Remove tls12_copy_sigalgs_old()
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
24                               const unsigned char *sess_id, int sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS1_FINISH_MAC_LENGTH,
37     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
38     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
39     tls1_alert_code,
40     tls1_export_keying_material,
41     0,
42     SSL3_HM_HEADER_LENGTH,
43     ssl3_set_handshake_header,
44     ssl3_set_handshake_header2,
45     tls_close_construct_packet,
46     ssl3_handshake_write
47 };
48
49 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
50     tls1_enc,
51     tls1_mac,
52     tls1_setup_key_block,
53     tls1_generate_master_secret,
54     tls1_change_cipher_state,
55     tls1_final_finish_mac,
56     TLS1_FINISH_MAC_LENGTH,
57     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
58     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
59     tls1_alert_code,
60     tls1_export_keying_material,
61     SSL_ENC_FLAG_EXPLICIT_IV,
62     SSL3_HM_HEADER_LENGTH,
63     ssl3_set_handshake_header,
64     ssl3_set_handshake_header2,
65     tls_close_construct_packet,
66     ssl3_handshake_write
67 };
68
69 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
70     tls1_enc,
71     tls1_mac,
72     tls1_setup_key_block,
73     tls1_generate_master_secret,
74     tls1_change_cipher_state,
75     tls1_final_finish_mac,
76     TLS1_FINISH_MAC_LENGTH,
77     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
78     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
79     tls1_alert_code,
80     tls1_export_keying_material,
81     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
82         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
83     SSL3_HM_HEADER_LENGTH,
84     ssl3_set_handshake_header,
85     ssl3_set_handshake_header2,
86     tls_close_construct_packet,
87     ssl3_handshake_write
88 };
89
90 long tls1_default_timeout(void)
91 {
92     /*
93      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
94      * http, the cache would over fill
95      */
96     return (60 * 60 * 2);
97 }
98
99 int tls1_new(SSL *s)
100 {
101     if (!ssl3_new(s))
102         return (0);
103     s->method->ssl_clear(s);
104     return (1);
105 }
106
107 void tls1_free(SSL *s)
108 {
109     OPENSSL_free(s->tlsext_session_ticket);
110     ssl3_free(s);
111 }
112
113 void tls1_clear(SSL *s)
114 {
115     ssl3_clear(s);
116     if (s->method->version == TLS_ANY_VERSION)
117         s->version = TLS_MAX_VERSION;
118     else
119         s->version = s->method->version;
120 }
121
122 #ifndef OPENSSL_NO_EC
123
124 typedef struct {
125     int nid;                    /* Curve NID */
126     int secbits;                /* Bits of security (from SP800-57) */
127     unsigned int flags;         /* Flags: currently just field type */
128 } tls_curve_info;
129
130 /*
131  * Table of curve information.
132  * Do not delete entries or reorder this array! It is used as a lookup
133  * table: the index of each entry is one less than the TLS curve id.
134  */
135 static const tls_curve_info nid_list[] = {
136     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
137     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
138     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
139     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
140     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
141     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
142     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
143     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
144     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
145     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
146     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
147     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
148     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
149     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
150     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
151     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
152     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
153     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
154     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
155     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
156     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
157     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
158     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
159     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
160     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
161     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
162     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
163     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
164     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
165 };
166
167 static const unsigned char ecformats_default[] = {
168     TLSEXT_ECPOINTFORMAT_uncompressed,
169     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
170     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
171 };
172
173 /* The default curves */
174 static const unsigned char eccurves_default[] = {
175     0, 29,                      /* X25519 (29) */
176     0, 23,                      /* secp256r1 (23) */
177     0, 25,                      /* secp521r1 (25) */
178     0, 24,                      /* secp384r1 (24) */
179 };
180
181 static const unsigned char eccurves_all[] = {
182     0, 29,                      /* X25519 (29) */
183     0, 23,                      /* secp256r1 (23) */
184     0, 25,                      /* secp521r1 (25) */
185     0, 24,                      /* secp384r1 (24) */
186     0, 26,                      /* brainpoolP256r1 (26) */
187     0, 27,                      /* brainpoolP384r1 (27) */
188     0, 28,                      /* brainpool512r1 (28) */
189
190     /*
191      * Remaining curves disabled by default but still permitted if set
192      * via an explicit callback or parameters.
193      */
194     0, 22,                      /* secp256k1 (22) */
195     0, 14,                      /* sect571r1 (14) */
196     0, 13,                      /* sect571k1 (13) */
197     0, 11,                      /* sect409k1 (11) */
198     0, 12,                      /* sect409r1 (12) */
199     0, 9,                       /* sect283k1 (9) */
200     0, 10,                      /* sect283r1 (10) */
201     0, 20,                      /* secp224k1 (20) */
202     0, 21,                      /* secp224r1 (21) */
203     0, 18,                      /* secp192k1 (18) */
204     0, 19,                      /* secp192r1 (19) */
205     0, 15,                      /* secp160k1 (15) */
206     0, 16,                      /* secp160r1 (16) */
207     0, 17,                      /* secp160r2 (17) */
208     0, 8,                       /* sect239k1 (8) */
209     0, 6,                       /* sect233k1 (6) */
210     0, 7,                       /* sect233r1 (7) */
211     0, 4,                       /* sect193r1 (4) */
212     0, 5,                       /* sect193r2 (5) */
213     0, 1,                       /* sect163k1 (1) */
214     0, 2,                       /* sect163r1 (2) */
215     0, 3,                       /* sect163r2 (3) */
216 };
217
218 static const unsigned char suiteb_curves[] = {
219     0, TLSEXT_curve_P_256,
220     0, TLSEXT_curve_P_384
221 };
222
223 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
224 {
225     const tls_curve_info *cinfo;
226     /* ECC curves from RFC 4492 and RFC 7027 */
227     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
228         return 0;
229     cinfo = nid_list + curve_id - 1;
230     if (pflags)
231         *pflags = cinfo->flags;
232     return cinfo->nid;
233 }
234
235 int tls1_ec_nid2curve_id(int nid)
236 {
237     size_t i;
238     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
239         if (nid_list[i].nid == nid)
240             return i + 1;
241     }
242     return 0;
243 }
244
245 /*
246  * Get curves list, if "sess" is set return client curves otherwise
247  * preferred list.
248  * Sets |num_curves| to the number of curves in the list, i.e.,
249  * the length of |pcurves| is 2 * num_curves.
250  * Returns 1 on success and 0 if the client curves list has invalid format.
251  * The latter indicates an internal error: we should not be accepting such
252  * lists in the first place.
253  * TODO(emilia): we should really be storing the curves list in explicitly
254  * parsed form instead. (However, this would affect binary compatibility
255  * so cannot happen in the 1.0.x series.)
256  */
257 static int tls1_get_curvelist(SSL *s, int sess,
258                               const unsigned char **pcurves, size_t *num_curves)
259 {
260     size_t pcurveslen = 0;
261     if (sess) {
262         *pcurves = s->session->tlsext_ellipticcurvelist;
263         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
264     } else {
265         /* For Suite B mode only include P-256, P-384 */
266         switch (tls1_suiteb(s)) {
267         case SSL_CERT_FLAG_SUITEB_128_LOS:
268             *pcurves = suiteb_curves;
269             pcurveslen = sizeof(suiteb_curves);
270             break;
271
272         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
273             *pcurves = suiteb_curves;
274             pcurveslen = 2;
275             break;
276
277         case SSL_CERT_FLAG_SUITEB_192_LOS:
278             *pcurves = suiteb_curves + 2;
279             pcurveslen = 2;
280             break;
281         default:
282             *pcurves = s->tlsext_ellipticcurvelist;
283             pcurveslen = s->tlsext_ellipticcurvelist_length;
284         }
285         if (!*pcurves) {
286             *pcurves = eccurves_default;
287             pcurveslen = sizeof(eccurves_default);
288         }
289     }
290
291     /* We do not allow odd length arrays to enter the system. */
292     if (pcurveslen & 1) {
293         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
294         *num_curves = 0;
295         return 0;
296     } else {
297         *num_curves = pcurveslen / 2;
298         return 1;
299     }
300 }
301
302 /* See if curve is allowed by security callback */
303 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
304 {
305     const tls_curve_info *cinfo;
306     if (curve[0])
307         return 1;
308     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
309         return 0;
310     cinfo = &nid_list[curve[1] - 1];
311 # ifdef OPENSSL_NO_EC2M
312     if (cinfo->flags & TLS_CURVE_CHAR2)
313         return 0;
314 # endif
315     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
316 }
317
318 /* Check a curve is one of our preferences */
319 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
320 {
321     const unsigned char *curves;
322     size_t num_curves, i;
323     unsigned int suiteb_flags = tls1_suiteb(s);
324     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
325         return 0;
326     /* Check curve matches Suite B preferences */
327     if (suiteb_flags) {
328         unsigned long cid = s->s3->tmp.new_cipher->id;
329         if (p[1])
330             return 0;
331         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
332             if (p[2] != TLSEXT_curve_P_256)
333                 return 0;
334         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
335             if (p[2] != TLSEXT_curve_P_384)
336                 return 0;
337         } else                  /* Should never happen */
338             return 0;
339     }
340     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
341         return 0;
342     for (i = 0; i < num_curves; i++, curves += 2) {
343         if (p[1] == curves[0] && p[2] == curves[1])
344             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
345     }
346     return 0;
347 }
348
349 /*-
350  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
351  * if there is no match.
352  * For nmatch == -1, return number of matches
353  * For nmatch == -2, return the NID of the curve to use for
354  * an EC tmp key, or NID_undef if there is no match.
355  */
356 int tls1_shared_curve(SSL *s, int nmatch)
357 {
358     const unsigned char *pref, *supp;
359     size_t num_pref, num_supp, i, j;
360     int k;
361     /* Can't do anything on client side */
362     if (s->server == 0)
363         return -1;
364     if (nmatch == -2) {
365         if (tls1_suiteb(s)) {
366             /*
367              * For Suite B ciphersuite determines curve: we already know
368              * these are acceptable due to previous checks.
369              */
370             unsigned long cid = s->s3->tmp.new_cipher->id;
371             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
372                 return NID_X9_62_prime256v1; /* P-256 */
373             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
374                 return NID_secp384r1; /* P-384 */
375             /* Should never happen */
376             return NID_undef;
377         }
378         /* If not Suite B just return first preference shared curve */
379         nmatch = 0;
380     }
381     /*
382      * Avoid truncation. tls1_get_curvelist takes an int
383      * but s->options is a long...
384      */
385     if (!tls1_get_curvelist
386         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
387          &num_supp))
388         /* In practice, NID_undef == 0 but let's be precise. */
389         return nmatch == -1 ? 0 : NID_undef;
390     if (!tls1_get_curvelist
391         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
392         return nmatch == -1 ? 0 : NID_undef;
393
394     /*
395      * If the client didn't send the elliptic_curves extension all of them
396      * are allowed.
397      */
398     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
399         supp = eccurves_all;
400         num_supp = sizeof(eccurves_all) / 2;
401     } else if (num_pref == 0 &&
402                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
403         pref = eccurves_all;
404         num_pref = sizeof(eccurves_all) / 2;
405     }
406
407     k = 0;
408     for (i = 0; i < num_pref; i++, pref += 2) {
409         const unsigned char *tsupp = supp;
410         for (j = 0; j < num_supp; j++, tsupp += 2) {
411             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
412                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
413                     continue;
414                 if (nmatch == k) {
415                     int id = (pref[0] << 8) | pref[1];
416                     return tls1_ec_curve_id2nid(id, NULL);
417                 }
418                 k++;
419             }
420         }
421     }
422     if (nmatch == -1)
423         return k;
424     /* Out of range (nmatch > k). */
425     return NID_undef;
426 }
427
428 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
429                     int *curves, size_t ncurves)
430 {
431     unsigned char *clist, *p;
432     size_t i;
433     /*
434      * Bitmap of curves included to detect duplicates: only works while curve
435      * ids < 32
436      */
437     unsigned long dup_list = 0;
438     clist = OPENSSL_malloc(ncurves * 2);
439     if (clist == NULL)
440         return 0;
441     for (i = 0, p = clist; i < ncurves; i++) {
442         unsigned long idmask;
443         int id;
444         id = tls1_ec_nid2curve_id(curves[i]);
445         idmask = 1L << id;
446         if (!id || (dup_list & idmask)) {
447             OPENSSL_free(clist);
448             return 0;
449         }
450         dup_list |= idmask;
451         s2n(id, p);
452     }
453     OPENSSL_free(*pext);
454     *pext = clist;
455     *pextlen = ncurves * 2;
456     return 1;
457 }
458
459 # define MAX_CURVELIST   28
460
461 typedef struct {
462     size_t nidcnt;
463     int nid_arr[MAX_CURVELIST];
464 } nid_cb_st;
465
466 static int nid_cb(const char *elem, int len, void *arg)
467 {
468     nid_cb_st *narg = arg;
469     size_t i;
470     int nid;
471     char etmp[20];
472     if (elem == NULL)
473         return 0;
474     if (narg->nidcnt == MAX_CURVELIST)
475         return 0;
476     if (len > (int)(sizeof(etmp) - 1))
477         return 0;
478     memcpy(etmp, elem, len);
479     etmp[len] = 0;
480     nid = EC_curve_nist2nid(etmp);
481     if (nid == NID_undef)
482         nid = OBJ_sn2nid(etmp);
483     if (nid == NID_undef)
484         nid = OBJ_ln2nid(etmp);
485     if (nid == NID_undef)
486         return 0;
487     for (i = 0; i < narg->nidcnt; i++)
488         if (narg->nid_arr[i] == nid)
489             return 0;
490     narg->nid_arr[narg->nidcnt++] = nid;
491     return 1;
492 }
493
494 /* Set curves based on a colon separate list */
495 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
496 {
497     nid_cb_st ncb;
498     ncb.nidcnt = 0;
499     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
500         return 0;
501     if (pext == NULL)
502         return 1;
503     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
504 }
505
506 /* For an EC key set TLS id and required compression based on parameters */
507 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
508                           EC_KEY *ec)
509 {
510     int id;
511     const EC_GROUP *grp;
512     if (!ec)
513         return 0;
514     /* Determine if it is a prime field */
515     grp = EC_KEY_get0_group(ec);
516     if (!grp)
517         return 0;
518     /* Determine curve ID */
519     id = EC_GROUP_get_curve_name(grp);
520     id = tls1_ec_nid2curve_id(id);
521     /* If no id return error: we don't support arbitrary explicit curves */
522     if (id == 0)
523         return 0;
524     curve_id[0] = 0;
525     curve_id[1] = (unsigned char)id;
526     if (comp_id) {
527         if (EC_KEY_get0_public_key(ec) == NULL)
528             return 0;
529         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
530             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
531         } else {
532             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
533                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
534             else
535                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
536         }
537     }
538     return 1;
539 }
540
541 /* Check an EC key is compatible with extensions */
542 static int tls1_check_ec_key(SSL *s,
543                              unsigned char *curve_id, unsigned char *comp_id)
544 {
545     const unsigned char *pformats, *pcurves;
546     size_t num_formats, num_curves, i;
547     int j;
548     /*
549      * If point formats extension present check it, otherwise everything is
550      * supported (see RFC4492).
