                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2292                 return 0;
2293             }
2294             tlsext_servername = 1;
2295         }
2296 #ifndef OPENSSL_NO_EC
2297         else if (type == TLSEXT_TYPE_ec_point_formats) {
2298             unsigned int ecpointformatlist_length;
2299             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2300                 || ecpointformatlist_length != size - 1) {
2301                 *al = TLS1_AD_DECODE_ERROR;
2302                 return 0;
2303             }
2304             if (!s->hit) {
2305                 s->session->tlsext_ecpointformatlist_length = 0;
2306                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2307                 if ((s->session->tlsext_ecpointformatlist =
2308                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2309                     *al = TLS1_AD_INTERNAL_ERROR;
2310                     return 0;
2311                 }
2312                 s->session->tlsext_ecpointformatlist_length =
2313                     ecpointformatlist_length;
2314                 if (!PACKET_copy_bytes(&spkt,
2315                                        s->session->tlsext_ecpointformatlist,
2316                                        ecpointformatlist_length)) {
2317                     *al = TLS1_AD_DECODE_ERROR;
2318                     return 0;
2319                 }
2320
2321             }
2322         }
2323 #endif                          /* OPENSSL_NO_EC */
2324
2325         else if (type == TLSEXT_TYPE_session_ticket) {
2326             if (s->tls_session_ticket_ext_cb &&
2327                 !s->tls_session_ticket_ext_cb(s, data, size,
2328                                               s->tls_session_ticket_ext_cb_arg))
2329             {
2330                 *al = TLS1_AD_INTERNAL_ERROR;
2331                 return 0;
2332             }
2333             if (!tls_use_ticket(s) || (size > 0)) {
2334                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2335                 return 0;
2336             }
2337             s->tlsext_ticket_expected = 1;
2338         } else if (type == TLSEXT_TYPE_status_request) {
2339             /*
2340              * MUST be empty and only sent if we've requested a status
2341              * request message.
2342              */
2343             if ((s->tlsext_status_type == -1) || (size > 0)) {
2344                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2345                 return 0;
2346             }
2347             /* Set flag to expect CertificateStatus message */
2348             s->tlsext_status_expected = 1;
2349         }
2350 #ifndef OPENSSL_NO_CT
2351         /*
2352          * Only take it if we asked for it - i.e if there is no CT validation
2353          * callback set, then a custom extension MAY be processing it, so we
2354          * need to let control continue to flow to that.
2355          */
2356         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2357                  s->ct_validation_callback != NULL) {
2358             /* Simply copy it off for later processing */
2359             if (s->tlsext_scts != NULL) {
2360                 OPENSSL_free(s->tlsext_scts);
2361                 s->tlsext_scts = NULL;
2362             }
2363             s->tlsext_scts_len = size;
2364             if (size > 0) {
2365                 s->tlsext_scts = OPENSSL_malloc(size);
2366                 if (s->tlsext_scts == NULL) {
2367                     *al = TLS1_AD_INTERNAL_ERROR;
2368                     return 0;
2369                 }
2370                 memcpy(s->tlsext_scts, data, size);
2371             }
2372         }
2373 #endif
2374 #ifndef OPENSSL_NO_NEXTPROTONEG
2375         else if (type == TLSEXT_TYPE_next_proto_neg &&
2376                  s->s3->tmp.finish_md_len == 0) {
2377             unsigned char *selected;
2378             unsigned char selected_len;
2379             /* We must have requested it. */
2380             if (s->ctx->next_proto_select_cb == NULL) {
2381                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2382                 return 0;
2383             }
2384             /* The data must be valid */
2385             if (!ssl_next_proto_validate(&spkt)) {
2386                 *al = TLS1_AD_DECODE_ERROR;
2387                 return 0;
2388             }
2389             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2390                                              size,
2391                                              s->
2392                                              ctx->next_proto_select_cb_arg) !=
2393                 SSL_TLSEXT_ERR_OK) {
2394                 *al = TLS1_AD_INTERNAL_ERROR;
2395                 return 0;
2396             }
2397             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2398             if (s->next_proto_negotiated == NULL) {
2399                 *al = TLS1_AD_INTERNAL_ERROR;
2400                 return 0;
2401             }
2402             memcpy(s->next_proto_negotiated, selected, selected_len);
2403             s->next_proto_negotiated_len = selected_len;
2404             s->s3->next_proto_neg_seen = 1;
2405         }
2406 #endif
2407
2408         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2409             unsigned len;
2410             /* We must have requested it. */
2411             if (!s->s3->alpn_sent) {
2412                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2413                 return 0;
2414             }
2415             /*-
2416              * The extension data consists of:
2417              *   uint16 list_length
2418              *   uint8 proto_length;
2419              *   uint8 proto[proto_length];
2420              */
2421             if (!PACKET_get_net_2(&spkt, &len)
2422                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2423                 || PACKET_remaining(&spkt) != len) {
2424                 *al = TLS1_AD_DECODE_ERROR;
2425                 return 0;
2426             }
2427             OPENSSL_free(s->s3->alpn_selected);
2428             s->s3->alpn_selected = OPENSSL_malloc(len);
2429             if (s->s3->alpn_selected == NULL) {
2430                 *al = TLS1_AD_INTERNAL_ERROR;
2431                 return 0;
2432             }
2433             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2434                 *al = TLS1_AD_DECODE_ERROR;
2435                 return 0;
2436             }
2437             s->s3->alpn_selected_len = len;
2438         }
2439 #ifndef OPENSSL_NO_HEARTBEATS
2440         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2441             unsigned int hbtype;
2442             if (!PACKET_get_1(&spkt, &hbtype)) {
2443                 *al = SSL_AD_DECODE_ERROR;
2444                 return 0;
2445             }
2446             switch (hbtype) {
2447             case 0x01:         /* Server allows us to send HB requests */
2448                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2449                 break;
2450             case 0x02:         /* Server doesn't accept HB requests */
2451                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2452                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2453                 break;
