Use AES256 for the default encryption algoritm for TLS session tickets
[openssl.git] / ssl / t1_lib.c
1 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
2  * All rights reserved.
3  *
4  * This package is an SSL implementation written
5  * by Eric Young (eay@cryptsoft.com).
6  * The implementation was written so as to conform with Netscapes SSL.
7  *
8  * This library is free for commercial and non-commercial use as long as
9  * the following conditions are aheared to.  The following conditions
10  * apply to all code found in this distribution, be it the RC4, RSA,
11  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
12  * included with this distribution is covered by the same copyright terms
13  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
14  *
15  * Copyright remains Eric Young's, and as such any Copyright notices in
16  * the code are not to be removed.
17  * If this package is used in a product, Eric Young should be given attribution
18  * as the author of the parts of the library used.
19  * This can be in the form of a textual message at program startup or
20  * in documentation (online or textual) provided with the package.
21  *
22  * Redistribution and use in source and binary forms, with or without
23  * modification, are permitted provided that the following conditions
24  * are met:
25  * 1. Redistributions of source code must retain the copyright
26  *    notice, this list of conditions and the following disclaimer.
27  * 2. Redistributions in binary form must reproduce the above copyright
28  *    notice, this list of conditions and the following disclaimer in the
29  *    documentation and/or other materials provided with the distribution.
30  * 3. All advertising materials mentioning features or use of this software
31  *    must display the following acknowledgement:
32  *    "This product includes cryptographic software written by
33  *     Eric Young (eay@cryptsoft.com)"
34  *    The word 'cryptographic' can be left out if the rouines from the library
35  *    being used are not cryptographic related :-).
36  * 4. If you include any Windows specific code (or a derivative thereof) from
37  *    the apps directory (application code) you must include an acknowledgement:
38  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
41  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
43  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
44  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
45  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
46  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
48  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
49  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
50  * SUCH DAMAGE.
51  *
52  * The licence and distribution terms for any publically available version or
53  * derivative of this code cannot be changed.  i.e. this code cannot simply be
54  * copied and put under another distribution licence
55  * [including the GNU Public Licence.]
56  */
57 /* ====================================================================
58  * Copyright (c) 1998-2007 The OpenSSL Project.  All rights reserved.
59  *
60  * Redistribution and use in source and binary forms, with or without
61  * modification, are permitted provided that the following conditions
62  * are met:
63  *
64  * 1. Redistributions of source code must retain the above copyright
65  *    notice, this list of conditions and the following disclaimer.
66  *
67  * 2. Redistributions in binary form must reproduce the above copyright
68  *    notice, this list of conditions and the following disclaimer in
69  *    the documentation and/or other materials provided with the
70  *    distribution.
71  *
72  * 3. All advertising materials mentioning features or use of this
73  *    software must display the following acknowledgment:
74  *    "This product includes software developed by the OpenSSL Project
75  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
76  *
77  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
78  *    endorse or promote products derived from this software without
79  *    prior written permission. For written permission, please contact
80  *    openssl-core@openssl.org.
81  *
82  * 5. Products derived from this software may not be called "OpenSSL"
83  *    nor may "OpenSSL" appear in their names without prior written
84  *    permission of the OpenSSL Project.
85  *
86  * 6. Redistributions of any form whatsoever must retain the following
87  *    acknowledgment:
88  *    "This product includes software developed by the OpenSSL Project
89  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
90  *
91  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
92  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
93  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
94  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
95  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
96  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
97  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
98  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
99  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
100  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
101  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
102  * OF THE POSSIBILITY OF SUCH DAMAGE.
103  * ====================================================================
104  *
105  * This product includes cryptographic software written by Eric Young
106  * (eay@cryptsoft.com).  This product includes software written by Tim
107  * Hudson (tjh@cryptsoft.com).
108  *
109  */
110
111 #include <stdio.h>
112 #include <stdlib.h>
113 #include <openssl/objects.h>
114 #include <openssl/evp.h>
115 #include <openssl/hmac.h>
116 #include <openssl/ocsp.h>
117 #include <openssl/conf.h>
118 #include <openssl/x509v3.h>
119 #include <openssl/rand.h>
120 #include <openssl/dh.h>
121 #include <openssl/bn.h>
122 #include "ssl_locl.h"
123 #include <openssl/ct.h>
124
125 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
126                               const unsigned char *sess_id, int sesslen,
127                               SSL_SESSION **psess);
128 static int ssl_check_clienthello_tlsext_early(SSL *s);
129 static int ssl_check_serverhello_tlsext(SSL *s);
130
131 SSL3_ENC_METHOD const TLSv1_enc_data = {
132     tls1_enc,
133     tls1_mac,
134     tls1_setup_key_block,
135     tls1_generate_master_secret,
136     tls1_change_cipher_state,
137     tls1_final_finish_mac,
138     TLS1_FINISH_MAC_LENGTH,
139     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
140     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
141     tls1_alert_code,
142     tls1_export_keying_material,
143     0,
144     SSL3_HM_HEADER_LENGTH,
145     ssl3_set_handshake_header,
146     ssl3_handshake_write
147 };
148
149 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
150     tls1_enc,
151     tls1_mac,
152     tls1_setup_key_block,
153     tls1_generate_master_secret,
154     tls1_change_cipher_state,
155     tls1_final_finish_mac,
156     TLS1_FINISH_MAC_LENGTH,
157     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
158     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
159     tls1_alert_code,
160     tls1_export_keying_material,
161     SSL_ENC_FLAG_EXPLICIT_IV,
162     SSL3_HM_HEADER_LENGTH,
163     ssl3_set_handshake_header,
164     ssl3_handshake_write
165 };
166
167 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
168     tls1_enc,
169     tls1_mac,
170     tls1_setup_key_block,
171     tls1_generate_master_secret,
172     tls1_change_cipher_state,
173     tls1_final_finish_mac,
174     TLS1_FINISH_MAC_LENGTH,
175     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
176     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
177     tls1_alert_code,
178     tls1_export_keying_material,
179     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
180         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
181     SSL3_HM_HEADER_LENGTH,
182     ssl3_set_handshake_header,
183     ssl3_handshake_write
184 };
185
186 long tls1_default_timeout(void)
187 {
188     /*
189      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
190      * http, the cache would over fill
191      */
192     return (60 * 60 * 2);
193 }
194
195 int tls1_new(SSL *s)
196 {
197     if (!ssl3_new(s))
198         return (0);
199     s->method->ssl_clear(s);
200     return (1);
201 }
202
203 void tls1_free(SSL *s)
204 {
205     OPENSSL_free(s->tlsext_session_ticket);
206     ssl3_free(s);
207 }
208
209 void tls1_clear(SSL *s)
210 {
211     ssl3_clear(s);
212     if (s->method->version == TLS_ANY_VERSION)
213         s->version = TLS_MAX_VERSION;
214     else
215         s->version = s->method->version;
216 }
217
218 #ifndef OPENSSL_NO_EC
219
220 typedef struct {
221     int nid;                    /* Curve NID */
222     int secbits;                /* Bits of security (from SP800-57) */
223     unsigned int flags;         /* Flags: currently just field type */
224 } tls_curve_info;
225
226 /* Mask for curve type */
227 # define TLS_CURVE_TYPE          0x3
228 # define TLS_CURVE_PRIME         0x0
229 # define TLS_CURVE_CHAR2         0x1
230 # define TLS_CURVE_CUSTOM        0x2
231
232 /*
233  * Table of curve information.
234  * Do not delete entries or reorder this array! It is used as a lookup
235  * table: the index of each entry is one less than the TLS curve id.
236  */
237 static const tls_curve_info nid_list[] = {
238     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
239     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
240     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
241     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
242     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
243     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
244     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
245     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
246     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
247     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
248     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
249     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
250     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
251     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
252     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
253     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
254     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
255     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
256     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
257     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
258     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
259     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
260     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
261     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
262     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
263     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
264     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
265     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
266     /* X25519 (29) */
267     {NID_X25519, 128, TLS_CURVE_CUSTOM},
268 };
269
270 static const unsigned char ecformats_default[] = {
271     TLSEXT_ECPOINTFORMAT_uncompressed,
272     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
273     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
274 };
275
276 /* The default curves */
277 static const unsigned char eccurves_default[] = {
278     0, 29,                      /* X25519 (29) */
279     0, 23,                      /* secp256r1 (23) */
280     0, 25,                      /* secp521r1 (25) */
281     0, 24,                      /* secp384r1 (24) */
282 };
283
284 static const unsigned char eccurves_all[] = {
285     0, 29,                      /* X25519 (29) */
286     0, 23,                      /* secp256r1 (23) */
287     0, 25,                      /* secp521r1 (25) */
288     0, 24,                      /* secp384r1 (24) */
289     0, 26,                      /* brainpoolP256r1 (26) */
290     0, 27,                      /* brainpoolP384r1 (27) */
291     0, 28,                      /* brainpool512r1 (28) */
292
293     /*
294      * Remaining curves disabled by default but still permitted if set
295      * via an explicit callback or parameters.
296      */
297     0, 22,                      /* secp256k1 (22) */
298     0, 14,                      /* sect571r1 (14) */
299     0, 13,                      /* sect571k1 (13) */
300     0, 11,                      /* sect409k1 (11) */
301     0, 12,                      /* sect409r1 (12) */
302     0, 9,                       /* sect283k1 (9) */
303     0, 10,                      /* sect283r1 (10) */
304     0, 20,                      /* secp224k1 (20) */
305     0, 21,                      /* secp224r1 (21) */
306     0, 18,                      /* secp192k1 (18) */
307     0, 19,                      /* secp192r1 (19) */
308     0, 15,                      /* secp160k1 (15) */
309     0, 16,                      /* secp160r1 (16) */
310     0, 17,                      /* secp160r2 (17) */
311     0, 8,                       /* sect239k1 (8) */
312     0, 6,                       /* sect233k1 (6) */
313     0, 7,                       /* sect233r1 (7) */
314     0, 4,                       /* sect193r1 (4) */
315     0, 5,                       /* sect193r2 (5) */
316     0, 1,                       /* sect163k1 (1) */
317     0, 2,                       /* sect163r1 (2) */
318     0, 3,                       /* sect163r2 (3) */
319 };
320
321
322 static const unsigned char suiteb_curves[] = {
323     0, TLSEXT_curve_P_256,
324     0, TLSEXT_curve_P_384
325 };
326
327 int tls1_ec_curve_id2nid(int curve_id)
328 {
329     /* ECC curves from RFC 4492 and RFC 7027 */
330     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
331         return 0;
332     return nid_list[curve_id - 1].nid;
333 }
334
335 int tls1_ec_nid2curve_id(int nid)
336 {
337     size_t i;
338     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
339         if (nid_list[i].nid == nid)
340             return i + 1;
341     }
342     return 0;
343 }
344
345 /*
346  * Get curves list, if "sess" is set return client curves otherwise
347  * preferred list.
348  * Sets |num_curves| to the number of curves in the list, i.e.,
349  * the length of |pcurves| is 2 * num_curves.
350  * Returns 1 on success and 0 if the client curves list has invalid format.
351  * The latter indicates an internal error: we should not be accepting such
352  * lists in the first place.
353  * TODO(emilia): we should really be storing the curves list in explicitly
354  * parsed form instead. (However, this would affect binary compatibility
355  * so cannot happen in the 1.0.x series.)
356  */
357 static int tls1_get_curvelist(SSL *s, int sess,
358                               const unsigned char **pcurves,
359                               size_t *num_curves)
360 {
361     size_t pcurveslen = 0;
362     if (sess) {
363         *pcurves = s->session->tlsext_ellipticcurvelist;
364         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
365     } else {
366         /* For Suite B mode only include P-256, P-384 */
367         switch (tls1_suiteb(s)) {
368         case SSL_CERT_FLAG_SUITEB_128_LOS:
369             *pcurves = suiteb_curves;
370             pcurveslen = sizeof(suiteb_curves);
371             break;
372
373         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
374             *pcurves = suiteb_curves;
375             pcurveslen = 2;
376             break;
377
378         case SSL_CERT_FLAG_SUITEB_192_LOS:
379             *pcurves = suiteb_curves + 2;
380             pcurveslen = 2;
381             break;
382         default:
383             *pcurves = s->tlsext_ellipticcurvelist;
384             pcurveslen = s->tlsext_ellipticcurvelist_length;
385         }
386         if (!*pcurves) {
387             *pcurves = eccurves_default;
388             pcurveslen = sizeof(eccurves_default);
389         }
390     }
391
392     /* We do not allow odd length arrays to enter the system. */
393     if (pcurveslen & 1) {
394         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
395         *num_curves = 0;
396         return 0;
397     } else {
398         *num_curves = pcurveslen / 2;
399         return 1;
400     }
401 }
402
403 /* See if curve is allowed by security callback */
404 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
405 {
406     const tls_curve_info *cinfo;
407     if (curve[0])
408         return 1;
409     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
410         return 0;
411     cinfo = &nid_list[curve[1] - 1];
412 # ifdef OPENSSL_NO_EC2M
413     if (cinfo->flags & TLS_CURVE_CHAR2)
414         return 0;
415 # endif
416     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
417 }
418
419 /* Check a curve is one of our preferences */
420 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
421 {
422     const unsigned char *curves;
423     size_t num_curves, i;
424     unsigned int suiteb_flags = tls1_suiteb(s);
425     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
426         return 0;
427     /* Check curve matches Suite B preferences */
428     if (suiteb_flags) {
429         unsigned long cid = s->s3->tmp.new_cipher->id;
430         if (p[1])
431             return 0;
432         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
433             if (p[2] != TLSEXT_curve_P_256)
434                 return 0;
435         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
436             if (p[2] != TLSEXT_curve_P_384)
437                 return 0;
438         } else                  /* Should never happen */
439             return 0;
440     }
441     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
442         return 0;
443     for (i = 0; i < num_curves; i++, curves += 2) {
444         if (p[1] == curves[0] && p[2] == curves[1])
445             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
446     }
447     return 0;
448 }
449
450 /*-
451  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
452  * if there is no match.
453  * For nmatch == -1, return number of matches
454  * For nmatch == -2, return the NID of the curve to use for
455  * an EC tmp key, or NID_undef if there is no match.
456  */
457 int tls1_shared_curve(SSL *s, int nmatch)
458 {
459     const unsigned char *pref, *supp;
460     size_t num_pref, num_supp, i, j;
461     int k;
462     /* Can't do anything on client side */
463     if (s->server == 0)
464         return -1;
465     if (nmatch == -2) {
466         if (tls1_suiteb(s)) {
467             /*
468              * For Suite B ciphersuite determines curve: we already know
469              * these are acceptable due to previous checks.