551      */
552     if (comp_id && s->session->tlsext_ecpointformatlist) {
553         pformats = s->session->tlsext_ecpointformatlist;
554         num_formats = s->session->tlsext_ecpointformatlist_length;
555         for (i = 0; i < num_formats; i++, pformats++) {
556             if (*comp_id == *pformats)
557                 break;
558         }
559         if (i == num_formats)
560             return 0;
561     }
562     if (!curve_id)
563         return 1;
564     /* Check curve is consistent with client and server preferences */
565     for (j = 0; j <= 1; j++) {
566         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
567             return 0;
568         if (j == 1 && num_curves == 0) {
569             /*
570              * If we've not received any curves then skip this check.
571              * RFC 4492 does not require the supported elliptic curves extension
572              * so if it is not sent we can just choose any curve.
573              * It is invalid to send an empty list in the elliptic curves
574              * extension, so num_curves == 0 always means no extension.
575              */
576             break;
577         }
578         for (i = 0; i < num_curves; i++, pcurves += 2) {
579             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
580                 break;
581         }
582         if (i == num_curves)
583             return 0;
584         /* For clients can only check sent curve list */
585         if (!s->server)
586             break;
587     }
588     return 1;
589 }
590
591 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
592                                 size_t *num_formats)
593 {
594     /*
595      * If we have a custom point format list use it otherwise use default
596      */
597     if (s->tlsext_ecpointformatlist) {
598         *pformats = s->tlsext_ecpointformatlist;
599         *num_formats = s->tlsext_ecpointformatlist_length;
600     } else {
601         *pformats = ecformats_default;
602         /* For Suite B we don't support char2 fields */
603         if (tls1_suiteb(s))
604             *num_formats = sizeof(ecformats_default) - 1;
605         else
606             *num_formats = sizeof(ecformats_default);
607     }
608 }
609
610 /*
611  * Check cert parameters compatible with extensions: currently just checks EC
612  * certificates have compatible curves and compression.
613  */
614 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
615 {
616     unsigned char comp_id, curve_id[2];
617     EVP_PKEY *pkey;
618     int rv;
619     pkey = X509_get0_pubkey(x);
620     if (!pkey)
621         return 0;
622     /* If not EC nothing to do */
623     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
624         return 1;
625     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
626     if (!rv)
627         return 0;
628     /*
629      * Can't check curve_id for client certs as we don't have a supported
630      * curves extension.
631      */
632     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
633     if (!rv)
634         return 0;
635     /*
636      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
637      * SHA384+P-384, adjust digest if necessary.
638      */
639     if (set_ee_md && tls1_suiteb(s)) {
640         int check_md;
641         size_t i;
642         CERT *c = s->cert;
643         if (curve_id[0])
644             return 0;
645         /* Check to see we have necessary signing algorithm */
646         if (curve_id[1] == TLSEXT_curve_P_256)
647             check_md = NID_ecdsa_with_SHA256;
648         else if (curve_id[1] == TLSEXT_curve_P_384)
649             check_md = NID_ecdsa_with_SHA384;
650         else
651             return 0;           /* Should never happen */
652         for (i = 0; i < c->shared_sigalgslen; i++)
653             if (check_md == c->shared_sigalgs[i].signandhash_nid)
654                 break;
655         if (i == c->shared_sigalgslen)
656             return 0;
657         if (set_ee_md == 2) {
658             if (check_md == NID_ecdsa_with_SHA256)
659                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
660             else
661                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
662         }
663     }
664     return rv;
665 }
666
667 # ifndef OPENSSL_NO_EC
668 /*
669  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
670  * @s: SSL connection
671  * @cid: Cipher ID we're considering using
672  *
673  * Checks that the kECDHE cipher suite we're considering using
674  * is compatible with the client extensions.
675  *
676  * Returns 0 when the cipher can't be used or 1 when it can.
677  */
678 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
679 {
680     /*
681      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
682      * curves permitted.
683      */
684     if (tls1_suiteb(s)) {
685         unsigned char curve_id[2];
686         /* Curve to check determined by ciphersuite */
687         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
688             curve_id[1] = TLSEXT_curve_P_256;
689         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
690             curve_id[1] = TLSEXT_curve_P_384;
691         else
692             return 0;
693         curve_id[0] = 0;
694         /* Check this curve is acceptable */
695         if (!tls1_check_ec_key(s, curve_id, NULL))
696             return 0;
697         return 1;
698     }
699     /* Need a shared curve */
700     if (tls1_shared_curve(s, 0))
701         return 1;
702     return 0;
703 }
704 # endif                         /* OPENSSL_NO_EC */
705
706 #else
707
708 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
709 {
710     return 1;
711 }
712
713 #endif                          /* OPENSSL_NO_EC */
714
715 /*
716  * List of supported signature algorithms and hashes. Should make this
717  * customisable at some point, for now include everything we support.
718  */
719
720 #ifdef OPENSSL_NO_RSA
721 # define tlsext_sigalg_rsa(md)  /* */
722 #else
723 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
724 #endif
725
726 #ifdef OPENSSL_NO_DSA
727 # define tlsext_sigalg_dsa(md)  /* */
728 #else
729 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
730 #endif
731
732 #ifdef OPENSSL_NO_EC
733 # define tlsext_sigalg_ecdsa(md)/* */
734 #else
735 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
736 #endif
737
738 #define tlsext_sigalg(md) \
739                 tlsext_sigalg_rsa(md) \
740                 tlsext_sigalg_dsa(md) \
741                 tlsext_sigalg_ecdsa(md)
742
743 static const unsigned char tls12_sigalgs[] = {
744     tlsext_sigalg(TLSEXT_hash_sha512)
745         tlsext_sigalg(TLSEXT_hash_sha384)
746         tlsext_sigalg(TLSEXT_hash_sha256)
747         tlsext_sigalg(TLSEXT_hash_sha224)
748         tlsext_sigalg(TLSEXT_hash_sha1)
749 #ifndef OPENSSL_NO_GOST
750         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
751     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
752     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
753 #endif
754 };
755
756 #ifndef OPENSSL_NO_EC
757 static const unsigned char suiteb_sigalgs[] = {
758     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
759         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
760 };
761 #endif
762 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
763 {
764     /*
765      * If Suite B mode use Suite B sigalgs only, ignore any other
766      * preferences.
767      */
768 #ifndef OPENSSL_NO_EC
769     switch (tls1_suiteb(s)) {
770     case SSL_CERT_FLAG_SUITEB_128_LOS:
771         *psigs = suiteb_sigalgs;
772         return sizeof(suiteb_sigalgs);
773
774     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
775         *psigs = suiteb_sigalgs;
776         return 2;
777
778     case SSL_CERT_FLAG_SUITEB_192_LOS:
779         *psigs = suiteb_sigalgs + 2;
780         return 2;
781     }
782 #endif
783     /* If server use client authentication sigalgs if not NULL */
784     if (s->server && s->cert->client_sigalgs) {
785         *psigs = s->cert->client_sigalgs;
786         return s->cert->client_sigalgslen;
787     } else if (s->cert->conf_sigalgs) {
788         *psigs = s->cert->conf_sigalgs;
789         return s->cert->conf_sigalgslen;
790     } else {
791         *psigs = tls12_sigalgs;
792         return sizeof(tls12_sigalgs);
793     }
794 }
795
796 /*
797  * Check signature algorithm is consistent with sent supported signature
798  * algorithms and if so return relevant digest.
799  */
800 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
801                             const unsigned char *sig, EVP_PKEY *pkey)
802 {
803     const unsigned char *sent_sigs;
804     size_t sent_sigslen, i;
805     int sigalg = tls12_get_sigid(pkey);
806     /* Should never happen */
807     if (sigalg == -1)
808         return -1;
809     /* Check key type is consistent with signature */
810     if (sigalg != (int)sig[1]) {
811         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
812         return 0;
813     }
814 #ifndef OPENSSL_NO_EC
815     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
816         unsigned char curve_id[2], comp_id;
817         /* Check compression and curve matches extensions */
818         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
819             return 0;
820         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
821             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
822             return 0;
823         }
824         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
825         if (tls1_suiteb(s)) {
826             if (curve_id[0])
827                 return 0;
828             if (curve_id[1] == TLSEXT_curve_P_256) {
829                 if (sig[0] != TLSEXT_hash_sha256) {
830                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
831                            SSL_R_ILLEGAL_SUITEB_DIGEST);
832                     return 0;
833                 }
834             } else if (curve_id[1] == TLSEXT_curve_P_384) {
835                 if (sig[0] != TLSEXT_hash_sha384) {
836                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
837                            SSL_R_ILLEGAL_SUITEB_DIGEST);
838                     return 0;
839                 }
840             } else
841                 return 0;
842         }
843     } else if (tls1_suiteb(s))
844         return 0;
845 #endif
846
847     /* Check signature matches a type we sent */
848     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
849     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
850         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
851             break;
852     }
853     /* Allow fallback to SHA1 if not strict mode */
854     if (i == sent_sigslen
855         && (sig[0] != TLSEXT_hash_sha1
856             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
857         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
858         return 0;
859     }
860     *pmd = tls12_get_hash(sig[0]);
861     if (*pmd == NULL) {
862         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
863         return 0;
864     }
865     /* Make sure security callback allows algorithm */
866     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
867                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
868         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
869         return 0;
870     }
871     /*
872      * Store the digest used so applications can retrieve it if they wish.
873      */
874     s->s3->tmp.peer_md = *pmd;
875     return 1;
876 }
877
878 /*
879  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
880  * supported, doesn't appear in supported signature algorithms, isn't supported
881  * by the enabled protocol versions or by the security level.
882  *
883  * This function should only be used for checking which ciphers are supported
884  * by the client.
885  *
886  * Call ssl_cipher_disabled() to check that it's enabled or not.
887  */
888 void ssl_set_client_disabled(SSL *s)
889 {
890     s->s3->tmp.mask_a = 0;
891     s->s3->tmp.mask_k = 0;
892     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
893     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
894 #ifndef OPENSSL_NO_PSK
895     /* with PSK there must be client callback set */
896     if (!s->psk_client_callback) {
897         s->s3->tmp.mask_a |= SSL_aPSK;
898         s->s3->tmp.mask_k |= SSL_PSK;
899     }
900 #endif                          /* OPENSSL_NO_PSK */
901 #ifndef OPENSSL_NO_SRP
902     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
903         s->s3->tmp.mask_a |= SSL_aSRP;
904         s->s3->tmp.mask_k |= SSL_kSRP;
905     }
906 #endif
907 }
908
909 /*
910  * ssl_cipher_disabled - check that a cipher is disabled or not
911  * @s: SSL connection that you want to use the cipher on
912  * @c: cipher to check
913  * @op: Security check that you want to do
914  *
915  * Returns 1 when it's disabled, 0 when enabled.
916  */
917 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
918 {
919     if (c->algorithm_mkey & s->s3->tmp.mask_k
920         || c->algorithm_auth & s->s3->tmp.mask_a)
921         return 1;
922     if (s->s3->tmp.max_ver == 0)
923         return 1;
924     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
925                             || (c->max_tls < s->s3->tmp.min_ver)))
926         return 1;
927     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
928                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
929         return 1;
930
931     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
932 }
933
934 static int tls_use_ticket(SSL *s)
935 {
936     if (s->options & SSL_OP_NO_TICKET)
937         return 0;
938     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
939 }
940
941 static int compare_uint(const void *p1, const void *p2)
942 {
943     unsigned int u1 = *((const unsigned int *)p1);
944     unsigned int u2 = *((const unsigned int *)p2);
945     if (u1 < u2)
946         return -1;
947     else if (u1 > u2)
948         return 1;
949     else
950         return 0;
951 }
952
953 /*
954  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
955  * more than one extension of the same type in a ClientHello or ServerHello.
956  * This function does an initial scan over the extensions block to filter those
957  * out. It returns 1 if all extensions are unique, and 0 if the extensions
958  * contain duplicates, could not be successfully parsed, or an internal error
959  * occurred.