2454             default:
2455                 *al = SSL_AD_ILLEGAL_PARAMETER;
2456                 return 0;
2457             }
2458         }
2459 #endif
2460 #ifndef OPENSSL_NO_SRTP
2461         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2462             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2463                 return 0;
2464         }
2465 #endif
2466         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2467             /* Ignore if inappropriate ciphersuite */
2468             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2469                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2470                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2471         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2472             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2473             if (!s->hit)
2474                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2475         }
2476         /*
2477          * If this extension type was not otherwise handled, but matches a
2478          * custom_cli_ext_record, then send it to the c callback
2479          */
2480         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2481             return 0;
2482     }
2483
2484     if (PACKET_remaining(pkt) != 0) {
2485         *al = SSL_AD_DECODE_ERROR;
2486         return 0;
2487     }
2488
2489     if (!s->hit && tlsext_servername == 1) {
2490         if (s->tlsext_hostname) {
2491             if (s->session->tlsext_hostname == NULL) {
2492                 s->session->tlsext_hostname =
2493                     OPENSSL_strdup(s->tlsext_hostname);
2494                 if (!s->session->tlsext_hostname) {
2495                     *al = SSL_AD_UNRECOGNIZED_NAME;
2496                     return 0;
2497                 }
2498             } else {
2499                 *al = SSL_AD_DECODE_ERROR;
2500                 return 0;
2501             }
2502         }
2503     }
2504
2505  ri_check:
2506
2507     /*
2508      * Determine if we need to see RI. Strictly speaking if we want to avoid
2509      * an attack we should *always* see RI even on initial server hello
2510      * because the client doesn't see any renegotiation during an attack.
2511      * However this would mean we could not connect to any server which
2512      * doesn't support RI so for the immediate future tolerate RI absence
2513      */
2514     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2515         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2516         *al = SSL_AD_HANDSHAKE_FAILURE;
2517         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2518                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2519         return 0;
2520     }
2521
2522     if (s->hit) {
2523         /*
2524          * Check extended master secret extension is consistent with
2525          * original session.
2526          */
2527         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2528             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2529             *al = SSL_AD_HANDSHAKE_FAILURE;
2530             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2531             return 0;
2532         }
2533     }
2534
2535     return 1;
2536 }
2537
2538 int ssl_prepare_clienthello_tlsext(SSL *s)
2539 {
2540     s->s3->alpn_sent = 0;
2541     return 1;
2542 }
2543
2544 int ssl_prepare_serverhello_tlsext(SSL *s)
2545 {
2546     return 1;
2547 }
2548
2549 static int ssl_check_clienthello_tlsext_early(SSL *s)
2550 {
2551     int ret = SSL_TLSEXT_ERR_NOACK;
2552     int al = SSL_AD_UNRECOGNIZED_NAME;
2553
2554 #ifndef OPENSSL_NO_EC
2555     /*
2556      * The handling of the ECPointFormats extension is done elsewhere, namely
2557      * in ssl3_choose_cipher in s3_lib.c.
2558      */
2559     /*
2560      * The handling of the EllipticCurves extension is done elsewhere, namely
2561      * in ssl3_choose_cipher in s3_lib.c.
2562      */
2563 #endif
2564
2565     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2566         ret =
2567             s->ctx->tlsext_servername_callback(s, &al,
2568                                                s->ctx->tlsext_servername_arg);
2569     else if (s->initial_ctx != NULL
2570              && s->initial_ctx->tlsext_servername_callback != 0)
2571         ret =
2572             s->initial_ctx->tlsext_servername_callback(s, &al,
2573                                                        s->
2574                                                        initial_ctx->tlsext_servername_arg);
2575
2576     switch (ret) {
2577     case SSL_TLSEXT_ERR_ALERT_FATAL:
2578         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2579         return -1;
2580
2581     case SSL_TLSEXT_ERR_ALERT_WARNING:
2582         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2583         return 1;
2584
2585     case SSL_TLSEXT_ERR_NOACK:
2586         s->servername_done = 0;
2587     default:
2588         return 1;
2589     }
2590 }
2591
2592 /* Initialise digests to default values */
2593 void ssl_set_default_md(SSL *s)
2594 {
2595     const EVP_MD **pmd = s->s3->tmp.md;
2596 #ifndef OPENSSL_NO_DSA
2597     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2598 #endif
2599 #ifndef OPENSSL_NO_RSA
2600     if (SSL_USE_SIGALGS(s))
2601         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2602     else
2603         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2604     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2605 #endif
2606 #ifndef OPENSSL_NO_EC
2607     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2608 #endif
2609 #ifndef OPENSSL_NO_GOST
2610     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2611     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2612     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2613 #endif
2614 }
2615
2616 int tls1_set_server_sigalgs(SSL *s)
2617 {
2618     int al;
2619     size_t i;
2620
2621     /* Clear any shared signature algorithms */
2622     OPENSSL_free(s->cert->shared_sigalgs);
2623     s->cert->shared_sigalgs = NULL;
2624     s->cert->shared_sigalgslen = 0;
2625     /* Clear certificate digests and validity flags */
2626     for (i = 0; i < SSL_PKEY_NUM; i++) {
2627         s->s3->tmp.md[i] = NULL;
2628         s->s3->tmp.valid_flags[i] = 0;
2629     }
2630
2631     /* If sigalgs received process it. */
2632     if (s->s3->tmp.peer_sigalgs) {
2633         if (!tls1_process_sigalgs(s)) {
2634             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2635             al = SSL_AD_INTERNAL_ERROR;
2636             goto err;
2637         }
2638         /* Fatal error is no shared signature algorithms */
2639         if (!s->cert->shared_sigalgs) {
2640             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2641                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2642             al = SSL_AD_ILLEGAL_PARAMETER;
2643             goto err;
2644         }
2645     } else {
2646         ssl_set_default_md(s);
2647     }
2648     return 1;
2649  err:
2650     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2651     return 0;
2652 }
2653
2654 /*
2655  * Upon success, returns 1.
