Fix NPN protocol name list validation
[openssl.git] / ssl / t1_lib.c
1 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
2  * All rights reserved.
3  *
4  * This package is an SSL implementation written
5  * by Eric Young (eay@cryptsoft.com).
6  * The implementation was written so as to conform with Netscapes SSL.
7  *
8  * This library is free for commercial and non-commercial use as long as
9  * the following conditions are aheared to.  The following conditions
10  * apply to all code found in this distribution, be it the RC4, RSA,
11  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
12  * included with this distribution is covered by the same copyright terms
13  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
14  *
15  * Copyright remains Eric Young's, and as such any Copyright notices in
16  * the code are not to be removed.
17  * If this package is used in a product, Eric Young should be given attribution
18  * as the author of the parts of the library used.
19  * This can be in the form of a textual message at program startup or
20  * in documentation (online or textual) provided with the package.
21  *
22  * Redistribution and use in source and binary forms, with or without
23  * modification, are permitted provided that the following conditions
24  * are met:
25  * 1. Redistributions of source code must retain the copyright
26  *    notice, this list of conditions and the following disclaimer.
27  * 2. Redistributions in binary form must reproduce the above copyright
28  *    notice, this list of conditions and the following disclaimer in the
29  *    documentation and/or other materials provided with the distribution.
30  * 3. All advertising materials mentioning features or use of this software
31  *    must display the following acknowledgement:
32  *    "This product includes cryptographic software written by
33  *     Eric Young (eay@cryptsoft.com)"
34  *    The word 'cryptographic' can be left out if the rouines from the library
35  *    being used are not cryptographic related :-).
36  * 4. If you include any Windows specific code (or a derivative thereof) from
37  *    the apps directory (application code) you must include an acknowledgement:
38  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
41  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
43  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
44  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
45  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
46  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
48  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
49  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
50  * SUCH DAMAGE.
51  *
52  * The licence and distribution terms for any publically available version or
53  * derivative of this code cannot be changed.  i.e. this code cannot simply be
54  * copied and put under another distribution licence
55  * [including the GNU Public Licence.]
56  */
57 /* ====================================================================
58  * Copyright (c) 1998-2007 The OpenSSL Project.  All rights reserved.
59  *
60  * Redistribution and use in source and binary forms, with or without
61  * modification, are permitted provided that the following conditions
62  * are met:
63  *
64  * 1. Redistributions of source code must retain the above copyright
65  *    notice, this list of conditions and the following disclaimer.
66  *
67  * 2. Redistributions in binary form must reproduce the above copyright
68  *    notice, this list of conditions and the following disclaimer in
69  *    the documentation and/or other materials provided with the
70  *    distribution.
71  *
72  * 3. All advertising materials mentioning features or use of this
73  *    software must display the following acknowledgment:
74  *    "This product includes software developed by the OpenSSL Project
75  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
76  *
77  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
78  *    endorse or promote products derived from this software without
79  *    prior written permission. For written permission, please contact
80  *    openssl-core@openssl.org.
81  *
82  * 5. Products derived from this software may not be called "OpenSSL"
83  *    nor may "OpenSSL" appear in their names without prior written
84  *    permission of the OpenSSL Project.
85  *
86  * 6. Redistributions of any form whatsoever must retain the following
87  *    acknowledgment:
88  *    "This product includes software developed by the OpenSSL Project
89  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
90  *
91  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
92  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
93  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
94  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
95  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
96  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
97  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
98  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
99  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
100  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
101  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
102  * OF THE POSSIBILITY OF SUCH DAMAGE.
103  * ====================================================================
104  *
105  * This product includes cryptographic software written by Eric Young
106  * (eay@cryptsoft.com).  This product includes software written by Tim
107  * Hudson (tjh@cryptsoft.com).
108  *
109  */
110
111 #include <stdio.h>
112 #include <stdlib.h>
113 #include <openssl/objects.h>
114 #include <openssl/evp.h>
115 #include <openssl/hmac.h>
116 #include <openssl/ocsp.h>
117 #include <openssl/conf.h>
118 #include <openssl/x509v3.h>
119 #include <openssl/rand.h>
120 #include <openssl/dh.h>
121 #include <openssl/bn.h>
122 #include "ssl_locl.h"
123 #include <openssl/ct.h>
124
125 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
126                               const unsigned char *sess_id, int sesslen,
127                               SSL_SESSION **psess);
128 static int ssl_check_clienthello_tlsext_early(SSL *s);
129 static int ssl_check_serverhello_tlsext(SSL *s);
130
131 SSL3_ENC_METHOD const TLSv1_enc_data = {
132     tls1_enc,
133     tls1_mac,
134     tls1_setup_key_block,
135     tls1_generate_master_secret,
136     tls1_change_cipher_state,
137     tls1_final_finish_mac,
138     TLS1_FINISH_MAC_LENGTH,
139     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
140     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
141     tls1_alert_code,
142     tls1_export_keying_material,
143     0,
144     SSL3_HM_HEADER_LENGTH,
145     ssl3_set_handshake_header,
146     ssl3_handshake_write
147 };
148
149 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
150     tls1_enc,
151     tls1_mac,
152     tls1_setup_key_block,
153     tls1_generate_master_secret,
154     tls1_change_cipher_state,
155     tls1_final_finish_mac,
156     TLS1_FINISH_MAC_LENGTH,
157     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
158     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
159     tls1_alert_code,
160     tls1_export_keying_material,
161     SSL_ENC_FLAG_EXPLICIT_IV,
162     SSL3_HM_HEADER_LENGTH,
163     ssl3_set_handshake_header,
164     ssl3_handshake_write
165 };
166
167 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
168     tls1_enc,
169     tls1_mac,
170     tls1_setup_key_block,
171     tls1_generate_master_secret,
172     tls1_change_cipher_state,
173     tls1_final_finish_mac,
174     TLS1_FINISH_MAC_LENGTH,
175     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
176     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
177     tls1_alert_code,
178     tls1_export_keying_material,
179     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
180         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
181     SSL3_HM_HEADER_LENGTH,
182     ssl3_set_handshake_header,
183     ssl3_handshake_write
184 };
185
186 long tls1_default_timeout(void)
187 {
188     /*
189      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
190      * http, the cache would over fill
191      */
192     return (60 * 60 * 2);
193 }
194
195 int tls1_new(SSL *s)
196 {
197     if (!ssl3_new(s))
198         return (0);
199     s->method->ssl_clear(s);
200     return (1);
201 }
202
203 void tls1_free(SSL *s)
204 {
205     OPENSSL_free(s->tlsext_session_ticket);
206     ssl3_free(s);
207 }
208
209 void tls1_clear(SSL *s)
210 {
211     ssl3_clear(s);
212     if (s->method->version == TLS_ANY_VERSION)
213         s->version = TLS_MAX_VERSION;
214     else
215         s->version = s->method->version;
216 }
217
218 #ifndef OPENSSL_NO_EC
219
220 typedef struct {
221     int nid;                    /* Curve NID */
222     int secbits;                /* Bits of security (from SP800-57) */
223     unsigned int flags;         /* Flags: currently just field type */
224 } tls_curve_info;
225
226 /* Mask for curve type */
227 # define TLS_CURVE_TYPE          0x3
228 # define TLS_CURVE_PRIME         0x0
229 # define TLS_CURVE_CHAR2         0x1
230 # define TLS_CURVE_CUSTOM        0x2
231
232 /*
233  * Table of curve information.
234  * Do not delete entries or reorder this array! It is used as a lookup
235  * table: the index of each entry is one less than the TLS curve id.
236  */
237 static const tls_curve_info nid_list[] = {
238     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
239     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
240     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
241     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
242     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
243     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
244     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
245     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
246     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
247     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
248     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
249     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
250     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
251     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
252     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
253     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
254     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
255     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
256     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
257     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
258     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
259     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
260     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
261     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
262     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
263     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
264     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
265     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
266     /* X25519 (29) */
267     {NID_X25519, 128, TLS_CURVE_CUSTOM},
268 };
269
270 static const unsigned char ecformats_default[] = {
271     TLSEXT_ECPOINTFORMAT_uncompressed,
272     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
273     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
274 };
275
276 /* The default curves */
277 static const unsigned char eccurves_default[] = {
278     0, 29,                      /* X25519 (29) */
279     0, 23,                      /* secp256r1 (23) */
280     0, 25,                      /* secp521r1 (25) */
281     0, 24,                      /* secp384r1 (24) */
282 };
283
284 static const unsigned char eccurves_all[] = {
285     0, 29,                      /* X25519 (29) */
286     0, 23,                      /* secp256r1 (23) */
287     0, 25,                      /* secp521r1 (25) */
288     0, 24,                      /* secp384r1 (24) */
289     0, 26,                      /* brainpoolP256r1 (26) */
290     0, 27,                      /* brainpoolP384r1 (27) */
291     0, 28,                      /* brainpool512r1 (28) */
292
293     /*
294      * Remaining curves disabled by default but still permitted if set
295      * via an explicit callback or parameters.
296      */
297     0, 22,                      /* secp256k1 (22) */
298     0, 14,                      /* sect571r1 (14) */
299     0, 13,                      /* sect571k1 (13) */
300     0, 11,                      /* sect409k1 (11) */
301     0, 12,                      /* sect409r1 (12) */
302     0, 9,                       /* sect283k1 (9) */
303     0, 10,                      /* sect283r1 (10) */
304     0, 20,                      /* secp224k1 (20) */
305     0, 21,                      /* secp224r1 (21) */
306     0, 18,                      /* secp192k1 (18) */
307     0, 19,                      /* secp192r1 (19) */
308     0, 15,                      /* secp160k1 (15) */
309     0, 16,                      /* secp160r1 (16) */
310     0, 17,                      /* secp160r2 (17) */
311     0, 8,                       /* sect239k1 (8) */
312     0, 6,                       /* sect233k1 (6) */
313     0, 7,                       /* sect233r1 (7) */
314     0, 4,                       /* sect193r1 (4) */
315     0, 5,                       /* sect193r2 (5) */
316     0, 1,                       /* sect163k1 (1) */
317     0, 2,                       /* sect163r1 (2) */
318     0, 3,                       /* sect163r2 (3) */
319 };
320
321
322 static const unsigned char suiteb_curves[] = {
323     0, TLSEXT_curve_P_256,
324     0, TLSEXT_curve_P_384
325 };
326
327 int tls1_ec_curve_id2nid(int curve_id)
328 {
329     /* ECC curves from RFC 4492 and RFC 7027 */
330     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
331         return 0;
332     return nid_list[curve_id - 1].nid;
333 }
334
335 int tls1_ec_nid2curve_id(int nid)
336 {
337     size_t i;
338     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
339         if (nid_list[i].nid == nid)
340             return i + 1;
341     }
342     return 0;
343 }
344
345 /*
346  * Get curves list, if "sess" is set return client curves otherwise
347  * preferred list.