960  */
961 static int tls1_check_duplicate_extensions(const PACKET *packet)
962 {
963     PACKET extensions = *packet;
964     size_t num_extensions = 0, i = 0;
965     unsigned int *extension_types = NULL;
966     int ret = 0;
967
968     /* First pass: count the extensions. */
969     while (PACKET_remaining(&extensions) > 0) {
970         unsigned int type;
971         PACKET extension;
972         if (!PACKET_get_net_2(&extensions, &type) ||
973             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
974             goto done;
975         }
976         num_extensions++;
977     }
978
979     if (num_extensions <= 1)
980         return 1;
981
982     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
983     if (extension_types == NULL) {
984         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
985         goto done;
986     }
987
988     /* Second pass: gather the extension types. */
989     extensions = *packet;
990     for (i = 0; i < num_extensions; i++) {
991         PACKET extension;
992         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
993             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
994             /* This should not happen. */
995             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
996             goto done;
997         }
998     }
999
1000     if (PACKET_remaining(&extensions) != 0) {
1001         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1002         goto done;
1003     }
1004     /* Sort the extensions and make sure there are no duplicates. */
1005     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1006     for (i = 1; i < num_extensions; i++) {
1007         if (extension_types[i - 1] == extension_types[i])
1008             goto done;
1009     }
1010     ret = 1;
1011  done:
1012     OPENSSL_free(extension_types);
1013     return ret;
1014 }
1015
1016 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1017 {
1018 #ifndef OPENSSL_NO_EC
1019     /* See if we support any ECC ciphersuites */
1020     int using_ecc = 0;
1021     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1022         int i;
1023         unsigned long alg_k, alg_a;
1024         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1025
1026         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1027             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1028
1029             alg_k = c->algorithm_mkey;
1030             alg_a = c->algorithm_auth;
1031             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1032                 || (alg_a & SSL_aECDSA)) {
1033                 using_ecc = 1;
1034                 break;
1035             }
1036         }
1037     }
1038 #endif
1039
1040     /* Add RI if renegotiating */
1041     if (s->renegotiate) {
1042         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_renegotiate)
1043                 || !WPACKET_start_sub_packet_u16(pkt)
1044                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->previous_client_finished,
1045                                    s->s3->previous_client_finished_len)
1046                 || !WPACKET_close(pkt)) {
1047             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1048             return 0;
1049         }
1050     }
1051     /* Only add RI for SSLv3 */
1052     if (s->client_version == SSL3_VERSION)
1053         goto done;
1054
1055     if (s->tlsext_hostname != NULL) {
1056         /* Add TLS extension servername to the Client Hello message */
1057         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1058                    /* Sub-packet for server_name extension */
1059                 || !WPACKET_start_sub_packet_u16(pkt)
1060                    /* Sub-packet for servername list (always 1 hostname)*/
1061                 || !WPACKET_start_sub_packet_u16(pkt)
1062                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_NAMETYPE_host_name)
1063                 || !WPACKET_sub_memcpy_u16(pkt, s->tlsext_hostname,
1064                                            strlen(s->tlsext_hostname))
1065                 || !WPACKET_close(pkt)
1066                 || !WPACKET_close(pkt)) {
1067             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1068             return 0;
1069         }
1070     }
1071 #ifndef OPENSSL_NO_SRP
1072     /* Add SRP username if there is one */
1073     if (s->srp_ctx.login != NULL) {
1074         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_srp)
1075                    /* Sub-packet for SRP extension */
1076                 || !WPACKET_start_sub_packet_u16(pkt)
1077                 || !WPACKET_start_sub_packet_u8(pkt)
1078                    /* login must not be zero...internal error if so */
1079                 || !WPACKET_set_flags(pkt, WPACKET_FLAGS_NON_ZERO_LENGTH)
1080                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1081                                    strlen(s->srp_ctx.login))
1082                 || !WPACKET_close(pkt)
1083                 || !WPACKET_close(pkt)) {
1084             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1085             return 0;
1086         }
1087     }
1088 #endif
1089
1090 #ifndef OPENSSL_NO_EC
1091     if (using_ecc) {
1092         /*
1093          * Add TLS extension ECPointFormats to the ClientHello message
1094          */
1095         const unsigned char *pcurves, *pformats;
1096         size_t num_curves, num_formats;
1097         size_t i;
1098
1099         tls1_get_formatlist(s, &pformats, &num_formats);
1100
1101         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1102                    /* Sub-packet for formats extension */
1103                 || !WPACKET_start_sub_packet_u16(pkt)
1104                 || !WPACKET_sub_memcpy_u8(pkt, pformats, num_formats)
1105                 || !WPACKET_close(pkt)) {
1106             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1107             return 0;
1108         }
1109
1110         /*
1111          * Add TLS extension EllipticCurves to the ClientHello message
1112          */
1113         pcurves = s->tlsext_ellipticcurvelist;
1114         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1115             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1116             return 0;
1117         }
1118
1119         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_elliptic_curves)
1120                    /* Sub-packet for curves extension */
1121                 || !WPACKET_start_sub_packet_u16(pkt)
1122                 || !WPACKET_start_sub_packet_u16(pkt)) {
1123             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1124             return 0;
1125         }
1126         /* Copy curve ID if supported */
1127         for (i = 0; i < num_curves; i++, pcurves += 2) {
1128             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1129                 if (!WPACKET_put_bytes_u8(pkt, pcurves[0])
1130                     || !WPACKET_put_bytes_u8(pkt, pcurves[1])) {
1131                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1132                                ERR_R_INTERNAL_ERROR);
1133                         return 0;
1134                     }
1135             }
1136         }
1137         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1138             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1139             return 0;
1140         }
1141     }
1142 #endif                          /* OPENSSL_NO_EC */
1143
1144     if (tls_use_ticket(s)) {
1145         int ticklen;
1146         if (!s->new_session && s->session && s->session->tlsext_tick)
1147             ticklen = s->session->tlsext_ticklen;
1148         else if (s->session && s->tlsext_session_ticket &&
1149                  s->tlsext_session_ticket->data) {
1150             ticklen = s->tlsext_session_ticket->length;
1151             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1152             if (s->session->tlsext_tick == NULL) {
1153                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1154                 return 0;
1155             }
1156             memcpy(s->session->tlsext_tick,
1157                    s->tlsext_session_ticket->data, ticklen);
1158             s->session->tlsext_ticklen = ticklen;
1159         } else
1160             ticklen = 0;
1161         if (ticklen == 0 && s->tlsext_session_ticket &&
1162             s->tlsext_session_ticket->data == NULL)
1163             goto skip_ext;
1164
1165         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1166                 || !WPACKET_sub_memcpy_u16(pkt, s->session->tlsext_tick,
1167                                            ticklen)) {
1168             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1169             return 0;
1170         }
1171     }
1172  skip_ext:
1173
1174     if (SSL_CLIENT_USE_SIGALGS(s)) {
1175         size_t salglen;
1176         const unsigned char *salg;
1177
1178         salglen = tls12_get_psigalgs(s, &salg);
1179
1180         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signature_algorithms)
1181                    /* Sub-packet for sig-algs extension */
1182                 || !WPACKET_start_sub_packet_u16(pkt)
1183                    /* Sub-packet for the actual list */
1184                 || !WPACKET_start_sub_packet_u16(pkt)
1185                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1186                 || !WPACKET_close(pkt)
1187                 || !WPACKET_close(pkt)) {
1188             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1189             return 0;
1190         }
1191     }
1192 #ifndef OPENSSL_NO_OCSP
1193     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1194         int i;
1195
1196         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1197                    /* Sub-packet for status request extension */
1198                 || !WPACKET_start_sub_packet_u16(pkt)
1199                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_STATUSTYPE_ocsp)
1200                    /* Sub-packet for the ids */
1201                 || !WPACKET_start_sub_packet_u16(pkt)) {
1202             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1203             return 0;
1204         }
1205         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1206             unsigned char *idbytes;
1207             int idlen;
1208             OCSP_RESPID *id;
1209
1210             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1211             idlen = i2d_OCSP_RESPID(id, NULL);
1212             if (idlen <= 0
1213                        /* Sub-packet for an individual id */
1214                     || !WPACKET_sub_allocate_bytes_u16(pkt, idlen, &idbytes)
1215                     || i2d_OCSP_RESPID(id, &idbytes) != idlen) {
1216                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1217                 return 0;
1218             }
1219         }
1220         if (!WPACKET_close(pkt)
1221                 || !WPACKET_start_sub_packet_u16(pkt)) {
1222             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1223             return 0;
1224         }
1225         if (s->tlsext_ocsp_exts) {
1226             unsigned char *extbytes;
1227             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1228
1229             if (extlen < 0) {
1230                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1231                 return 0;
1232             }
1233             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1234                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1235                        != extlen) {
1236                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1237                 return 0;
1238            }
1239         }
1240         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1241             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1242             return 0;
1243         }
1244     }
1245 #endif
1246 #ifndef OPENSSL_NO_HEARTBEATS
1247     if (SSL_IS_DTLS(s)) {
1248         unsigned int mode;
1249
1250         /*-
1251          * Set mode:
1252          * 1: peer may send requests
1253          * 2: peer not allowed to send requests
1254          */
1255         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1256             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1257         else
1258             mode = SSL_DTLSEXT_HB_ENABLED;
1259
1260         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1261                    /* Sub-packet for Hearbeat extension */
1262                 || !WPACKET_start_sub_packet_u16(pkt)
1263                 || !WPACKET_put_bytes_u8(pkt, mode)
1264                 || !WPACKET_close(pkt)) {
1265             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1266             return 0;
1267         }
1268     }
1269 #endif
1270
1271 #ifndef OPENSSL_NO_NEXTPROTONEG
1272     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1273         /*
1274          * The client advertises an empty extension to indicate its support
1275          * for Next Protocol Negotiation
1276          */
1277         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1278                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1279             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1280             return 0;
1281         }
1282     }
1283 #endif
1284
1285     /*
1286      * finish_md_len is non-zero during a renegotiation, so
1287      * this avoids sending ALPN during the renegotiation
1288      * (see longer comment below)
1289      */
1290     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1291         if (!WPACKET_put_bytes_u16(pkt,
1292                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1293                    /* Sub-packet ALPN extension */
1294                 || !WPACKET_start_sub_packet_u16(pkt)
1295                 || !WPACKET_sub_memcpy_u16(pkt, s->alpn_client_proto_list,
1296                                            s->alpn_client_proto_list_len)
1297                 || !WPACKET_close(pkt)) {
1298             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1299             return 0;
1300         }
1301         s->s3->alpn_sent = 1;
1302     }
1303 #ifndef OPENSSL_NO_SRTP
1304     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1305         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = SSL_get_srtp_profiles(s);
1306         SRTP_PROTECTION_PROFILE *prof;
1307         int i, ct;
1308
1309         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1310                    /* Sub-packet for SRTP extension */
1311                 || !WPACKET_start_sub_packet_u16(pkt)
1312                    /* Sub-packet for the protection profile list */
1313                 || !WPACKET_start_sub_packet_u16(pkt)) {
1314             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1315             return 0;
1316         }
1317         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1318         for (i = 0; i < ct; i++) {
1319             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1320             if (prof == NULL || !WPACKET_put_bytes_u16(pkt, prof->id)) {
1321                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1322                 return 0;
1323             }
1324         }
1325         if (!WPACKET_close(pkt)
1326                    /* Add an empty use_mki value */
1327                 || !WPACKET_put_bytes_u8(pkt, 0)
1328                 || !WPACKET_close(pkt)) {
1329             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1330             return 0;
1331         }
1332     }
1333 #endif
1334     custom_ext_init(&s->cert->cli_ext);
1335     /* Add custom TLS Extensions to ClientHello */
1336     if (!custom_ext_add(s, 0, pkt, al)) {
1337         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1338         return 0;
1339     }
1340
1341     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1342             || !WPACKET_put_bytes_u16(pkt, 0)) {
1343         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1344         return 0;
1345     }
1346
1347 #ifndef OPENSSL_NO_CT
1348     if (s->ct_validation_callback != NULL) {
1349         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signed_certificate_timestamp)
1350                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1351             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1352             return 0;
1353         }
1354     }
1355 #endif
1356
1357     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1358             || !WPACKET_put_bytes_u16(pkt, 0)) {
1359         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1360         return 0;
1361     }
1362
1363     /*
1364      * Add padding to workaround bugs in F5 terminators. See
1365      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1366      * code works out the length of all existing extensions it MUST always
1367      * appear last.