2656  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2657  */
2658 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2659 {
2660     s->tlsext_status_expected = 0;
2661
2662     /*
2663      * If status request then ask callback what to do. Note: this must be
2664      * called after servername callbacks in case the certificate has changed,
2665      * and must be called after the cipher has been chosen because this may
2666      * influence which certificate is sent
2667      */
2668     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2669         int ret;
2670         CERT_PKEY *certpkey;
2671         certpkey = ssl_get_server_send_pkey(s);
2672         /* If no certificate can't return certificate status */
2673         if (certpkey != NULL) {
2674             /*
2675              * Set current certificate to one we will use so SSL_get_certificate
2676              * et al can pick it up.
2677              */
2678             s->cert->key = certpkey;
2679             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2680             switch (ret) {
2681                 /* We don't want to send a status request response */
2682             case SSL_TLSEXT_ERR_NOACK:
2683                 s->tlsext_status_expected = 0;
2684                 break;
2685                 /* status request response should be sent */
2686             case SSL_TLSEXT_ERR_OK:
2687                 if (s->tlsext_ocsp_resp)
2688                     s->tlsext_status_expected = 1;
2689                 break;
2690                 /* something bad happened */
2691             case SSL_TLSEXT_ERR_ALERT_FATAL:
2692             default:
2693                 *al = SSL_AD_INTERNAL_ERROR;
2694                 return 0;
2695             }
2696         }
2697     }
2698
2699     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2700         return 0;
2701     }
2702
2703     return 1;
2704 }
2705
2706 int ssl_check_serverhello_tlsext(SSL *s)
2707 {
2708     int ret = SSL_TLSEXT_ERR_NOACK;
2709     int al = SSL_AD_UNRECOGNIZED_NAME;
2710
2711 #ifndef OPENSSL_NO_EC
2712     /*
2713      * If we are client and using an elliptic curve cryptography cipher
2714      * suite, then if server returns an EC point formats lists extension it
2715      * must contain uncompressed.
2716      */
2717     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2718     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2719     if ((s->tlsext_ecpointformatlist != NULL)
2720         && (s->tlsext_ecpointformatlist_length > 0)
2721         && (s->session->tlsext_ecpointformatlist != NULL)
2722         && (s->session->tlsext_ecpointformatlist_length > 0)
2723         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2724         /* we are using an ECC cipher */
2725         size_t i;
2726         unsigned char *list;
2727         int found_uncompressed = 0;
2728         list = s->session->tlsext_ecpointformatlist;
2729         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2730             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2731                 found_uncompressed = 1;
2732                 break;
2733             }
2734         }
2735         if (!found_uncompressed) {
2736             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2737                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2738             return -1;
2739         }
2740     }
2741     ret = SSL_TLSEXT_ERR_OK;
2742 #endif                          /* OPENSSL_NO_EC */
2743
2744     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2745         ret =
2746             s->ctx->tlsext_servername_callback(s, &al,
2747                                                s->ctx->tlsext_servername_arg);
2748     else if (s->initial_ctx != NULL
2749              && s->initial_ctx->tlsext_servername_callback != 0)
2750         ret =
2751             s->initial_ctx->tlsext_servername_callback(s, &al,
2752                                                        s->
2753                                                        initial_ctx->tlsext_servername_arg);
2754
2755     /*
2756      * Ensure we get sensible values passed to tlsext_status_cb in the event
2757      * that we don't receive a status message
2758      */
2759     OPENSSL_free(s->tlsext_ocsp_resp);
2760     s->tlsext_ocsp_resp = NULL;
2761     s->tlsext_ocsp_resplen = -1;
2762
2763     switch (ret) {
2764     case SSL_TLSEXT_ERR_ALERT_FATAL:
2765         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2766         return -1;
2767
2768     case SSL_TLSEXT_ERR_ALERT_WARNING:
2769         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2770         return 1;
2771
2772     case SSL_TLSEXT_ERR_NOACK:
2773         s->servername_done = 0;
2774     default:
2775         return 1;
2776     }
2777 }
2778
2779 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2780 {
2781     int al = -1;
2782     if (s->version < SSL3_VERSION)
2783         return 1;
2784     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2785         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2786         return 0;
2787     }
2788
2789     if (ssl_check_serverhello_tlsext(s) <= 0) {
2790         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2791         return 0;
2792     }
2793     return 1;
2794 }
2795
2796 /*-
2797  * Since the server cache lookup is done early on in the processing of the
2798  * ClientHello and other operations depend on the result some extensions
2799  * need to be handled at the same time.
2800  *
2801  * Two extensions are currently handled, session ticket and extended master
2802  * secret.
2803  *
2804  *   session_id: ClientHello session ID.
2805  *   ext: ClientHello extensions (including length prefix)
2806  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2807  *       point to the resulting session.