348  * Sets |num_curves| to the number of curves in the list, i.e.,
349  * the length of |pcurves| is 2 * num_curves.
350  * Returns 1 on success and 0 if the client curves list has invalid format.
351  * The latter indicates an internal error: we should not be accepting such
352  * lists in the first place.
353  * TODO(emilia): we should really be storing the curves list in explicitly
354  * parsed form instead. (However, this would affect binary compatibility
355  * so cannot happen in the 1.0.x series.)
356  */
357 static int tls1_get_curvelist(SSL *s, int sess,
358                               const unsigned char **pcurves,
359                               size_t *num_curves)
360 {
361     size_t pcurveslen = 0;
362     if (sess) {
363         *pcurves = s->session->tlsext_ellipticcurvelist;
364         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
365     } else {
366         /* For Suite B mode only include P-256, P-384 */
367         switch (tls1_suiteb(s)) {
368         case SSL_CERT_FLAG_SUITEB_128_LOS:
369             *pcurves = suiteb_curves;
370             pcurveslen = sizeof(suiteb_curves);
371             break;
372
373         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
374             *pcurves = suiteb_curves;
375             pcurveslen = 2;
376             break;
377
378         case SSL_CERT_FLAG_SUITEB_192_LOS:
379             *pcurves = suiteb_curves + 2;
380             pcurveslen = 2;
381             break;
382         default:
383             *pcurves = s->tlsext_ellipticcurvelist;
384             pcurveslen = s->tlsext_ellipticcurvelist_length;
385         }
386         if (!*pcurves) {
387             *pcurves = eccurves_default;
388             pcurveslen = sizeof(eccurves_default);
389         }
390     }
391
392     /* We do not allow odd length arrays to enter the system. */
393     if (pcurveslen & 1) {
394         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
395         *num_curves = 0;
396         return 0;
397     } else {
398         *num_curves = pcurveslen / 2;
399         return 1;
400     }
401 }
402
403 /* See if curve is allowed by security callback */
404 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
405 {
406     const tls_curve_info *cinfo;
407     if (curve[0])
408         return 1;
409     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
410         return 0;
411     cinfo = &nid_list[curve[1] - 1];
412 # ifdef OPENSSL_NO_EC2M
413     if (cinfo->flags & TLS_CURVE_CHAR2)
414         return 0;
415 # endif
416     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
417 }
418
419 /* Check a curve is one of our preferences */
420 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
421 {
422     const unsigned char *curves;
423     size_t num_curves, i;
424     unsigned int suiteb_flags = tls1_suiteb(s);
425     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
426         return 0;
427     /* Check curve matches Suite B preferences */
428     if (suiteb_flags) {
429         unsigned long cid = s->s3->tmp.new_cipher->id;
430         if (p[1])
431             return 0;
432         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
433             if (p[2] != TLSEXT_curve_P_256)
434                 return 0;
435         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
436             if (p[2] != TLSEXT_curve_P_384)
437                 return 0;
438         } else                  /* Should never happen */
439             return 0;
440     }
441     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
442         return 0;
443     for (i = 0; i < num_curves; i++, curves += 2) {
444         if (p[1] == curves[0] && p[2] == curves[1])
445             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
446     }
447     return 0;
448 }
449
450 /*-
451  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
452  * if there is no match.
453  * For nmatch == -1, return number of matches
454  * For nmatch == -2, return the NID of the curve to use for
455  * an EC tmp key, or NID_undef if there is no match.
456  */
457 int tls1_shared_curve(SSL *s, int nmatch)
458 {
459     const unsigned char *pref, *supp;
460     size_t num_pref, num_supp, i, j;
461     int k;
462     /* Can't do anything on client side */
463     if (s->server == 0)
464         return -1;
465     if (nmatch == -2) {
466         if (tls1_suiteb(s)) {
467             /*
468              * For Suite B ciphersuite determines curve: we already know
469              * these are acceptable due to previous checks.
470              */
471             unsigned long cid = s->s3->tmp.new_cipher->id;
472             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
473                 return NID_X9_62_prime256v1; /* P-256 */
474             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
475                 return NID_secp384r1; /* P-384 */
476             /* Should never happen */
477             return NID_undef;
478         }
479         /* If not Suite B just return first preference shared curve */
480         nmatch = 0;
481     }
482     /*
483      * Avoid truncation. tls1_get_curvelist takes an int
484      * but s->options is a long...
485      */
486     if (!tls1_get_curvelist
487         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
488          &num_supp))
489         /* In practice, NID_undef == 0 but let's be precise. */
490         return nmatch == -1 ? 0 : NID_undef;
491     if (!tls1_get_curvelist
492         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref,
493          &num_pref))
494         return nmatch == -1 ? 0 : NID_undef;
495
496     /*
497      * If the client didn't send the elliptic_curves extension all of them
498      * are allowed.
499      */
500     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
501         supp = eccurves_all;
502         num_supp = sizeof(eccurves_all) / 2;
503     } else if (num_pref == 0 &&
504         (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
505         pref = eccurves_all;
506         num_pref = sizeof(eccurves_all) / 2;
507     }
508
509     k = 0;
510     for (i = 0; i < num_pref; i++, pref += 2) {
511         const unsigned char *tsupp = supp;
512         for (j = 0; j < num_supp; j++, tsupp += 2) {
513             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
514                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
515                     continue;
516                 if (nmatch == k) {
517                     int id = (pref[0] << 8) | pref[1];
518                     return tls1_ec_curve_id2nid(id);
519                 }
520                 k++;
521             }
522         }
523     }
524     if (nmatch == -1)
525         return k;
526     /* Out of range (nmatch > k). */
527     return NID_undef;
528 }
529
530 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
531                     int *curves, size_t ncurves)
532 {
533     unsigned char *clist, *p;
534     size_t i;
535     /*
536      * Bitmap of curves included to detect duplicates: only works while curve
537      * ids < 32
538      */
539     unsigned long dup_list = 0;
540     clist = OPENSSL_malloc(ncurves * 2);
541     if (clist == NULL)
542         return 0;
543     for (i = 0, p = clist; i < ncurves; i++) {
544         unsigned long idmask;
545         int id;
546         id = tls1_ec_nid2curve_id(curves[i]);
547         idmask = 1L << id;
548         if (!id || (dup_list & idmask)) {
549             OPENSSL_free(clist);
550             return 0;
551         }
552         dup_list |= idmask;
553         s2n(id, p);
554     }
555     OPENSSL_free(*pext);
556     *pext = clist;
557     *pextlen = ncurves * 2;
558     return 1;
559 }
560
561 # define MAX_CURVELIST   28
562
563 typedef struct {
564     size_t nidcnt;
565     int nid_arr[MAX_CURVELIST];
566 } nid_cb_st;
567
568 static int nid_cb(const char *elem, int len, void *arg)
569 {
570     nid_cb_st *narg = arg;
571     size_t i;
572     int nid;
573     char etmp[20];
574     if (elem == NULL)
575         return 0;
576     if (narg->nidcnt == MAX_CURVELIST)
577         return 0;
578     if (len > (int)(sizeof(etmp) - 1))
579         return 0;
580     memcpy(etmp, elem, len);
581     etmp[len] = 0;
582     nid = EC_curve_nist2nid(etmp);
583     if (nid == NID_undef)
584         nid = OBJ_sn2nid(etmp);
585     if (nid == NID_undef)
586         nid = OBJ_ln2nid(etmp);
587     if (nid == NID_undef)
588         return 0;
589     for (i = 0; i < narg->nidcnt; i++)
590         if (narg->nid_arr[i] == nid)
591             return 0;
592     narg->nid_arr[narg->nidcnt++] = nid;
593     return 1;
594 }
595
596 /* Set curves based on a colon separate list */
597 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen,
598                          const char *str)
599 {
600     nid_cb_st ncb;
601     ncb.nidcnt = 0;
602     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
603         return 0;
604     if (pext == NULL)
605         return 1;
606     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
607 }
608
609 /* For an EC key set TLS id and required compression based on parameters */
610 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
611                           EC_KEY *ec)
612 {
613     int id;
614     const EC_GROUP *grp;
615     if (!ec)
616         return 0;
617     /* Determine if it is a prime field */
618     grp = EC_KEY_get0_group(ec);
619     if (!grp)
620         return 0;
621     /* Determine curve ID */
622     id = EC_GROUP_get_curve_name(grp);
623     id = tls1_ec_nid2curve_id(id);
624     /* If no id return error: we don't support arbitrary explicit curves */
625     if (id == 0)
626         return 0;
627     curve_id[0] = 0;
628     curve_id[1] = (unsigned char)id;
629     if (comp_id) {
630         if (EC_KEY_get0_public_key(ec) == NULL)
631             return 0;
632         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
633             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
634         } else {
635             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
636                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
637             else
638                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
639         }
640     }
641     return 1;
642 }
643
644 /* Check an EC key is compatible with extensions */
645 static int tls1_check_ec_key(SSL *s,
646                              unsigned char *curve_id, unsigned char *comp_id)
647 {
648     const unsigned char *pformats, *pcurves;
649     size_t num_formats, num_curves, i;
650     int j;
651     /*
652      * If point formats extension present check it, otherwise everything is
653      * supported (see RFC4492).
654      */
655     if (comp_id && s->session->tlsext_ecpointformatlist) {
656         pformats = s->session->tlsext_ecpointformatlist;
657         num_formats = s->session->tlsext_ecpointformatlist_length;
658         for (i = 0; i < num_formats; i++, pformats++) {
659             if (*comp_id == *pformats)
660                 break;
661         }
662         if (i == num_formats)
663             return 0;
664     }
665     if (!curve_id)
666         return 1;
667     /* Check curve is consistent with client and server preferences */
668     for (j = 0; j <= 1; j++) {
669         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
670             return 0;
671         if (j == 1 && num_curves == 0) {
672             /*
673              * If we've not received any curves then skip this check.
674              * RFC 4492 does not require the supported elliptic curves extension
675              * so if it is not sent we can just choose any curve.
676              * It is invalid to send an empty list in the elliptic curves
677              * extension, so num_curves == 0 always means no extension.
678              */
679             break;
680         }
681         for (i = 0; i < num_curves; i++, pcurves += 2) {
682             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
683                 break;
684         }
685         if (i == num_curves)
686             return 0;
687         /* For clients can only check sent curve list */
688         if (!s->server)
689             break;
690     }
691     return 1;
692 }
693
694 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
695                                 size_t *num_formats)
696 {
697     /*
698      * If we have a custom point format list use it otherwise use default
699      */
700     if (s->tlsext_ecpointformatlist) {
701         *pformats = s->tlsext_ecpointformatlist;
702         *num_formats = s->tlsext_ecpointformatlist_length;
703     } else {
704         *pformats = ecformats_default;
705         /* For Suite B we don't support char2 fields */
706         if (tls1_suiteb(s))
707             *num_formats = sizeof(ecformats_default) - 1;
708         else
709             *num_formats = sizeof(ecformats_default);
710     }
711 }
712
713 /*
714  * Check cert parameters compatible with extensions: currently just checks EC
715  * certificates have compatible curves and compression.