1368      */
1369     if (s->options & SSL_OP_TLSEXT_PADDING) {
1370         unsigned char *padbytes;
1371         size_t hlen;
1372
1373         if (!WPACKET_get_total_written(pkt, &hlen)) {
1374             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1375             return 0;
1376         }
1377
1378         if (hlen > 0xff && hlen < 0x200) {
1379             hlen = 0x200 - hlen;
1380             if (hlen >= 4)
1381                 hlen -= 4;
1382             else
1383                 hlen = 0;
1384
1385             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_padding)
1386                     || !WPACKET_sub_allocate_bytes_u16(pkt, hlen, &padbytes)) {
1387                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1388                 return 0;
1389             }
1390             memset(padbytes, 0, hlen);
1391         }
1392     }
1393
1394  done:
1395     return 1;
1396 }
1397
1398 int ssl_add_serverhello_tlsext(SSL *s, WPACKET *pkt, int *al)
1399 {
1400 #ifndef OPENSSL_NO_NEXTPROTONEG
1401     int next_proto_neg_seen;
1402 #endif
1403 #ifndef OPENSSL_NO_EC
1404     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1405     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1406     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1407     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1408 #endif
1409
1410     if (!WPACKET_start_sub_packet_u16(pkt)
1411             || !WPACKET_set_flags(pkt, WPACKET_FLAGS_ABANDON_ON_ZERO_LENGTH)) {
1412         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1413         return 0;
1414     }
1415
1416     if (s->s3->send_connection_binding &&
1417             !ssl_add_serverhello_renegotiate_ext(s, pkt)) {
1418         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1419         return 0;
1420     }
1421
1422     /* Only add RI for SSLv3 */
1423     if (s->version == SSL3_VERSION)
1424         goto done;
1425
1426     if (!s->hit && s->servername_done == 1
1427             && s->session->tlsext_hostname != NULL) {
1428         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1429                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1430             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1431             return 0;
1432         }
1433     }
1434 #ifndef OPENSSL_NO_EC
1435     if (using_ecc) {
1436         const unsigned char *plist;
1437         size_t plistlen;
1438         /*
1439          * Add TLS extension ECPointFormats to the ServerHello message
1440          */
1441         tls1_get_formatlist(s, &plist, &plistlen);
1442
1443         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1444                 || !WPACKET_start_sub_packet_u16(pkt)
1445                 || !WPACKET_sub_memcpy_u8(pkt, plist, plistlen)
1446                 || !WPACKET_close(pkt)) {
1447             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1448             return 0;
1449         }
1450     }
1451     /*
1452      * Currently the server should not respond with a SupportedCurves
1453      * extension
1454      */
1455 #endif                          /* OPENSSL_NO_EC */
1456
1457     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1458         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1459                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1460             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1461             return 0;
1462         }
1463     } else {
1464         /*
1465          * if we don't add the above TLSEXT, we can't add a session ticket
1466          * later
1467          */
1468         s->tlsext_ticket_expected = 0;
1469     }
1470
1471     if (s->tlsext_status_expected) {
1472         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1473                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1474             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1475             return 0;
1476         }
1477     }
1478 #ifndef OPENSSL_NO_SRTP
1479     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1480         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1481                 || !WPACKET_start_sub_packet_u16(pkt)
1482                 || !WPACKET_put_bytes_u16(pkt, 2)
1483                 || !WPACKET_put_bytes_u16(pkt, s->srtp_profile->id)
1484                 || !WPACKET_put_bytes_u8(pkt, 0)
1485                 || !WPACKET_close(pkt)) {
1486             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1487             return 0;
1488         }
1489     }
1490 #endif
1491
1492     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1493          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1494         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1495         const unsigned char cryptopro_ext[36] = {
1496             0xfd, 0xe8,         /* 65000 */
1497             0x00, 0x20,         /* 32 bytes length */
1498             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1499             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1500             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1501             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1502         };
1503         if (!WPACKET_memcpy(pkt, cryptopro_ext, sizeof(cryptopro_ext))) {
1504             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1505             return 0;
1506         }
1507     }
1508 #ifndef OPENSSL_NO_HEARTBEATS
1509     /* Add Heartbeat extension if we've received one */
1510     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1511         unsigned int mode;
1512         /*-
1513          * Set mode:
1514          * 1: peer may send requests
1515          * 2: peer not allowed to send requests
1516          */
1517         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1518             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1519         else
1520             mode = SSL_DTLSEXT_HB_ENABLED;
1521
1522         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1523                 || !WPACKET_start_sub_packet_u16(pkt)
1524                 || !WPACKET_put_bytes_u8(pkt, mode)
1525                 || !WPACKET_close(pkt)) {
1526             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1527             return 0;
1528         }
1529
1530     }
1531 #endif
1532
1533 #ifndef OPENSSL_NO_NEXTPROTONEG
1534     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1535     s->s3->next_proto_neg_seen = 0;
1536     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1537         const unsigned char *npa;
1538         unsigned int npalen;
1539         int r;
1540
1541         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1542                                               s->
1543                                               ctx->next_protos_advertised_cb_arg);
1544         if (r == SSL_TLSEXT_ERR_OK) {
1545             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1546                     || !WPACKET_sub_memcpy_u16(pkt, npa, npalen)) {
1547                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1548                 return 0;
1549             }
1550             s->s3->next_proto_neg_seen = 1;
1551         }
1552     }
1553 #endif
1554     if (!custom_ext_add(s, 1, pkt, al)) {
1555         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1556         return 0;
1557     }
1558
1559     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1560         /*
1561          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1562          * for other cases too.
1563          */
1564         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1565             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1566             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1567             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1568             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1569         else {
1570             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1571                     || !WPACKET_put_bytes_u16(pkt, 0)) {
1572                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1573                 return 0;
1574             }
1575         }
1576     }
1577     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1578         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1579                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1580             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1581             return 0;
1582         }
1583     }
1584
1585     if (s->s3->alpn_selected != NULL) {
1586         if (!WPACKET_put_bytes_u16(pkt,
1587                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1588                 || !WPACKET_start_sub_packet_u16(pkt)
1589                 || !WPACKET_start_sub_packet_u16(pkt)
1590                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->alpn_selected,
1591                                           s->s3->alpn_selected_len)
1592                 || !WPACKET_close(pkt)
1593                 || !WPACKET_close(pkt)) {
1594             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1595             return 0;
1596         }
1597     }
1598
1599  done:
1600     if (!WPACKET_close(pkt)) {
1601         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1602         return 0;
1603     }
1604     return 1;
1605 }
1606
1607 /*
1608  * Save the ALPN extension in a ClientHello.
1609  * pkt: the contents of the ALPN extension, not including type and length.
1610  * al: a pointer to the  alert value to send in the event of a failure.
1611  * returns: 1 on success, 0 on error.
1612  */
1613 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1614 {
1615     PACKET protocol_list, save_protocol_list, protocol;
1616
1617     *al = SSL_AD_DECODE_ERROR;
1618
1619     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1620         || PACKET_remaining(&protocol_list) < 2) {
1621         return 0;
1622     }
1623
1624     save_protocol_list = protocol_list;
1625     do {
1626         /* Protocol names can't be empty. */
1627         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1628             || PACKET_remaining(&protocol) == 0) {
1629             return 0;
1630         }
1631     } while (PACKET_remaining(&protocol_list) != 0);
1632
1633     if (!PACKET_memdup(&save_protocol_list,
1634                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1635         *al = TLS1_AD_INTERNAL_ERROR;
1636         return 0;
1637     }
1638
1639     return 1;
1640 }
1641
1642 /*
1643  * Process the ALPN extension in a ClientHello.
1644  * al: a pointer to the alert value to send in the event of a failure.
1645  * returns 1 on success, 0 on error.
1646  */
1647 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1648 {
1649     const unsigned char *selected = NULL;
1650     unsigned char selected_len = 0;
1651
1652     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1653         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1654                                        s->s3->alpn_proposed,
1655                                        s->s3->alpn_proposed_len,
1656                                        s->ctx->alpn_select_cb_arg);
1657
1658         if (r == SSL_TLSEXT_ERR_OK) {
1659             OPENSSL_free(s->s3->alpn_selected);
1660             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1661             if (s->s3->alpn_selected == NULL) {
1662                 *al = SSL_AD_INTERNAL_ERROR;
1663                 return 0;
1664             }
1665             s->s3->alpn_selected_len = selected_len;
1666 #ifndef OPENSSL_NO_NEXTPROTONEG
1667             /* ALPN takes precedence over NPN. */
1668             s->s3->next_proto_neg_seen = 0;
1669 #endif
1670         } else {
1671             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1672             return 0;
1673         }
1674     }
1675
1676     return 1;
1677 }
1678
1679 #ifndef OPENSSL_NO_EC
1680 /*-
1681  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1682  * SecureTransport using the TLS extension block in |pkt|.
1683  * Safari, since 10.6, sends exactly these extensions, in this order:
1684  *   SNI,
1685  *   elliptic_curves
1686  *   ec_point_formats
1687  *
1688  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1689  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1690  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1691  * 10.8..10.8.3 (which don't work).
1692  */
1693 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1694 {
1695     unsigned int type;
1696     PACKET sni, tmppkt;
1697     size_t ext_len;
1698
1699     static const unsigned char kSafariExtensionsBlock[] = {
1700         0x00, 0x0a,             /* elliptic_curves extension */
1701         0x00, 0x08,             /* 8 bytes */
1702         0x00, 0x06,             /* 6 bytes of curve ids */
1703         0x00, 0x17,             /* P-256 */
1704         0x00, 0x18,             /* P-384 */
1705         0x00, 0x19,             /* P-521 */
1706
1707         0x00, 0x0b,             /* ec_point_formats */
1708         0x00, 0x02,             /* 2 bytes */
1709         0x01,                   /* 1 point format */
1710         0x00,                   /* uncompressed */
1711         /* The following is only present in TLS 1.2 */
1712         0x00, 0x0d,             /* signature_algorithms */
1713         0x00, 0x0c,             /* 12 bytes */
1714         0x00, 0x0a,             /* 10 bytes */
1715         0x05, 0x01,             /* SHA-384/RSA */
1716         0x04, 0x01,             /* SHA-256/RSA */
1717         0x02, 0x01,             /* SHA-1/RSA */
1718         0x04, 0x03,             /* SHA-256/ECDSA */
1719         0x02, 0x03,             /* SHA-1/ECDSA */
1720     };
1721
1722     /* Length of the common prefix (first two extensions). */
1723     static const size_t kSafariCommonExtensionsLength = 18;
1724
1725     tmppkt = *pkt;
1726
1727     if (!PACKET_forward(&tmppkt, 2)
1728         || !PACKET_get_net_2(&tmppkt, &type)
1729         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1730         return;
1731     }
1732
1733     if (type != TLSEXT_TYPE_server_name)
1734         return;
1735
1736     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1737         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1738
1739     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1740                                              ext_len);
1741 }
1742 #endif                          /* !OPENSSL_NO_EC */
1743
1744 /*
1745  * Parse ClientHello extensions and stash extension info in various parts of
1746  * the SSL object. Verify that there are no duplicate extensions.
1747  *
1748  * Behaviour upon resumption is extension-specific. If the extension has no
1749  * effect during resumption, it is parsed (to verify its format) but otherwise
1750  * ignored.
1751  *
1752  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1753  * Upon failure, sets |al| to the appropriate alert.
1754  */
1755 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1756 {
1757     unsigned int type;
1758     int renegotiate_seen = 0;
1759     PACKET extensions;
1760
1761     *al = SSL_AD_DECODE_ERROR;
1762     s->servername_done = 0;
1763     s->tlsext_status_type = -1;
1764 #ifndef OPENSSL_NO_NEXTPROTONEG
1765     s->s3->next_proto_neg_seen = 0;
1766 #endif
1767
1768     OPENSSL_free(s->s3->alpn_selected);
1769     s->s3->alpn_selected = NULL;
1770     s->s3->alpn_selected_len = 0;
1771     OPENSSL_free(s->s3->alpn_proposed);
1772     s->s3->alpn_proposed = NULL;
1773     s->s3->alpn_proposed_len = 0;
1774 #ifndef OPENSSL_NO_HEARTBEATS
1775     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1776                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1777 #endif
1778
1779 #ifndef OPENSSL_NO_EC
1780     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1781         ssl_check_for_safari(s, pkt);
1782 #endif                          /* !OPENSSL_NO_EC */
1783
1784     /* Clear any signature algorithms extension received */
1785     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1786     s->s3->tmp.peer_sigalgs = NULL;
1787     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1788
1789 #ifndef OPENSSL_NO_SRP
1790     OPENSSL_free(s->srp_ctx.login);
1791     s->srp_ctx.login = NULL;
1792 #endif
1793
1794     s->srtp_profile = NULL;
1795
1796     if (PACKET_remaining(pkt) == 0)
1797         goto ri_check;
1798
1799     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1800         return 0;
1801
1802     if (!tls1_check_duplicate_extensions(&extensions))
1803         return 0;
1804
1805     /*
1806      * We parse all extensions to ensure the ClientHello is well-formed but,
1807      * unless an extension specifies otherwise, we ignore extensions upon
1808      * resumption.
1809      */
1810     while (PACKET_get_net_2(&extensions, &type)) {
1811         PACKET extension;
1812         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1813             return 0;
1814
1815         if (s->tlsext_debug_cb)
1816             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1817                                PACKET_remaining(&extension),
1818                                s->tlsext_debug_arg);
1819
1820         if (type == TLSEXT_TYPE_renegotiate) {
1821             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1822                 return 0;
1823             renegotiate_seen = 1;
1824         } else if (s->version == SSL3_VERSION) {
1825         }
1826 /*-
1827  * The servername extension is treated as follows:
1828  *
1829  * - Only the hostname type is supported with a maximum length of 255.
1830  * - The servername is rejected if too long or if it contains zeros,
1831  *   in which case an fatal alert is generated.
1832  * - The servername field is maintained together with the session cache.
1833  * - When a session is resumed, the servername call back invoked in order
1834  *   to allow the application to position itself to the right context.
1835  * - The servername is acknowledged if it is new for a session or when
1836  *   it is identical to a previously used for the same session.
1837  *   Applications can control the behaviour.  They can at any time
1838  *   set a 'desirable' servername for a new SSL object. This can be the
1839  *   case for example with HTTPS when a Host: header field is received and
1840  *   a renegotiation is requested. In this case, a possible servername
1841  *   presented in the new client hello is only acknowledged if it matches
1842  *   the value of the Host: field.
1843  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1844  *   if they provide for changing an explicit servername context for the
1845  *   session, i.e. when the session has been established with a servername
1846  *   extension.
1847  * - On session reconnect, the servername extension may be absent.
1848  *
1849  */
1850
1851         else if (type == TLSEXT_TYPE_server_name) {
1852             unsigned int servname_type;
1853             PACKET sni, hostname;
1854
1855             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1856                 /* ServerNameList must be at least 1 byte long. */
1857                 || PACKET_remaining(&sni) == 0) {
1858                 return 0;
1859             }
1860
1861             /*
1862              * Although the server_name extension was intended to be
1863              * extensible to new name types, RFC 4366 defined the
1864              * syntax inextensibility and OpenSSL 1.0.x parses it as
1865              * such.
1866              * RFC 6066 corrected the mistake but adding new name types
1867              * is nevertheless no longer feasible, so act as if no other
1868              * SNI types can exist, to simplify parsing.
1869              *
1870              * Also note that the RFC permits only one SNI value per type,
1871              * i.e., we can only have a single hostname.
1872              */
1873             if (!PACKET_get_1(&sni, &servname_type)
1874                 || servname_type != TLSEXT_NAMETYPE_host_name
1875                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1876                 return 0;
1877             }
1878
1879             if (!s->hit) {
1880                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1881                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1882                     return 0;
1883                 }
1884
1885                 if (PACKET_contains_zero_byte(&hostname)) {
1886                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1887                     return 0;
1888                 }
1889
1890                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1891                     *al = TLS1_AD_INTERNAL_ERROR;
1892                     return 0;
1893                 }
1894
1895                 s->servername_done = 1;
1896             } else {
1897                 /*
1898                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1899                  * fall back to a full handshake.