2808  *
2809  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2810  * ciphersuite, in which case we have no use for session tickets and one will
2811  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2812  *
2813  * Returns:
2814  *   -1: fatal error, either from parsing or decrypting the ticket.
2815  *    0: no ticket was found (or was ignored, based on settings).
2816  *    1: a zero length extension was found, indicating that the client supports
2817  *       session tickets but doesn't currently have one to offer.
2818  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2819  *       couldn't be decrypted because of a non-fatal error.
2820  *    3: a ticket was successfully decrypted and *ret was set.
2821  *
2822  * Side effects:
2823  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2824  *   a new session ticket to the client because the client indicated support
2825  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2826  *   a session ticket or we couldn't use the one it gave us, or if
2827  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2828  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2829  *
2830  *   For extended master secret flag is set if the extension is present.
2831  *
2832  */
2833 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2834                                        const PACKET *session_id,
2835                                        SSL_SESSION **ret)
2836 {
2837     unsigned int i;
2838     PACKET local_ext = *ext;
2839     int retv = -1;
2840
2841     int have_ticket = 0;
2842     int use_ticket = tls_use_ticket(s);
2843
2844     *ret = NULL;
2845     s->tlsext_ticket_expected = 0;
2846     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2847
2848     /*
2849      * If tickets disabled behave as if no ticket present to permit stateful
2850      * resumption.
2851      */
2852     if ((s->version <= SSL3_VERSION))
2853         return 0;
2854
2855     if (!PACKET_get_net_2(&local_ext, &i)) {
2856         retv = 0;
2857         goto end;
2858     }
2859     while (PACKET_remaining(&local_ext) >= 4) {
2860         unsigned int type, size;
2861
2862         if (!PACKET_get_net_2(&local_ext, &type)
2863             || !PACKET_get_net_2(&local_ext, &size)) {
2864             /* Shouldn't ever happen */
2865             retv = -1;
2866             goto end;
2867         }
2868         if (PACKET_remaining(&local_ext) < size) {
2869             retv = 0;
2870             goto end;
2871         }
2872         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2873             int r;
2874             const unsigned char *etick;
2875
2876             /* Duplicate extension */
2877             if (have_ticket != 0) {
2878                 retv = -1;
2879                 goto end;
2880             }
2881             have_ticket = 1;
2882
2883             if (size == 0) {
2884                 /*
2885                  * The client will accept a ticket but doesn't currently have
2886                  * one.
2887                  */
2888                 s->tlsext_ticket_expected = 1;
2889                 retv = 1;
2890                 continue;
2891             }
2892             if (s->tls_session_secret_cb) {
2893                 /*
2894                  * Indicate that the ticket couldn't be decrypted rather than
2895                  * generating the session from ticket now, trigger
2896                  * abbreviated handshake based on external mechanism to
2897                  * calculate the master secret later.
2898                  */
2899                 retv = 2;
2900                 continue;
2901             }
2902             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2903                 /* Shouldn't ever happen */
2904                 retv = -1;
2905                 goto end;
2906             }
2907             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2908                                    PACKET_remaining(session_id), ret);
2909             switch (r) {
2910             case 2:            /* ticket couldn't be decrypted */
2911                 s->tlsext_ticket_expected = 1;
2912                 retv = 2;
2913                 break;
2914             case 3:            /* ticket was decrypted */
2915                 retv = r;
2916                 break;
2917             case 4:            /* ticket decrypted but need to renew */
2918                 s->tlsext_ticket_expected = 1;
2919                 retv = 3;
2920                 break;
2921             default:           /* fatal error */
2922                 retv = -1;
2923                 break;
2924             }
2925             continue;
2926         } else {
2927             if (type == TLSEXT_TYPE_extended_master_secret)
2928                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2929             if (!PACKET_forward(&local_ext, size)) {
2930                 retv = -1;
2931                 goto end;
2932             }
2933         }
2934     }
2935     if (have_ticket == 0)
2936         retv = 0;
2937  end:
2938     return retv;
2939 }
2940
2941 /*-
2942  * tls_decrypt_ticket attempts to decrypt a session ticket.
2943  *
2944  *   etick: points to the body of the session ticket extension.
2945  *   eticklen: the length of the session tickets extension.
2946  *   sess_id: points at the session ID.
2947  *   sesslen: the length of the session ID.
2948  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2949  *       point to the resulting session.
2950  *
2951  * Returns:
2952  *   -2: fatal error, malloc failure.
2953  *   -1: fatal error, either from parsing or decrypting the ticket.
2954  *    2: the ticket couldn't be decrypted.
2955  *    3: a ticket was successfully decrypted and *psess was set.
2956  *    4: same as 3, but the ticket needs to be renewed.