716  */
717 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
718 {
719     unsigned char comp_id, curve_id[2];
720     EVP_PKEY *pkey;
721     int rv;
722     pkey = X509_get0_pubkey(x);
723     if (!pkey)
724         return 0;
725     /* If not EC nothing to do */
726     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
727         return 1;
728     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
729     if (!rv)
730         return 0;
731     /*
732      * Can't check curve_id for client certs as we don't have a supported
733      * curves extension.
734      */
735     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
736     if (!rv)
737         return 0;
738     /*
739      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
740      * SHA384+P-384, adjust digest if necessary.
741      */
742     if (set_ee_md && tls1_suiteb(s)) {
743         int check_md;
744         size_t i;
745         CERT *c = s->cert;
746         if (curve_id[0])
747             return 0;
748         /* Check to see we have necessary signing algorithm */
749         if (curve_id[1] == TLSEXT_curve_P_256)
750             check_md = NID_ecdsa_with_SHA256;
751         else if (curve_id[1] == TLSEXT_curve_P_384)
752             check_md = NID_ecdsa_with_SHA384;
753         else
754             return 0;           /* Should never happen */
755         for (i = 0; i < c->shared_sigalgslen; i++)
756             if (check_md == c->shared_sigalgs[i].signandhash_nid)
757                 break;
758         if (i == c->shared_sigalgslen)
759             return 0;
760         if (set_ee_md == 2) {
761             if (check_md == NID_ecdsa_with_SHA256)
762                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
763             else
764                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
765         }
766     }
767     return rv;
768 }
769
770 # ifndef OPENSSL_NO_EC
771 /*
772  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
773  * @s: SSL connection
774  * @cid: Cipher ID we're considering using
775  *
776  * Checks that the kECDHE cipher suite we're considering using
777  * is compatible with the client extensions.
778  *
779  * Returns 0 when the cipher can't be used or 1 when it can.
780  */
781 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
782 {
783     /*
784      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
785      * curves permitted.
786      */
787     if (tls1_suiteb(s)) {
788         unsigned char curve_id[2];
789         /* Curve to check determined by ciphersuite */
790         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
791             curve_id[1] = TLSEXT_curve_P_256;
792         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
793             curve_id[1] = TLSEXT_curve_P_384;
794         else
795             return 0;
796         curve_id[0] = 0;
797         /* Check this curve is acceptable */
798         if (!tls1_check_ec_key(s, curve_id, NULL))
799             return 0;
800         return 1;
801     }
802     /* Need a shared curve */
803     if (tls1_shared_curve(s, 0))
804         return 1;
805     return 0;
806 }
807 # endif                         /* OPENSSL_NO_EC */
808
809 #else
810
811 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
812 {
813     return 1;
814 }
815
816 #endif                          /* OPENSSL_NO_EC */
817
818 /*
819  * List of supported signature algorithms and hashes. Should make this
820  * customisable at some point, for now include everything we support.
821  */
822
823 #ifdef OPENSSL_NO_RSA
824 # define tlsext_sigalg_rsa(md) /* */
825 #else
826 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
827 #endif
828
829 #ifdef OPENSSL_NO_DSA
830 # define tlsext_sigalg_dsa(md) /* */
831 #else
832 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
833 #endif
834
835 #ifdef OPENSSL_NO_EC
836 # define tlsext_sigalg_ecdsa(md) /* */
837 #else
838 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
839 #endif
840
841 #define tlsext_sigalg(md) \
842                 tlsext_sigalg_rsa(md) \
843                 tlsext_sigalg_dsa(md) \
844                 tlsext_sigalg_ecdsa(md)
845
846 static const unsigned char tls12_sigalgs[] = {
847     tlsext_sigalg(TLSEXT_hash_sha512)
848         tlsext_sigalg(TLSEXT_hash_sha384)
849         tlsext_sigalg(TLSEXT_hash_sha256)
850         tlsext_sigalg(TLSEXT_hash_sha224)
851         tlsext_sigalg(TLSEXT_hash_sha1)
852 #ifndef OPENSSL_NO_GOST
853         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
854         TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
855         TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
856 #endif
857 };
858
859 #ifndef OPENSSL_NO_EC
860 static const unsigned char suiteb_sigalgs[] = {
861     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
862         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
863 };
864 #endif
865 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
866 {
867     /*
868      * If Suite B mode use Suite B sigalgs only, ignore any other
869      * preferences.
870      */
871 #ifndef OPENSSL_NO_EC
872     switch (tls1_suiteb(s)) {
873     case SSL_CERT_FLAG_SUITEB_128_LOS:
874         *psigs = suiteb_sigalgs;
875         return sizeof(suiteb_sigalgs);
876
877     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
878         *psigs = suiteb_sigalgs;
879         return 2;
880
881     case SSL_CERT_FLAG_SUITEB_192_LOS:
882         *psigs = suiteb_sigalgs + 2;
883         return 2;
884     }
885 #endif
886     /* If server use client authentication sigalgs if not NULL */
887     if (s->server && s->cert->client_sigalgs) {
888         *psigs = s->cert->client_sigalgs;
889         return s->cert->client_sigalgslen;
890     } else if (s->cert->conf_sigalgs) {
891         *psigs = s->cert->conf_sigalgs;
892         return s->cert->conf_sigalgslen;
893     } else {
894         *psigs = tls12_sigalgs;
895         return sizeof(tls12_sigalgs);
896     }
897 }
898
899 /*
900  * Check signature algorithm is consistent with sent supported signature
901  * algorithms and if so return relevant digest.
902  */
903 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
904                             const unsigned char *sig, EVP_PKEY *pkey)
905 {
906     const unsigned char *sent_sigs;
907     size_t sent_sigslen, i;
908     int sigalg = tls12_get_sigid(pkey);
909     /* Should never happen */
910     if (sigalg == -1)
911         return -1;
912     /* Check key type is consistent with signature */
913     if (sigalg != (int)sig[1]) {
914         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
915         return 0;
916     }
917 #ifndef OPENSSL_NO_EC
918     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
919         unsigned char curve_id[2], comp_id;
920         /* Check compression and curve matches extensions */
921         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
922             return 0;
923         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
924             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
925             return 0;
926         }
927         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
928         if (tls1_suiteb(s)) {
929             if (curve_id[0])
930                 return 0;
931             if (curve_id[1] == TLSEXT_curve_P_256) {
932                 if (sig[0] != TLSEXT_hash_sha256) {
933                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
934                            SSL_R_ILLEGAL_SUITEB_DIGEST);
935                     return 0;
936                 }
937             } else if (curve_id[1] == TLSEXT_curve_P_384) {
938                 if (sig[0] != TLSEXT_hash_sha384) {
939                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
940                            SSL_R_ILLEGAL_SUITEB_DIGEST);
941                     return 0;
942                 }
943             } else
944                 return 0;
945         }
946     } else if (tls1_suiteb(s))
947         return 0;
948 #endif
949
950     /* Check signature matches a type we sent */
951     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
952     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
953         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
954             break;
955     }
956     /* Allow fallback to SHA1 if not strict mode */
957     if (i == sent_sigslen
958         && (sig[0] != TLSEXT_hash_sha1
959             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
960         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
961         return 0;
962     }
963     *pmd = tls12_get_hash(sig[0]);
964     if (*pmd == NULL) {
965         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
966         return 0;
967     }
968     /* Make sure security callback allows algorithm */
969     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
970                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd),
971                       (void *)sig)) {
972         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
973         return 0;
974     }
975     /*
976      * Store the digest used so applications can retrieve it if they wish.
977      */
978     s->s3->tmp.peer_md = *pmd;
979     return 1;
980 }
981
982 /*
983  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
984  * supported, doesn't appear in supported signature algorithms, isn't supported
985  * by the enabled protocol versions or by the security level.
986  *
987  * This function should only be used for checking which ciphers are supported
988  * by the client.
989  *
990  * Call ssl_cipher_disabled() to check that it's enabled or not.
991  */
992 void ssl_set_client_disabled(SSL *s)
993 {
994     s->s3->tmp.mask_a = 0;
995     s->s3->tmp.mask_k = 0;
996     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
997     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
998 # ifndef OPENSSL_NO_PSK
999     /* with PSK there must be client callback set */
1000     if (!s->psk_client_callback) {
1001         s->s3->tmp.mask_a |= SSL_aPSK;
1002         s->s3->tmp.mask_k |= SSL_PSK;
1003     }
1004 #endif                         /* OPENSSL_NO_PSK */
1005 #ifndef OPENSSL_NO_SRP
1006     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
1007         s->s3->tmp.mask_a |= SSL_aSRP;
1008         s->s3->tmp.mask_k |= SSL_kSRP;
1009     }
1010 #endif
1011 }
1012
1013 /*
1014  * ssl_cipher_disabled - check that a cipher is disabled or not
1015  * @s: SSL connection that you want to use the cipher on
1016  * @c: cipher to check
1017  * @op: Security check that you want to do
1018  *
1019  * Returns 1 when it's disabled, 0 when enabled.
1020  */
1021 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
1022 {
1023     if (c->algorithm_mkey & s->s3->tmp.mask_k
1024         || c->algorithm_auth & s->s3->tmp.mask_a)
1025         return 1;
1026     if (s->s3->tmp.max_ver == 0)
1027         return 1;
1028     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
1029             || (c->max_tls < s->s3->tmp.min_ver)))
1030         return 1;
1031     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
1032             || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
1033         return 1;
1034
1035     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
1036 }
1037
1038 static int tls_use_ticket(SSL *s)
1039 {
1040     if (s->options & SSL_OP_NO_TICKET)
1041         return 0;
1042     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
1043 }
1044
1045 static int compare_uint(const void *p1, const void *p2) {
1046     unsigned int u1 = *((const unsigned int *)p1);
1047     unsigned int u2 = *((const unsigned int *)p2);
1048     if (u1 < u2)
1049         return -1;
1050     else if (u1 > u2)
1051         return 1;
1052     else
1053         return 0;
1054 }
1055
1056 /*
1057  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
1058  * more than one extension of the same type in a ClientHello or ServerHello.
1059  * This function does an initial scan over the extensions block to filter those
1060  * out. It returns 1 if all extensions are unique, and 0 if the extensions
1061  * contain duplicates, could not be successfully parsed, or an internal error
1062  * occurred.