470              */
471             unsigned long cid = s->s3->tmp.new_cipher->id;
472             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
473                 return NID_X9_62_prime256v1; /* P-256 */
474             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
475                 return NID_secp384r1; /* P-384 */
476             /* Should never happen */
477             return NID_undef;
478         }
479         /* If not Suite B just return first preference shared curve */
480         nmatch = 0;
481     }
482     /*
483      * Avoid truncation. tls1_get_curvelist takes an int
484      * but s->options is a long...
485      */
486     if (!tls1_get_curvelist
487         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
488          &num_supp))
489         /* In practice, NID_undef == 0 but let's be precise. */
490         return nmatch == -1 ? 0 : NID_undef;
491     if (!tls1_get_curvelist
492         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref,
493          &num_pref))
494         return nmatch == -1 ? 0 : NID_undef;
495
496     /*
497      * If the client didn't send the elliptic_curves extension all of them
498      * are allowed.
499      */
500     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
501         supp = eccurves_all;
502         num_supp = sizeof(eccurves_all) / 2;
503     } else if (num_pref == 0 &&
504         (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
505         pref = eccurves_all;
506         num_pref = sizeof(eccurves_all) / 2;
507     }
508
509     k = 0;
510     for (i = 0; i < num_pref; i++, pref += 2) {
511         const unsigned char *tsupp = supp;
512         for (j = 0; j < num_supp; j++, tsupp += 2) {
513             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
514                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
515                     continue;
516                 if (nmatch == k) {
517                     int id = (pref[0] << 8) | pref[1];
518                     return tls1_ec_curve_id2nid(id);
519                 }
520                 k++;
521             }
522         }
523     }
524     if (nmatch == -1)
525         return k;
526     /* Out of range (nmatch > k). */
527     return NID_undef;
528 }
529
530 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
531                     int *curves, size_t ncurves)
532 {
533     unsigned char *clist, *p;
534     size_t i;
535     /*
536      * Bitmap of curves included to detect duplicates: only works while curve
537      * ids < 32
538      */
539     unsigned long dup_list = 0;
540     clist = OPENSSL_malloc(ncurves * 2);
541     if (clist == NULL)
542         return 0;
543     for (i = 0, p = clist; i < ncurves; i++) {
544         unsigned long idmask;
545         int id;
546         id = tls1_ec_nid2curve_id(curves[i]);
547         idmask = 1L << id;
548         if (!id || (dup_list & idmask)) {
549             OPENSSL_free(clist);
550             return 0;
551         }
552         dup_list |= idmask;
553         s2n(id, p);
554     }
555     OPENSSL_free(*pext);
556     *pext = clist;
557     *pextlen = ncurves * 2;
558     return 1;
559 }
560
561 # define MAX_CURVELIST   28
562
563 typedef struct {
564     size_t nidcnt;
565     int nid_arr[MAX_CURVELIST];
566 } nid_cb_st;
567
568 static int nid_cb(const char *elem, int len, void *arg)
569 {
570     nid_cb_st *narg = arg;
571     size_t i;
572     int nid;
573     char etmp[20];
574     if (elem == NULL)
575         return 0;
576     if (narg->nidcnt == MAX_CURVELIST)
577         return 0;
578     if (len > (int)(sizeof(etmp) - 1))
579         return 0;
580     memcpy(etmp, elem, len);
581     etmp[len] = 0;
582     nid = EC_curve_nist2nid(etmp);
583     if (nid == NID_undef)
584         nid = OBJ_sn2nid(etmp);
585     if (nid == NID_undef)
586         nid = OBJ_ln2nid(etmp);
587     if (nid == NID_undef)
588         return 0;
589     for (i = 0; i < narg->nidcnt; i++)
590         if (narg->nid_arr[i] == nid)
591             return 0;
592     narg->nid_arr[narg->nidcnt++] = nid;
593     return 1;
594 }
595
596 /* Set curves based on a colon separate list */
597 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen,
598                          const char *str)
599 {
600     nid_cb_st ncb;
601     ncb.nidcnt = 0;
602     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
603         return 0;
604     if (pext == NULL)
605         return 1;
606     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
607 }
608
609 /* For an EC key set TLS id and required compression based on parameters */
610 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
611                           EC_KEY *ec)
612 {
613     int id;
614     const EC_GROUP *grp;
615     if (!ec)
616         return 0;
617     /* Determine if it is a prime field */
618     grp = EC_KEY_get0_group(ec);
619     if (!grp)
620         return 0;
621     /* Determine curve ID */
622     id = EC_GROUP_get_curve_name(grp);
623     id = tls1_ec_nid2curve_id(id);
624     /* If no id return error: we don't support arbitrary explicit curves */
625     if (id == 0)
626         return 0;
627     curve_id[0] = 0;
628     curve_id[1] = (unsigned char)id;
629     if (comp_id) {
630         if (EC_KEY_get0_public_key(ec) == NULL)
631             return 0;
632         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
633             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
634         } else {
635             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
636                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
637             else
638                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
639         }
640     }
641     return 1;
642 }
643
644 /* Check an EC key is compatible with extensions */
645 static int tls1_check_ec_key(SSL *s,
646                              unsigned char *curve_id, unsigned char *comp_id)
647 {
648     const unsigned char *pformats, *pcurves;
649     size_t num_formats, num_curves, i;
650     int j;
651     /*
652      * If point formats extension present check it, otherwise everything is
653      * supported (see RFC4492).
654      */
655     if (comp_id && s->session->tlsext_ecpointformatlist) {
656         pformats = s->session->tlsext_ecpointformatlist;
657         num_formats = s->session->tlsext_ecpointformatlist_length;
658         for (i = 0; i < num_formats; i++, pformats++) {
659             if (*comp_id == *pformats)
660                 break;
661         }
662         if (i == num_formats)
663             return 0;
664     }
665     if (!curve_id)
666         return 1;
667     /* Check curve is consistent with client and server preferences */
668     for (j = 0; j <= 1; j++) {
669         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
670             return 0;
671         if (j == 1 && num_curves == 0) {
672             /*
673              * If we've not received any curves then skip this check.
674              * RFC 4492 does not require the supported elliptic curves extension
675              * so if it is not sent we can just choose any curve.
676              * It is invalid to send an empty list in the elliptic curves
677              * extension, so num_curves == 0 always means no extension.
678              */
679             break;
680         }
681         for (i = 0; i < num_curves; i++, pcurves += 2) {
682             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
683                 break;
684         }
685         if (i == num_curves)
686             return 0;
687         /* For clients can only check sent curve list */
688         if (!s->server)
689             break;
690     }
691     return 1;
692 }
693
694 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
695                                 size_t *num_formats)
696 {
697     /*
698      * If we have a custom point format list use it otherwise use default
699      */
700     if (s->tlsext_ecpointformatlist) {
701         *pformats = s->tlsext_ecpointformatlist;
702         *num_formats = s->tlsext_ecpointformatlist_length;
703     } else {
704         *pformats = ecformats_default;
705         /* For Suite B we don't support char2 fields */
706         if (tls1_suiteb(s))
707             *num_formats = sizeof(ecformats_default) - 1;
708         else
709             *num_formats = sizeof(ecformats_default);
710     }
711 }
712
713 /*
714  * Check cert parameters compatible with extensions: currently just checks EC
715  * certificates have compatible curves and compression.
716  */
717 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
718 {
719     unsigned char comp_id, curve_id[2];
720     EVP_PKEY *pkey;
721     int rv;
722     pkey = X509_get0_pubkey(x);
723     if (!pkey)
724         return 0;
725     /* If not EC nothing to do */
726     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
727         return 1;
728     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
729     if (!rv)
730         return 0;
731     /*
732      * Can't check curve_id for client certs as we don't have a supported
733      * curves extension.
734      */
735     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
736     if (!rv)
737         return 0;
738     /*
739      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
740      * SHA384+P-384, adjust digest if necessary.
741      */
742     if (set_ee_md && tls1_suiteb(s)) {
743         int check_md;
744         size_t i;
745         CERT *c = s->cert;
746         if (curve_id[0])
747             return 0;
748         /* Check to see we have necessary signing algorithm */
749         if (curve_id[1] == TLSEXT_curve_P_256)
750             check_md = NID_ecdsa_with_SHA256;
751         else if (curve_id[1] == TLSEXT_curve_P_384)
752             check_md = NID_ecdsa_with_SHA384;
753         else
754             return 0;           /* Should never happen */
755         for (i = 0; i < c->shared_sigalgslen; i++)
756             if (check_md == c->shared_sigalgs[i].signandhash_nid)
757                 break;
758         if (i == c->shared_sigalgslen)
759             return 0;
760         if (set_ee_md == 2) {
761             if (check_md == NID_ecdsa_with_SHA256)
762                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
763             else
764                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
765         }
766     }
767     return rv;
768 }
769
770 # ifndef OPENSSL_NO_EC
771 /*
772  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
773  * @s: SSL connection
774  * @cid: Cipher ID we're considering using
775  *
776  * Checks that the kECDHE cipher suite we're considering using
777  * is compatible with the client extensions.
778  *
779  * Returns 0 when the cipher can't be used or 1 when it can.
780  */
781 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
782 {
783     /*
784      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
785      * curves permitted.
786      */
787     if (tls1_suiteb(s)) {
788         unsigned char curve_id[2];
789         /* Curve to check determined by ciphersuite */
790         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
791             curve_id[1] = TLSEXT_curve_P_256;
792         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
793             curve_id[1] = TLSEXT_curve_P_384;
794         else
795             return 0;
796         curve_id[0] = 0;
797         /* Check this curve is acceptable */
798         if (!tls1_check_ec_key(s, curve_id, NULL))
799             return 0;
800         return 1;
801     }
802     /* Need a shared curve */
803     if (tls1_shared_curve(s, 0))
804         return 1;
805     return 0;
806 }
807 # endif                         /* OPENSSL_NO_EC */
808
809 #else
810
811 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
812 {
813     return 1;
814 }
815
816 #endif                          /* OPENSSL_NO_EC */
817
818 /*
819  * List of supported signature algorithms and hashes. Should make this
820  * customisable at some point, for now include everything we support.
821  */
822
823 #ifdef OPENSSL_NO_RSA
824 # define tlsext_sigalg_rsa(md) /* */
825 #else
826 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
827 #endif
828
829 #ifdef OPENSSL_NO_DSA
830 # define tlsext_sigalg_dsa(md) /* */
831 #else
832 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
833 #endif
834
835 #ifdef OPENSSL_NO_EC
836 # define tlsext_sigalg_ecdsa(md) /* */
837 #else
838 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
839 #endif
840
841 #define tlsext_sigalg(md) \
842                 tlsext_sigalg_rsa(md) \
843                 tlsext_sigalg_dsa(md) \
844                 tlsext_sigalg_ecdsa(md)
845
846 static const unsigned char tls12_sigalgs[] = {
847     tlsext_sigalg(TLSEXT_hash_sha512)
848         tlsext_sigalg(TLSEXT_hash_sha384)
849         tlsext_sigalg(TLSEXT_hash_sha256)
850         tlsext_sigalg(TLSEXT_hash_sha224)
851         tlsext_sigalg(TLSEXT_hash_sha1)
852 #ifndef OPENSSL_NO_GOST
853         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
854         TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
855         TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
856 #endif
857 };
858
859 #ifndef OPENSSL_NO_EC
860 static const unsigned char suiteb_sigalgs[] = {
861     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
862         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
863 };
864 #endif
865 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
866 {
867     /*
868      * If Suite B mode use Suite B sigalgs only, ignore any other
869      * preferences.
870      */
871 #ifndef OPENSSL_NO_EC
872     switch (tls1_suiteb(s)) {
873     case SSL_CERT_FLAG_SUITEB_128_LOS:
874         *psigs = suiteb_sigalgs;
875         return sizeof(suiteb_sigalgs);
876
877     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
878         *psigs = suiteb_sigalgs;
879         return 2;
880
881     case SSL_CERT_FLAG_SUITEB_192_LOS:
882         *psigs = suiteb_sigalgs + 2;
883         return 2;
884     }
885 #endif
886     /* If server use client authentication sigalgs if not NULL */
887     if (s->server && s->cert->client_sigalgs) {
888         *psigs = s->cert->client_sigalgs;
889         return s->cert->client_sigalgslen;
890     } else if (s->cert->conf_sigalgs) {
891         *psigs = s->cert->conf_sigalgs;
892         return s->cert->conf_sigalgslen;
893     } else {
894         *psigs = tls12_sigalgs;
895         return sizeof(tls12_sigalgs);
896     }
897 }
898
899 /*
900  * Check signature algorithm is consistent with sent supported signature
901  * algorithms and if so return relevant digest.
902  */
903 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
904                             const unsigned char *sig, EVP_PKEY *pkey)
905 {
906     const unsigned char *sent_sigs;
907     size_t sent_sigslen, i;
908     int sigalg = tls12_get_sigid(pkey);
909     /* Should never happen */
910     if (sigalg == -1)
911         return -1;
912     /* Check key type is consistent with signature */
913     if (sigalg != (int)sig[1]) {
914         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
915         return 0;
916     }
917 #ifndef OPENSSL_NO_EC
918     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
919         unsigned char curve_id[2], comp_id;
920         /* Check compression and curve matches extensions */
921         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
922             return 0;
923         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
924             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
925             return 0;
926         }
927         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
928         if (tls1_suiteb(s)) {
929             if (curve_id[0])
930                 return 0;
931             if (curve_id[1] == TLSEXT_curve_P_256) {
932                 if (sig[0] != TLSEXT_hash_sha256) {
933                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
934                            SSL_R_ILLEGAL_SUITEB_DIGEST);
935                     return 0;
936                 }
937             } else if (curve_id[1] == TLSEXT_curve_P_384) {
938                 if (sig[0] != TLSEXT_hash_sha384) {
939                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
940                            SSL_R_ILLEGAL_SUITEB_DIGEST);
941                     return 0;
942                 }
943             } else
944                 return 0;
945         }
946     } else if (tls1_suiteb(s))
947         return 0;
948 #endif
949
950     /* Check signature matches a type we sent */
951     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
952     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
953         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
954             break;
955     }
956     /* Allow fallback to SHA1 if not strict mode */
957     if (i == sent_sigslen
958         && (sig[0] != TLSEXT_hash_sha1
959             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
960         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
961         return 0;
962     }
963     *pmd = tls12_get_hash(sig[0]);
964     if (*pmd == NULL) {
965         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
966         return 0;
967     }
968     /* Make sure security callback allows algorithm */
969     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
970                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd),
971                       (void *)sig)) {
972         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
973         return 0;
974     }
975     /*
976      * Store the digest used so applications can retrieve it if they wish.