2957  */
2958 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2959                               int eticklen, const unsigned char *sess_id,
2960                               int sesslen, SSL_SESSION **psess)
2961 {
2962     SSL_SESSION *sess;
2963     unsigned char *sdec;
2964     const unsigned char *p;
2965     int slen, mlen, renew_ticket = 0, ret = -1;
2966     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2967     HMAC_CTX *hctx = NULL;
2968     EVP_CIPHER_CTX *ctx;
2969     SSL_CTX *tctx = s->initial_ctx;
2970
2971     /* Initialize session ticket encryption and HMAC contexts */
2972     hctx = HMAC_CTX_new();
2973     if (hctx == NULL)
2974         return -2;
2975     ctx = EVP_CIPHER_CTX_new();
2976     if (ctx == NULL) {
2977         ret = -2;
2978         goto err;
2979     }
2980     if (tctx->tlsext_ticket_key_cb) {
2981         unsigned char *nctick = (unsigned char *)etick;
2982         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
2983                                             ctx, hctx, 0);
2984         if (rv < 0)
2985             goto err;
2986         if (rv == 0) {
2987             ret = 2;
2988             goto err;
2989         }
2990         if (rv == 2)
2991             renew_ticket = 1;
2992     } else {
2993         /* Check key name matches */
2994         if (memcmp(etick, tctx->tlsext_tick_key_name,
2995                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
2996             ret = 2;
2997             goto err;
2998         }
2999         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3000                          sizeof(tctx->tlsext_tick_hmac_key),
3001                          EVP_sha256(), NULL) <= 0
3002             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3003                                   tctx->tlsext_tick_aes_key,
3004                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
3005             0) {
3006             goto err;
3007         }
3008     }
3009     /*
3010      * Attempt to process session ticket, first conduct sanity and integrity
3011      * checks on ticket.
3012      */
3013     mlen = HMAC_size(hctx);
3014     if (mlen < 0) {
3015         goto err;
3016     }
3017     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3018     if (eticklen <=
3019         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3020         ret = 2;
3021         goto err;
3022     }
3023     eticklen -= mlen;
3024     /* Check HMAC of encrypted ticket */
3025     if (HMAC_Update(hctx, etick, eticklen) <= 0
3026         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3027         goto err;
3028     }
3029     HMAC_CTX_free(hctx);
3030     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3031         EVP_CIPHER_CTX_free(ctx);
3032         return 2;
3033     }
3034     /* Attempt to decrypt session data */
3035     /* Move p after IV to start of encrypted ticket, update length */
3036     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3037     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3038     sdec = OPENSSL_malloc(eticklen);
3039     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3040         EVP_CIPHER_CTX_free(ctx);
3041         OPENSSL_free(sdec);
3042         return -1;
3043     }
3044     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3045         EVP_CIPHER_CTX_free(ctx);
3046         OPENSSL_free(sdec);
3047         return 2;
3048     }
3049     slen += mlen;
3050     EVP_CIPHER_CTX_free(ctx);
3051     ctx = NULL;
3052     p = sdec;
3053
3054     sess = d2i_SSL_SESSION(NULL, &p, slen);
3055     OPENSSL_free(sdec);
3056     if (sess) {
3057         /*
3058          * The session ID, if non-empty, is used by some clients to detect
3059          * that the ticket has been accepted. So we copy it to the session
3060          * structure. If it is empty set length to zero as required by
3061          * standard.
3062          */
3063         if (sesslen)
3064             memcpy(sess->session_id, sess_id, sesslen);
3065         sess->session_id_length = sesslen;
3066         *psess = sess;
3067         if (renew_ticket)
3068             return 4;
3069         else
3070             return 3;
3071     }
3072     ERR_clear_error();
3073     /*
3074      * For session parse failure, indicate that we need to send a new ticket.
3075      */
3076     return 2;
3077  err:
3078     EVP_CIPHER_CTX_free(ctx);
3079     HMAC_CTX_free(hctx);
3080     return ret;
3081 }
3082
3083 /* Tables to translate from NIDs to TLS v1.2 ids */
3084
3085 typedef struct {
3086     int nid;
3087     int id;
3088 } tls12_lookup;
3089
3090 static const tls12_lookup tls12_md[] = {
3091     {NID_md5, TLSEXT_hash_md5},
3092     {NID_sha1, TLSEXT_hash_sha1},
3093     {NID_sha224, TLSEXT_hash_sha224},
3094     {NID_sha256, TLSEXT_hash_sha256},
3095     {NID_sha384, TLSEXT_hash_sha384},
3096     {NID_sha512, TLSEXT_hash_sha512},
3097     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3098     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3099     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3100 };
3101
3102 static const tls12_lookup tls12_sig[] = {
3103     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3104     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3105     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3106     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3107     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3108     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3109 };
3110
3111 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3112 {
3113     size_t i;
3114     for (i = 0; i < tlen; i++) {
3115         if (table[i].nid == nid)
3116             return table[i].id;
3117     }
3118     return -1;
3119 }
3120
3121 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3122 {
3123     size_t i;
3124     for (i = 0; i < tlen; i++) {
3125         if ((table[i].id) == id)
3126             return table[i].nid;
3127     }
3128     return NID_undef;
3129 }
3130
3131 int tls12_get_sigandhash(WPACKET *pkt, const EVP_PKEY *pk, const EVP_MD *md)
3132 {
3133     int sig_id, md_id;
3134
3135     if (md == NULL)
3136         return 0;
3137     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3138     if (md_id == -1)
3139         return 0;
3140     sig_id = tls12_get_sigid(pk);
3141     if (sig_id == -1)
3142         return 0;
3143     if (!WPACKET_put_bytes_u8(pkt, md_id) || !WPACKET_put_bytes_u8(pkt, sig_id))
3144         return 0;
3145
3146     return 1;
3147 }
3148
3149 /*
3150  * Old version of the tls12_get_sigandhash function used by code that has not
3151  * yet been converted to WPACKET yet. It will be deleted once WPACKET conversion
3152  * is complete.