1063  */
1064 static int tls1_check_duplicate_extensions(const PACKET *packet) {
1065     PACKET extensions = *packet;
1066     size_t num_extensions = 0, i = 0;
1067     unsigned int *extension_types = NULL;
1068     int ret = 0;
1069
1070     /* First pass: count the extensions. */
1071     while (PACKET_remaining(&extensions) > 0) {
1072         unsigned int type;
1073         PACKET extension;
1074         if (!PACKET_get_net_2(&extensions, &type) ||
1075             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1076             goto done;
1077         }
1078         num_extensions++;
1079     }
1080
1081     if (num_extensions <= 1)
1082         return 1;
1083
1084     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
1085     if (extension_types == NULL) {
1086         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
1087         goto done;
1088     }
1089
1090     /* Second pass: gather the extension types. */
1091     extensions = *packet;
1092     for (i = 0; i < num_extensions; i++) {
1093         PACKET extension;
1094         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
1095             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1096             /* This should not happen. */
1097             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1098             goto done;
1099         }
1100     }
1101
1102     if (PACKET_remaining(&extensions) != 0) {
1103         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1104         goto done;
1105     }
1106     /* Sort the extensions and make sure there are no duplicates. */
1107     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1108     for (i = 1; i < num_extensions; i++) {
1109         if (extension_types[i - 1] == extension_types[i])
1110             goto done;
1111     }
1112     ret = 1;
1113  done:
1114     OPENSSL_free(extension_types);
1115     return ret;
1116 }
1117
1118 unsigned char *ssl_add_clienthello_tlsext(SSL *s, unsigned char *buf,
1119                                           unsigned char *limit, int *al)
1120 {
1121     int extdatalen = 0;
1122     unsigned char *orig = buf;
1123     unsigned char *ret = buf;
1124 #ifndef OPENSSL_NO_EC
1125     /* See if we support any ECC ciphersuites */
1126     int using_ecc = 0;
1127     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1128         int i;
1129         unsigned long alg_k, alg_a;
1130         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1131
1132         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1133             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1134
1135             alg_k = c->algorithm_mkey;
1136             alg_a = c->algorithm_auth;
1137             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1138                  || (alg_a & SSL_aECDSA)) {
1139                 using_ecc = 1;
1140                 break;
1141             }
1142         }
1143     }
1144 #endif
1145
1146     ret += 2;
1147
1148     if (ret >= limit)
1149         return NULL;            /* this really never occurs, but ... */
1150
1151     /* Add RI if renegotiating */
1152     if (s->renegotiate) {
1153         int el;
1154
1155         if (!ssl_add_clienthello_renegotiate_ext(s, 0, &el, 0)) {
1156             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1157             return NULL;
1158         }
1159
1160         if ((limit - ret - 4 - el) < 0)
1161             return NULL;
1162
1163         s2n(TLSEXT_TYPE_renegotiate, ret);
1164         s2n(el, ret);
1165
1166         if (!ssl_add_clienthello_renegotiate_ext(s, ret, &el, el)) {
1167             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1168             return NULL;
1169         }
1170
1171         ret += el;
1172     }
1173     /* Only add RI for SSLv3 */
1174     if (s->client_version == SSL3_VERSION)
1175         goto done;
1176
1177     if (s->tlsext_hostname != NULL) {
1178         /* Add TLS extension servername to the Client Hello message */
1179         unsigned long size_str;
1180         long lenmax;
1181
1182         /*-
1183          * check for enough space.
1184          * 4 for the servername type and extension length
1185          * 2 for servernamelist length
1186          * 1 for the hostname type
1187          * 2 for hostname length
1188          * + hostname length
1189          */
1190
1191         if ((lenmax = limit - ret - 9) < 0
1192             || (size_str =
1193                 strlen(s->tlsext_hostname)) > (unsigned long)lenmax)
1194             return NULL;
1195
1196         /* extension type and length */
1197         s2n(TLSEXT_TYPE_server_name, ret);
1198         s2n(size_str + 5, ret);
1199
1200         /* length of servername list */
1201         s2n(size_str + 3, ret);
1202
1203         /* hostname type, length and hostname */
1204         *(ret++) = (unsigned char)TLSEXT_NAMETYPE_host_name;
1205         s2n(size_str, ret);
1206         memcpy(ret, s->tlsext_hostname, size_str);
1207         ret += size_str;
1208     }
1209 #ifndef OPENSSL_NO_SRP
1210     /* Add SRP username if there is one */
1211     if (s->srp_ctx.login != NULL) { /* Add TLS extension SRP username to the
1212                                      * Client Hello message */
1213
1214         int login_len = strlen(s->srp_ctx.login);
1215         if (login_len > 255 || login_len == 0) {
1216             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1217             return NULL;
1218         }
1219
1220         /*-
1221          * check for enough space.
1222          * 4 for the srp type type and extension length
1223          * 1 for the srp user identity
1224          * + srp user identity length
1225          */
1226         if ((limit - ret - 5 - login_len) < 0)
1227             return NULL;
1228
1229         /* fill in the extension */
1230         s2n(TLSEXT_TYPE_srp, ret);
1231         s2n(login_len + 1, ret);
1232         (*ret++) = (unsigned char)login_len;
1233         memcpy(ret, s->srp_ctx.login, login_len);
1234         ret += login_len;
1235     }
1236 #endif
1237
1238 #ifndef OPENSSL_NO_EC
1239     if (using_ecc) {
1240         /*
1241          * Add TLS extension ECPointFormats to the ClientHello message
1242          */
1243         long lenmax;
1244         const unsigned char *pcurves, *pformats;
1245         size_t num_curves, num_formats, curves_list_len;
1246         size_t i;
1247         unsigned char *etmp;
1248
1249         tls1_get_formatlist(s, &pformats, &num_formats);
1250
1251         if ((lenmax = limit - ret - 5) < 0)
1252             return NULL;
1253         if (num_formats > (size_t)lenmax)
1254             return NULL;
1255         if (num_formats > 255) {
1256             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1257             return NULL;
1258         }
1259
1260         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1261         /* The point format list has 1-byte length. */
1262         s2n(num_formats + 1, ret);
1263         *(ret++) = (unsigned char)num_formats;
1264         memcpy(ret, pformats, num_formats);
1265         ret += num_formats;
1266
1267         /*
1268          * Add TLS extension EllipticCurves to the ClientHello message
1269          */
1270         pcurves = s->tlsext_ellipticcurvelist;
1271         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves))
1272             return NULL;
1273
1274         if ((lenmax = limit - ret - 6) < 0)
1275             return NULL;
1276         if (num_curves > (size_t)lenmax / 2)
1277             return NULL;
1278         if (num_curves > 65532 / 2) {
1279             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1280             return NULL;
1281         }
1282
1283         s2n(TLSEXT_TYPE_elliptic_curves, ret);
1284         etmp = ret + 4;
1285         /* Copy curve ID if supported */
1286         for (i = 0; i < num_curves; i++, pcurves += 2) {
1287             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1288                 *etmp++ = pcurves[0];
1289                 *etmp++ = pcurves[1];
1290             }
1291         }
1292
1293         curves_list_len = etmp - ret - 4;
1294
1295         s2n(curves_list_len + 2, ret);
1296         s2n(curves_list_len, ret);
1297         ret += curves_list_len;
1298     }
1299 #endif                         /* OPENSSL_NO_EC */
1300
1301     if (tls_use_ticket(s)) {
1302         int ticklen;
1303         if (!s->new_session && s->session && s->session->tlsext_tick)
1304             ticklen = s->session->tlsext_ticklen;
1305         else if (s->session && s->tlsext_session_ticket &&
1306                  s->tlsext_session_ticket->data) {
1307             ticklen = s->tlsext_session_ticket->length;
1308             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1309             if (s->session->tlsext_tick == NULL)
1310                 return NULL;
1311             memcpy(s->session->tlsext_tick,
1312                    s->tlsext_session_ticket->data, ticklen);
1313             s->session->tlsext_ticklen = ticklen;
1314         } else
1315             ticklen = 0;
1316         if (ticklen == 0 && s->tlsext_session_ticket &&
1317             s->tlsext_session_ticket->data == NULL)
1318             goto skip_ext;
1319         /*
1320          * Check for enough room 2 for extension type, 2 for len rest for
1321          * ticket
1322          */
1323         if ((long)(limit - ret - 4 - ticklen) < 0)
1324             return NULL;
1325         s2n(TLSEXT_TYPE_session_ticket, ret);
1326         s2n(ticklen, ret);
1327         if (ticklen) {
1328             memcpy(ret, s->session->tlsext_tick, ticklen);
1329             ret += ticklen;
1330         }
1331     }
1332  skip_ext:
1333
1334     if (SSL_CLIENT_USE_SIGALGS(s)) {
1335         size_t salglen;
1336         const unsigned char *salg;
1337         unsigned char *etmp;
1338         salglen = tls12_get_psigalgs(s, &salg);
1339         if ((size_t)(limit - ret) < salglen + 6)
1340             return NULL;
1341         s2n(TLSEXT_TYPE_signature_algorithms, ret);
1342         etmp = ret;
1343         /* Skip over lengths for now */
1344         ret += 4;
1345         salglen = tls12_copy_sigalgs(s, ret, salg, salglen);
1346         /* Fill in lengths */
1347         s2n(salglen + 2, etmp);
1348         s2n(salglen, etmp);
1349         ret += salglen;
1350     }
1351
1352 #ifndef OPENSSL_NO_OCSP
1353     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1354         int i;
1355         long extlen, idlen, itmp;
1356         OCSP_RESPID *id;
1357
1358         idlen = 0;
1359         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1360             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1361             itmp = i2d_OCSP_RESPID(id, NULL);
1362             if (itmp <= 0)
1363                 return NULL;
1364             idlen += itmp + 2;
1365         }
1366
1367         if (s->tlsext_ocsp_exts) {
1368             extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1369             if (extlen < 0)
1370                 return NULL;
1371         } else
1372             extlen = 0;
1373
1374         if ((long)(limit - ret - 7 - extlen - idlen) < 0)
1375             return NULL;
1376         s2n(TLSEXT_TYPE_status_request, ret);
1377         if (extlen + idlen > 0xFFF0)
1378             return NULL;
1379         s2n(extlen + idlen + 5, ret);
1380         *(ret++) = TLSEXT_STATUSTYPE_ocsp;
1381         s2n(idlen, ret);
1382         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1383             /* save position of id len */
1384             unsigned char *q = ret;
1385             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1386             /* skip over id len */
1387             ret += 2;
1388             itmp = i2d_OCSP_RESPID(id, &ret);
1389             /* write id len */
1390             s2n(itmp, q);
1391         }
1392         s2n(extlen, ret);
1393         if (extlen > 0)
1394             i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &ret);
1395     }
1396 #endif
1397 #ifndef OPENSSL_NO_HEARTBEATS
1398     if (SSL_IS_DTLS(s)) {
1399         /* Add Heartbeat extension */
1400         if ((limit - ret - 4 - 1) < 0)
1401             return NULL;
1402         s2n(TLSEXT_TYPE_heartbeat, ret);
1403         s2n(1, ret);
1404         /*-
1405          * Set mode:
1406          * 1: peer may send requests
1407          * 2: peer not allowed to send requests
1408          */
1409         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1410             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1411         else
1412             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1413     }
1414 #endif
1415
1416 #ifndef OPENSSL_NO_NEXTPROTONEG
1417     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1418         /*
1419          * The client advertises an empty extension to indicate its support
1420          * for Next Protocol Negotiation
1421          */
1422         if (limit - ret - 4 < 0)
1423             return NULL;
1424         s2n(TLSEXT_TYPE_next_proto_neg, ret);
1425         s2n(0, ret);
1426     }
1427 #endif
1428
1429     /*
1430      * finish_md_len is non-zero during a renegotiation, so
1431      * this avoids sending ALPN during the renegotiation
1432      * (see longer comment below)
1433      */
1434     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1435         if ((size_t)(limit - ret) < 6 + s->alpn_client_proto_list_len)
1436             return NULL;
1437         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1438         s2n(2 + s->alpn_client_proto_list_len, ret);
1439         s2n(s->alpn_client_proto_list_len, ret);
1440         memcpy(ret, s->alpn_client_proto_list, s->alpn_client_proto_list_len);
1441         ret += s->alpn_client_proto_list_len;
1442         s->s3->alpn_sent = 1;
1443     }
1444 #ifndef OPENSSL_NO_SRTP
1445     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1446         int el;
1447
1448         /* Returns 0 on success!! */
1449         if (ssl_add_clienthello_use_srtp_ext(s, 0, &el, 0)) {
1450             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1451             return NULL;
1452         }
1453
1454         if ((limit - ret - 4 - el) < 0)
1455             return NULL;
1456
1457         s2n(TLSEXT_TYPE_use_srtp, ret);
1458         s2n(el, ret);
1459
1460         if (ssl_add_clienthello_use_srtp_ext(s, ret, &el, el)) {
1461             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1462             return NULL;
1463         }
1464         ret += el;
1465     }
1466 #endif
1467     custom_ext_init(&s->cert->cli_ext);
1468     /* Add custom TLS Extensions to ClientHello */
1469     if (!custom_ext_add(s, 0, &ret, limit, al))
1470         return NULL;
1471 #ifdef TLSEXT_TYPE_encrypt_then_mac
1472     s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1473     s2n(0, ret);
1474 #endif
1475 #ifndef OPENSSL_NO_CT
1476     if (s->ct_validation_callback != NULL) {
1477         s2n(TLSEXT_TYPE_signed_certificate_timestamp, ret);
1478         s2n(0, ret);
1479     }
1480 #endif
1481     s2n(TLSEXT_TYPE_extended_master_secret, ret);
1482     s2n(0, ret);
1483
1484     /*
1485      * Add padding to workaround bugs in F5 terminators. See
1486      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1487      * code works out the length of all existing extensions it MUST always
1488      * appear last.