977      */
978     s->s3->tmp.peer_md = *pmd;
979     return 1;
980 }
981
982 /*
983  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
984  * supported, doesn't appear in supported signature algorithms, isn't supported
985  * by the enabled protocol versions or by the security level.
986  *
987  * This function should only be used for checking which ciphers are supported
988  * by the client.
989  *
990  * Call ssl_cipher_disabled() to check that it's enabled or not.
991  */
992 void ssl_set_client_disabled(SSL *s)
993 {
994     s->s3->tmp.mask_a = 0;
995     s->s3->tmp.mask_k = 0;
996     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
997     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
998 # ifndef OPENSSL_NO_PSK
999     /* with PSK there must be client callback set */
1000     if (!s->psk_client_callback) {
1001         s->s3->tmp.mask_a |= SSL_aPSK;
1002         s->s3->tmp.mask_k |= SSL_PSK;
1003     }
1004 #endif                         /* OPENSSL_NO_PSK */
1005 #ifndef OPENSSL_NO_SRP
1006     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
1007         s->s3->tmp.mask_a |= SSL_aSRP;
1008         s->s3->tmp.mask_k |= SSL_kSRP;
1009     }
1010 #endif
1011 }
1012
1013 /*
1014  * ssl_cipher_disabled - check that a cipher is disabled or not
1015  * @s: SSL connection that you want to use the cipher on
1016  * @c: cipher to check
1017  * @op: Security check that you want to do
1018  *
1019  * Returns 1 when it's disabled, 0 when enabled.
1020  */
1021 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
1022 {
1023     if (c->algorithm_mkey & s->s3->tmp.mask_k
1024         || c->algorithm_auth & s->s3->tmp.mask_a)
1025         return 1;
1026     if (s->s3->tmp.max_ver == 0)
1027         return 1;
1028     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
1029             || (c->max_tls < s->s3->tmp.min_ver)))
1030         return 1;
1031     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
1032             || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
1033         return 1;
1034
1035     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
1036 }
1037
1038 static int tls_use_ticket(SSL *s)
1039 {
1040     if (s->options & SSL_OP_NO_TICKET)
1041         return 0;
1042     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
1043 }
1044
1045 static int compare_uint(const void *p1, const void *p2) {
1046     unsigned int u1 = *((const unsigned int *)p1);
1047     unsigned int u2 = *((const unsigned int *)p2);
1048     if (u1 < u2)
1049         return -1;
1050     else if (u1 > u2)
1051         return 1;
1052     else
1053         return 0;
1054 }
1055
1056 /*
1057  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
1058  * more than one extension of the same type in a ClientHello or ServerHello.
1059  * This function does an initial scan over the extensions block to filter those
1060  * out. It returns 1 if all extensions are unique, and 0 if the extensions
1061  * contain duplicates, could not be successfully parsed, or an internal error
1062  * occurred.
1063  */
1064 static int tls1_check_duplicate_extensions(const PACKET *packet) {
1065     PACKET extensions = *packet;
1066     size_t num_extensions = 0, i = 0;
1067     unsigned int *extension_types = NULL;
1068     int ret = 0;
1069
1070     /* First pass: count the extensions. */
1071     while (PACKET_remaining(&extensions) > 0) {
1072         unsigned int type;
1073         PACKET extension;
1074         if (!PACKET_get_net_2(&extensions, &type) ||
1075             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1076             goto done;
1077         }
1078         num_extensions++;
1079     }
1080
1081     if (num_extensions <= 1)
1082         return 1;
1083
1084     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
1085     if (extension_types == NULL) {
1086         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
1087         goto done;
1088     }
1089
1090     /* Second pass: gather the extension types. */
1091     extensions = *packet;
1092     for (i = 0; i < num_extensions; i++) {
1093         PACKET extension;
1094         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
1095             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1096             /* This should not happen. */
1097             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1098             goto done;
1099         }
1100     }
1101
1102     if (PACKET_remaining(&extensions) != 0) {
1103         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1104         goto done;
1105     }
1106     /* Sort the extensions and make sure there are no duplicates. */
1107     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1108     for (i = 1; i < num_extensions; i++) {
1109         if (extension_types[i - 1] == extension_types[i])
1110             goto done;
1111     }
1112     ret = 1;
1113  done:
1114     OPENSSL_free(extension_types);
1115     return ret;
1116 }
1117
1118 unsigned char *ssl_add_clienthello_tlsext(SSL *s, unsigned char *buf,
1119                                           unsigned char *limit, int *al)
1120 {
1121     int extdatalen = 0;
1122     unsigned char *orig = buf;
1123     unsigned char *ret = buf;
1124 #ifndef OPENSSL_NO_EC
1125     /* See if we support any ECC ciphersuites */
1126     int using_ecc = 0;
1127     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1128         int i;
1129         unsigned long alg_k, alg_a;
1130         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1131
1132         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1133             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1134
1135             alg_k = c->algorithm_mkey;
1136             alg_a = c->algorithm_auth;
1137             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1138                  || (alg_a & SSL_aECDSA)) {
1139                 using_ecc = 1;
1140                 break;
1141             }
1142         }
1143     }
1144 #endif
1145
1146     ret += 2;
1147
1148     if (ret >= limit)
1149         return NULL;            /* this really never occurs, but ... */
1150
1151     /* Add RI if renegotiating */
1152     if (s->renegotiate) {
1153         int el;
1154
1155         if (!ssl_add_clienthello_renegotiate_ext(s, 0, &el, 0)) {
1156             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1157             return NULL;
1158         }
1159
1160         if ((limit - ret - 4 - el) < 0)
1161             return NULL;
1162
1163         s2n(TLSEXT_TYPE_renegotiate, ret);
1164         s2n(el, ret);
1165
1166         if (!ssl_add_clienthello_renegotiate_ext(s, ret, &el, el)) {
1167             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1168             return NULL;
1169         }
1170
1171         ret += el;
1172     }
1173     /* Only add RI for SSLv3 */
1174     if (s->client_version == SSL3_VERSION)
1175         goto done;
1176
1177     if (s->tlsext_hostname != NULL) {
1178         /* Add TLS extension servername to the Client Hello message */
1179         unsigned long size_str;
1180         long lenmax;
1181
1182         /*-
1183          * check for enough space.
1184          * 4 for the servername type and extension length
1185          * 2 for servernamelist length
1186          * 1 for the hostname type
1187          * 2 for hostname length
1188          * + hostname length
1189          */
1190
1191         if ((lenmax = limit - ret - 9) < 0
1192             || (size_str =
1193                 strlen(s->tlsext_hostname)) > (unsigned long)lenmax)
1194             return NULL;
1195
1196         /* extension type and length */
1197         s2n(TLSEXT_TYPE_server_name, ret);
1198         s2n(size_str + 5, ret);
1199
1200         /* length of servername list */
1201         s2n(size_str + 3, ret);
1202
1203         /* hostname type, length and hostname */
1204         *(ret++) = (unsigned char)TLSEXT_NAMETYPE_host_name;
1205         s2n(size_str, ret);
1206         memcpy(ret, s->tlsext_hostname, size_str);
1207         ret += size_str;
1208     }
1209 #ifndef OPENSSL_NO_SRP
1210     /* Add SRP username if there is one */
1211     if (s->srp_ctx.login != NULL) { /* Add TLS extension SRP username to the
1212                                      * Client Hello message */
1213
1214         int login_len = strlen(s->srp_ctx.login);
1215         if (login_len > 255 || login_len == 0) {
1216             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1217             return NULL;
1218         }
1219
1220         /*-
1221          * check for enough space.
1222          * 4 for the srp type type and extension length
1223          * 1 for the srp user identity
1224          * + srp user identity length
1225          */
1226         if ((limit - ret - 5 - login_len) < 0)
1227             return NULL;
1228
1229         /* fill in the extension */
1230         s2n(TLSEXT_TYPE_srp, ret);
1231         s2n(login_len + 1, ret);
1232         (*ret++) = (unsigned char)login_len;
1233         memcpy(ret, s->srp_ctx.login, login_len);
1234         ret += login_len;
1235     }
1236 #endif
1237
1238 #ifndef OPENSSL_NO_EC
1239     if (using_ecc) {
1240         /*
1241          * Add TLS extension ECPointFormats to the ClientHello message
1242          */
1243         long lenmax;
1244         const unsigned char *pcurves, *pformats;
1245         size_t num_curves, num_formats, curves_list_len;
1246         size_t i;
1247         unsigned char *etmp;
1248
1249         tls1_get_formatlist(s, &pformats, &num_formats);
1250
1251         if ((lenmax = limit - ret - 5) < 0)
1252             return NULL;
1253         if (num_formats > (size_t)lenmax)
1254             return NULL;
1255         if (num_formats > 255) {
1256             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1257             return NULL;
1258         }
1259
1260         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1261         /* The point format list has 1-byte length. */
1262         s2n(num_formats + 1, ret);
1263         *(ret++) = (unsigned char)num_formats;
1264         memcpy(ret, pformats, num_formats);
1265         ret += num_formats;
1266
1267         /*
1268          * Add TLS extension EllipticCurves to the ClientHello message
1269          */
1270         pcurves = s->tlsext_ellipticcurvelist;
1271         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves))
1272             return NULL;
1273
1274         if ((lenmax = limit - ret - 6) < 0)
1275             return NULL;
1276         if (num_curves > (size_t)lenmax / 2)
1277             return NULL;
1278         if (num_curves > 65532 / 2) {
1279             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1280             return NULL;
1281         }
1282
1283         s2n(TLSEXT_TYPE_elliptic_curves, ret);
1284         etmp = ret + 4;
1285         /* Copy curve ID if supported */
1286         for (i = 0; i < num_curves; i++, pcurves += 2) {
1287             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1288                 *etmp++ = pcurves[0];
1289                 *etmp++ = pcurves[1];
1290             }
1291         }
1292
1293         curves_list_len = etmp - ret - 4;
1294
1295         s2n(curves_list_len + 2, ret);
1296         s2n(curves_list_len, ret);
1297         ret += curves_list_len;
1298     }
1299 #endif                         /* OPENSSL_NO_EC */
1300
1301     if (tls_use_ticket(s)) {
1302         int ticklen;
1303         if (!s->new_session && s->session && s->session->tlsext_tick)
1304             ticklen = s->session->tlsext_ticklen;
1305         else if (s->session && s->tlsext_session_ticket &&
1306                  s->tlsext_session_ticket->data) {
1307             ticklen = s->tlsext_session_ticket->length;
1308             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1309             if (s->session->tlsext_tick == NULL)
1310                 return NULL;
1311             memcpy(s->session->tlsext_tick,
1312                    s->tlsext_session_ticket->data, ticklen);
1313             s->session->tlsext_ticklen = ticklen;
1314         } else
1315             ticklen = 0;
1316         if (ticklen == 0 && s->tlsext_session_ticket &&
1317             s->tlsext_session_ticket->data == NULL)
1318             goto skip_ext;
1319         /*
1320          * Check for enough room 2 for extension type, 2 for len rest for
1321          * ticket
1322          */
1323         if ((long)(limit - ret - 4 - ticklen) < 0)
1324             return NULL;
1325         s2n(TLSEXT_TYPE_session_ticket, ret);
1326         s2n(ticklen, ret);
1327         if (ticklen) {
1328             memcpy(ret, s->session->tlsext_tick, ticklen);
1329             ret += ticklen;
1330         }
1331     }
1332  skip_ext:
1333
1334     if (SSL_CLIENT_USE_SIGALGS(s)) {
1335         size_t salglen;
1336         const unsigned char *salg;
1337         unsigned char *etmp;
1338         salglen = tls12_get_psigalgs(s, &salg);
1339         if ((size_t)(limit - ret) < salglen + 6)
1340             return NULL;
1341         s2n(TLSEXT_TYPE_signature_algorithms, ret);
1342         etmp = ret;
1343         /* Skip over lengths for now */
1344         ret += 4;
1345         salglen = tls12_copy_sigalgs(s, ret, salg, salglen);
1346         /* Fill in lengths */
1347         s2n(salglen + 2, etmp);
1348         s2n(salglen, etmp);
1349         ret += salglen;
1350     }
1351
1352 #ifndef OPENSSL_NO_OCSP
1353     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1354         int i;
1355         long extlen, idlen, itmp;
1356         OCSP_RESPID *id;
1357
1358         idlen = 0;
1359         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1360             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1361             itmp = i2d_OCSP_RESPID(id, NULL);
1362             if (itmp <= 0)
1363                 return NULL;
1364             idlen += itmp + 2;
1365         }
1366
1367         if (s->tlsext_ocsp_exts) {
1368             extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1369             if (extlen < 0)
1370                 return NULL;
1371         } else
1372             extlen = 0;
1373
1374         if ((long)(limit - ret - 7 - extlen - idlen) < 0)
1375             return NULL;
1376         s2n(TLSEXT_TYPE_status_request, ret);
1377         if (extlen + idlen > 0xFFF0)
1378             return NULL;
1379         s2n(extlen + idlen + 5, ret);
1380         *(ret++) = TLSEXT_STATUSTYPE_ocsp;
1381         s2n(idlen, ret);
1382         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1383             /* save position of id len */
1384             unsigned char *q = ret;
1385             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1386             /* skip over id len */
1387             ret += 2;
1388             itmp = i2d_OCSP_RESPID(id, &ret);
1389             /* write id len */
1390             s2n(itmp, q);
1391         }
1392         s2n(extlen, ret);
1393         if (extlen > 0)
1394             i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &ret);
1395     }
1396 #endif
1397 #ifndef OPENSSL_NO_HEARTBEATS
1398     if (SSL_IS_DTLS(s)) {
1399         /* Add Heartbeat extension */
1400         if ((limit - ret - 4 - 1) < 0)
1401             return NULL;
1402         s2n(TLSEXT_TYPE_heartbeat, ret);
1403         s2n(1, ret);
1404         /*-
1405          * Set mode:
1406          * 1: peer may send requests
1407          * 2: peer not allowed to send requests
1408          */
1409         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1410             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1411         else
1412             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1413     }
1414 #endif
1415
1416 #ifndef OPENSSL_NO_NEXTPROTONEG
1417     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1418         /*
1419          * The client advertises an empty extension to indicate its support
1420          * for Next Protocol Negotiation
1421          */
1422         if (limit - ret - 4 < 0)
1423             return NULL;
1424         s2n(TLSEXT_TYPE_next_proto_neg, ret);
1425         s2n(0, ret);
1426     }
1427 #endif
1428
1429     /*
1430      * finish_md_len is non-zero during a renegotiation, so
1431      * this avoids sending ALPN during the renegotiation
1432      * (see longer comment below)
1433      */
1434     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1435         if ((size_t)(limit - ret) < 6 + s->alpn_client_proto_list_len)
1436             return NULL;
1437         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1438         s2n(2 + s->alpn_client_proto_list_len, ret);
1439         s2n(s->alpn_client_proto_list_len, ret);
1440         memcpy(ret, s->alpn_client_proto_list, s->alpn_client_proto_list_len);
1441         ret += s->alpn_client_proto_list_len;
1442         s->s3->alpn_sent = 1;
1443     }
1444 #ifndef OPENSSL_NO_SRTP
1445     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1446         int el;
1447
1448         /* Returns 0 on success!! */
1449         if (ssl_add_clienthello_use_srtp_ext(s, 0, &el, 0)) {
1450             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1451             return NULL;
1452         }
1453
1454         if ((limit - ret - 4 - el) < 0)
1455             return NULL;
1456
1457         s2n(TLSEXT_TYPE_use_srtp, ret);
1458         s2n(el, ret);
1459
1460         if (ssl_add_clienthello_use_srtp_ext(s, ret, &el, el)) {
1461             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1462             return NULL;
1463         }
1464         ret += el;
1465     }
1466 #endif
1467     custom_ext_init(&s->cert->cli_ext);
1468     /* Add custom TLS Extensions to ClientHello */
1469     if (!custom_ext_add(s, 0, &ret, limit, al))
1470         return NULL;
1471 #ifdef TLSEXT_TYPE_encrypt_then_mac
1472     s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1473     s2n(0, ret);
1474 #endif
1475 #ifndef OPENSSL_NO_CT
1476     if (s->ct_validation_callback != NULL) {
1477         s2n(TLSEXT_TYPE_signed_certificate_timestamp, ret);
1478         s2n(0, ret);
1479     }
1480 #endif
1481     s2n(TLSEXT_TYPE_extended_master_secret, ret);
1482     s2n(0, ret);
1483
1484     /*
1485      * Add padding to workaround bugs in F5 terminators. See
1486      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1487      * code works out the length of all existing extensions it MUST always
1488      * appear last.