3153  * TODO - DELETE ME
3154  */
3155 int tls12_get_sigandhash_old(unsigned char *p, const EVP_PKEY *pk,
3156                              const EVP_MD *md)
3157 {
3158     int sig_id, md_id;
3159     if (!md)
3160         return 0;
3161     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3162     if (md_id == -1)
3163         return 0;
3164     sig_id = tls12_get_sigid(pk);
3165     if (sig_id == -1)
3166         return 0;
3167     p[0] = (unsigned char)md_id;
3168     p[1] = (unsigned char)sig_id;
3169     return 1;
3170 }
3171
3172 int tls12_get_sigid(const EVP_PKEY *pk)
3173 {
3174     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3175 }
3176
3177 typedef struct {
3178     int nid;
3179     int secbits;
3180     int md_idx;
3181     unsigned char tlsext_hash;
3182 } tls12_hash_info;
3183
3184 static const tls12_hash_info tls12_md_info[] = {
3185     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3186     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3187     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3188     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3189     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3190     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3191     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3192     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3193      TLSEXT_hash_gostr34112012_256},
3194     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3195      TLSEXT_hash_gostr34112012_512},
3196 };
3197
3198 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3199 {
3200     unsigned int i;
3201     if (hash_alg == 0)
3202         return NULL;
3203
3204     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3205         if (tls12_md_info[i].tlsext_hash == hash_alg)
3206             return tls12_md_info + i;
3207     }
3208
3209     return NULL;
3210 }
3211
3212 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3213 {
3214     const tls12_hash_info *inf;
3215     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3216         return NULL;
3217     inf = tls12_get_hash_info(hash_alg);
3218     if (!inf)
3219         return NULL;
3220     return ssl_md(inf->md_idx);
3221 }
3222
3223 static int tls12_get_pkey_idx(unsigned char sig_alg)
3224 {
3225     switch (sig_alg) {
3226 #ifndef OPENSSL_NO_RSA
3227     case TLSEXT_signature_rsa:
3228         return SSL_PKEY_RSA_SIGN;
3229 #endif
3230 #ifndef OPENSSL_NO_DSA
3231     case TLSEXT_signature_dsa:
3232         return SSL_PKEY_DSA_SIGN;
3233 #endif
3234 #ifndef OPENSSL_NO_EC
3235     case TLSEXT_signature_ecdsa:
3236         return SSL_PKEY_ECC;
3237 #endif
3238 #ifndef OPENSSL_NO_GOST
3239     case TLSEXT_signature_gostr34102001:
3240         return SSL_PKEY_GOST01;
3241
3242     case TLSEXT_signature_gostr34102012_256:
3243         return SSL_PKEY_GOST12_256;
3244
3245     case TLSEXT_signature_gostr34102012_512:
3246         return SSL_PKEY_GOST12_512;
3247 #endif
3248     }
3249     return -1;
3250 }
3251
3252 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3253 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3254                                int *psignhash_nid, const unsigned char *data)
3255 {
3256     int sign_nid = NID_undef, hash_nid = NID_undef;
3257     if (!phash_nid && !psign_nid && !psignhash_nid)
3258         return;
3259     if (phash_nid || psignhash_nid) {
3260         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3261         if (phash_nid)
3262             *phash_nid = hash_nid;
3263     }
3264     if (psign_nid || psignhash_nid) {
3265         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3266         if (psign_nid)
3267             *psign_nid = sign_nid;
3268     }
3269     if (psignhash_nid) {
3270         if (sign_nid == NID_undef || hash_nid == NID_undef
3271             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3272             *psignhash_nid = NID_undef;
3273     }
3274 }
3275
3276 /* Check to see if a signature algorithm is allowed */
3277 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3278 {
3279     /* See if we have an entry in the hash table and it is enabled */
3280     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3281     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3282         return 0;
3283     /* See if public key algorithm allowed */
3284     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3285         return 0;
3286     /* Finally see if security callback allows it */
3287     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3288 }
3289
3290 /*
3291  * Get a mask of disabled public key algorithms based on supported signature
3292  * algorithms. For example if no signature algorithm supports RSA then RSA is
3293  * disabled.
3294  */
3295
3296 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3297 {
3298     const unsigned char *sigalgs;
3299     size_t i, sigalgslen;
3300     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3301     /*
3302      * Now go through all signature algorithms seeing if we support any for
3303      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3304      * down calls to security callback only check if we have to.
3305      */
3306     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3307     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3308         switch (sigalgs[1]) {
3309 #ifndef OPENSSL_NO_RSA
3310         case TLSEXT_signature_rsa:
3311             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3312                 have_rsa = 1;
3313             break;
3314 #endif
3315 #ifndef OPENSSL_NO_DSA
3316         case TLSEXT_signature_dsa:
3317             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3318                 have_dsa = 1;
3319             break;
3320 #endif
3321 #ifndef OPENSSL_NO_EC
3322         case TLSEXT_signature_ecdsa:
3323             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3324                 have_ecdsa = 1;
3325             break;
3326 #endif
3327         }
3328     }
3329     if (!have_rsa)
3330         *pmask_a |= SSL_aRSA;
3331     if (!have_dsa)
3332         *pmask_a |= SSL_aDSS;
3333     if (!have_ecdsa)
3334         *pmask_a |= SSL_aECDSA;
3335 }
3336
3337 /*
3338  * Old version of the tls12_copy_sigalgs function used by code that has not
3339  * yet been converted to WPACKET yet. It will be deleted once WPACKET conversion
3340  * is complete.