1489      */
1490     if (s->options & SSL_OP_TLSEXT_PADDING) {
1491         int hlen = ret - (unsigned char *)s->init_buf->data;
1492
1493         if (hlen > 0xff && hlen < 0x200) {
1494             hlen = 0x200 - hlen;
1495             if (hlen >= 4)
1496                 hlen -= 4;
1497             else
1498                 hlen = 0;
1499
1500             s2n(TLSEXT_TYPE_padding, ret);
1501             s2n(hlen, ret);
1502             memset(ret, 0, hlen);
1503             ret += hlen;
1504         }
1505     }
1506
1507  done:
1508
1509     if ((extdatalen = ret - orig - 2) == 0)
1510         return orig;
1511
1512     s2n(extdatalen, orig);
1513     return ret;
1514 }
1515
1516 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1517                                           unsigned char *limit, int *al)
1518 {
1519     int extdatalen = 0;
1520     unsigned char *orig = buf;
1521     unsigned char *ret = buf;
1522 #ifndef OPENSSL_NO_NEXTPROTONEG
1523     int next_proto_neg_seen;
1524 #endif
1525 #ifndef OPENSSL_NO_EC
1526     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1527     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1528     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1529     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1530 #endif
1531
1532     ret += 2;
1533     if (ret >= limit)
1534         return NULL;            /* this really never occurs, but ... */
1535
1536     if (s->s3->send_connection_binding) {
1537         int el;
1538
1539         if (!ssl_add_serverhello_renegotiate_ext(s, 0, &el, 0)) {
1540             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1541             return NULL;
1542         }
1543
1544         if ((limit - ret - 4 - el) < 0)
1545             return NULL;
1546
1547         s2n(TLSEXT_TYPE_renegotiate, ret);
1548         s2n(el, ret);
1549
1550         if (!ssl_add_serverhello_renegotiate_ext(s, ret, &el, el)) {
1551             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1552             return NULL;
1553         }
1554
1555         ret += el;
1556     }
1557
1558     /* Only add RI for SSLv3 */
1559     if (s->version == SSL3_VERSION)
1560         goto done;
1561
1562     if (!s->hit && s->servername_done == 1
1563         && s->session->tlsext_hostname != NULL) {
1564         if ((long)(limit - ret - 4) < 0)
1565             return NULL;
1566
1567         s2n(TLSEXT_TYPE_server_name, ret);
1568         s2n(0, ret);
1569     }
1570 #ifndef OPENSSL_NO_EC
1571     if (using_ecc) {
1572         const unsigned char *plist;
1573         size_t plistlen;
1574         /*
1575          * Add TLS extension ECPointFormats to the ServerHello message
1576          */
1577         long lenmax;
1578
1579         tls1_get_formatlist(s, &plist, &plistlen);
1580
1581         if ((lenmax = limit - ret - 5) < 0)
1582             return NULL;
1583         if (plistlen > (size_t)lenmax)
1584             return NULL;
1585         if (plistlen > 255) {
1586             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1587             return NULL;
1588         }
1589
1590         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1591         s2n(plistlen + 1, ret);
1592         *(ret++) = (unsigned char)plistlen;
1593         memcpy(ret, plist, plistlen);
1594         ret += plistlen;
1595
1596     }
1597     /*
1598      * Currently the server should not respond with a SupportedCurves
1599      * extension
1600      */
1601 #endif                         /* OPENSSL_NO_EC */
1602
1603     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1604         if ((long)(limit - ret - 4) < 0)
1605             return NULL;
1606         s2n(TLSEXT_TYPE_session_ticket, ret);
1607         s2n(0, ret);
1608     }
1609
1610     if (s->tlsext_status_expected) {
1611         if ((long)(limit - ret - 4) < 0)
1612             return NULL;
1613         s2n(TLSEXT_TYPE_status_request, ret);
1614         s2n(0, ret);
1615     }
1616
1617 #ifndef OPENSSL_NO_SRTP
1618     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1619         int el;
1620
1621         /* Returns 0 on success!! */
1622         if (ssl_add_serverhello_use_srtp_ext(s, 0, &el, 0)) {
1623             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1624             return NULL;
1625         }
1626         if ((limit - ret - 4 - el) < 0)
1627             return NULL;
1628
1629         s2n(TLSEXT_TYPE_use_srtp, ret);
1630         s2n(el, ret);
1631
1632         if (ssl_add_serverhello_use_srtp_ext(s, ret, &el, el)) {
1633             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1634             return NULL;
1635         }
1636         ret += el;
1637     }
1638 #endif
1639
1640     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1641          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1642         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1643         const unsigned char cryptopro_ext[36] = {
1644             0xfd, 0xe8,         /* 65000 */
1645             0x00, 0x20,         /* 32 bytes length */
1646             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1647             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1648             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1649             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1650         };
1651         if (limit - ret < 36)
1652             return NULL;
1653         memcpy(ret, cryptopro_ext, 36);
1654         ret += 36;
1655
1656     }
1657 #ifndef OPENSSL_NO_HEARTBEATS
1658     /* Add Heartbeat extension if we've received one */
1659     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1660         if ((limit - ret - 4 - 1) < 0)
1661             return NULL;
1662         s2n(TLSEXT_TYPE_heartbeat, ret);
1663         s2n(1, ret);
1664         /*-
1665          * Set mode:
1666          * 1: peer may send requests
1667          * 2: peer not allowed to send requests
1668          */
1669         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1670             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1671         else
1672             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1673
1674     }
1675 #endif
1676
1677 #ifndef OPENSSL_NO_NEXTPROTONEG
1678     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1679     s->s3->next_proto_neg_seen = 0;
1680     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1681         const unsigned char *npa;
1682         unsigned int npalen;
1683         int r;
1684
1685         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1686                                               s->
1687                                               ctx->next_protos_advertised_cb_arg);
1688         if (r == SSL_TLSEXT_ERR_OK) {
1689             if ((long)(limit - ret - 4 - npalen) < 0)
1690                 return NULL;
1691             s2n(TLSEXT_TYPE_next_proto_neg, ret);
1692             s2n(npalen, ret);
1693             memcpy(ret, npa, npalen);
1694             ret += npalen;
1695             s->s3->next_proto_neg_seen = 1;
1696         }
1697     }
1698 #endif
1699     if (!custom_ext_add(s, 1, &ret, limit, al))
1700         return NULL;
1701 #ifdef TLSEXT_TYPE_encrypt_then_mac
1702     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1703         /*
1704          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1705          * for other cases too.
1706          */
1707         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1708             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1709             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1710             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1711             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1712         else {
1713             s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1714             s2n(0, ret);
1715         }
1716     }
1717 #endif
1718     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1719         s2n(TLSEXT_TYPE_extended_master_secret, ret);
1720         s2n(0, ret);
1721     }
1722
1723     if (s->s3->alpn_selected != NULL) {
1724         const unsigned char *selected = s->s3->alpn_selected;
1725         unsigned int len = s->s3->alpn_selected_len;
1726
1727         if ((long)(limit - ret - 4 - 2 - 1 - len) < 0)
1728             return NULL;
1729         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1730         s2n(3 + len, ret);
1731         s2n(1 + len, ret);
1732         *ret++ = len;
1733         memcpy(ret, selected, len);
1734         ret += len;
1735     }
1736
1737  done:
1738
1739     if ((extdatalen = ret - orig - 2) == 0)
1740         return orig;
1741
1742     s2n(extdatalen, orig);
1743     return ret;
1744 }
1745
1746 /*
1747  * Save the ALPN extension in a ClientHello.
1748  * pkt: the contents of the ALPN extension, not including type and length.
1749  * al: a pointer to the  alert value to send in the event of a failure.