1489      */
1490     if (s->options & SSL_OP_TLSEXT_PADDING) {
1491         int hlen = ret - (unsigned char *)s->init_buf->data;
1492
1493         if (hlen > 0xff && hlen < 0x200) {
1494             hlen = 0x200 - hlen;
1495             if (hlen >= 4)
1496                 hlen -= 4;
1497             else
1498                 hlen = 0;
1499
1500             s2n(TLSEXT_TYPE_padding, ret);
1501             s2n(hlen, ret);
1502             memset(ret, 0, hlen);
1503             ret += hlen;
1504         }
1505     }
1506
1507  done:
1508
1509     if ((extdatalen = ret - orig - 2) == 0)
1510         return orig;
1511
1512     s2n(extdatalen, orig);
1513     return ret;
1514 }
1515
1516 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1517                                           unsigned char *limit, int *al)
1518 {
1519     int extdatalen = 0;
1520     unsigned char *orig = buf;
1521     unsigned char *ret = buf;
1522 #ifndef OPENSSL_NO_NEXTPROTONEG
1523     int next_proto_neg_seen;
1524 #endif
1525 #ifndef OPENSSL_NO_EC
1526     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1527     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1528     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1529     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1530 #endif
1531
1532     ret += 2;
1533     if (ret >= limit)
1534         return NULL;            /* this really never occurs, but ... */
1535
1536     if (s->s3->send_connection_binding) {
1537         int el;
1538
1539         if (!ssl_add_serverhello_renegotiate_ext(s, 0, &el, 0)) {
1540             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1541             return NULL;
1542         }
1543
1544         if ((limit - ret - 4 - el) < 0)
1545             return NULL;
1546
1547         s2n(TLSEXT_TYPE_renegotiate, ret);
1548         s2n(el, ret);
1549
1550         if (!ssl_add_serverhello_renegotiate_ext(s, ret, &el, el)) {
1551             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1552             return NULL;
1553         }
1554
1555         ret += el;
1556     }
1557
1558     /* Only add RI for SSLv3 */
1559     if (s->version == SSL3_VERSION)
1560         goto done;
1561
1562     if (!s->hit && s->servername_done == 1
1563         && s->session->tlsext_hostname != NULL) {
1564         if ((long)(limit - ret - 4) < 0)
1565             return NULL;
1566
1567         s2n(TLSEXT_TYPE_server_name, ret);
1568         s2n(0, ret);
1569     }
1570 #ifndef OPENSSL_NO_EC
1571     if (using_ecc) {
1572         const unsigned char *plist;
1573         size_t plistlen;
1574         /*
1575          * Add TLS extension ECPointFormats to the ServerHello message
1576          */
1577         long lenmax;
1578
1579         tls1_get_formatlist(s, &plist, &plistlen);
1580
1581         if ((lenmax = limit - ret - 5) < 0)
1582             return NULL;
1583         if (plistlen > (size_t)lenmax)
1584             return NULL;
1585         if (plistlen > 255) {
1586             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1587             return NULL;
1588         }
1589
1590         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1591         s2n(plistlen + 1, ret);
1592         *(ret++) = (unsigned char)plistlen;
1593         memcpy(ret, plist, plistlen);
1594         ret += plistlen;
1595
1596     }
1597     /*
1598      * Currently the server should not respond with a SupportedCurves
1599      * extension
1600      */
1601 #endif                         /* OPENSSL_NO_EC */
1602
1603     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1604         if ((long)(limit - ret - 4) < 0)
1605             return NULL;
1606         s2n(TLSEXT_TYPE_session_ticket, ret);
1607         s2n(0, ret);
1608     }
1609
1610     if (s->tlsext_status_expected) {
1611         if ((long)(limit - ret - 4) < 0)
1612             return NULL;
1613         s2n(TLSEXT_TYPE_status_request, ret);
1614         s2n(0, ret);
1615     }
1616
1617 #ifndef OPENSSL_NO_SRTP
1618     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1619         int el;
1620
1621         /* Returns 0 on success!! */
1622         if (ssl_add_serverhello_use_srtp_ext(s, 0, &el, 0)) {
1623             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1624             return NULL;
1625         }
1626         if ((limit - ret - 4 - el) < 0)
1627             return NULL;
1628
1629         s2n(TLSEXT_TYPE_use_srtp, ret);
1630         s2n(el, ret);
1631
1632         if (ssl_add_serverhello_use_srtp_ext(s, ret, &el, el)) {
1633             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1634             return NULL;
1635         }
1636         ret += el;
1637     }
1638 #endif
1639
1640     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1641          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1642         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1643         const unsigned char cryptopro_ext[36] = {
1644             0xfd, 0xe8,         /* 65000 */
1645             0x00, 0x20,         /* 32 bytes length */
1646             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1647             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1648             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1649             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1650         };
1651         if (limit - ret < 36)
1652             return NULL;
1653         memcpy(ret, cryptopro_ext, 36);
1654         ret += 36;
1655
1656     }
1657 #ifndef OPENSSL_NO_HEARTBEATS
1658     /* Add Heartbeat extension if we've received one */
1659     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1660         if ((limit - ret - 4 - 1) < 0)
1661             return NULL;
1662         s2n(TLSEXT_TYPE_heartbeat, ret);
1663         s2n(1, ret);
1664         /*-
1665          * Set mode:
1666          * 1: peer may send requests
1667          * 2: peer not allowed to send requests
1668          */
1669         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1670             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1671         else
1672             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1673
1674     }
1675 #endif
1676
1677 #ifndef OPENSSL_NO_NEXTPROTONEG
1678     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1679     s->s3->next_proto_neg_seen = 0;
1680     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1681         const unsigned char *npa;
1682         unsigned int npalen;
1683         int r;
1684
1685         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1686                                               s->
1687                                               ctx->next_protos_advertised_cb_arg);
1688         if (r == SSL_TLSEXT_ERR_OK) {
1689             if ((long)(limit - ret - 4 - npalen) < 0)
1690                 return NULL;
1691             s2n(TLSEXT_TYPE_next_proto_neg, ret);
1692             s2n(npalen, ret);
1693             memcpy(ret, npa, npalen);
1694             ret += npalen;
1695             s->s3->next_proto_neg_seen = 1;
1696         }
1697     }
1698 #endif
1699     if (!custom_ext_add(s, 1, &ret, limit, al))
1700         return NULL;
1701 #ifdef TLSEXT_TYPE_encrypt_then_mac
1702     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1703         /*
1704          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1705          * for other cases too.
1706          */
1707         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1708             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1709             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1710             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1711             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1712         else {
1713             s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1714             s2n(0, ret);
1715         }
1716     }
1717 #endif
1718     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1719         s2n(TLSEXT_TYPE_extended_master_secret, ret);
1720         s2n(0, ret);
1721     }
1722
1723     if (s->s3->alpn_selected != NULL) {
1724         const unsigned char *selected = s->s3->alpn_selected;
1725         unsigned int len = s->s3->alpn_selected_len;
1726
1727         if ((long)(limit - ret - 4 - 2 - 1 - len) < 0)
1728             return NULL;
1729         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1730         s2n(3 + len, ret);
1731         s2n(1 + len, ret);
1732         *ret++ = len;
1733         memcpy(ret, selected, len);
1734         ret += len;
1735     }
1736
1737  done:
1738
1739     if ((extdatalen = ret - orig - 2) == 0)
1740         return orig;
1741
1742     s2n(extdatalen, orig);
1743     return ret;
1744 }
1745
1746 /*
1747  * Save the ALPN extension in a ClientHello.
1748  * pkt: the contents of the ALPN extension, not including type and length.
1749  * al: a pointer to the  alert value to send in the event of a failure.
1750  * returns: 1 on success, 0 on error.
1751  */
1752 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1753 {
1754     PACKET protocol_list, save_protocol_list, protocol;
1755
1756     *al = SSL_AD_DECODE_ERROR;
1757
1758     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1759         || PACKET_remaining(&protocol_list) < 2) {
1760         return 0;
1761     }
1762
1763     save_protocol_list = protocol_list;
1764     do {
1765         /* Protocol names can't be empty. */
1766         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1767             || PACKET_remaining(&protocol) == 0) {
1768             return 0;
1769         }
1770     } while (PACKET_remaining(&protocol_list) != 0);
1771
1772     if (!PACKET_memdup(&save_protocol_list,
1773                        &s->s3->alpn_proposed,
1774                        &s->s3->alpn_proposed_len)) {
1775         *al = TLS1_AD_INTERNAL_ERROR;
1776         return 0;
1777     }
1778
1779     return 1;
1780 }
1781
1782 /*
1783  * Process the ALPN extension in a ClientHello.
1784  * ret: a pointer to the TLSEXT return value: SSL_TLSEXT_ERR_*
1785  * al: a pointer to the alert value to send in the event of a failure.
1786  * returns 1 on success, 0
1787  */
1788 static int tls1_alpn_handle_client_hello_late(SSL *s, int *ret, int *al)
1789 {
1790     const unsigned char *selected = NULL;
1791     unsigned char selected_len = 0;
1792
1793     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1794         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1795                                        s->s3->alpn_proposed,
1796                                        s->s3->alpn_proposed_len,
1797                                        s->ctx->alpn_select_cb_arg);
1798
1799         if (r == SSL_TLSEXT_ERR_OK) {
1800             OPENSSL_free(s->s3->alpn_selected);
1801             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1802             if (s->s3->alpn_selected == NULL) {
1803                 *al = SSL_AD_INTERNAL_ERROR;
1804                 *ret = SSL_TLSEXT_ERR_ALERT_FATAL;
1805                 return 0;
1806             }
1807             s->s3->alpn_selected_len = selected_len;
1808 #ifndef OPENSSL_NO_NEXTPROTONEG
1809             /* ALPN takes precedence over NPN. */
1810             s->s3->next_proto_neg_seen = 0;
1811 #endif
1812         } else {
1813             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1814             *ret = SSL_TLSEXT_ERR_ALERT_FATAL;
1815             return 0;
1816         }
1817     }
1818
1819     return 1;
1820 }
1821
1822 #ifndef OPENSSL_NO_EC
1823 /*-
1824  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1825  * SecureTransport using the TLS extension block in |pkt|.
1826  * Safari, since 10.6, sends exactly these extensions, in this order:
1827  *   SNI,
1828  *   elliptic_curves
1829  *   ec_point_formats
1830  *
1831  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1832  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1833  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1834  * 10.8..10.8.3 (which don't work).
1835  */
1836 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1837 {
1838     unsigned int type;
1839     PACKET sni, tmppkt;
1840     size_t ext_len;
1841
1842     static const unsigned char kSafariExtensionsBlock[] = {
1843         0x00, 0x0a,             /* elliptic_curves extension */
1844         0x00, 0x08,             /* 8 bytes */
1845         0x00, 0x06,             /* 6 bytes of curve ids */
1846         0x00, 0x17,             /* P-256 */
1847         0x00, 0x18,             /* P-384 */
1848         0x00, 0x19,             /* P-521 */
1849
1850         0x00, 0x0b,             /* ec_point_formats */
1851         0x00, 0x02,             /* 2 bytes */
1852         0x01,                   /* 1 point format */
1853         0x00,                   /* uncompressed */
1854         /* The following is only present in TLS 1.2 */
1855         0x00, 0x0d,             /* signature_algorithms */
1856         0x00, 0x0c,             /* 12 bytes */
1857         0x00, 0x0a,             /* 10 bytes */
1858         0x05, 0x01,             /* SHA-384/RSA */
1859         0x04, 0x01,             /* SHA-256/RSA */
1860         0x02, 0x01,             /* SHA-1/RSA */
1861         0x04, 0x03,             /* SHA-256/ECDSA */
1862         0x02, 0x03,             /* SHA-1/ECDSA */
1863     };
1864
1865     /* Length of the common prefix (first two extensions). */
1866     static const size_t kSafariCommonExtensionsLength = 18;
1867
1868     tmppkt = *pkt;
1869
1870     if (!PACKET_forward(&tmppkt, 2)
1871         || !PACKET_get_net_2(&tmppkt, &type)
1872         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1873         return;
1874     }
1875
1876     if (type != TLSEXT_TYPE_server_name)
1877         return;
1878
1879     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1880         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1881
1882     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1883                                              ext_len);
1884 }
1885 #endif                         /* !OPENSSL_NO_EC */
1886
1887 /*
1888  * Parse ClientHello extensions and stash extension info in various parts of
1889  * the SSL object. Verify that there are no duplicate extensions.