1900                  */
1901                 s->servername_done = s->session->tlsext_hostname
1902                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1903                                     strlen(s->session->tlsext_hostname));
1904             }
1905         }
1906 #ifndef OPENSSL_NO_SRP
1907         else if (type == TLSEXT_TYPE_srp) {
1908             PACKET srp_I;
1909
1910             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1911                 return 0;
1912
1913             if (PACKET_contains_zero_byte(&srp_I))
1914                 return 0;
1915
1916             /*
1917              * TODO(openssl-team): currently, we re-authenticate the user
1918              * upon resumption. Instead, we MUST ignore the login.
1919              */
1920             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1921                 *al = TLS1_AD_INTERNAL_ERROR;
1922                 return 0;
1923             }
1924         }
1925 #endif
1926
1927 #ifndef OPENSSL_NO_EC
1928         else if (type == TLSEXT_TYPE_ec_point_formats) {
1929             PACKET ec_point_format_list;
1930
1931             if (!PACKET_as_length_prefixed_1(&extension, &ec_point_format_list)
1932                 || PACKET_remaining(&ec_point_format_list) == 0) {
1933                 return 0;
1934             }
1935
1936             if (!s->hit) {
1937                 if (!PACKET_memdup(&ec_point_format_list,
1938                                    &s->session->tlsext_ecpointformatlist,
1939                                    &s->
1940                                    session->tlsext_ecpointformatlist_length)) {
1941                     *al = TLS1_AD_INTERNAL_ERROR;
1942                     return 0;
1943                 }
1944             }
1945         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1946             PACKET elliptic_curve_list;
1947
1948             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1949             if (!PACKET_as_length_prefixed_2(&extension, &elliptic_curve_list)
1950                 || PACKET_remaining(&elliptic_curve_list) == 0
1951                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1952                 return 0;
1953             }
1954
1955             if (!s->hit) {
1956                 if (!PACKET_memdup(&elliptic_curve_list,
1957                                    &s->session->tlsext_ellipticcurvelist,
1958                                    &s->
1959                                    session->tlsext_ellipticcurvelist_length)) {
1960                     *al = TLS1_AD_INTERNAL_ERROR;
1961                     return 0;
1962                 }
1963             }
1964         }
1965 #endif                          /* OPENSSL_NO_EC */
1966         else if (type == TLSEXT_TYPE_session_ticket) {
1967             if (s->tls_session_ticket_ext_cb &&
1968                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
1969                                               PACKET_remaining(&extension),
1970                                               s->tls_session_ticket_ext_cb_arg))
1971             {
1972                 *al = TLS1_AD_INTERNAL_ERROR;
1973                 return 0;
1974             }
1975         } else if (type == TLSEXT_TYPE_signature_algorithms) {
1976             PACKET supported_sig_algs;
1977
1978             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
1979                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
1980                 || PACKET_remaining(&supported_sig_algs) == 0) {
1981                 return 0;
1982             }
1983
1984             if (!s->hit) {
1985                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
1986                                        PACKET_remaining(&supported_sig_algs))) {
1987                     return 0;
1988                 }
1989             }
1990         } else if (type == TLSEXT_TYPE_status_request) {
1991             if (!PACKET_get_1(&extension,
1992                               (unsigned int *)&s->tlsext_status_type)) {
1993                 return 0;
1994             }
1995 #ifndef OPENSSL_NO_OCSP
1996             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1997                 const unsigned char *ext_data;
1998                 PACKET responder_id_list, exts;
1999                 if (!PACKET_get_length_prefixed_2
2000                     (&extension, &responder_id_list))
2001                     return 0;
2002
2003                 /*
2004                  * We remove any OCSP_RESPIDs from a previous handshake
2005                  * to prevent unbounded memory growth - CVE-2016-6304
2006                  */
2007                 sk_OCSP_RESPID_pop_free(s->tlsext_ocsp_ids,
2008                                         OCSP_RESPID_free);
2009                 if (PACKET_remaining(&responder_id_list) > 0) {
2010                     s->tlsext_ocsp_ids = sk_OCSP_RESPID_new_null();
2011                     if (s->tlsext_ocsp_ids == NULL) {
2012                         *al = SSL_AD_INTERNAL_ERROR;
2013                         return 0;
2014                     }
2015                 } else {
2016                     s->tlsext_ocsp_ids = NULL;
2017                 }
2018
2019                 while (PACKET_remaining(&responder_id_list) > 0) {
2020                     OCSP_RESPID *id;
2021                     PACKET responder_id;
2022                     const unsigned char *id_data;
2023
2024                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2025                                                       &responder_id)
2026                         || PACKET_remaining(&responder_id) == 0) {
2027                         return 0;
2028                     }
2029
2030                     id_data = PACKET_data(&responder_id);
2031                     id = d2i_OCSP_RESPID(NULL, &id_data,
2032                                          PACKET_remaining(&responder_id));
2033                     if (id == NULL)
2034                         return 0;
2035
2036                     if (id_data != PACKET_end(&responder_id)) {
2037                         OCSP_RESPID_free(id);
2038                         return 0;
2039                     }
2040
2041                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2042                         OCSP_RESPID_free(id);
2043                         *al = SSL_AD_INTERNAL_ERROR;
2044                         return 0;
2045                     }
2046                 }
2047
2048                 /* Read in request_extensions */
2049                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2050                     return 0;
2051
2052                 if (PACKET_remaining(&exts) > 0) {
2053                     ext_data = PACKET_data(&exts);
2054                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2055                                                X509_EXTENSION_free);
2056                     s->tlsext_ocsp_exts =
2057                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2058                                             PACKET_remaining(&exts));
2059                     if (s->tlsext_ocsp_exts == NULL
2060                         || ext_data != PACKET_end(&exts)) {
2061                         return 0;
2062                     }
2063                 }
2064             } else
2065 #endif
2066             {
2067                 /*
2068                  * We don't know what to do with any other type so ignore it.
2069                  */
2070                 s->tlsext_status_type = -1;
2071             }
2072         }
2073 #ifndef OPENSSL_NO_HEARTBEATS
2074         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2075             unsigned int hbtype;
2076
2077             if (!PACKET_get_1(&extension, &hbtype)
2078                 || PACKET_remaining(&extension)) {
2079                 *al = SSL_AD_DECODE_ERROR;
2080                 return 0;
2081             }
2082             switch (hbtype) {
2083             case 0x01:         /* Client allows us to send HB requests */
2084                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2085                 break;
2086             case 0x02:         /* Client doesn't accept HB requests */
2087                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2088                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2089                 break;
2090             default:
2091                 *al = SSL_AD_ILLEGAL_PARAMETER;
2092                 return 0;
2093             }
2094         }
2095 #endif
2096 #ifndef OPENSSL_NO_NEXTPROTONEG
2097         else if (type == TLSEXT_TYPE_next_proto_neg &&
2098                  s->s3->tmp.finish_md_len == 0) {
2099             /*-
2100              * We shouldn't accept this extension on a
2101              * renegotiation.
2102              *
2103              * s->new_session will be set on renegotiation, but we
2104              * probably shouldn't rely that it couldn't be set on
2105              * the initial renegotiation too in certain cases (when
2106              * there's some other reason to disallow resuming an
2107              * earlier session -- the current code won't be doing
2108              * anything like that, but this might change).
2109              *
2110              * A valid sign that there's been a previous handshake
2111              * in this connection is if s->s3->tmp.finish_md_len >
2112              * 0.  (We are talking about a check that will happen
2113              * in the Hello protocol round, well before a new
2114              * Finished message could have been computed.)
2115              */
2116             s->s3->next_proto_neg_seen = 1;
2117         }
2118 #endif
2119
2120         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2121                  s->s3->tmp.finish_md_len == 0) {
2122             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2123                 return 0;
2124         }
2125
2126         /* session ticket processed earlier */
2127 #ifndef OPENSSL_NO_SRTP
2128         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2129                  && type == TLSEXT_TYPE_use_srtp) {
2130             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2131                 return 0;
2132         }
2133 #endif
2134         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2135             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2136         /*
2137          * Note: extended master secret extension handled in
2138          * tls_check_serverhello_tlsext_early()
2139          */
2140
2141         /*
2142          * If this ClientHello extension was unhandled and this is a
2143          * nonresumed connection, check whether the extension is a custom
2144          * TLS Extension (has a custom_srv_ext_record), and if so call the
2145          * callback and record the extension number so that an appropriate
2146          * ServerHello may be later returned.
2147          */
2148         else if (!s->hit) {
2149             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2150                                  PACKET_remaining(&extension), al) <= 0)
2151                 return 0;
2152         }
2153     }
2154
2155     if (PACKET_remaining(pkt) != 0) {
2156         /*
2157          * tls1_check_duplicate_extensions should ensure this never happens.
2158          */
2159         *al = SSL_AD_INTERNAL_ERROR;
2160         return 0;
2161     }
2162
2163  ri_check:
2164
2165     /* Need RI if renegotiating */
2166
2167     if (!renegotiate_seen && s->renegotiate &&
2168         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2169         *al = SSL_AD_HANDSHAKE_FAILURE;
2170         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2171                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2172         return 0;
2173     }
2174
2175     /*
2176      * This function currently has no state to clean up, so it returns directly.
2177      * If parsing fails at any point, the function returns early.
2178      * The SSL object may be left with partial data from extensions, but it must
2179      * then no longer be used, and clearing it up will free the leftovers.
2180      */
2181     return 1;
2182 }
2183
2184 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2185 {
2186     int al = -1;
2187     custom_ext_init(&s->cert->srv_ext);
2188     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2189         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2190         return 0;
2191     }
2192     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2193         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2194         return 0;
2195     }
2196     return 1;
2197 }
2198
2199 #ifndef OPENSSL_NO_NEXTPROTONEG
2200 /*
2201  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2202  * elements of zero length are allowed and the set of elements must exactly
2203  * fill the length of the block.
2204  */
2205 static char ssl_next_proto_validate(PACKET *pkt)
2206 {
2207     PACKET tmp_protocol;
2208
2209     while (PACKET_remaining(pkt)) {
2210         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2211             || PACKET_remaining(&tmp_protocol) == 0)
2212             return 0;
2213     }
2214
2215     return 1;
2216 }
2217 #endif
2218
2219 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2220 {
2221     unsigned int length, type, size;
2222     int tlsext_servername = 0;
2223     int renegotiate_seen = 0;
2224
2225 #ifndef OPENSSL_NO_NEXTPROTONEG
2226     s->s3->next_proto_neg_seen = 0;
2227 #endif
2228     s->tlsext_ticket_expected = 0;
2229
2230     OPENSSL_free(s->s3->alpn_selected);
2231     s->s3->alpn_selected = NULL;
2232 #ifndef OPENSSL_NO_HEARTBEATS
2233     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2234                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2235 #endif
2236
2237     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2238
2239     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2240
2241     if (!PACKET_get_net_2(pkt, &length))
2242         goto ri_check;
2243
2244     if (PACKET_remaining(pkt) != length) {
2245         *al = SSL_AD_DECODE_ERROR;
2246         return 0;
2247     }
2248
2249     if (!tls1_check_duplicate_extensions(pkt)) {
2250         *al = SSL_AD_DECODE_ERROR;
2251         return 0;
2252     }
2253
2254     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2255         const unsigned char *data;
2256         PACKET spkt;
2257
2258         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2259             || !PACKET_peek_bytes(&spkt, &data, size))
2260             goto ri_check;
2261
2262         if (s->tlsext_debug_cb)
2263             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2264
2265         if (type == TLSEXT_TYPE_renegotiate) {
2266             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2267                 return 0;
2268             renegotiate_seen = 1;
2269         } else if (s->version == SSL3_VERSION) {
2270         } else if (type == TLSEXT_TYPE_server_name) {
2271             if (s->tlsext_hostname == NULL || size > 0) {
2272                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2273                 return 0;
2274             }
2275             tlsext_servername = 1;
2276         }
2277 #ifndef OPENSSL_NO_EC
2278         else if (type == TLSEXT_TYPE_ec_point_formats) {
2279             unsigned int ecpointformatlist_length;
2280             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2281                 || ecpointformatlist_length != size - 1) {
2282                 *al = TLS1_AD_DECODE_ERROR;
2283                 return 0;
2284             }
2285             if (!s->hit) {
2286                 s->session->tlsext_ecpointformatlist_length = 0;
2287                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2288                 if ((s->session->tlsext_ecpointformatlist =
2289                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2290                     *al = TLS1_AD_INTERNAL_ERROR;
2291                     return 0;
2292                 }
2293                 s->session->tlsext_ecpointformatlist_length =
2294                     ecpointformatlist_length;
2295                 if (!PACKET_copy_bytes(&spkt,
2296                                        s->session->tlsext_ecpointformatlist,
2297                                        ecpointformatlist_length)) {
2298                     *al = TLS1_AD_DECODE_ERROR;
2299                     return 0;
2300                 }
2301
2302             }
2303         }
2304 #endif                          /* OPENSSL_NO_EC */
2305
2306         else if (type == TLSEXT_TYPE_session_ticket) {
2307             if (s->tls_session_ticket_ext_cb &&
2308                 !s->tls_session_ticket_ext_cb(s, data, size,
2309                                               s->tls_session_ticket_ext_cb_arg))
2310             {
2311                 *al = TLS1_AD_INTERNAL_ERROR;
2312                 return 0;
2313             }
2314             if (!tls_use_ticket(s) || (size > 0)) {
2315                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2316                 return 0;
2317             }
2318             s->tlsext_ticket_expected = 1;
2319         } else if (type == TLSEXT_TYPE_status_request) {
2320             /*
2321              * MUST be empty and only sent if we've requested a status
2322              * request message.
2323              */
2324             if ((s->tlsext_status_type == -1) || (size > 0)) {
2325                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2326                 return 0;
2327             }
2328             /* Set flag to expect CertificateStatus message */
2329             s->tlsext_status_expected = 1;
2330         }
2331 #ifndef OPENSSL_NO_CT
2332         /*
2333          * Only take it if we asked for it - i.e if there is no CT validation
2334          * callback set, then a custom extension MAY be processing it, so we
2335          * need to let control continue to flow to that.