1750  * returns: 1 on success, 0 on error.
1751  */
1752 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1753 {
1754     PACKET protocol_list, save_protocol_list, protocol;
1755
1756     *al = SSL_AD_DECODE_ERROR;
1757
1758     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1759         || PACKET_remaining(&protocol_list) < 2) {
1760         return 0;
1761     }
1762
1763     save_protocol_list = protocol_list;
1764     do {
1765         /* Protocol names can't be empty. */
1766         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1767             || PACKET_remaining(&protocol) == 0) {
1768             return 0;
1769         }
1770     } while (PACKET_remaining(&protocol_list) != 0);
1771
1772     if (!PACKET_memdup(&save_protocol_list,
1773                        &s->s3->alpn_proposed,
1774                        &s->s3->alpn_proposed_len)) {
1775         *al = TLS1_AD_INTERNAL_ERROR;
1776         return 0;
1777     }
1778
1779     return 1;
1780 }
1781
1782 /*
1783  * Process the ALPN extension in a ClientHello.
1784  * ret: a pointer to the TLSEXT return value: SSL_TLSEXT_ERR_*
1785  * al: a pointer to the alert value to send in the event of a failure.
1786  * returns 1 on success, 0
1787  */
1788 static int tls1_alpn_handle_client_hello_late(SSL *s, int *ret, int *al)
1789 {
1790     const unsigned char *selected = NULL;
1791     unsigned char selected_len = 0;
1792
1793     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1794         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1795                                        s->s3->alpn_proposed,
1796                                        s->s3->alpn_proposed_len,
1797                                        s->ctx->alpn_select_cb_arg);
1798
1799         if (r == SSL_TLSEXT_ERR_OK) {
1800             OPENSSL_free(s->s3->alpn_selected);
1801             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1802             if (s->s3->alpn_selected == NULL) {
1803                 *al = SSL_AD_INTERNAL_ERROR;
1804                 *ret = SSL_TLSEXT_ERR_ALERT_FATAL;
1805                 return 0;
1806             }
1807             s->s3->alpn_selected_len = selected_len;
1808 #ifndef OPENSSL_NO_NEXTPROTONEG
1809             /* ALPN takes precedence over NPN. */
1810             s->s3->next_proto_neg_seen = 0;
1811 #endif
1812         } else {
1813             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1814             *ret = SSL_TLSEXT_ERR_ALERT_FATAL;
1815             return 0;
1816         }
1817     }
1818
1819     return 1;
1820 }
1821
1822 #ifndef OPENSSL_NO_EC
1823 /*-
1824  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1825  * SecureTransport using the TLS extension block in |pkt|.
1826  * Safari, since 10.6, sends exactly these extensions, in this order:
1827  *   SNI,
1828  *   elliptic_curves
1829  *   ec_point_formats
1830  *
1831  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1832  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1833  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1834  * 10.8..10.8.3 (which don't work).
1835  */
1836 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1837 {
1838     unsigned int type;
1839     PACKET sni, tmppkt;
1840     size_t ext_len;
1841
1842     static const unsigned char kSafariExtensionsBlock[] = {
1843         0x00, 0x0a,             /* elliptic_curves extension */
1844         0x00, 0x08,             /* 8 bytes */
1845         0x00, 0x06,             /* 6 bytes of curve ids */
1846         0x00, 0x17,             /* P-256 */
1847         0x00, 0x18,             /* P-384 */
1848         0x00, 0x19,             /* P-521 */
1849
1850         0x00, 0x0b,             /* ec_point_formats */
1851         0x00, 0x02,             /* 2 bytes */
1852         0x01,                   /* 1 point format */
1853         0x00,                   /* uncompressed */
1854         /* The following is only present in TLS 1.2 */
1855         0x00, 0x0d,             /* signature_algorithms */
1856         0x00, 0x0c,             /* 12 bytes */
1857         0x00, 0x0a,             /* 10 bytes */
1858         0x05, 0x01,             /* SHA-384/RSA */
1859         0x04, 0x01,             /* SHA-256/RSA */
1860         0x02, 0x01,             /* SHA-1/RSA */
1861         0x04, 0x03,             /* SHA-256/ECDSA */
1862         0x02, 0x03,             /* SHA-1/ECDSA */
1863     };
1864
1865     /* Length of the common prefix (first two extensions). */
1866     static const size_t kSafariCommonExtensionsLength = 18;
1867
1868     tmppkt = *pkt;
1869
1870     if (!PACKET_forward(&tmppkt, 2)
1871         || !PACKET_get_net_2(&tmppkt, &type)
1872         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1873         return;
1874     }
1875
1876     if (type != TLSEXT_TYPE_server_name)
1877         return;
1878
1879     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1880         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1881
1882     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1883                                              ext_len);
1884 }
1885 #endif                         /* !OPENSSL_NO_EC */
1886
1887 /*
1888  * Parse ClientHello extensions and stash extension info in various parts of
1889  * the SSL object. Verify that there are no duplicate extensions.
1890  *
1891  * Behaviour upon resumption is extension-specific. If the extension has no
1892  * effect during resumption, it is parsed (to verify its format) but otherwise
1893  * ignored.
1894  *
1895  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1896  * Upon failure, sets |al| to the appropriate alert.
1897  */
1898 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1899 {
1900     unsigned int type;
1901     int renegotiate_seen = 0;
1902     PACKET extensions;
1903
1904     *al = SSL_AD_DECODE_ERROR;
1905     s->servername_done = 0;
1906     s->tlsext_status_type = -1;
1907 #ifndef OPENSSL_NO_NEXTPROTONEG
1908     s->s3->next_proto_neg_seen = 0;
1909 #endif
1910
1911     OPENSSL_free(s->s3->alpn_selected);
1912     s->s3->alpn_selected = NULL;
1913     s->s3->alpn_selected_len = 0;
1914     OPENSSL_free(s->s3->alpn_proposed);
1915     s->s3->alpn_proposed = NULL;
1916     s->s3->alpn_proposed_len = 0;
1917 #ifndef OPENSSL_NO_HEARTBEATS
1918     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1919                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1920 #endif
1921
1922 #ifndef OPENSSL_NO_EC
1923     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1924         ssl_check_for_safari(s, pkt);
1925 # endif /* !OPENSSL_NO_EC */
1926
1927     /* Clear any signature algorithms extension received */
1928     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1929     s->s3->tmp.peer_sigalgs = NULL;
1930 #ifdef TLSEXT_TYPE_encrypt_then_mac
1931     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1932 #endif
1933
1934 #ifndef OPENSSL_NO_SRP
1935     OPENSSL_free(s->srp_ctx.login);
1936     s->srp_ctx.login = NULL;
1937 #endif
1938
1939     s->srtp_profile = NULL;
1940
1941     if (PACKET_remaining(pkt) == 0)
1942         goto ri_check;
1943
1944     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1945         return 0;
1946
1947     if (!tls1_check_duplicate_extensions(&extensions))
1948         return 0;
1949
1950     /*
1951      * We parse all extensions to ensure the ClientHello is well-formed but,
1952      * unless an extension specifies otherwise, we ignore extensions upon
1953      * resumption.
1954      */
1955     while (PACKET_get_net_2(&extensions, &type)) {
1956         PACKET extension;
1957         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1958             return 0;
1959
1960         if (s->tlsext_debug_cb)
1961             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1962                                PACKET_remaining(&extension),
1963                                s->tlsext_debug_arg);
1964
1965         if (type == TLSEXT_TYPE_renegotiate) {
1966             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1967                 return 0;
1968             renegotiate_seen = 1;
1969         } else if (s->version == SSL3_VERSION) {
1970         }
1971 /*-
1972  * The servername extension is treated as follows:
1973  *
1974  * - Only the hostname type is supported with a maximum length of 255.
1975  * - The servername is rejected if too long or if it contains zeros,
1976  *   in which case an fatal alert is generated.
1977  * - The servername field is maintained together with the session cache.
1978  * - When a session is resumed, the servername call back invoked in order
1979  *   to allow the application to position itself to the right context.
1980  * - The servername is acknowledged if it is new for a session or when
1981  *   it is identical to a previously used for the same session.
1982  *   Applications can control the behaviour.  They can at any time
1983  *   set a 'desirable' servername for a new SSL object. This can be the
1984  *   case for example with HTTPS when a Host: header field is received and
1985  *   a renegotiation is requested. In this case, a possible servername
1986  *   presented in the new client hello is only acknowledged if it matches
1987  *   the value of the Host: field.
1988  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1989  *   if they provide for changing an explicit servername context for the
1990  *   session, i.e. when the session has been established with a servername
1991  *   extension.
1992  * - On session reconnect, the servername extension may be absent.
1993  *
1994  */
1995
1996         else if (type == TLSEXT_TYPE_server_name) {
1997             unsigned int servname_type;
1998             PACKET sni, hostname;
1999
2000             if (!PACKET_as_length_prefixed_2(&extension, &sni)
2001                 /* ServerNameList must be at least 1 byte long. */
2002                 || PACKET_remaining(&sni) == 0) {
2003                 return 0;
2004             }
2005
2006             /*
2007              * Although the server_name extension was intended to be
2008              * extensible to new name types, RFC 4366 defined the
2009              * syntax inextensibility and OpenSSL 1.0.x parses it as
2010              * such.
2011              * RFC 6066 corrected the mistake but adding new name types
2012              * is nevertheless no longer feasible, so act as if no other
2013              * SNI types can exist, to simplify parsing.
2014              *
2015              * Also note that the RFC permits only one SNI value per type,
2016              * i.e., we can only have a single hostname.
2017              */
2018             if (!PACKET_get_1(&sni, &servname_type)
2019                 || servname_type != TLSEXT_NAMETYPE_host_name
2020                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
2021                 return 0;
2022             }
2023
2024             if (!s->hit) {
2025                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
2026                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2027                     return 0;
2028                 }
2029
2030                 if (PACKET_contains_zero_byte(&hostname)) {
2031                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2032                     return 0;
2033                 }
2034
2035                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
2036                     *al = TLS1_AD_INTERNAL_ERROR;
2037                     return 0;
2038                 }
2039
2040                 s->servername_done = 1;
2041             } else {
2042                 /*
2043                  * TODO(openssl-team): if the SNI doesn't match, we MUST
2044                  * fall back to a full handshake.
2045                  */
2046                 s->servername_done = s->session->tlsext_hostname
2047                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
2048                                     strlen(s->session->tlsext_hostname));
2049             }
2050         }
2051 #ifndef OPENSSL_NO_SRP
2052         else if (type == TLSEXT_TYPE_srp) {
2053             PACKET srp_I;
2054
2055             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
2056                 return 0;
2057
2058             if (PACKET_contains_zero_byte(&srp_I))
2059                 return 0;
2060
2061             /*
2062              * TODO(openssl-team): currently, we re-authenticate the user
2063              * upon resumption. Instead, we MUST ignore the login.