1890  *
1891  * Behaviour upon resumption is extension-specific. If the extension has no
1892  * effect during resumption, it is parsed (to verify its format) but otherwise
1893  * ignored.
1894  *
1895  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1896  * Upon failure, sets |al| to the appropriate alert.
1897  */
1898 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1899 {
1900     unsigned int type;
1901     int renegotiate_seen = 0;
1902     PACKET extensions;
1903
1904     *al = SSL_AD_DECODE_ERROR;
1905     s->servername_done = 0;
1906     s->tlsext_status_type = -1;
1907 #ifndef OPENSSL_NO_NEXTPROTONEG
1908     s->s3->next_proto_neg_seen = 0;
1909 #endif
1910
1911     OPENSSL_free(s->s3->alpn_selected);
1912     s->s3->alpn_selected = NULL;
1913     s->s3->alpn_selected_len = 0;
1914     OPENSSL_free(s->s3->alpn_proposed);
1915     s->s3->alpn_proposed = NULL;
1916     s->s3->alpn_proposed_len = 0;
1917 #ifndef OPENSSL_NO_HEARTBEATS
1918     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1919                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1920 #endif
1921
1922 #ifndef OPENSSL_NO_EC
1923     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1924         ssl_check_for_safari(s, pkt);
1925 # endif /* !OPENSSL_NO_EC */
1926
1927     /* Clear any signature algorithms extension received */
1928     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1929     s->s3->tmp.peer_sigalgs = NULL;
1930 #ifdef TLSEXT_TYPE_encrypt_then_mac
1931     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1932 #endif
1933
1934 #ifndef OPENSSL_NO_SRP
1935     OPENSSL_free(s->srp_ctx.login);
1936     s->srp_ctx.login = NULL;
1937 #endif
1938
1939     s->srtp_profile = NULL;
1940
1941     if (PACKET_remaining(pkt) == 0)
1942         goto ri_check;
1943
1944     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1945         return 0;
1946
1947     if (!tls1_check_duplicate_extensions(&extensions))
1948         return 0;
1949
1950     /*
1951      * We parse all extensions to ensure the ClientHello is well-formed but,
1952      * unless an extension specifies otherwise, we ignore extensions upon
1953      * resumption.
1954      */
1955     while (PACKET_get_net_2(&extensions, &type)) {
1956         PACKET extension;
1957         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1958             return 0;
1959
1960         if (s->tlsext_debug_cb)
1961             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1962                                PACKET_remaining(&extension),
1963                                s->tlsext_debug_arg);
1964
1965         if (type == TLSEXT_TYPE_renegotiate) {
1966             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1967                 return 0;
1968             renegotiate_seen = 1;
1969         } else if (s->version == SSL3_VERSION) {
1970         }
1971 /*-
1972  * The servername extension is treated as follows:
1973  *
1974  * - Only the hostname type is supported with a maximum length of 255.
1975  * - The servername is rejected if too long or if it contains zeros,
1976  *   in which case an fatal alert is generated.
1977  * - The servername field is maintained together with the session cache.
1978  * - When a session is resumed, the servername call back invoked in order
1979  *   to allow the application to position itself to the right context.
1980  * - The servername is acknowledged if it is new for a session or when
1981  *   it is identical to a previously used for the same session.
1982  *   Applications can control the behaviour.  They can at any time
1983  *   set a 'desirable' servername for a new SSL object. This can be the
1984  *   case for example with HTTPS when a Host: header field is received and
1985  *   a renegotiation is requested. In this case, a possible servername
1986  *   presented in the new client hello is only acknowledged if it matches
1987  *   the value of the Host: field.
1988  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1989  *   if they provide for changing an explicit servername context for the
1990  *   session, i.e. when the session has been established with a servername
1991  *   extension.
1992  * - On session reconnect, the servername extension may be absent.
1993  *
1994  */
1995
1996         else if (type == TLSEXT_TYPE_server_name) {
1997             unsigned int servname_type;
1998             PACKET sni, hostname;
1999
2000             if (!PACKET_as_length_prefixed_2(&extension, &sni)
2001                 /* ServerNameList must be at least 1 byte long. */
2002                 || PACKET_remaining(&sni) == 0) {
2003                 return 0;
2004             }
2005
2006             /*
2007              * Although the server_name extension was intended to be
2008              * extensible to new name types, RFC 4366 defined the
2009              * syntax inextensibility and OpenSSL 1.0.x parses it as
2010              * such.
2011              * RFC 6066 corrected the mistake but adding new name types
2012              * is nevertheless no longer feasible, so act as if no other
2013              * SNI types can exist, to simplify parsing.
2014              *
2015              * Also note that the RFC permits only one SNI value per type,
2016              * i.e., we can only have a single hostname.
2017              */
2018             if (!PACKET_get_1(&sni, &servname_type)
2019                 || servname_type != TLSEXT_NAMETYPE_host_name
2020                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
2021                 return 0;
2022             }
2023
2024             if (!s->hit) {
2025                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
2026                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2027                     return 0;
2028                 }
2029
2030                 if (PACKET_contains_zero_byte(&hostname)) {
2031                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2032                     return 0;
2033                 }
2034
2035                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
2036                     *al = TLS1_AD_INTERNAL_ERROR;
2037                     return 0;
2038                 }
2039
2040                 s->servername_done = 1;
2041             } else {
2042                 /*
2043                  * TODO(openssl-team): if the SNI doesn't match, we MUST
2044                  * fall back to a full handshake.
2045                  */
2046                 s->servername_done = s->session->tlsext_hostname
2047                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
2048                                     strlen(s->session->tlsext_hostname));
2049             }
2050         }
2051 #ifndef OPENSSL_NO_SRP
2052         else if (type == TLSEXT_TYPE_srp) {
2053             PACKET srp_I;
2054
2055             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
2056                 return 0;
2057
2058             if (PACKET_contains_zero_byte(&srp_I))
2059                 return 0;
2060
2061             /*
2062              * TODO(openssl-team): currently, we re-authenticate the user
2063              * upon resumption. Instead, we MUST ignore the login.
2064              */
2065             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
2066                 *al = TLS1_AD_INTERNAL_ERROR;
2067                 return 0;
2068             }
2069         }
2070 #endif
2071
2072 #ifndef OPENSSL_NO_EC
2073         else if (type == TLSEXT_TYPE_ec_point_formats) {
2074             PACKET ec_point_format_list;
2075
2076             if (!PACKET_as_length_prefixed_1(&extension,
2077                                               &ec_point_format_list)
2078                 || PACKET_remaining(&ec_point_format_list) == 0) {
2079                 return 0;
2080             }
2081
2082             if (!s->hit) {
2083                 if (!PACKET_memdup(&ec_point_format_list,
2084                                    &s->session->tlsext_ecpointformatlist,
2085                                    &s->session->tlsext_ecpointformatlist_length)) {
2086                     *al = TLS1_AD_INTERNAL_ERROR;
2087                     return 0;
2088                 }
2089             }
2090         } else if (type == TLSEXT_TYPE_elliptic_curves) {
2091             PACKET elliptic_curve_list;
2092
2093             /* Each NamedCurve is 2 bytes and we must have at least 1. */
2094             if (!PACKET_as_length_prefixed_2(&extension,
2095                                              &elliptic_curve_list)
2096                 || PACKET_remaining(&elliptic_curve_list) == 0
2097                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
2098                 return 0;
2099             }
2100
2101             if (!s->hit) {
2102                 if (!PACKET_memdup(&elliptic_curve_list,
2103                                    &s->session->tlsext_ellipticcurvelist,
2104                                    &s->session->tlsext_ellipticcurvelist_length)) {
2105                     *al = TLS1_AD_INTERNAL_ERROR;
2106                     return 0;
2107                 }
2108             }
2109         }
2110 #endif                         /* OPENSSL_NO_EC */
2111         else if (type == TLSEXT_TYPE_session_ticket) {
2112             if (s->tls_session_ticket_ext_cb &&
2113                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
2114                                               PACKET_remaining(&extension),
2115                                               s->tls_session_ticket_ext_cb_arg)) {
2116                 *al = TLS1_AD_INTERNAL_ERROR;
2117                 return 0;
2118             }
2119         } else if (type == TLSEXT_TYPE_signature_algorithms) {
2120             PACKET supported_sig_algs;
2121
2122             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
2123                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
2124                 || PACKET_remaining(&supported_sig_algs) == 0) {
2125                 return 0;
2126             }
2127
2128             if  (!s->hit) {
2129                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2130                                        PACKET_remaining(&supported_sig_algs))) {
2131                     return 0;
2132                 }
2133             }
2134         } else if (type == TLSEXT_TYPE_status_request) {
2135             if (!PACKET_get_1(&extension,
2136                               (unsigned int *)&s->tlsext_status_type)) {
2137                 return 0;
2138             }
2139
2140 #ifndef OPENSSL_NO_OCSP
2141             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2142                 const unsigned char *ext_data;
2143                 PACKET responder_id_list, exts;
2144                 if (!PACKET_get_length_prefixed_2(&extension, &responder_id_list))
2145                     return 0;
2146
2147                 while (PACKET_remaining(&responder_id_list) > 0) {
2148                     OCSP_RESPID *id;
2149                     PACKET responder_id;
2150                     const unsigned char *id_data;
2151
2152                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2153                                                       &responder_id)
2154                         || PACKET_remaining(&responder_id) == 0) {
2155                         return 0;
2156                     }
2157
2158                     if (s->tlsext_ocsp_ids == NULL
2159                         && (s->tlsext_ocsp_ids =
2160                             sk_OCSP_RESPID_new_null()) == NULL) {
2161                         *al = SSL_AD_INTERNAL_ERROR;
2162                         return 0;
2163                     }
2164
2165                     id_data = PACKET_data(&responder_id);
2166                     id = d2i_OCSP_RESPID(NULL, &id_data,
2167                                          PACKET_remaining(&responder_id));
2168                     if (id == NULL)
2169                         return 0;
2170
2171                     if (id_data != PACKET_end(&responder_id)) {
2172                         OCSP_RESPID_free(id);
2173                         return 0;
2174                     }
2175
2176                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2177                         OCSP_RESPID_free(id);
2178                         *al = SSL_AD_INTERNAL_ERROR;
2179                         return 0;
2180                     }
2181                 }
2182
2183                 /* Read in request_extensions */
2184                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2185                     return 0;
2186
2187                 if (PACKET_remaining(&exts) > 0) {
2188                     ext_data = PACKET_data(&exts);
2189                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2190                                                X509_EXTENSION_free);
2191                     s->tlsext_ocsp_exts =
2192                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2193                                             PACKET_remaining(&exts));
2194                     if (s->tlsext_ocsp_exts == NULL
2195                         || ext_data != PACKET_end(&exts)) {
2196                         return 0;
2197                     }
2198                 }
2199             } else
2200 #endif
2201             {
2202                 /*
2203                  * We don't know what to do with any other type so ignore it.
2204                  */
2205                 s->tlsext_status_type = -1;
2206             }
2207         }
2208 #ifndef OPENSSL_NO_HEARTBEATS
2209         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2210             unsigned int hbtype;
2211
2212             if (!PACKET_get_1(&extension, &hbtype)
2213                     || PACKET_remaining(&extension)) {
2214                 *al = SSL_AD_DECODE_ERROR;
2215                 return 0;
2216             }
2217             switch (hbtype) {
2218             case 0x01:         /* Client allows us to send HB requests */
2219                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2220                 break;
2221             case 0x02:         /* Client doesn't accept HB requests */
2222                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2223                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2224                 break;
2225             default:
2226                 *al = SSL_AD_ILLEGAL_PARAMETER;
2227                 return 0;
2228             }
2229         }
2230 #endif
2231 #ifndef OPENSSL_NO_NEXTPROTONEG
2232         else if (type == TLSEXT_TYPE_next_proto_neg &&
2233                  s->s3->tmp.finish_md_len == 0) {
2234             /*-
2235              * We shouldn't accept this extension on a
2236              * renegotiation.
2237              *
2238              * s->new_session will be set on renegotiation, but we
2239              * probably shouldn't rely that it couldn't be set on
2240              * the initial renegotiation too in certain cases (when
2241              * there's some other reason to disallow resuming an
2242              * earlier session -- the current code won't be doing
2243              * anything like that, but this might change).
2244              *
2245              * A valid sign that there's been a previous handshake
2246              * in this connection is if s->s3->tmp.finish_md_len >
2247              * 0.  (We are talking about a check that will happen
2248              * in the Hello protocol round, well before a new
2249              * Finished message could have been computed.)
2250              */
2251             s->s3->next_proto_neg_seen = 1;
2252         }
2253 #endif
2254
2255         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2256                  s->s3->tmp.finish_md_len == 0) {
2257             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2258                 return 0;
2259         }
2260
2261         /* session ticket processed earlier */
2262 #ifndef OPENSSL_NO_SRTP
2263         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2264                  && type == TLSEXT_TYPE_use_srtp) {
2265             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2266                 return 0;
2267         }
2268 #endif
2269 #ifdef TLSEXT_TYPE_encrypt_then_mac
2270         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2271             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2272 #endif
2273         /*
2274          * Note: extended master secret extension handled in
2275          * tls_check_serverhello_tlsext_early()
2276          */
2277
2278         /*
2279          * If this ClientHello extension was unhandled and this is a
2280          * nonresumed connection, check whether the extension is a custom
2281          * TLS Extension (has a custom_srv_ext_record), and if so call the
2282          * callback and record the extension number so that an appropriate
2283          * ServerHello may be later returned.
2284          */
2285         else if (!s->hit) {
2286             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2287                                  PACKET_remaining(&extension), al) <= 0)
2288                 return 0;
2289         }
2290     }
2291
2292     if (PACKET_remaining(pkt) != 0) {
2293         /* tls1_check_duplicate_extensions should ensure this never happens. */
2294         *al = SSL_AD_INTERNAL_ERROR;
2295         return 0;
2296     }
2297
2298  ri_check:
2299
2300     /* Need RI if renegotiating */
2301
2302     if (!renegotiate_seen && s->renegotiate &&
2303         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2304         *al = SSL_AD_HANDSHAKE_FAILURE;
2305         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2306                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2307         return 0;
2308     }
2309
2310     /*
2311      * This function currently has no state to clean up, so it returns directly.
2312      * If parsing fails at any point, the function returns early.
2313      * The SSL object may be left with partial data from extensions, but it must
2314      * then no longer be used, and clearing it up will free the leftovers.