2336          */
2337         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2338                  s->ct_validation_callback != NULL) {
2339             /* Simply copy it off for later processing */
2340             if (s->tlsext_scts != NULL) {
2341                 OPENSSL_free(s->tlsext_scts);
2342                 s->tlsext_scts = NULL;
2343             }
2344             s->tlsext_scts_len = size;
2345             if (size > 0) {
2346                 s->tlsext_scts = OPENSSL_malloc(size);
2347                 if (s->tlsext_scts == NULL) {
2348                     *al = TLS1_AD_INTERNAL_ERROR;
2349                     return 0;
2350                 }
2351                 memcpy(s->tlsext_scts, data, size);
2352             }
2353         }
2354 #endif
2355 #ifndef OPENSSL_NO_NEXTPROTONEG
2356         else if (type == TLSEXT_TYPE_next_proto_neg &&
2357                  s->s3->tmp.finish_md_len == 0) {
2358             unsigned char *selected;
2359             unsigned char selected_len;
2360             /* We must have requested it. */
2361             if (s->ctx->next_proto_select_cb == NULL) {
2362                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2363                 return 0;
2364             }
2365             /* The data must be valid */
2366             if (!ssl_next_proto_validate(&spkt)) {
2367                 *al = TLS1_AD_DECODE_ERROR;
2368                 return 0;
2369             }
2370             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2371                                              size,
2372                                              s->
2373                                              ctx->next_proto_select_cb_arg) !=
2374                 SSL_TLSEXT_ERR_OK) {
2375                 *al = TLS1_AD_INTERNAL_ERROR;
2376                 return 0;
2377             }
2378             /*
2379              * Could be non-NULL if server has sent multiple NPN extensions in
2380              * a single Serverhello
2381              */
2382             OPENSSL_free(s->next_proto_negotiated);
2383             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2384             if (s->next_proto_negotiated == NULL) {
2385                 *al = TLS1_AD_INTERNAL_ERROR;
2386                 return 0;
2387             }
2388             memcpy(s->next_proto_negotiated, selected, selected_len);
2389             s->next_proto_negotiated_len = selected_len;
2390             s->s3->next_proto_neg_seen = 1;
2391         }
2392 #endif
2393
2394         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2395             unsigned len;
2396             /* We must have requested it. */
2397             if (!s->s3->alpn_sent) {
2398                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2399                 return 0;
2400             }
2401             /*-
2402              * The extension data consists of:
2403              *   uint16 list_length
2404              *   uint8 proto_length;
2405              *   uint8 proto[proto_length];
2406              */
2407             if (!PACKET_get_net_2(&spkt, &len)
2408                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2409                 || PACKET_remaining(&spkt) != len) {
2410                 *al = TLS1_AD_DECODE_ERROR;
2411                 return 0;
2412             }
2413             OPENSSL_free(s->s3->alpn_selected);
2414             s->s3->alpn_selected = OPENSSL_malloc(len);
2415             if (s->s3->alpn_selected == NULL) {
2416                 *al = TLS1_AD_INTERNAL_ERROR;
2417                 return 0;
2418             }
2419             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2420                 *al = TLS1_AD_DECODE_ERROR;
2421                 return 0;
2422             }
2423             s->s3->alpn_selected_len = len;
2424         }
2425 #ifndef OPENSSL_NO_HEARTBEATS
2426         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2427             unsigned int hbtype;
2428             if (!PACKET_get_1(&spkt, &hbtype)) {
2429                 *al = SSL_AD_DECODE_ERROR;
2430                 return 0;
2431             }
2432             switch (hbtype) {
2433             case 0x01:         /* Server allows us to send HB requests */
2434                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2435                 break;
2436             case 0x02:         /* Server doesn't accept HB requests */
2437                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2438                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2439                 break;
2440             default:
2441                 *al = SSL_AD_ILLEGAL_PARAMETER;
2442                 return 0;
2443             }
2444         }
2445 #endif
2446 #ifndef OPENSSL_NO_SRTP
2447         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2448             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2449                 return 0;
2450         }
2451 #endif
2452         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2453             /* Ignore if inappropriate ciphersuite */
2454             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2455                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2456                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2457         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2458             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2459             if (!s->hit)
2460                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2461         }
2462         /*
2463          * If this extension type was not otherwise handled, but matches a
2464          * custom_cli_ext_record, then send it to the c callback
2465          */
2466         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2467             return 0;
2468     }
2469
2470     if (PACKET_remaining(pkt) != 0) {
2471         *al = SSL_AD_DECODE_ERROR;
2472         return 0;
2473     }
2474
2475     if (!s->hit && tlsext_servername == 1) {
2476         if (s->tlsext_hostname) {
2477             if (s->session->tlsext_hostname == NULL) {
2478                 s->session->tlsext_hostname =
2479                     OPENSSL_strdup(s->tlsext_hostname);
2480                 if (!s->session->tlsext_hostname) {
2481                     *al = SSL_AD_UNRECOGNIZED_NAME;
2482                     return 0;
2483                 }
2484             } else {
2485                 *al = SSL_AD_DECODE_ERROR;
2486                 return 0;
2487             }
2488         }
2489     }
2490
2491  ri_check:
2492
2493     /*
2494      * Determine if we need to see RI. Strictly speaking if we want to avoid
2495      * an attack we should *always* see RI even on initial server hello
2496      * because the client doesn't see any renegotiation during an attack.
2497      * However this would mean we could not connect to any server which
2498      * doesn't support RI so for the immediate future tolerate RI absence
2499      */
2500     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2501         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2502         *al = SSL_AD_HANDSHAKE_FAILURE;
2503         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2504                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2505         return 0;
2506     }
2507
2508     if (s->hit) {
2509         /*
2510          * Check extended master secret extension is consistent with
2511          * original session.
2512          */
2513         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2514             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2515             *al = SSL_AD_HANDSHAKE_FAILURE;
2516             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2517             return 0;
2518         }
2519     }
2520
2521     return 1;
2522 }
2523
2524 int ssl_prepare_clienthello_tlsext(SSL *s)
2525 {
2526     s->s3->alpn_sent = 0;
2527     return 1;
2528 }
2529
2530 int ssl_prepare_serverhello_tlsext(SSL *s)
2531 {
2532     return 1;
2533 }
2534
2535 static int ssl_check_clienthello_tlsext_early(SSL *s)
2536 {
2537     int ret = SSL_TLSEXT_ERR_NOACK;
2538     int al = SSL_AD_UNRECOGNIZED_NAME;
2539
2540 #ifndef OPENSSL_NO_EC
2541     /*
2542      * The handling of the ECPointFormats extension is done elsewhere, namely
2543      * in ssl3_choose_cipher in s3_lib.c.
2544      */
2545     /*
2546      * The handling of the EllipticCurves extension is done elsewhere, namely
2547      * in ssl3_choose_cipher in s3_lib.c.
2548      */
2549 #endif
2550
2551     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2552         ret =
2553             s->ctx->tlsext_servername_callback(s, &al,
2554                                                s->ctx->tlsext_servername_arg);
2555     else if (s->initial_ctx != NULL
2556              && s->initial_ctx->tlsext_servername_callback != 0)
2557         ret =
2558             s->initial_ctx->tlsext_servername_callback(s, &al,
2559                                                        s->
2560                                                        initial_ctx->tlsext_servername_arg);
2561
2562     switch (ret) {
2563     case SSL_TLSEXT_ERR_ALERT_FATAL:
2564         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2565         return -1;
2566
2567     case SSL_TLSEXT_ERR_ALERT_WARNING:
2568         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2569         return 1;
2570
2571     case SSL_TLSEXT_ERR_NOACK:
2572         s->servername_done = 0;
2573     default:
2574         return 1;
2575     }
2576 }
2577
2578 /* Initialise digests to default values */
2579 void ssl_set_default_md(SSL *s)
2580 {
2581     const EVP_MD **pmd = s->s3->tmp.md;
2582 #ifndef OPENSSL_NO_DSA
2583     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2584 #endif
2585 #ifndef OPENSSL_NO_RSA
2586     if (SSL_USE_SIGALGS(s))
2587         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2588     else
2589         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2590     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2591 #endif
2592 #ifndef OPENSSL_NO_EC
2593     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2594 #endif
2595 #ifndef OPENSSL_NO_GOST
2596     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2597     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2598     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2599 #endif
2600 }
2601
2602 int tls1_set_server_sigalgs(SSL *s)
2603 {
2604     int al;
2605     size_t i;
2606
2607     /* Clear any shared signature algorithms */
2608     OPENSSL_free(s->cert->shared_sigalgs);
2609     s->cert->shared_sigalgs = NULL;
2610     s->cert->shared_sigalgslen = 0;
2611     /* Clear certificate digests and validity flags */
2612     for (i = 0; i < SSL_PKEY_NUM; i++) {
2613         s->s3->tmp.md[i] = NULL;
2614         s->s3->tmp.valid_flags[i] = 0;
2615     }
2616
2617     /* If sigalgs received process it. */
2618     if (s->s3->tmp.peer_sigalgs) {
2619         if (!tls1_process_sigalgs(s)) {
2620             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2621             al = SSL_AD_INTERNAL_ERROR;
2622             goto err;
2623         }
2624         /* Fatal error is no shared signature algorithms */
2625         if (!s->cert->shared_sigalgs) {
2626             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2627                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2628             al = SSL_AD_ILLEGAL_PARAMETER;
2629             goto err;
2630         }
2631     } else {
2632         ssl_set_default_md(s);
2633     }
2634     return 1;
2635  err:
2636     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2637     return 0;
2638 }
2639
2640 /*
2641  * Upon success, returns 1.
2642  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2643  */
2644 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2645 {
2646     s->tlsext_status_expected = 0;
2647
2648     /*
2649      * If status request then ask callback what to do. Note: this must be
2650      * called after servername callbacks in case the certificate has changed,
2651      * and must be called after the cipher has been chosen because this may
2652      * influence which certificate is sent
2653      */
2654     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2655         int ret;
2656         CERT_PKEY *certpkey;
2657         certpkey = ssl_get_server_send_pkey(s);
2658         /* If no certificate can't return certificate status */
2659         if (certpkey != NULL) {
2660             /*
2661              * Set current certificate to one we will use so SSL_get_certificate
2662              * et al can pick it up.
2663              */
2664             s->cert->key = certpkey;
2665             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2666             switch (ret) {
2667                 /* We don't want to send a status request response */
2668             case SSL_TLSEXT_ERR_NOACK:
2669                 s->tlsext_status_expected = 0;
2670                 break;
2671                 /* status request response should be sent */
2672             case SSL_TLSEXT_ERR_OK:
2673                 if (s->tlsext_ocsp_resp)
2674                     s->tlsext_status_expected = 1;
2675                 break;
2676                 /* something bad happened */
2677             case SSL_TLSEXT_ERR_ALERT_FATAL:
2678             default:
2679                 *al = SSL_AD_INTERNAL_ERROR;
2680                 return 0;
2681             }
2682         }
2683     }
2684
2685     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2686         return 0;
2687     }
2688
2689     return 1;
2690 }
2691
2692 int ssl_check_serverhello_tlsext(SSL *s)
2693 {
2694     int ret = SSL_TLSEXT_ERR_NOACK;
2695     int al = SSL_AD_UNRECOGNIZED_NAME;
2696
2697 #ifndef OPENSSL_NO_EC
2698     /*
2699      * If we are client and using an elliptic curve cryptography cipher
2700      * suite, then if server returns an EC point formats lists extension it
2701      * must contain uncompressed.
2702      */
2703     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2704     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2705     if ((s->tlsext_ecpointformatlist != NULL)
2706         && (s->tlsext_ecpointformatlist_length > 0)
2707         && (s->session->tlsext_ecpointformatlist != NULL)
2708         && (s->session->tlsext_ecpointformatlist_length > 0)
2709         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2710         /* we are using an ECC cipher */
2711         size_t i;
2712         unsigned char *list;
2713         int found_uncompressed = 0;
2714         list = s->session->tlsext_ecpointformatlist;
2715         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2716             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2717                 found_uncompressed = 1;
2718                 break;
2719             }
2720         }
2721         if (!found_uncompressed) {
2722             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2723                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2724             return -1;
2725         }
2726     }
2727     ret = SSL_TLSEXT_ERR_OK;
2728 #endif                          /* OPENSSL_NO_EC */
2729
2730     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2731         ret =
2732             s->ctx->tlsext_servername_callback(s, &al,
2733                                                s->ctx->tlsext_servername_arg);
2734     else if (s->initial_ctx != NULL
2735              && s->initial_ctx->tlsext_servername_callback != 0)
2736         ret =
2737             s->initial_ctx->tlsext_servername_callback(s, &al,
2738                                                        s->
2739                                                        initial_ctx->tlsext_servername_arg);
2740
2741     /*
2742      * Ensure we get sensible values passed to tlsext_status_cb in the event
2743      * that we don't receive a status message
2744      */
2745     OPENSSL_free(s->tlsext_ocsp_resp);
2746     s->tlsext_ocsp_resp = NULL;
2747     s->tlsext_ocsp_resplen = -1;
2748
2749     switch (ret) {
2750     case SSL_TLSEXT_ERR_ALERT_FATAL:
2751         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2752         return -1;
2753
2754     case SSL_TLSEXT_ERR_ALERT_WARNING:
2755         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2756         return 1;
2757
2758     case SSL_TLSEXT_ERR_NOACK:
2759         s->servername_done = 0;
2760     default:
2761         return 1;
2762     }
2763 }
2764
2765 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2766 {
2767     int al = -1;
2768     if (s->version < SSL3_VERSION)
2769         return 1;
2770     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2771         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2772         return 0;
2773     }
2774
2775     if (ssl_check_serverhello_tlsext(s) <= 0) {
2776         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2777         return 0;
2778     }
2779     return 1;
2780 }
2781
2782 /*-
2783  * Since the server cache lookup is done early on in the processing of the
2784  * ClientHello and other operations depend on the result some extensions
2785  * need to be handled at the same time.