3341  * TODO - DELETE ME
3342  */
3343 size_t tls12_copy_sigalgs_old(SSL *s, unsigned char *out,
3344                           const unsigned char *psig, size_t psiglen)
3345 {
3346     unsigned char *tmpout = out;
3347     size_t i;
3348     for (i = 0; i < psiglen; i += 2, psig += 2) {
3349         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3350             *tmpout++ = psig[0];
3351             *tmpout++ = psig[1];
3352         }
3353     }
3354     return tmpout - out;
3355 }
3356
3357 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3358                        const unsigned char *psig, size_t psiglen)
3359 {
3360     size_t i;
3361
3362     for (i = 0; i < psiglen; i += 2, psig += 2) {
3363         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3364             if (!WPACKET_put_bytes_u8(pkt, psig[0])
3365                     || !WPACKET_put_bytes_u8(pkt, psig[1]))
3366                 return 0;
3367         }
3368     }
3369     return 1;
3370 }
3371
3372 /* Given preference and allowed sigalgs set shared sigalgs */
3373 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3374                                 const unsigned char *pref, size_t preflen,
3375                                 const unsigned char *allow, size_t allowlen)
3376 {
3377     const unsigned char *ptmp, *atmp;
3378     size_t i, j, nmatch = 0;
3379     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3380         /* Skip disabled hashes or signature algorithms */
3381         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3382             continue;
3383         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3384             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3385                 nmatch++;
3386                 if (shsig) {
3387                     shsig->rhash = ptmp[0];
3388                     shsig->rsign = ptmp[1];
3389                     tls1_lookup_sigalg(&shsig->hash_nid,
3390                                        &shsig->sign_nid,
3391                                        &shsig->signandhash_nid, ptmp);
3392                     shsig++;
3393                 }
3394                 break;
3395             }
3396         }
3397     }
3398     return nmatch;
3399 }
3400
3401 /* Set shared signature algorithms for SSL structures */
3402 static int tls1_set_shared_sigalgs(SSL *s)
3403 {
3404     const unsigned char *pref, *allow, *conf;
3405     size_t preflen, allowlen, conflen;
3406     size_t nmatch;
3407     TLS_SIGALGS *salgs = NULL;
3408     CERT *c = s->cert;
3409     unsigned int is_suiteb = tls1_suiteb(s);
3410
3411     OPENSSL_free(c->shared_sigalgs);
3412     c->shared_sigalgs = NULL;
3413     c->shared_sigalgslen = 0;
3414     /* If client use client signature algorithms if not NULL */
3415     if (!s->server && c->client_sigalgs && !is_suiteb) {
3416         conf = c->client_sigalgs;
3417         conflen = c->client_sigalgslen;
3418     } else if (c->conf_sigalgs && !is_suiteb) {
3419         conf = c->conf_sigalgs;
3420         conflen = c->conf_sigalgslen;
3421     } else
3422         conflen = tls12_get_psigalgs(s, &conf);
3423     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3424         pref = conf;
3425         preflen = conflen;
3426         allow = s->s3->tmp.peer_sigalgs;
3427         allowlen = s->s3->tmp.peer_sigalgslen;
3428     } else {
3429         allow = conf;
3430         allowlen = conflen;
3431         pref = s->s3->tmp.peer_sigalgs;
3432         preflen = s->s3->tmp.peer_sigalgslen;
3433     }
3434     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3435     if (nmatch) {
3436         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3437         if (salgs == NULL)
3438             return 0;
3439         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3440     } else {
3441         salgs = NULL;
3442     }
3443     c->shared_sigalgs = salgs;
3444     c->shared_sigalgslen = nmatch;
3445     return 1;
3446 }
3447
3448 /* Set preferred digest for each key type */
3449
3450 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3451 {
3452     CERT *c = s->cert;
3453     /* Extension ignored for inappropriate versions */
3454     if (!SSL_USE_SIGALGS(s))
3455         return 1;
3456     /* Should never happen */
3457     if (!c)
3458         return 0;
3459
3460     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3461     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3462     if (s->s3->tmp.peer_sigalgs == NULL)
3463         return 0;
3464     s->s3->tmp.peer_sigalgslen = dsize;
3465     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3466     return 1;
3467 }
3468
3469 int tls1_process_sigalgs(SSL *s)
3470 {
3471     int idx;
3472     size_t i;
3473     const EVP_MD *md;
3474     const EVP_MD **pmd = s->s3->tmp.md;
3475     uint32_t *pvalid = s->s3->tmp.valid_flags;
3476     CERT *c = s->cert;
3477     TLS_SIGALGS *sigptr;
3478     if (!tls1_set_shared_sigalgs(s))
3479         return 0;
3480
3481     for (i = 0, sigptr = c->shared_sigalgs;
3482          i < c->shared_sigalgslen; i++, sigptr++) {
3483         idx = tls12_get_pkey_idx(sigptr->rsign);
3484         if (idx > 0 && pmd[idx] == NULL) {
3485             md = tls12_get_hash(sigptr->rhash);
3486             pmd[idx] = md;
3487             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3488             if (idx == SSL_PKEY_RSA_SIGN) {
3489                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3490                 pmd[SSL_PKEY_RSA_ENC] = md;
3491             }
3492         }
3493
3494     }
3495     /*
3496      * In strict mode leave unset digests as NULL to indicate we can't use
3497      * the certificate for signing.
3498      */
3499     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3500         /*
3501          * Set any remaining keys to default values. NOTE: if alg is not
3502          * supported it stays as NULL.