2064              */
2065             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
2066                 *al = TLS1_AD_INTERNAL_ERROR;
2067                 return 0;
2068             }
2069         }
2070 #endif
2071
2072 #ifndef OPENSSL_NO_EC
2073         else if (type == TLSEXT_TYPE_ec_point_formats) {
2074             PACKET ec_point_format_list;
2075
2076             if (!PACKET_as_length_prefixed_1(&extension,
2077                                               &ec_point_format_list)
2078                 || PACKET_remaining(&ec_point_format_list) == 0) {
2079                 return 0;
2080             }
2081
2082             if (!s->hit) {
2083                 if (!PACKET_memdup(&ec_point_format_list,
2084                                    &s->session->tlsext_ecpointformatlist,
2085                                    &s->session->tlsext_ecpointformatlist_length)) {
2086                     *al = TLS1_AD_INTERNAL_ERROR;
2087                     return 0;
2088                 }
2089             }
2090         } else if (type == TLSEXT_TYPE_elliptic_curves) {
2091             PACKET elliptic_curve_list;
2092
2093             /* Each NamedCurve is 2 bytes and we must have at least 1. */
2094             if (!PACKET_as_length_prefixed_2(&extension,
2095                                              &elliptic_curve_list)
2096                 || PACKET_remaining(&elliptic_curve_list) == 0
2097                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
2098                 return 0;
2099             }
2100
2101             if (!s->hit) {
2102                 if (!PACKET_memdup(&elliptic_curve_list,
2103                                    &s->session->tlsext_ellipticcurvelist,
2104                                    &s->session->tlsext_ellipticcurvelist_length)) {
2105                     *al = TLS1_AD_INTERNAL_ERROR;
2106                     return 0;
2107                 }
2108             }
2109         }
2110 #endif                         /* OPENSSL_NO_EC */
2111         else if (type == TLSEXT_TYPE_session_ticket) {
2112             if (s->tls_session_ticket_ext_cb &&
2113                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
2114                                               PACKET_remaining(&extension),
2115                                               s->tls_session_ticket_ext_cb_arg)) {
2116                 *al = TLS1_AD_INTERNAL_ERROR;
2117                 return 0;
2118             }
2119         } else if (type == TLSEXT_TYPE_signature_algorithms) {
2120             PACKET supported_sig_algs;
2121
2122             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
2123                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
2124                 || PACKET_remaining(&supported_sig_algs) == 0) {
2125                 return 0;
2126             }
2127
2128             if  (!s->hit) {
2129                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2130                                        PACKET_remaining(&supported_sig_algs))) {
2131                     return 0;
2132                 }
2133             }
2134         } else if (type == TLSEXT_TYPE_status_request) {
2135             if (!PACKET_get_1(&extension,
2136                               (unsigned int *)&s->tlsext_status_type)) {
2137                 return 0;
2138             }
2139
2140 #ifndef OPENSSL_NO_OCSP
2141             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2142                 const unsigned char *ext_data;
2143                 PACKET responder_id_list, exts;
2144                 if (!PACKET_get_length_prefixed_2(&extension, &responder_id_list))
2145                     return 0;
2146
2147                 while (PACKET_remaining(&responder_id_list) > 0) {
2148                     OCSP_RESPID *id;
2149                     PACKET responder_id;
2150                     const unsigned char *id_data;
2151
2152                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2153                                                       &responder_id)
2154                         || PACKET_remaining(&responder_id) == 0) {
2155                         return 0;
2156                     }
2157
2158                     if (s->tlsext_ocsp_ids == NULL
2159                         && (s->tlsext_ocsp_ids =
2160                             sk_OCSP_RESPID_new_null()) == NULL) {
2161                         *al = SSL_AD_INTERNAL_ERROR;
2162                         return 0;
2163                     }
2164
2165                     id_data = PACKET_data(&responder_id);
2166                     id = d2i_OCSP_RESPID(NULL, &id_data,
2167                                          PACKET_remaining(&responder_id));
2168                     if (id == NULL)
2169                         return 0;
2170
2171                     if (id_data != PACKET_end(&responder_id)) {
2172                         OCSP_RESPID_free(id);
2173                         return 0;
2174                     }
2175
2176                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2177                         OCSP_RESPID_free(id);
2178                         *al = SSL_AD_INTERNAL_ERROR;
2179                         return 0;
2180                     }
2181                 }
2182
2183                 /* Read in request_extensions */
2184                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2185                     return 0;
2186
2187                 if (PACKET_remaining(&exts) > 0) {
2188                     ext_data = PACKET_data(&exts);
2189                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2190                                                X509_EXTENSION_free);
2191                     s->tlsext_ocsp_exts =
2192                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2193                                             PACKET_remaining(&exts));
2194                     if (s->tlsext_ocsp_exts == NULL
2195                         || ext_data != PACKET_end(&exts)) {
2196                         return 0;
2197                     }
2198                 }
2199             } else
2200 #endif
2201             {
2202                 /*
2203                  * We don't know what to do with any other type so ignore it.
2204                  */
2205                 s->tlsext_status_type = -1;
2206             }
2207         }
2208 #ifndef OPENSSL_NO_HEARTBEATS
2209         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2210             unsigned int hbtype;
2211
2212             if (!PACKET_get_1(&extension, &hbtype)
2213                     || PACKET_remaining(&extension)) {
2214                 *al = SSL_AD_DECODE_ERROR;
2215                 return 0;
2216             }
2217             switch (hbtype) {
2218             case 0x01:         /* Client allows us to send HB requests */
2219                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2220                 break;
2221             case 0x02:         /* Client doesn't accept HB requests */
2222                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2223                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2224                 break;
2225             default:
2226                 *al = SSL_AD_ILLEGAL_PARAMETER;
2227                 return 0;
2228             }
2229         }
2230 #endif
2231 #ifndef OPENSSL_NO_NEXTPROTONEG
2232         else if (type == TLSEXT_TYPE_next_proto_neg &&
2233                  s->s3->tmp.finish_md_len == 0) {
2234             /*-
2235              * We shouldn't accept this extension on a
2236              * renegotiation.
2237              *
2238              * s->new_session will be set on renegotiation, but we
2239              * probably shouldn't rely that it couldn't be set on
2240              * the initial renegotiation too in certain cases (when
2241              * there's some other reason to disallow resuming an
2242              * earlier session -- the current code won't be doing
2243              * anything like that, but this might change).
2244              *
2245              * A valid sign that there's been a previous handshake
2246              * in this connection is if s->s3->tmp.finish_md_len >
2247              * 0.  (We are talking about a check that will happen
2248              * in the Hello protocol round, well before a new
2249              * Finished message could have been computed.)
2250              */
2251             s->s3->next_proto_neg_seen = 1;
2252         }
2253 #endif
2254
2255         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2256                  s->s3->tmp.finish_md_len == 0) {
2257             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2258                 return 0;
2259         }
2260
2261         /* session ticket processed earlier */
2262 #ifndef OPENSSL_NO_SRTP
2263         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2264                  && type == TLSEXT_TYPE_use_srtp) {
2265             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2266                 return 0;
2267         }
2268 #endif
2269 #ifdef TLSEXT_TYPE_encrypt_then_mac
2270         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2271             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2272 #endif
2273         /*
2274          * Note: extended master secret extension handled in
2275          * tls_check_serverhello_tlsext_early()
2276          */
2277
2278         /*
2279          * If this ClientHello extension was unhandled and this is a
2280          * nonresumed connection, check whether the extension is a custom
2281          * TLS Extension (has a custom_srv_ext_record), and if so call the
2282          * callback and record the extension number so that an appropriate
2283          * ServerHello may be later returned.
2284          */
2285         else if (!s->hit) {
2286             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2287                                  PACKET_remaining(&extension), al) <= 0)
2288                 return 0;
2289         }
2290     }
2291
2292     if (PACKET_remaining(pkt) != 0) {
2293         /* tls1_check_duplicate_extensions should ensure this never happens. */
2294         *al = SSL_AD_INTERNAL_ERROR;
2295         return 0;
2296     }
2297
2298  ri_check:
2299
2300     /* Need RI if renegotiating */
2301
2302     if (!renegotiate_seen && s->renegotiate &&
2303         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2304         *al = SSL_AD_HANDSHAKE_FAILURE;
2305         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2306                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2307         return 0;
2308     }
2309
2310     /*
2311      * This function currently has no state to clean up, so it returns directly.
2312      * If parsing fails at any point, the function returns early.
2313      * The SSL object may be left with partial data from extensions, but it must
2314      * then no longer be used, and clearing it up will free the leftovers.
2315      */
2316     return 1;
2317 }
2318
2319 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2320 {
2321     int al = -1;
2322     custom_ext_init(&s->cert->srv_ext);
2323     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2324         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2325         return 0;
2326     }
2327     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2328         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2329         return 0;
2330     }
2331     return 1;
2332 }
2333
2334 #ifndef OPENSSL_NO_NEXTPROTONEG
2335 /*
2336  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2337  * elements of zero length are allowed and the set of elements must exactly
2338  * fill the length of the block.