2315      */
2316     return 1;
2317 }
2318
2319 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2320 {
2321     int al = -1;
2322     custom_ext_init(&s->cert->srv_ext);
2323     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2324         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2325         return 0;
2326     }
2327     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2328         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2329         return 0;
2330     }
2331     return 1;
2332 }
2333
2334 #ifndef OPENSSL_NO_NEXTPROTONEG
2335 /*
2336  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2337  * elements of zero length are allowed and the set of elements must exactly
2338  * fill the length of the block.
2339  */
2340 static char ssl_next_proto_validate(PACKET *pkt)
2341 {
2342     PACKET tmp_protocol;
2343
2344     while (PACKET_remaining(pkt)) {
2345         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2346                 || PACKET_remaining(&tmp_protocol) == 0)
2347             return 0;
2348     }
2349
2350     return 1;
2351 }
2352 #endif
2353
2354 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2355 {
2356     unsigned int length, type, size;
2357     int tlsext_servername = 0;
2358     int renegotiate_seen = 0;
2359
2360 #ifndef OPENSSL_NO_NEXTPROTONEG
2361     s->s3->next_proto_neg_seen = 0;
2362 #endif
2363     s->tlsext_ticket_expected = 0;
2364
2365     OPENSSL_free(s->s3->alpn_selected);
2366     s->s3->alpn_selected = NULL;
2367 #ifndef OPENSSL_NO_HEARTBEATS
2368     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2369                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2370 #endif
2371
2372 #ifdef TLSEXT_TYPE_encrypt_then_mac
2373     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2374 #endif
2375
2376     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2377
2378     if (!PACKET_get_net_2(pkt, &length))
2379         goto ri_check;
2380
2381     if (PACKET_remaining(pkt) != length) {
2382         *al = SSL_AD_DECODE_ERROR;
2383         return 0;
2384     }
2385
2386     if (!tls1_check_duplicate_extensions(pkt)) {
2387         *al = SSL_AD_DECODE_ERROR;
2388         return 0;
2389     }
2390
2391     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2392         const unsigned char *data;
2393         PACKET spkt;
2394
2395         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2396                 ||  !PACKET_peek_bytes(&spkt, &data, size))
2397             goto ri_check;
2398
2399         if (s->tlsext_debug_cb)
2400             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2401
2402         if (type == TLSEXT_TYPE_renegotiate) {
2403             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2404                 return 0;
2405             renegotiate_seen = 1;
2406         } else if (s->version == SSL3_VERSION) {
2407         } else if (type == TLSEXT_TYPE_server_name) {
2408             if (s->tlsext_hostname == NULL || size > 0) {
2409                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2410                 return 0;
2411             }
2412             tlsext_servername = 1;
2413         }
2414 #ifndef OPENSSL_NO_EC
2415         else if (type == TLSEXT_TYPE_ec_point_formats) {
2416             unsigned int ecpointformatlist_length;
2417             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2418                     || ecpointformatlist_length != size - 1) {
2419                 *al = TLS1_AD_DECODE_ERROR;
2420                 return 0;
2421             }
2422             if (!s->hit) {
2423                 s->session->tlsext_ecpointformatlist_length = 0;
2424                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2425                 if ((s->session->tlsext_ecpointformatlist =
2426                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2427                     *al = TLS1_AD_INTERNAL_ERROR;
2428                     return 0;
2429                 }
2430                 s->session->tlsext_ecpointformatlist_length =
2431                     ecpointformatlist_length;
2432                 if (!PACKET_copy_bytes(&spkt,
2433                                        s->session->tlsext_ecpointformatlist,
2434                                        ecpointformatlist_length)) {
2435                     *al = TLS1_AD_DECODE_ERROR;
2436                     return 0;
2437                 }
2438
2439             }
2440         }
2441 #endif                         /* OPENSSL_NO_EC */
2442
2443         else if (type == TLSEXT_TYPE_session_ticket) {
2444             if (s->tls_session_ticket_ext_cb &&
2445                 !s->tls_session_ticket_ext_cb(s, data, size,
2446                                               s->tls_session_ticket_ext_cb_arg))
2447             {
2448                 *al = TLS1_AD_INTERNAL_ERROR;
2449                 return 0;
2450             }
2451             if (!tls_use_ticket(s) || (size > 0)) {
2452                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2453                 return 0;
2454             }
2455             s->tlsext_ticket_expected = 1;
2456         }
2457         else if (type == TLSEXT_TYPE_status_request) {
2458             /*
2459              * MUST be empty and only sent if we've requested a status
2460              * request message.
2461              */
2462             if ((s->tlsext_status_type == -1) || (size > 0)) {
2463                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2464                 return 0;
2465             }
2466             /* Set flag to expect CertificateStatus message */
2467             s->tlsext_status_expected = 1;
2468         }
2469 #ifndef OPENSSL_NO_CT
2470         /*
2471          * Only take it if we asked for it - i.e if there is no CT validation
2472          * callback set, then a custom extension MAY be processing it, so we
2473          * need to let control continue to flow to that.
2474          */
2475         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2476                  s->ct_validation_callback != NULL) {
2477             /* Simply copy it off for later processing */
2478             if (s->tlsext_scts != NULL) {
2479                 OPENSSL_free(s->tlsext_scts);
2480                 s->tlsext_scts = NULL;
2481             }
2482             s->tlsext_scts_len = size;
2483             if (size > 0) {
2484                 s->tlsext_scts = OPENSSL_malloc(size);
2485                 if (s->tlsext_scts == NULL) {
2486                     *al = TLS1_AD_INTERNAL_ERROR;
2487                     return 0;
2488                 }
2489                 memcpy(s->tlsext_scts, data, size);
2490             }
2491         }
2492 #endif
2493 #ifndef OPENSSL_NO_NEXTPROTONEG
2494         else if (type == TLSEXT_TYPE_next_proto_neg &&
2495                  s->s3->tmp.finish_md_len == 0) {
2496             unsigned char *selected;
2497             unsigned char selected_len;
2498             /* We must have requested it. */
2499             if (s->ctx->next_proto_select_cb == NULL) {
2500                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2501                 return 0;
2502             }
2503             /* The data must be valid */
2504             if (!ssl_next_proto_validate(&spkt)) {
2505                 *al = TLS1_AD_DECODE_ERROR;
2506                 return 0;
2507             }
2508             if (s->
2509                 ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2510                                           size,
2511                                           s->ctx->next_proto_select_cb_arg) !=
2512                 SSL_TLSEXT_ERR_OK) {
2513                 *al = TLS1_AD_INTERNAL_ERROR;
2514                 return 0;
2515             }
2516             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2517             if (s->next_proto_negotiated == NULL) {
2518                 *al = TLS1_AD_INTERNAL_ERROR;
2519                 return 0;
2520             }
2521             memcpy(s->next_proto_negotiated, selected, selected_len);
2522             s->next_proto_negotiated_len = selected_len;
2523             s->s3->next_proto_neg_seen = 1;
2524         }
2525 #endif
2526
2527         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2528             unsigned len;
2529             /* We must have requested it. */
2530             if (!s->s3->alpn_sent) {
2531                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2532                 return 0;
2533             }
2534             /*-
2535              * The extension data consists of:
2536              *   uint16 list_length
2537              *   uint8 proto_length;
2538              *   uint8 proto[proto_length];
2539              */
2540             if (!PACKET_get_net_2(&spkt, &len)
2541                     || PACKET_remaining(&spkt) != len
2542                     || !PACKET_get_1(&spkt, &len)
2543                     || PACKET_remaining(&spkt) != len) {
2544                 *al = TLS1_AD_DECODE_ERROR;
2545                 return 0;
2546             }
2547             OPENSSL_free(s->s3->alpn_selected);
2548             s->s3->alpn_selected = OPENSSL_malloc(len);
2549             if (s->s3->alpn_selected == NULL) {
2550                 *al = TLS1_AD_INTERNAL_ERROR;
2551                 return 0;
2552             }
2553             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2554                 *al = TLS1_AD_DECODE_ERROR;
2555                 return 0;
2556             }
2557             s->s3->alpn_selected_len = len;
2558         }
2559 #ifndef OPENSSL_NO_HEARTBEATS
2560         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2561             unsigned int hbtype;
2562             if (!PACKET_get_1(&spkt, &hbtype)) {
2563                 *al = SSL_AD_DECODE_ERROR;
2564                 return 0;
2565             }
2566             switch (hbtype) {
2567             case 0x01:         /* Server allows us to send HB requests */
2568                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2569                 break;
2570             case 0x02:         /* Server doesn't accept HB requests */
2571                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2572                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2573                 break;
2574             default:
2575                 *al = SSL_AD_ILLEGAL_PARAMETER;
2576                 return 0;
2577             }
2578         }
2579 #endif
2580 #ifndef OPENSSL_NO_SRTP
2581         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2582             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2583                 return 0;
2584         }
2585 #endif
2586 #ifdef TLSEXT_TYPE_encrypt_then_mac
2587         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2588             /* Ignore if inappropriate ciphersuite */
2589             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2590                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2591                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2592         }
2593 #endif
2594         else if (type == TLSEXT_TYPE_extended_master_secret) {
2595             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2596             if (!s->hit)
2597                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2598         }
2599         /*
2600          * If this extension type was not otherwise handled, but matches a
2601          * custom_cli_ext_record, then send it to the c callback
2602          */
2603         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2604             return 0;
2605     }
2606
2607     if (PACKET_remaining(pkt) != 0) {
2608         *al = SSL_AD_DECODE_ERROR;
2609         return 0;
2610     }
2611
2612     if (!s->hit && tlsext_servername == 1) {
2613         if (s->tlsext_hostname) {
2614             if (s->session->tlsext_hostname == NULL) {
2615                 s->session->tlsext_hostname = OPENSSL_strdup(s->tlsext_hostname);
2616                 if (!s->session->tlsext_hostname) {
2617                     *al = SSL_AD_UNRECOGNIZED_NAME;
2618                     return 0;
2619                 }
2620             } else {
2621                 *al = SSL_AD_DECODE_ERROR;
2622                 return 0;
2623             }
2624         }
2625     }
2626
2627  ri_check:
2628
2629     /*
2630      * Determine if we need to see RI. Strictly speaking if we want to avoid
2631      * an attack we should *always* see RI even on initial server hello
2632      * because the client doesn't see any renegotiation during an attack.
2633      * However this would mean we could not connect to any server which
2634      * doesn't support RI so for the immediate future tolerate RI absence on
2635      * initial connect only.
2636      */
2637     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2638         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2639         *al = SSL_AD_HANDSHAKE_FAILURE;
2640         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2641                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2642         return 0;
2643     }
2644
2645     if (s->hit) {
2646         /*
2647          * Check extended master secret extension is consistent with
2648          * original session.
2649          */
2650         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2651             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2652             *al = SSL_AD_HANDSHAKE_FAILURE;
2653             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2654             return 0;
2655             }
2656     }
2657
2658     return 1;
2659 }
2660
2661 int ssl_prepare_clienthello_tlsext(SSL *s)
2662 {
2663     s->s3->alpn_sent = 0;
2664     return 1;
2665 }
2666
2667 int ssl_prepare_serverhello_tlsext(SSL *s)
2668 {
2669     return 1;
2670 }
2671
2672 static int ssl_check_clienthello_tlsext_early(SSL *s)
2673 {
2674     int ret = SSL_TLSEXT_ERR_NOACK;
2675     int al = SSL_AD_UNRECOGNIZED_NAME;
2676
2677 #ifndef OPENSSL_NO_EC
2678     /*
2679      * The handling of the ECPointFormats extension is done elsewhere, namely
2680      * in ssl3_choose_cipher in s3_lib.c.
2681      */
2682     /*
2683      * The handling of the EllipticCurves extension is done elsewhere, namely
2684      * in ssl3_choose_cipher in s3_lib.c.
2685      */
2686 #endif
2687
2688     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2689         ret =
2690             s->ctx->tlsext_servername_callback(s, &al,
2691                                                s->ctx->tlsext_servername_arg);
2692     else if (s->initial_ctx != NULL
2693              && s->initial_ctx->tlsext_servername_callback != 0)
2694         ret =
2695             s->initial_ctx->tlsext_servername_callback(s, &al,
2696                                                        s->
2697                                                        initial_ctx->tlsext_servername_arg);
2698
2699     switch (ret) {
2700     case SSL_TLSEXT_ERR_ALERT_FATAL:
2701         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2702         return -1;
2703
2704     case SSL_TLSEXT_ERR_ALERT_WARNING:
2705         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2706         return 1;
2707
2708     case SSL_TLSEXT_ERR_NOACK:
2709         s->servername_done = 0;
2710     default:
2711         return 1;
2712     }
2713 }
2714 /* Initialise digests to default values */
2715 void ssl_set_default_md(SSL *s)
2716 {
2717     const EVP_MD **pmd = s->s3->tmp.md;
2718 #ifndef OPENSSL_NO_DSA
2719     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2720 #endif
2721 #ifndef OPENSSL_NO_RSA
2722     if (SSL_USE_SIGALGS(s))
2723         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2724     else
2725         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2726     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2727 #endif
2728 #ifndef OPENSSL_NO_EC
2729     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2730 #endif
2731 #ifndef OPENSSL_NO_GOST
2732     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2733     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2734     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2735 #endif
2736 }
2737
2738 int tls1_set_server_sigalgs(SSL *s)
2739 {
2740     int al;
2741     size_t i;
2742
2743     /* Clear any shared signature algorithms */
2744     OPENSSL_free(s->cert->shared_sigalgs);
2745     s->cert->shared_sigalgs = NULL;
2746     s->cert->shared_sigalgslen = 0;
2747     /* Clear certificate digests and validity flags */
2748     for (i = 0; i < SSL_PKEY_NUM; i++) {
2749         s->s3->tmp.md[i] = NULL;
2750         s->s3->tmp.valid_flags[i] = 0;
2751     }
2752
2753     /* If sigalgs received process it. */
2754     if (s->s3->tmp.peer_sigalgs) {
2755         if (!tls1_process_sigalgs(s)) {
2756             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2757             al = SSL_AD_INTERNAL_ERROR;
2758             goto err;
2759         }
2760         /* Fatal error is no shared signature algorithms */
2761         if (!s->cert->shared_sigalgs) {
2762             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2763                    SSL_R_NO_SHARED_SIGATURE_ALGORITHMS);
2764             al = SSL_AD_ILLEGAL_PARAMETER;
2765             goto err;
2766         }
2767     } else {
2768         ssl_set_default_md(s);
2769     }
2770     return 1;
2771  err:
2772     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2773     return 0;
2774 }
2775
2776 int ssl_check_clienthello_tlsext_late(SSL *s)
2777 {
2778     int ret = SSL_TLSEXT_ERR_OK;
2779     int al = SSL_AD_INTERNAL_ERROR;
2780
2781     /*
2782      * If status request then ask callback what to do. Note: this must be
2783      * called after servername callbacks in case the certificate has changed,
2784      * and must be called after the cipher has been chosen because this may
2785      * influence which certificate is sent
2786      */
2787     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2788         int r;
2789         CERT_PKEY *certpkey;
2790         certpkey = ssl_get_server_send_pkey(s);
2791         /* If no certificate can't return certificate status */
2792         if (certpkey == NULL) {
2793             s->tlsext_status_expected = 0;
2794             return 1;
2795         }
2796         /*
2797          * Set current certificate to one we will use so SSL_get_certificate
2798          * et al can pick it up.