2786  *
2787  * Two extensions are currently handled, session ticket and extended master
2788  * secret.
2789  *
2790  *   session_id: ClientHello session ID.
2791  *   ext: ClientHello extensions (including length prefix)
2792  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2793  *       point to the resulting session.
2794  *
2795  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2796  * ciphersuite, in which case we have no use for session tickets and one will
2797  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2798  *
2799  * Returns:
2800  *   -1: fatal error, either from parsing or decrypting the ticket.
2801  *    0: no ticket was found (or was ignored, based on settings).
2802  *    1: a zero length extension was found, indicating that the client supports
2803  *       session tickets but doesn't currently have one to offer.
2804  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2805  *       couldn't be decrypted because of a non-fatal error.
2806  *    3: a ticket was successfully decrypted and *ret was set.
2807  *
2808  * Side effects:
2809  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2810  *   a new session ticket to the client because the client indicated support
2811  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2812  *   a session ticket or we couldn't use the one it gave us, or if
2813  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2814  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2815  *
2816  *   For extended master secret flag is set if the extension is present.
2817  *
2818  */
2819 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2820                                        const PACKET *session_id,
2821                                        SSL_SESSION **ret)
2822 {
2823     unsigned int i;
2824     PACKET local_ext = *ext;
2825     int retv = -1;
2826
2827     int have_ticket = 0;
2828     int use_ticket = tls_use_ticket(s);
2829
2830     *ret = NULL;
2831     s->tlsext_ticket_expected = 0;
2832     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2833
2834     /*
2835      * If tickets disabled behave as if no ticket present to permit stateful
2836      * resumption.
2837      */
2838     if ((s->version <= SSL3_VERSION))
2839         return 0;
2840
2841     if (!PACKET_get_net_2(&local_ext, &i)) {
2842         retv = 0;
2843         goto end;
2844     }
2845     while (PACKET_remaining(&local_ext) >= 4) {
2846         unsigned int type, size;
2847
2848         if (!PACKET_get_net_2(&local_ext, &type)
2849             || !PACKET_get_net_2(&local_ext, &size)) {
2850             /* Shouldn't ever happen */
2851             retv = -1;
2852             goto end;
2853         }
2854         if (PACKET_remaining(&local_ext) < size) {
2855             retv = 0;
2856             goto end;
2857         }
2858         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2859             int r;
2860             const unsigned char *etick;
2861
2862             /* Duplicate extension */
2863             if (have_ticket != 0) {
2864                 retv = -1;
2865                 goto end;
2866             }
2867             have_ticket = 1;
2868
2869             if (size == 0) {
2870                 /*
2871                  * The client will accept a ticket but doesn't currently have
2872                  * one.
2873                  */
2874                 s->tlsext_ticket_expected = 1;
2875                 retv = 1;
2876                 continue;
2877             }
2878             if (s->tls_session_secret_cb) {
2879                 /*
2880                  * Indicate that the ticket couldn't be decrypted rather than
2881                  * generating the session from ticket now, trigger
2882                  * abbreviated handshake based on external mechanism to
2883                  * calculate the master secret later.
2884                  */
2885                 retv = 2;
2886                 continue;
2887             }
2888             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2889                 /* Shouldn't ever happen */
2890                 retv = -1;
2891                 goto end;
2892             }
2893             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2894                                    PACKET_remaining(session_id), ret);
2895             switch (r) {
2896             case 2:            /* ticket couldn't be decrypted */
2897                 s->tlsext_ticket_expected = 1;
2898                 retv = 2;
2899                 break;
2900             case 3:            /* ticket was decrypted */
2901                 retv = r;
2902                 break;
2903             case 4:            /* ticket decrypted but need to renew */
2904                 s->tlsext_ticket_expected = 1;
2905                 retv = 3;
2906                 break;
2907             default:           /* fatal error */
2908                 retv = -1;
2909                 break;
2910             }
2911             continue;
2912         } else {
2913             if (type == TLSEXT_TYPE_extended_master_secret)
2914                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2915             if (!PACKET_forward(&local_ext, size)) {
2916                 retv = -1;
2917                 goto end;
2918             }
2919         }
2920     }
2921     if (have_ticket == 0)
2922         retv = 0;
2923  end:
2924     return retv;
2925 }
2926
2927 /*-
2928  * tls_decrypt_ticket attempts to decrypt a session ticket.
2929  *
2930  *   etick: points to the body of the session ticket extension.
2931  *   eticklen: the length of the session tickets extension.
2932  *   sess_id: points at the session ID.
2933  *   sesslen: the length of the session ID.
2934  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2935  *       point to the resulting session.
2936  *
2937  * Returns:
2938  *   -2: fatal error, malloc failure.
2939  *   -1: fatal error, either from parsing or decrypting the ticket.
2940  *    2: the ticket couldn't be decrypted.
2941  *    3: a ticket was successfully decrypted and *psess was set.
2942  *    4: same as 3, but the ticket needs to be renewed.
2943  */
2944 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2945                               int eticklen, const unsigned char *sess_id,
2946                               int sesslen, SSL_SESSION **psess)
2947 {
2948     SSL_SESSION *sess;
2949     unsigned char *sdec;
2950     const unsigned char *p;
2951     int slen, mlen, renew_ticket = 0, ret = -1;
2952     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2953     HMAC_CTX *hctx = NULL;
2954     EVP_CIPHER_CTX *ctx;
2955     SSL_CTX *tctx = s->initial_ctx;
2956
2957     /* Initialize session ticket encryption and HMAC contexts */
2958     hctx = HMAC_CTX_new();
2959     if (hctx == NULL)
2960         return -2;
2961     ctx = EVP_CIPHER_CTX_new();
2962     if (ctx == NULL) {
2963         ret = -2;
2964         goto err;
2965     }
2966     if (tctx->tlsext_ticket_key_cb) {
2967         unsigned char *nctick = (unsigned char *)etick;
2968         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
2969                                             ctx, hctx, 0);
2970         if (rv < 0)
2971             goto err;
2972         if (rv == 0) {
2973             ret = 2;
2974             goto err;
2975         }
2976         if (rv == 2)
2977             renew_ticket = 1;
2978     } else {
2979         /* Check key name matches */
2980         if (memcmp(etick, tctx->tlsext_tick_key_name,
2981                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
2982             ret = 2;
2983             goto err;
2984         }
2985         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
2986                          sizeof(tctx->tlsext_tick_hmac_key),
2987                          EVP_sha256(), NULL) <= 0
2988             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
2989                                   tctx->tlsext_tick_aes_key,
2990                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
2991             0) {
2992             goto err;
2993         }
2994     }
2995     /*
2996      * Attempt to process session ticket, first conduct sanity and integrity
2997      * checks on ticket.
2998      */
2999     mlen = HMAC_size(hctx);
3000     if (mlen < 0) {
3001         goto err;
3002     }
3003     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3004     if (eticklen <=
3005         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3006         ret = 2;
3007         goto err;
3008     }
3009     eticklen -= mlen;
3010     /* Check HMAC of encrypted ticket */
3011     if (HMAC_Update(hctx, etick, eticklen) <= 0
3012         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3013         goto err;
3014     }
3015     HMAC_CTX_free(hctx);
3016     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3017         EVP_CIPHER_CTX_free(ctx);
3018         return 2;
3019     }
3020     /* Attempt to decrypt session data */
3021     /* Move p after IV to start of encrypted ticket, update length */
3022     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3023     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3024     sdec = OPENSSL_malloc(eticklen);
3025     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3026         EVP_CIPHER_CTX_free(ctx);
3027         OPENSSL_free(sdec);
3028         return -1;
3029     }
3030     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3031         EVP_CIPHER_CTX_free(ctx);
3032         OPENSSL_free(sdec);
3033         return 2;
3034     }
3035     slen += mlen;
3036     EVP_CIPHER_CTX_free(ctx);
3037     ctx = NULL;
3038     p = sdec;
3039
3040     sess = d2i_SSL_SESSION(NULL, &p, slen);
3041     OPENSSL_free(sdec);
3042     if (sess) {
3043         /*
3044          * The session ID, if non-empty, is used by some clients to detect
3045          * that the ticket has been accepted. So we copy it to the session
3046          * structure. If it is empty set length to zero as required by
3047          * standard.
3048          */
3049         if (sesslen)
3050             memcpy(sess->session_id, sess_id, sesslen);
3051         sess->session_id_length = sesslen;
3052         *psess = sess;
3053         if (renew_ticket)
3054             return 4;
3055         else
3056             return 3;
3057     }
3058     ERR_clear_error();
3059     /*
3060      * For session parse failure, indicate that we need to send a new ticket.
3061      */
3062     return 2;
3063  err:
3064     EVP_CIPHER_CTX_free(ctx);
3065     HMAC_CTX_free(hctx);
3066     return ret;
3067 }
3068
3069 /* Tables to translate from NIDs to TLS v1.2 ids */
3070
3071 typedef struct {
3072     int nid;
3073     int id;
3074 } tls12_lookup;
3075
3076 static const tls12_lookup tls12_md[] = {
3077     {NID_md5, TLSEXT_hash_md5},
3078     {NID_sha1, TLSEXT_hash_sha1},
3079     {NID_sha224, TLSEXT_hash_sha224},
3080     {NID_sha256, TLSEXT_hash_sha256},
3081     {NID_sha384, TLSEXT_hash_sha384},
3082     {NID_sha512, TLSEXT_hash_sha512},
3083     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3084     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3085     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3086 };
3087
3088 static const tls12_lookup tls12_sig[] = {
3089     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3090     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3091     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3092     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3093     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3094     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3095 };
3096
3097 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3098 {
3099     size_t i;
3100     for (i = 0; i < tlen; i++) {
3101         if (table[i].nid == nid)
3102             return table[i].id;
3103     }
3104     return -1;
3105 }
3106
3107 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3108 {
3109     size_t i;
3110     for (i = 0; i < tlen; i++) {
3111         if ((table[i].id) == id)
3112             return table[i].nid;
3113     }
3114     return NID_undef;
3115 }
3116
3117 int tls12_get_sigandhash(WPACKET *pkt, const EVP_PKEY *pk, const EVP_MD *md)
3118 {
3119     int sig_id, md_id;
3120
3121     if (md == NULL)
3122         return 0;
3123     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3124     if (md_id == -1)
3125         return 0;
3126     sig_id = tls12_get_sigid(pk);
3127     if (sig_id == -1)
3128         return 0;
3129     if (!WPACKET_put_bytes_u8(pkt, md_id) || !WPACKET_put_bytes_u8(pkt, sig_id))
3130         return 0;
3131
3132     return 1;
3133 }
3134
3135 /*
3136  * Old version of the tls12_get_sigandhash function used by code that has not
3137  * yet been converted to WPACKET yet. It will be deleted once WPACKET conversion
3138  * is complete.
3139  * TODO - DELETE ME
3140  */
3141 int tls12_get_sigandhash_old(unsigned char *p, const EVP_PKEY *pk,
3142                              const EVP_MD *md)
3143 {
3144     int sig_id, md_id;
3145     if (!md)
3146         return 0;
3147     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3148     if (md_id == -1)
3149         return 0;
3150     sig_id = tls12_get_sigid(pk);
3151     if (sig_id == -1)
3152         return 0;
3153     p[0] = (unsigned char)md_id;
3154     p[1] = (unsigned char)sig_id;
3155     return 1;
3156 }
3157
3158 int tls12_get_sigid(const EVP_PKEY *pk)
3159 {
3160     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3161 }
3162
3163 typedef struct {
3164     int nid;
3165     int secbits;
3166     int md_idx;
3167     unsigned char tlsext_hash;
3168 } tls12_hash_info;
3169
3170 static const tls12_hash_info tls12_md_info[] = {
3171     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3172     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3173     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3174     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3175     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3176     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3177     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3178     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3179      TLSEXT_hash_gostr34112012_256},
3180     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3181      TLSEXT_hash_gostr34112012_512},
3182 };
3183
3184 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3185 {
3186     unsigned int i;
3187     if (hash_alg == 0)
3188         return NULL;
3189
3190     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3191         if (tls12_md_info[i].tlsext_hash == hash_alg)
3192             return tls12_md_info + i;
3193     }
3194
3195     return NULL;
3196 }
3197
3198 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3199 {
3200     const tls12_hash_info *inf;
3201     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3202         return NULL;
3203     inf = tls12_get_hash_info(hash_alg);
3204     if (!inf)
3205         return NULL;
3206     return ssl_md(inf->md_idx);
3207 }
3208
3209 static int tls12_get_pkey_idx(unsigned char sig_alg)
3210 {
3211     switch (sig_alg) {
3212 #ifndef OPENSSL_NO_RSA
3213     case TLSEXT_signature_rsa:
3214         return SSL_PKEY_RSA_SIGN;
3215 #endif
3216 #ifndef OPENSSL_NO_DSA
3217     case TLSEXT_signature_dsa:
3218         return SSL_PKEY_DSA_SIGN;
3219 #endif
3220 #ifndef OPENSSL_NO_EC
3221     case TLSEXT_signature_ecdsa:
3222         return SSL_PKEY_ECC;
3223 #endif
3224 #ifndef OPENSSL_NO_GOST
3225     case TLSEXT_signature_gostr34102001:
3226         return SSL_PKEY_GOST01;
3227
3228     case TLSEXT_signature_gostr34102012_256:
3229         return SSL_PKEY_GOST12_256;
3230
3231     case TLSEXT_signature_gostr34102012_512:
3232         return SSL_PKEY_GOST12_512;
3233 #endif
3234     }
3235     return -1;
3236 }
3237
3238 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3239 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3240                                int *psignhash_nid, const unsigned char *data)
3241 {
3242     int sign_nid = NID_undef, hash_nid = NID_undef;
3243     if (!phash_nid && !psign_nid && !psignhash_nid)
3244         return;
3245     if (phash_nid || psignhash_nid) {
3246         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3247         if (phash_nid)
3248             *phash_nid = hash_nid;
3249     }
3250     if (psign_nid || psignhash_nid) {
3251         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3252         if (psign_nid)
3253             *psign_nid = sign_nid;
3254     }
3255     if (psignhash_nid) {
3256         if (sign_nid == NID_undef || hash_nid == NID_undef
3257             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3258             *psignhash_nid = NID_undef;
3259     }
3260 }
3261
3262 /* Check to see if a signature algorithm is allowed */
3263 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3264 {
3265     /* See if we have an entry in the hash table and it is enabled */
3266     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3267     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3268         return 0;
3269     /* See if public key algorithm allowed */
3270     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3271         return 0;
3272     /* Finally see if security callback allows it */
3273     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3274 }
3275
3276 /*
3277  * Get a mask of disabled public key algorithms based on supported signature
3278  * algorithms. For example if no signature algorithm supports RSA then RSA is
3279  * disabled.