3503          */
3504 #ifndef OPENSSL_NO_DSA
3505         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3506             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3507 #endif
3508 #ifndef OPENSSL_NO_RSA
3509         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3510             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3511             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3512         }
3513 #endif
3514 #ifndef OPENSSL_NO_EC
3515         if (pmd[SSL_PKEY_ECC] == NULL)
3516             pmd[SSL_PKEY_ECC] = EVP_sha1();
3517 #endif
3518 #ifndef OPENSSL_NO_GOST
3519         if (pmd[SSL_PKEY_GOST01] == NULL)
3520             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3521         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3522             pmd[SSL_PKEY_GOST12_256] =
3523                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3524         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3525             pmd[SSL_PKEY_GOST12_512] =
3526                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3527 #endif
3528     }
3529     return 1;
3530 }
3531
3532 int SSL_get_sigalgs(SSL *s, int idx,
3533                     int *psign, int *phash, int *psignhash,
3534                     unsigned char *rsig, unsigned char *rhash)
3535 {
3536     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3537     if (psig == NULL)
3538         return 0;
3539     if (idx >= 0) {
3540         idx <<= 1;
3541         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3542             return 0;
3543         psig += idx;
3544         if (rhash)
3545             *rhash = psig[0];
3546         if (rsig)
3547             *rsig = psig[1];
3548         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3549     }
3550     return s->s3->tmp.peer_sigalgslen / 2;
3551 }
3552
3553 int SSL_get_shared_sigalgs(SSL *s, int idx,
3554                            int *psign, int *phash, int *psignhash,
3555                            unsigned char *rsig, unsigned char *rhash)
3556 {
3557     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3558     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3559         return 0;
3560     shsigalgs += idx;
3561     if (phash)
3562         *phash = shsigalgs->hash_nid;
3563     if (psign)
3564         *psign = shsigalgs->sign_nid;
3565     if (psignhash)
3566         *psignhash = shsigalgs->signandhash_nid;
3567     if (rsig)
3568         *rsig = shsigalgs->rsign;
3569     if (rhash)
3570         *rhash = shsigalgs->rhash;
3571     return s->cert->shared_sigalgslen;
3572 }
3573
3574 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3575
3576 typedef struct {
3577     size_t sigalgcnt;
3578     int sigalgs[MAX_SIGALGLEN];
3579 } sig_cb_st;
3580
3581 static void get_sigorhash(int *psig, int *phash, const char *str)
3582 {
3583     if (strcmp(str, "RSA") == 0) {
3584         *psig = EVP_PKEY_RSA;
3585     } else if (strcmp(str, "DSA") == 0) {
3586         *psig = EVP_PKEY_DSA;
3587     } else if (strcmp(str, "ECDSA") == 0) {
3588         *psig = EVP_PKEY_EC;
3589     } else {
3590         *phash = OBJ_sn2nid(str);
3591         if (*phash == NID_undef)
3592             *phash = OBJ_ln2nid(str);
3593     }
3594 }
3595
3596 static int sig_cb(const char *elem, int len, void *arg)
3597 {
3598     sig_cb_st *sarg = arg;
3599     size_t i;
3600     char etmp[20], *p;
3601     int sig_alg = NID_undef, hash_alg = NID_undef;
3602     if (elem == NULL)
3603         return 0;
3604     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3605         return 0;
3606     if (len > (int)(sizeof(etmp) - 1))
3607         return 0;
3608     memcpy(etmp, elem, len);
3609     etmp[len] = 0;
3610     p = strchr(etmp, '+');
3611     if (!p)
3612         return 0;
3613     *p = 0;
3614     p++;
3615     if (!*p)
3616         return 0;
3617
3618     get_sigorhash(&sig_alg, &hash_alg, etmp);
3619     get_sigorhash(&sig_alg, &hash_alg, p);
3620
3621     if (sig_alg == NID_undef || hash_alg == NID_undef)
3622         return 0;
3623
3624     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3625         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3626             return 0;
3627     }
3628     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3629     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3630     return 1;
3631 }
3632
3633 /*
3634  * Set supported signature algorithms based on a colon separated list of the
3635  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3636  */
3637 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3638 {
3639     sig_cb_st sig;
3640     sig.sigalgcnt = 0;
3641     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3642         return 0;
3643     if (c == NULL)
3644         return 1;
3645     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3646 }
3647
3648 int tls1_set_sigalgs(CERT *c, const int *psig_nids, size_t salglen, int client)
3649 {
3650     unsigned char *sigalgs, *sptr;
3651     int rhash, rsign;
3652     size_t i;
3653     if (salglen & 1)
3654         return 0;
3655     sigalgs = OPENSSL_malloc(salglen);
3656     if (sigalgs == NULL)
3657         return 0;
3658     for (i = 0, sptr = sigalgs; i < salglen; i += 2) {
3659         rhash = tls12_find_id(*psig_nids++, tls12_md, OSSL_NELEM(tls12_md));
3660         rsign = tls12_find_id(*psig_nids++, tls12_sig, OSSL_NELEM(tls12_sig));
3661
3662         if (rhash == -1 || rsign == -1)
3663             goto err;
3664         *sptr++ = rhash;
3665         *sptr++ = rsign;
3666     }
3667
3668     if (client) {
3669         OPENSSL_free(c->client_sigalgs);
3670         c->client_sigalgs = sigalgs;
3671         c->client_sigalgslen = salglen;
3672     } else {
3673         OPENSSL_free(c->conf_sigalgs);
3674         c->conf_sigalgs = sigalgs;
3675         c->conf_sigalgslen = salglen;
3676     }
3677
3678     return 1;
3679
3680  err:
3681     OPENSSL_free(sigalgs);
3682     return 0;
3683 }
3684
3685 static int tls1_check_sig_alg(CERT *c, X509 *x, int default_nid)
3686 {
3687     int sig_nid;
3688     size_t i;
3689     if (default_nid == -1)
3690         return 1;
3691     sig_nid = X509_get_signature_nid(x);
3692     if (default_nid)
3693         return sig_nid == default_nid ? 1 : 0;
3694     for (i = 0; i < c->shared_sigalgslen; i++)