2799          */
2800         s->cert->key = certpkey;
2801         r = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2802         switch (r) {
2803             /* We don't want to send a status request response */
2804         case SSL_TLSEXT_ERR_NOACK:
2805             s->tlsext_status_expected = 0;
2806             break;
2807             /* status request response should be sent */
2808         case SSL_TLSEXT_ERR_OK:
2809             if (s->tlsext_ocsp_resp)
2810                 s->tlsext_status_expected = 1;
2811             else
2812                 s->tlsext_status_expected = 0;
2813             break;
2814             /* something bad happened */
2815         case SSL_TLSEXT_ERR_ALERT_FATAL:
2816             ret = SSL_TLSEXT_ERR_ALERT_FATAL;
2817             al = SSL_AD_INTERNAL_ERROR;
2818             goto err;
2819         }
2820     } else
2821         s->tlsext_status_expected = 0;
2822
2823     if (!tls1_alpn_handle_client_hello_late(s, &ret, &al)) {
2824         goto err;
2825     }
2826
2827  err:
2828     switch (ret) {
2829     case SSL_TLSEXT_ERR_ALERT_FATAL:
2830         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2831         return -1;
2832
2833     case SSL_TLSEXT_ERR_ALERT_WARNING:
2834         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2835         return 1;
2836
2837     default:
2838         return 1;
2839     }
2840 }
2841
2842 int ssl_check_serverhello_tlsext(SSL *s)
2843 {
2844     int ret = SSL_TLSEXT_ERR_NOACK;
2845     int al = SSL_AD_UNRECOGNIZED_NAME;
2846
2847 #ifndef OPENSSL_NO_EC
2848     /*
2849      * If we are client and using an elliptic curve cryptography cipher
2850      * suite, then if server returns an EC point formats lists extension it
2851      * must contain uncompressed.
2852      */
2853     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2854     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2855     if ((s->tlsext_ecpointformatlist != NULL)
2856         && (s->tlsext_ecpointformatlist_length > 0)
2857         && (s->session->tlsext_ecpointformatlist != NULL)
2858         && (s->session->tlsext_ecpointformatlist_length > 0)
2859         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2860         /* we are using an ECC cipher */
2861         size_t i;
2862         unsigned char *list;
2863         int found_uncompressed = 0;
2864         list = s->session->tlsext_ecpointformatlist;
2865         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2866             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2867                 found_uncompressed = 1;
2868                 break;
2869             }
2870         }
2871         if (!found_uncompressed) {
2872             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2873                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2874             return -1;
2875         }
2876     }
2877     ret = SSL_TLSEXT_ERR_OK;
2878 #endif                         /* OPENSSL_NO_EC */
2879
2880     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2881         ret =
2882             s->ctx->tlsext_servername_callback(s, &al,
2883                                                s->ctx->tlsext_servername_arg);
2884     else if (s->initial_ctx != NULL
2885              && s->initial_ctx->tlsext_servername_callback != 0)
2886         ret =
2887             s->initial_ctx->tlsext_servername_callback(s, &al,
2888                                                        s->
2889                                                        initial_ctx->tlsext_servername_arg);
2890
2891     /*
2892      * Ensure we get sensible values passed to tlsext_status_cb in the event
2893      * that we don't receive a status message
2894      */
2895     OPENSSL_free(s->tlsext_ocsp_resp);
2896     s->tlsext_ocsp_resp = NULL;
2897     s->tlsext_ocsp_resplen = -1;
2898
2899     switch (ret) {
2900     case SSL_TLSEXT_ERR_ALERT_FATAL:
2901         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2902         return -1;
2903
2904     case SSL_TLSEXT_ERR_ALERT_WARNING:
2905         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2906         return 1;
2907
2908     case SSL_TLSEXT_ERR_NOACK:
2909         s->servername_done = 0;
2910     default:
2911         return 1;
2912     }
2913 }
2914
2915 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2916 {
2917     int al = -1;
2918     if (s->version < SSL3_VERSION)
2919         return 1;
2920     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2921         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2922         return 0;
2923     }
2924
2925     if (ssl_check_serverhello_tlsext(s) <= 0) {
2926         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2927         return 0;
2928     }
2929     return 1;
2930 }
2931
2932 /*-
2933  * Since the server cache lookup is done early on in the processing of the
2934  * ClientHello and other operations depend on the result some extensions
2935  * need to be handled at the same time.
2936  *
2937  * Two extensions are currently handled, session ticket and extended master
2938  * secret.
2939  *
2940  *   session_id: ClientHello session ID.
2941  *   ext: ClientHello extensions (including length prefix)
2942  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2943  *       point to the resulting session.
2944  *
2945  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2946  * ciphersuite, in which case we have no use for session tickets and one will
2947  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2948  *
2949  * Returns:
2950  *   -1: fatal error, either from parsing or decrypting the ticket.
2951  *    0: no ticket was found (or was ignored, based on settings).
2952  *    1: a zero length extension was found, indicating that the client supports
2953  *       session tickets but doesn't currently have one to offer.
2954  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2955  *       couldn't be decrypted because of a non-fatal error.
2956  *    3: a ticket was successfully decrypted and *ret was set.
2957  *
2958  * Side effects:
2959  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2960  *   a new session ticket to the client because the client indicated support
2961  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2962  *   a session ticket or we couldn't use the one it gave us, or if
2963  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2964  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2965  *
2966  *   For extended master secret flag is set if the extension is present.
2967  *
2968  */
2969 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2970                                        const PACKET *session_id,
2971                                        SSL_SESSION **ret)
2972 {
2973     unsigned int i;
2974     PACKET local_ext = *ext;
2975     int retv = -1;
2976
2977     int have_ticket = 0;
2978     int use_ticket = tls_use_ticket(s);
2979
2980     *ret = NULL;
2981     s->tlsext_ticket_expected = 0;
2982     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2983
2984     /*
2985      * If tickets disabled behave as if no ticket present to permit stateful
2986      * resumption.
2987      */
2988     if ((s->version <= SSL3_VERSION))
2989         return 0;
2990
2991     if (!PACKET_get_net_2(&local_ext, &i)) {
2992         retv = 0;
2993         goto end;
2994     }
2995     while (PACKET_remaining(&local_ext) >= 4) {
2996         unsigned int type, size;
2997
2998         if (!PACKET_get_net_2(&local_ext, &type)
2999                 || !PACKET_get_net_2(&local_ext, &size)) {
3000             /* Shouldn't ever happen */
3001             retv = -1;
3002             goto end;
3003         }
3004         if (PACKET_remaining(&local_ext) < size) {
3005             retv = 0;
3006             goto end;
3007         }
3008         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
3009             int r;
3010             const unsigned char *etick;
3011
3012             /* Duplicate extension */
3013             if (have_ticket != 0) {
3014                 retv = -1;
3015                 goto end;
3016             }
3017             have_ticket = 1;
3018
3019             if (size == 0) {
3020                 /*
3021                  * The client will accept a ticket but doesn't currently have
3022                  * one.
3023                  */
3024                 s->tlsext_ticket_expected = 1;
3025                 retv = 1;
3026                 continue;
3027             }
3028             if (s->tls_session_secret_cb) {
3029                 /*
3030                  * Indicate that the ticket couldn't be decrypted rather than
3031                  * generating the session from ticket now, trigger
3032                  * abbreviated handshake based on external mechanism to
3033                  * calculate the master secret later.
3034                  */
3035                 retv = 2;
3036                 continue;
3037             }
3038             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
3039                 /* Shouldn't ever happen */
3040                 retv = -1;
3041                 goto end;
3042             }
3043             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
3044                                    PACKET_remaining(session_id), ret);
3045             switch (r) {
3046             case 2:            /* ticket couldn't be decrypted */
3047                 s->tlsext_ticket_expected = 1;
3048                 retv = 2;
3049                 break;
3050             case 3:            /* ticket was decrypted */
3051                 retv = r;
3052                 break;
3053             case 4:            /* ticket decrypted but need to renew */
3054                 s->tlsext_ticket_expected = 1;
3055                 retv = 3;
3056                 break;
3057             default:           /* fatal error */
3058                 retv = -1;
3059                 break;
3060             }
3061             continue;
3062         } else {
3063             if (type == TLSEXT_TYPE_extended_master_secret)
3064                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
3065             if (!PACKET_forward(&local_ext, size)) {
3066                 retv = -1;
3067                 goto end;
3068             }
3069         }
3070     }
3071     if (have_ticket == 0)
3072         retv = 0;
3073 end:
3074     return retv;
3075 }
3076
3077 /*-
3078  * tls_decrypt_ticket attempts to decrypt a session ticket.
3079  *
3080  *   etick: points to the body of the session ticket extension.
3081  *   eticklen: the length of the session tickets extension.
3082  *   sess_id: points at the session ID.
3083  *   sesslen: the length of the session ID.
3084  *   psess: (output) on return, if a ticket was decrypted, then this is set to
3085  *       point to the resulting session.
3086  *
3087  * Returns:
3088  *   -2: fatal error, malloc failure.
3089  *   -1: fatal error, either from parsing or decrypting the ticket.
3090  *    2: the ticket couldn't be decrypted.
3091  *    3: a ticket was successfully decrypted and *psess was set.
3092  *    4: same as 3, but the ticket needs to be renewed.
3093  */
3094 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
3095                               int eticklen, const unsigned char *sess_id,
3096                               int sesslen, SSL_SESSION **psess)
3097 {
3098     SSL_SESSION *sess;
3099     unsigned char *sdec;
3100     const unsigned char *p;
3101     int slen, mlen, renew_ticket = 0, ret = -1;
3102     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
3103     HMAC_CTX *hctx = NULL;
3104     EVP_CIPHER_CTX *ctx;
3105     SSL_CTX *tctx = s->initial_ctx;
3106     /* Need at least keyname + iv + some encrypted data */
3107     if (eticklen < 48)
3108         return 2;
3109     /* Initialize session ticket encryption and HMAC contexts */
3110     hctx = HMAC_CTX_new();
3111     if (hctx == NULL)
3112         return -2;
3113     ctx = EVP_CIPHER_CTX_new();
3114     if (ctx == NULL) {
3115         ret = -2;
3116         goto err;
3117     }
3118     if (tctx->tlsext_ticket_key_cb) {
3119         unsigned char *nctick = (unsigned char *)etick;
3120         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
3121                                             ctx, hctx, 0);
3122         if (rv < 0)
3123             goto err;
3124         if (rv == 0) {
3125             ret = 2;
3126             goto err;
3127         }
3128         if (rv == 2)
3129             renew_ticket = 1;
3130     } else {
3131         /* Check key name matches */
3132         if (memcmp(etick, tctx->tlsext_tick_key_name,
3133                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
3134             ret = 2;
3135             goto err;
3136         }
3137         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3138                          sizeof(tctx->tlsext_tick_hmac_key),
3139                          EVP_sha256(), NULL) <= 0
3140                 || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3141                                       tctx->tlsext_tick_aes_key,
3142                                       etick + sizeof(tctx->tlsext_tick_key_name)) <= 0) {
3143             goto err;
3144        }
3145     }
3146     /*
3147      * Attempt to process session ticket, first conduct sanity and integrity
3148      * checks on ticket.
3149      */
3150     mlen = HMAC_size(hctx);
3151     if (mlen < 0) {
3152         goto err;
3153     }
3154     eticklen -= mlen;
3155     /* Check HMAC of encrypted ticket */
3156     if (HMAC_Update(hctx, etick, eticklen) <= 0
3157             || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3158         goto err;
3159     }
3160     HMAC_CTX_free(hctx);
3161     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3162         EVP_CIPHER_CTX_free(ctx);
3163         return 2;
3164     }
3165     /* Attempt to decrypt session data */
3166     /* Move p after IV to start of encrypted ticket, update length */
3167     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3168     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3169     sdec = OPENSSL_malloc(eticklen);
3170     if (sdec == NULL
3171             || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3172         EVP_CIPHER_CTX_free(ctx);
3173         OPENSSL_free(sdec);
3174         return -1;
3175     }
3176     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3177         EVP_CIPHER_CTX_free(ctx);
3178         OPENSSL_free(sdec);
3179         return 2;
3180     }
3181     slen += mlen;
3182     EVP_CIPHER_CTX_free(ctx);
3183     ctx = NULL;
3184     p = sdec;
3185
3186     sess = d2i_SSL_SESSION(NULL, &p, slen);
3187     OPENSSL_free(sdec);
3188     if (sess) {
3189         /*
3190          * The session ID, if non-empty, is used by some clients to detect
3191          * that the ticket has been accepted. So we copy it to the session
3192          * structure. If it is empty set length to zero as required by
3193          * standard.
3194          */
3195         if (sesslen)
3196             memcpy(sess->session_id, sess_id, sesslen);
3197         sess->session_id_length = sesslen;
3198         *psess = sess;
3199         if (renew_ticket)
3200             return 4;
3201         else
3202             return 3;
3203     }
3204     ERR_clear_error();
3205     /*
3206      * For session parse failure, indicate that we need to send a new ticket.