3280  */
3281
3282 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3283 {
3284     const unsigned char *sigalgs;
3285     size_t i, sigalgslen;
3286     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3287     /*
3288      * Now go through all signature algorithms seeing if we support any for
3289      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3290      * down calls to security callback only check if we have to.
3291      */
3292     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3293     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3294         switch (sigalgs[1]) {
3295 #ifndef OPENSSL_NO_RSA
3296         case TLSEXT_signature_rsa:
3297             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3298                 have_rsa = 1;
3299             break;
3300 #endif
3301 #ifndef OPENSSL_NO_DSA
3302         case TLSEXT_signature_dsa:
3303             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3304                 have_dsa = 1;
3305             break;
3306 #endif
3307 #ifndef OPENSSL_NO_EC
3308         case TLSEXT_signature_ecdsa:
3309             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3310                 have_ecdsa = 1;
3311             break;
3312 #endif
3313         }
3314     }
3315     if (!have_rsa)
3316         *pmask_a |= SSL_aRSA;
3317     if (!have_dsa)
3318         *pmask_a |= SSL_aDSS;
3319     if (!have_ecdsa)
3320         *pmask_a |= SSL_aECDSA;
3321 }
3322
3323 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3324                        const unsigned char *psig, size_t psiglen)
3325 {
3326     size_t i;
3327
3328     for (i = 0; i < psiglen; i += 2, psig += 2) {
3329         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3330             if (!WPACKET_put_bytes_u8(pkt, psig[0])
3331                     || !WPACKET_put_bytes_u8(pkt, psig[1]))
3332                 return 0;
3333         }
3334     }
3335     return 1;
3336 }
3337
3338 /* Given preference and allowed sigalgs set shared sigalgs */
3339 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3340                                 const unsigned char *pref, size_t preflen,
3341                                 const unsigned char *allow, size_t allowlen)
3342 {
3343     const unsigned char *ptmp, *atmp;
3344     size_t i, j, nmatch = 0;
3345     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3346         /* Skip disabled hashes or signature algorithms */
3347         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3348             continue;
3349         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3350             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3351                 nmatch++;
3352                 if (shsig) {
3353                     shsig->rhash = ptmp[0];
3354                     shsig->rsign = ptmp[1];
3355                     tls1_lookup_sigalg(&shsig->hash_nid,
3356                                        &shsig->sign_nid,
3357                                        &shsig->signandhash_nid, ptmp);
3358                     shsig++;
3359                 }
3360                 break;
3361             }
3362         }
3363     }
3364     return nmatch;
3365 }
3366
3367 /* Set shared signature algorithms for SSL structures */
3368 static int tls1_set_shared_sigalgs(SSL *s)
3369 {
3370     const unsigned char *pref, *allow, *conf;
3371     size_t preflen, allowlen, conflen;
3372     size_t nmatch;
3373     TLS_SIGALGS *salgs = NULL;
3374     CERT *c = s->cert;
3375     unsigned int is_suiteb = tls1_suiteb(s);
3376
3377     OPENSSL_free(c->shared_sigalgs);
3378     c->shared_sigalgs = NULL;
3379     c->shared_sigalgslen = 0;
3380     /* If client use client signature algorithms if not NULL */
3381     if (!s->server && c->client_sigalgs && !is_suiteb) {
3382         conf = c->client_sigalgs;
3383         conflen = c->client_sigalgslen;
3384     } else if (c->conf_sigalgs && !is_suiteb) {
3385         conf = c->conf_sigalgs;
3386         conflen = c->conf_sigalgslen;
3387     } else
3388         conflen = tls12_get_psigalgs(s, &conf);
3389     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3390         pref = conf;
3391         preflen = conflen;
3392         allow = s->s3->tmp.peer_sigalgs;
3393         allowlen = s->s3->tmp.peer_sigalgslen;
3394     } else {
3395         allow = conf;
3396         allowlen = conflen;
3397         pref = s->s3->tmp.peer_sigalgs;
3398         preflen = s->s3->tmp.peer_sigalgslen;
3399     }
3400     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3401     if (nmatch) {
3402         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3403         if (salgs == NULL)
3404             return 0;
3405         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3406     } else {
3407         salgs = NULL;
3408     }
3409     c->shared_sigalgs = salgs;
3410     c->shared_sigalgslen = nmatch;
3411     return 1;
3412 }
3413
3414 /* Set preferred digest for each key type */
3415
3416 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3417 {
3418     CERT *c = s->cert;
3419     /* Extension ignored for inappropriate versions */
3420     if (!SSL_USE_SIGALGS(s))
3421         return 1;
3422     /* Should never happen */
3423     if (!c)
3424         return 0;
3425
3426     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3427     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3428     if (s->s3->tmp.peer_sigalgs == NULL)
3429         return 0;
3430     s->s3->tmp.peer_sigalgslen = dsize;
3431     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3432     return 1;
3433 }
3434
3435 int tls1_process_sigalgs(SSL *s)
3436 {
3437     int idx;
3438     size_t i;
3439     const EVP_MD *md;
3440     const EVP_MD **pmd = s->s3->tmp.md;
3441     uint32_t *pvalid = s->s3->tmp.valid_flags;
3442     CERT *c = s->cert;
3443     TLS_SIGALGS *sigptr;
3444     if (!tls1_set_shared_sigalgs(s))
3445         return 0;
3446
3447     for (i = 0, sigptr = c->shared_sigalgs;
3448          i < c->shared_sigalgslen; i++, sigptr++) {
3449         idx = tls12_get_pkey_idx(sigptr->rsign);
3450         if (idx > 0 && pmd[idx] == NULL) {
3451             md = tls12_get_hash(sigptr->rhash);
3452             pmd[idx] = md;
3453             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3454             if (idx == SSL_PKEY_RSA_SIGN) {
3455                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3456                 pmd[SSL_PKEY_RSA_ENC] = md;
3457             }
3458         }
3459
3460     }
3461     /*
3462      * In strict mode leave unset digests as NULL to indicate we can't use
3463      * the certificate for signing.
3464      */
3465     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3466         /*
3467          * Set any remaining keys to default values. NOTE: if alg is not
3468          * supported it stays as NULL.
3469          */
3470 #ifndef OPENSSL_NO_DSA
3471         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3472             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3473 #endif
3474 #ifndef OPENSSL_NO_RSA
3475         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3476             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3477             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3478         }
3479 #endif
3480 #ifndef OPENSSL_NO_EC
3481         if (pmd[SSL_PKEY_ECC] == NULL)
3482             pmd[SSL_PKEY_ECC] = EVP_sha1();
3483 #endif
3484 #ifndef OPENSSL_NO_GOST
3485         if (pmd[SSL_PKEY_GOST01] == NULL)
3486             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3487         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3488             pmd[SSL_PKEY_GOST12_256] =
3489                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3490         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3491             pmd[SSL_PKEY_GOST12_512] =
3492                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3493 #endif
3494     }
3495     return 1;
3496 }
3497
3498 int SSL_get_sigalgs(SSL *s, int idx,
3499                     int *psign, int *phash, int *psignhash,
3500                     unsigned char *rsig, unsigned char *rhash)
3501 {
3502     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3503     if (psig == NULL)
3504         return 0;
3505     if (idx >= 0) {
3506         idx <<= 1;
3507         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3508             return 0;
3509         psig += idx;
3510         if (rhash)
3511             *rhash = psig[0];
3512         if (rsig)
3513             *rsig = psig[1];
3514         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3515     }
3516     return s->s3->tmp.peer_sigalgslen / 2;
3517 }
3518
3519 int SSL_get_shared_sigalgs(SSL *s, int idx,
3520                            int *psign, int *phash, int *psignhash,
3521                            unsigned char *rsig, unsigned char *rhash)
3522 {
3523     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3524     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3525         return 0;
3526     shsigalgs += idx;
3527     if (phash)
3528         *phash = shsigalgs->hash_nid;
3529     if (psign)
3530         *psign = shsigalgs->sign_nid;
3531     if (psignhash)
3532         *psignhash = shsigalgs->signandhash_nid;
3533     if (rsig)
3534         *rsig = shsigalgs->rsign;
3535     if (rhash)
3536         *rhash = shsigalgs->rhash;
3537     return s->cert->shared_sigalgslen;
3538 }
3539
3540 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3541
3542 typedef struct {
3543     size_t sigalgcnt;
3544     int sigalgs[MAX_SIGALGLEN];
3545 } sig_cb_st;
3546
3547 static void get_sigorhash(int *psig, int *phash, const char *str)
3548 {
3549     if (strcmp(str, "RSA") == 0) {
3550         *psig = EVP_PKEY_RSA;
3551     } else if (strcmp(str, "DSA") == 0) {
3552         *psig = EVP_PKEY_DSA;
3553     } else if (strcmp(str, "ECDSA") == 0) {
3554         *psig = EVP_PKEY_EC;
3555     } else {
3556         *phash = OBJ_sn2nid(str);
3557         if (*phash == NID_undef)
3558             *phash = OBJ_ln2nid(str);
3559     }
3560 }
3561
3562 static int sig_cb(const char *elem, int len, void *arg)
3563 {
3564     sig_cb_st *sarg = arg;
3565     size_t i;
3566     char etmp[20], *p;
3567     int sig_alg = NID_undef, hash_alg = NID_undef;
3568     if (elem == NULL)
3569         return 0;
3570     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3571         return 0;
3572     if (len > (int)(sizeof(etmp) - 1))
3573         return 0;
3574     memcpy(etmp, elem, len);
3575     etmp[len] = 0;
3576     p = strchr(etmp, '+');
3577     if (!p)
3578         return 0;
3579     *p = 0;
3580     p++;
3581     if (!*p)
3582         return 0;
3583
3584     get_sigorhash(&sig_alg, &hash_alg, etmp);
3585     get_sigorhash(&sig_alg, &hash_alg, p);
3586
3587     if (sig_alg == NID_undef || hash_alg == NID_undef)
3588         return 0;
3589
3590     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3591         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3592             return 0;
3593     }
3594     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3595     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3596     return 1;
3597 }
3598
3599 /*
3600  * Set supported signature algorithms based on a colon separated list of the
3601  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3602  */
3603 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3604 {
3605     sig_cb_st sig;
3606     sig.sigalgcnt = 0;
3607     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3608         return 0;
3609     if (c == NULL)
3610         return 1;
3611     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3612 }
3613
3614 int tls1_set_sigalgs(CERT *c, const int *psig_nids, size_t salglen, int client)
3615 {
3616     unsigned char *sigalgs, *sptr;
3617     int rhash, rsign;
3618     size_t i;
3619     if (salglen & 1)
3620         return 0;
3621     sigalgs = OPENSSL_malloc(salglen);
3622     if (sigalgs == NULL)
3623         return 0;
3624     for (i = 0, sptr = sigalgs; i < salglen; i += 2) {
3625         rhash = tls12_find_id(*psig_nids++, tls12_md, OSSL_NELEM(tls12_md));
3626         rsign = tls12_find_id(*psig_nids++, tls12_sig, OSSL_NELEM(tls12_sig));
3627
3628         if (rhash == -1 || rsign == -1)
3629             goto err;
3630         *sptr++ = rhash;
3631         *sptr++ = rsign;
3632     }
3633
3634     if (client) {
3635         OPENSSL_free(c->client_sigalgs);
3636         c->client_sigalgs = sigalgs;
3637         c->client_sigalgslen = salglen;
3638     } else {
3639         OPENSSL_free(c->conf_sigalgs);
3640         c->conf_sigalgs = sigalgs;
3641         c->conf_sigalgslen = salglen;
3642     }
3643
3644     return 1;
3645
3646  err:
3647     OPENSSL_free(sigalgs);
3648     return 0;
3649 }
3650
3651 static int tls1_check_sig_alg(CERT *c, X509 *x, int default_nid)
3652 {
3653     int sig_nid;
3654     size_t i;
3655     if (default_nid == -1)
3656         return 1;
3657     sig_nid = X509_get_signature_nid(x);
3658     if (default_nid)
3659         return sig_nid == default_nid ? 1 : 0;
3660     for (i = 0; i < c->shared_sigalgslen; i++)
3661         if (sig_nid == c->shared_sigalgs[i].signandhash_nid)
3662             return 1;
3663     return 0;
3664 }
3665
3666 /* Check to see if a certificate issuer name matches list of CA names */
3667 static int ssl_check_ca_name(STACK_OF(X509_NAME) *names, X509 *x)
3668 {
3669     X509_NAME *nm;
3670     int i;
3671     nm = X509_get_issuer_name(x);
3672     for (i = 0; i < sk_X509_NAME_num(names); i++) {
3673         if (!X509_NAME_cmp(nm, sk_X509_NAME_value(names, i)))
3674             return 1;
3675     }
3676     return 0;
3677 }
3678
3679 /*
3680  * Check certificate chain is consistent with TLS extensions and is usable by
3681  * server. This servers two purposes: it allows users to check chains before
3682  * passing them to the server and it allows the server to check chains before
3683  * attempting to use them.
3684  */
3685