3207      */
3208     return 2;
3209 err:
3210     EVP_CIPHER_CTX_free(ctx);
3211     HMAC_CTX_free(hctx);
3212     return ret;
3213 }
3214
3215 /* Tables to translate from NIDs to TLS v1.2 ids */
3216
3217 typedef struct {
3218     int nid;
3219     int id;
3220 } tls12_lookup;
3221
3222 static const tls12_lookup tls12_md[] = {
3223     {NID_md5, TLSEXT_hash_md5},
3224     {NID_sha1, TLSEXT_hash_sha1},
3225     {NID_sha224, TLSEXT_hash_sha224},
3226     {NID_sha256, TLSEXT_hash_sha256},
3227     {NID_sha384, TLSEXT_hash_sha384},
3228     {NID_sha512, TLSEXT_hash_sha512},
3229     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3230     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3231     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3232 };
3233
3234 static const tls12_lookup tls12_sig[] = {
3235     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3236     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3237     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3238     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3239     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3240     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3241 };
3242
3243 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3244 {
3245     size_t i;
3246     for (i = 0; i < tlen; i++) {
3247         if (table[i].nid == nid)
3248             return table[i].id;
3249     }
3250     return -1;
3251 }
3252
3253 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3254 {
3255     size_t i;
3256     for (i = 0; i < tlen; i++) {
3257         if ((table[i].id) == id)
3258             return table[i].nid;
3259     }
3260     return NID_undef;
3261 }
3262
3263 int tls12_get_sigandhash(unsigned char *p, const EVP_PKEY *pk,
3264                          const EVP_MD *md)
3265 {
3266     int sig_id, md_id;
3267     if (!md)
3268         return 0;
3269     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3270     if (md_id == -1)
3271         return 0;
3272     sig_id = tls12_get_sigid(pk);
3273     if (sig_id == -1)
3274         return 0;
3275     p[0] = (unsigned char)md_id;
3276     p[1] = (unsigned char)sig_id;
3277     return 1;
3278 }
3279
3280 int tls12_get_sigid(const EVP_PKEY *pk)
3281 {
3282     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3283 }
3284
3285 typedef struct {
3286     int nid;
3287     int secbits;
3288     int md_idx;
3289     unsigned char tlsext_hash;
3290 } tls12_hash_info;
3291
3292 static const tls12_hash_info tls12_md_info[] = {
3293     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3294     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3295     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3296     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3297     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3298     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3299     {NID_id_GostR3411_94,       128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3300     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX, TLSEXT_hash_gostr34112012_256},
3301     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX, TLSEXT_hash_gostr34112012_512},
3302 };
3303
3304 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3305 {
3306     unsigned int i;
3307     if (hash_alg == 0)
3308         return NULL;
3309
3310     for (i=0; i < OSSL_NELEM(tls12_md_info); i++)
3311     {
3312         if (tls12_md_info[i].tlsext_hash == hash_alg)
3313             return tls12_md_info + i;
3314     }
3315
3316     return NULL;
3317 }
3318
3319 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3320 {
3321     const tls12_hash_info *inf;
3322     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3323         return NULL;
3324     inf = tls12_get_hash_info(hash_alg);
3325     if (!inf)
3326         return NULL;
3327     return ssl_md(inf->md_idx);
3328 }
3329
3330 static int tls12_get_pkey_idx(unsigned char sig_alg)
3331 {
3332     switch (sig_alg) {
3333 #ifndef OPENSSL_NO_RSA
3334     case TLSEXT_signature_rsa:
3335         return SSL_PKEY_RSA_SIGN;
3336 #endif
3337 #ifndef OPENSSL_NO_DSA
3338     case TLSEXT_signature_dsa:
3339         return SSL_PKEY_DSA_SIGN;
3340 #endif
3341 #ifndef OPENSSL_NO_EC
3342     case TLSEXT_signature_ecdsa:
3343         return SSL_PKEY_ECC;
3344 #endif
3345 # ifndef OPENSSL_NO_GOST
3346     case TLSEXT_signature_gostr34102001:
3347         return SSL_PKEY_GOST01;
3348
3349     case TLSEXT_signature_gostr34102012_256:
3350         return SSL_PKEY_GOST12_256;
3351
3352     case TLSEXT_signature_gostr34102012_512:
3353         return SSL_PKEY_GOST12_512;
3354 # endif
3355     }
3356     return -1;
3357 }
3358
3359 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3360 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3361                                int *psignhash_nid, const unsigned char *data)
3362 {
3363     int sign_nid = NID_undef, hash_nid = NID_undef;
3364     if (!phash_nid && !psign_nid && !psignhash_nid)
3365         return;
3366     if (phash_nid || psignhash_nid) {
3367         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3368         if (phash_nid)
3369             *phash_nid = hash_nid;
3370     }
3371     if (psign_nid || psignhash_nid) {
3372         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3373         if (psign_nid)
3374             *psign_nid = sign_nid;
3375     }
3376     if (psignhash_nid) {
3377         if (sign_nid == NID_undef || hash_nid == NID_undef
3378                 || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid,
3379                                           sign_nid) <= 0)
3380             *psignhash_nid = NID_undef;
3381     }
3382 }
3383
3384 /* Check to see if a signature algorithm is allowed */
3385 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3386 {
3387     /* See if we have an entry in the hash table and it is enabled */
3388     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3389     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3390         return 0;
3391     /* See if public key algorithm allowed */
3392     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3393         return 0;
3394     /* Finally see if security callback allows it */
3395     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3396 }
3397
3398 /*
3399  * Get a mask of disabled public key algorithms based on supported signature
3400  * algorithms. For example if no signature algorithm supports RSA then RSA is
3401  * disabled.
3402  */
3403
3404 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3405 {
3406     const unsigned char *sigalgs;
3407     size_t i, sigalgslen;
3408     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3409     /*
3410      * Now go through all signature algorithms seeing if we support any for
3411      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3412      * down calls to security callback only check if we have to.
3413      */
3414     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3415     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3416         switch (sigalgs[1]) {
3417 #ifndef OPENSSL_NO_RSA
3418         case TLSEXT_signature_rsa:
3419             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3420                 have_rsa = 1;
3421             break;
3422 #endif
3423 #ifndef OPENSSL_NO_DSA
3424         case TLSEXT_signature_dsa:
3425             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3426                 have_dsa = 1;
3427             break;
3428 #endif
3429 #ifndef OPENSSL_NO_EC
3430         case TLSEXT_signature_ecdsa:
3431             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3432                 have_ecdsa = 1;
3433             break;
3434 #endif
3435         }
3436     }
3437     if (!have_rsa)
3438         *pmask_a |= SSL_aRSA;
3439     if (!have_dsa)
3440         *pmask_a |= SSL_aDSS;
3441     if (!have_ecdsa)
3442         *pmask_a |= SSL_aECDSA;
3443 }
3444
3445 size_t tls12_copy_sigalgs(SSL *s, unsigned char *out,
3446                           const unsigned char *psig, size_t psiglen)
3447 {
3448     unsigned char *tmpout = out;
3449     size_t i;
3450     for (i = 0; i < psiglen; i += 2, psig += 2) {
3451         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3452             *tmpout++ = psig[0];
3453             *tmpout++ = psig[1];
3454         }
3455     }
3456     return tmpout - out;
3457 }
3458
3459 /* Given preference and allowed sigalgs set shared sigalgs */
3460 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3461                                 const unsigned char *pref, size_t preflen,
3462                                 const unsigned char *allow, size_t allowlen)
3463 {
3464     const unsigned char *ptmp, *atmp;
3465     size_t i, j, nmatch = 0;
3466     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3467         /* Skip disabled hashes or signature algorithms */
3468         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3469             continue;
3470         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3471             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3472                 nmatch++;
3473                 if (shsig) {
3474                     shsig->rhash = ptmp[0];
3475                     shsig->rsign = ptmp[1];
3476                     tls1_lookup_sigalg(&shsig->hash_nid,
3477                                        &shsig->sign_nid,
3478                                        &shsig->signandhash_nid, ptmp);
3479                     shsig++;
3480                 }
3481                 break;
3482             }
3483         }
3484     }
3485     return nmatch;
3486 }
3487
3488 /* Set shared signature algorithms for SSL structures */
3489 static int tls1_set_shared_sigalgs(SSL *s)
3490 {
3491     const unsigned char *pref, *allow, *conf;
3492     size_t preflen, allowlen, conflen;
3493     size_t nmatch;
3494     TLS_SIGALGS *salgs = NULL;
3495     CERT *c = s->cert;
3496     unsigned int is_suiteb = tls1_suiteb(s);
3497
3498     OPENSSL_free(c->shared_sigalgs);
3499     c->shared_sigalgs = NULL;
3500     c->shared_sigalgslen = 0;
3501     /* If client use client signature algorithms if not NULL */
3502     if (!s->server && c->client_sigalgs && !is_suiteb) {
3503         conf = c->client_sigalgs;
3504         conflen = c->client_sigalgslen;
3505     } else if (c->conf_sigalgs && !is_suiteb) {
3506         conf = c->conf_sigalgs;
3507         conflen = c->conf_sigalgslen;
3508     } else
3509         conflen = tls12_get_psigalgs(s, &conf);
3510     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3511         pref = conf;
3512         preflen = conflen;
3513         allow = s->s3->tmp.peer_sigalgs;
3514         allowlen = s->s3->tmp.peer_sigalgslen;
3515     } else {
3516         allow = conf;
3517         allowlen = conflen;
3518         pref = s->s3->tmp.peer_sigalgs;
3519         preflen = s->s3->tmp.peer_sigalgslen;
3520     }
3521     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3522     if (nmatch) {
3523         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3524         if (salgs == NULL)
3525             return 0;
3526         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3527     } else {
3528         salgs = NULL;
3529     }
3530     c->shared_sigalgs = salgs;
3531     c->shared_sigalgslen = nmatch;
3532     return 1;
3533 }
3534
3535 /* Set preferred digest for each key type */
3536
3537 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3538 {
3539     CERT *c = s->cert;
3540     /* Extension ignored for inappropriate versions */
3541     if (!SSL_USE_SIGALGS(s))
3542         return 1;
3543     /* Should never happen */
3544     if (!c)
3545         return 0;
3546
3547     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3548     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3549     if (s->s3->tmp.peer_sigalgs == NULL)
3550         return 0;
3551     s->s3->tmp.peer_sigalgslen = dsize;
3552     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3553     return 1;
3554 }
3555
3556 int tls1_process_sigalgs(SSL *s)
3557 {
3558     int idx;
3559     size_t i;
3560     const EVP_MD *md;
3561     const EVP_MD **pmd = s->s3->tmp.md;
3562     uint32_t *pvalid = s->s3->tmp.valid_flags;
3563     CERT *c = s->cert;
3564     TLS_SIGALGS *sigptr;
3565     if (!tls1_set_shared_sigalgs(s))
3566         return 0;
3567
3568     for (i = 0, sigptr = c->shared_sigalgs;
3569          i < c->shared_sigalgslen; i++, sigptr++) {
3570         idx = tls12_get_pkey_idx(sigptr->rsign);
3571         if (idx > 0 && pmd[idx] == NULL) {
3572             md = tls12_get_hash(sigptr->rhash);
3573             pmd[idx] = md;
3574             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3575             if (idx == SSL_PKEY_RSA_SIGN) {
3576                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3577                 pmd[SSL_PKEY_RSA_ENC] = md;
3578             }
3579         }
3580
3581     }
3582     /*
3583      * In strict mode leave unset digests as NULL to indicate we can't use
3584      * the certificate for signing.
3585      */
3586     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3587         /*
3588          * Set any remaining keys to default values. NOTE: if alg is not
3589          * supported it stays as NULL.
3590          */
3591 #ifndef OPENSSL_NO_DSA
3592         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3593             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3594 #endif
3595 #ifndef OPENSSL_NO_RSA
3596         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3597             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3598             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3599         }
3600 #endif
3601 #ifndef OPENSSL_NO_EC
3602         if (pmd[SSL_PKEY_ECC] == NULL)
3603             pmd[SSL_PKEY_ECC] = EVP_sha1();
3604 #endif
3605 # ifndef OPENSSL_NO_GOST
3606         if (pmd[SSL_PKEY_GOST01] == NULL)
3607             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3608         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3609             pmd[SSL_PKEY_GOST12_256] = EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3610         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3611             pmd[SSL_PKEY_GOST12_512] = EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3612 # endif
3613     }
3614     return 1;
3615 }
3616
3617 int SSL_get_sigalgs(SSL *s, int idx,
3618                     int *psign, int *phash, int *psignhash,
3619                     unsigned char *rsig, unsigned char *rhash)
3620 {
3621     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3622     if (psig == NULL)
3623         return 0;
3624     if (idx >= 0) {
3625         idx <<= 1;
3626         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3627             return 0;
3628         psig += idx;
3629         if (rhash)
3630             *rhash = psig[0];
3631         if (rsig)
3632             *rsig = psig[1];
3633         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3634     }
3635     return s->s3->tmp.peer_sigalgslen / 2;
3636 }
3637
3638 int SSL_get_shared_sigalgs(SSL *s, int idx,
3639                            int *psign, int *phash, int *psignhash,
3640                            unsigned char *rsig, unsigned char *rhash)
3641 {
3642     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3643     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3644         return 0;
3645     shsigalgs += idx;
3646     if (phash)
3647         *phash = shsigalgs->hash_nid;
3648     if (psign)
3649         *psign = shsigalgs->sign_nid;
3650     if (psignhash)
3651         *psignhash = shsigalgs->signandhash_nid;
3652     if (rsig)
3653         *rsig = shsigalgs->rsign;
3654     if (rhash)
3655         *rhash = shsigalgs->rhash;
3656     return s->cert->shared_sigalgslen;
3657 }
3658
3659 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3660
3661 typedef struct {
3662     size_t sigalgcnt;
3663     int sigalgs[MAX_SIGALGLEN];
3664 } sig_cb_st;
3665
3666 static void get_sigorhash(int *psig, int *phash, const char *str)
3667 {
3668     if (strcmp(str, "RSA") == 0) {
3669         *psig = EVP_PKEY_RSA;
3670     } else if (strcmp(str, "DSA") == 0) {
3671         *psig = EVP_PKEY_DSA;
3672     } else if (strcmp(str, "ECDSA") == 0) {
3673         *psig = EVP_PKEY_EC;
3674     } else {
3675         *phash = OBJ_sn2nid(str);
3676         if (*phash == NID_undef)
3677             *phash = OBJ_ln2nid(str);
3678     }
3679 }
3680
3681 static int sig_cb(const char *elem, int len, void *arg)
3682 {
3683     sig_cb_st *sarg = arg;
3684     size_t i;
3685     char etmp[20], *p;
3686     int sig_alg = NID_undef, hash_alg = NID_undef;
3687     if (elem == NULL)
3688         return 0;
3689     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3690         return 0;
3691     if (len > (int)(sizeof(etmp) - 1))
3692         return 0;
3693     memcpy(etmp, elem, len);
3694     etmp[len] = 0;
3695     p = strchr(etmp, '+');
3696     if (!p)
3697         return 0;
3698     *p = 0;
3699     p++;
3700     if (!*p)
3701         return 0;
3702
3703     get_sigorhash(&sig_alg, &hash_alg, etmp);
3704     get_sigorhash(&sig_alg, &hash_alg, p);
3705
3706   &nbs