2339  */
2340 static char ssl_next_proto_validate(PACKET *pkt)
2341 {
2342     PACKET tmp_protocol;
2343
2344     while (PACKET_remaining(pkt)) {
2345         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2346                 || PACKET_remaining(&tmp_protocol) == 0)
2347             return 0;
2348     }
2349
2350     return 1;
2351 }
2352 #endif
2353
2354 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2355 {
2356     unsigned int length, type, size;
2357     int tlsext_servername = 0;
2358     int renegotiate_seen = 0;
2359
2360 #ifndef OPENSSL_NO_NEXTPROTONEG
2361     s->s3->next_proto_neg_seen = 0;
2362 #endif
2363     s->tlsext_ticket_expected = 0;
2364
2365     OPENSSL_free(s->s3->alpn_selected);
2366     s->s3->alpn_selected = NULL;
2367 #ifndef OPENSSL_NO_HEARTBEATS
2368     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2369                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2370 #endif
2371
2372 #ifdef TLSEXT_TYPE_encrypt_then_mac
2373     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2374 #endif
2375
2376     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2377
2378     if (!PACKET_get_net_2(pkt, &length))
2379         goto ri_check;
2380
2381     if (PACKET_remaining(pkt) != length) {
2382         *al = SSL_AD_DECODE_ERROR;
2383         return 0;
2384     }
2385
2386     if (!tls1_check_duplicate_extensions(pkt)) {
2387         *al = SSL_AD_DECODE_ERROR;
2388         return 0;
2389     }
2390
2391     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2392         const unsigned char *data;
2393         PACKET spkt;
2394
2395         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2396                 ||  !PACKET_peek_bytes(&spkt, &data, size))
2397             goto ri_check;
2398
2399         if (s->tlsext_debug_cb)
2400             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2401
2402         if (type == TLSEXT_TYPE_renegotiate) {
2403             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2404                 return 0;
2405             renegotiate_seen = 1;
2406         } else if (s->version == SSL3_VERSION) {
2407         } else if (type == TLSEXT_TYPE_server_name) {
2408             if (s->tlsext_hostname == NULL || size > 0) {
2409                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2410                 return 0;
2411             }
2412             tlsext_servername = 1;
2413         }
2414 #ifndef OPENSSL_NO_EC
2415         else if (type == TLSEXT_TYPE_ec_point_formats) {
2416             unsigned int ecpointformatlist_length;
2417             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2418                     || ecpointformatlist_length != size - 1) {
2419                 *al = TLS1_AD_DECODE_ERROR;
2420                 return 0;
2421             }
2422             if (!s->hit) {
2423                 s->session->tlsext_ecpointformatlist_length = 0;
2424                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2425                 if ((s->session->tlsext_ecpointformatlist =
2426                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2427                     *al = TLS1_AD_INTERNAL_ERROR;
2428                     return 0;
2429                 }
2430                 s->session->tlsext_ecpointformatlist_length =
2431                     ecpointformatlist_length;
2432                 if (!PACKET_copy_bytes(&spkt,
2433                                        s->session->tlsext_ecpointformatlist,
2434                                        ecpointformatlist_length)) {
2435                     *al = TLS1_AD_DECODE_ERROR;
2436                     return 0;
2437                 }
2438
2439             }
2440         }
2441 #endif                         /* OPENSSL_NO_EC */
2442
2443         else if (type == TLSEXT_TYPE_session_ticket) {
2444             if (s->tls_session_ticket_ext_cb &&
2445                 !s->tls_session_ticket_ext_cb(s, data, size,
2446                                               s->tls_session_ticket_ext_cb_arg))
2447             {
2448                 *al = TLS1_AD_INTERNAL_ERROR;
2449                 return 0;
2450             }
2451             if (!tls_use_ticket(s) || (size > 0)) {
2452                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2453                 return 0;
2454             }
2455             s->tlsext_ticket_expected = 1;
2456         }
2457         else if (type == TLSEXT_TYPE_status_request) {
2458             /*
2459              * MUST be empty and only sent if we've requested a status
2460              * request message.
2461              */
2462             if ((s->tlsext_status_type == -1) || (size > 0)) {
2463                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2464                 return 0;
2465             }
2466             /* Set flag to expect CertificateStatus message */
2467             s->tlsext_status_expected = 1;
2468         }
2469 #ifndef OPENSSL_NO_CT
2470         /*
2471          * Only take it if we asked for it - i.e if there is no CT validation
2472          * callback set, then a custom extension MAY be processing it, so we
2473          * need to let control continue to flow to that.
2474          */
2475         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2476                  s->ct_validation_callback != NULL) {
2477             /* Simply copy it off for later processing */
2478             if (s->tlsext_scts != NULL) {
2479                 OPENSSL_free(s->tlsext_scts);
2480                 s->tlsext_scts = NULL;
2481             }
2482             s->tlsext_scts_len = size;
2483             if (size > 0) {
2484                 s->tlsext_scts = OPENSSL_malloc(size);
2485                 if (s->tlsext_scts == NULL) {
2486                     *al = TLS1_AD_INTERNAL_ERROR;
2487                     return 0;
2488                 }
2489                 memcpy(s->tlsext_scts, data, size);
2490             }
2491         }
2492 #endif
2493 #ifndef OPENSSL_NO_NEXTPROTONEG
2494         else if (type == TLSEXT_TYPE_next_proto_neg &&
2495                  s->s3->tmp.finish_md_len == 0) {
2496             unsigned char *selected;
2497             unsigned char selected_len;
2498             /* We must have requested it. */
2499             if (s->ctx->next_proto_select_cb == NULL) {
2500                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2501                 return 0;
2502             }
2503             /* The data must be valid */
2504             if (!ssl_next_proto_validate(&spkt)) {
2505                 *al = TLS1_AD_DECODE_ERROR;
2506                 return 0;
2507             }
2508             if (s->
2509                 ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2510                                           size,
2511                                           s->ctx->next_proto_select_cb_arg) !=
2512                 SSL_TLSEXT_ERR_OK) {
2513                 *al = TLS1_AD_INTERNAL_ERROR;
2514                 return 0;
2515             }
2516             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2517             if (s->next_proto_negotiated == NULL) {
2518                 *al = TLS1_AD_INTERNAL_ERROR;
2519                 return 0;
2520             }
2521             memcpy(s->next_proto_negotiated, selected, selected_len);
2522             s->next_proto_negotiated_len = selected_len;
2523             s->s3->next_proto_neg_seen = 1;
2524         }
2525 #endif
2526
2527         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2528             unsigned len;
2529             /* We must have requested it. */
2530             if (!s->s3->alpn_sent) {
2531                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2532                 return 0;
2533             }
2534             /*-
2535              * The extension data consists of:
2536              *   uint16 list_length
2537              *   uint8 proto_length;
2538              *   uint8 proto[proto_length];
2539              */
2540             if (!PACKET_get_net_2(&spkt, &len)
2541                     || PACKET_remaining(&spkt) != len
2542                     || !PACKET_get_1(&spkt, &len)
2543                     || PACKET_remaining(&spkt) != len) {
2544                 *al = TLS1_AD_DECODE_ERROR;
2545                 return 0;
2546             }
2547             OPENSSL_free(s->s3->alpn_selected);
2548             s->s3->alpn_selected = OPENSSL_malloc(len);
2549             if (s->s3->alpn_selected == NULL) {
2550                 *al = TLS1_AD_INTERNAL_ERROR;
2551                 return 0;
2552             }
2553             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2554                 *al = TLS1_AD_DECODE_ERROR;
2555                 return 0;
2556             }
2557             s->s3->alpn_selected_len = len;
2558         }
2559 #ifndef OPENSSL_NO_HEARTBEATS
2560         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2561             unsigned int hbtype;
2562             if (!PACKET_get_1(&spkt, &hbtype)) {
2563                 *al = SSL_AD_DECODE_ERROR;
2564                 return 0;
2565             }
2566             switch (hbtype) {
2567             case 0x01:         /* Server allows us to send HB requests */
2568                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2569                 break;
2570             case 0x02:         /* Server doesn't accept HB requests */
2571                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2572                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2573                 break;
2574             default:
2575                 *al = SSL_AD_ILLEGAL_PARAMETER;
2576                 return 0;
2577             }
2578         }
2579 #endif
2580 #ifndef OPENSSL_NO_SRTP
2581         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2582             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2583                 return 0;
2584         }
2585 #endif
2586 #ifdef TLSEXT_TYPE_encrypt_then_mac
2587         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2588             /* Ignore if inappropriate ciphersuite */
2589             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2590                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2591                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2592         }
2593 #endif
2594         else if (type == TLSEXT_TYPE_extended_master_secret) {
2595             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2596             if (!s->hit)
2597                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2598         }
2599         /*
2600          * If this extension type was not otherwise handled, but matches a
2601          * custom_cli_ext_record, then send it to the c callback
2602          */
2603         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2604             return 0;
2605     }
2606
2607     if (PACKET_remaining(pkt) != 0) {
2608         *al = SSL_AD_DECODE_ERROR;
2609         return 0;
2610     }
2611
2612     if (!s->hit && tlsext_servername == 1) {
2613         if (s->tlsext_hostname) {
2614             if (s->session->tlsext_hostname == NULL) {
2615                 s->session->tlsext_hostname = OPENSSL_strdup(s->tlsext_hostname);
2616                 if (!s->session->tlsext_hostname) {
2617                     *al = SSL_AD_UNRECOGNIZED_NAME;
2618                     return 0;
2619                 }
2620             } else {
2621                 *al = SSL_AD_DECODE_ERROR;
2622                 return 0;
2623             }
2624         }
2625     }
2626
2627  ri_check:
2628
2629     /*
2630      * Determine if we need to see RI. Strictly speaking if we want to avoid
2631      * an attack we should *always* see RI even on initial server hello
2632      * because the client doesn't see any renegotiation during an attack.
2633      * However this would mean we could not connect to any server which
2634      * doesn't support RI so for the immediate future tolerate RI absence on
2635      * initial connect only.
2636      */
2637     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2638         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2639         *al = SSL_AD_HANDSHAKE_FAILURE;
2640         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2641                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2642         return 0;
2643     }
2644
2645     if (s->hit) {
2646         /*
2647          * Check extended master secret extension is consistent with
2648          * original session.
2649          */
2650         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2651             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2652             *al = SSL_AD_HANDSHAKE_FAILURE;
2653             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2654             return 0;
2655             }
2656     }
2657
2658     return 1;
2659 }
2660
2661 int ssl_prepare_clienthello_tlsext(SSL *s)
2662 {
2663     s->s3->alpn_sent = 0;
2664     return 1;
2665 }
2666
2667 int ssl_prepare_serverhello_tlsext(SSL *s)
2668 {
2669     return 1;
2670 }
2671
2672 static int ssl_check_clienthello_tlsext_early(SSL *s)
2673 {
2674     int ret = SSL_TLSEXT_ERR_NOACK;
2675     int al = SSL_AD_UNRECOGNIZED_NAME;
2676
2677 #ifndef OPENSSL_NO_EC
2678     /*
2679      * The handling of the ECPointFormats extension is done elsewhere, namely
2680      * in ssl3_choose_cipher in s3_lib.c.
2681      */
2682     /*
2683      * The handling of the EllipticCurves extension is done elsewhere, namely
2684      * in ssl3_choose_cipher in s3_lib.c.
2685      */
2686 #endif
2687
2688     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2689         ret =
2690             s->ctx->tlsext_servername_callback(s, &al,
2691                                                s->ctx->tlsext_servername_arg);
2692     else if (s->initial_ctx != NULL
2693              && s->initial_ctx->tlsext_servername_callback != 0)
2694         ret =
2695             s->initial_ctx->tlsext_servername_callback(s, &al,
2696                                                        s->
2697                                                        initial_ctx->tlsext_servername_arg);
2698
2699     switch (ret) {
2700     case SSL_TLSEXT_ERR_ALERT_FATAL:
2701         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2702         return -1;
2703
2704     case SSL_TLSEXT_ERR_ALERT_WARNING:
2705         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2706         return 1;
2707
2708     case SSL_TLSEXT_ERR_NOACK:
2709         s->servername_done = 0;
2710     default:
2711         return 1;
2712     }
2713 }
2714 /* Initialise digests to default values */
2715 void ssl_set_default_md(SSL *s)
2716 {
2717     const EVP_MD **pmd = s->s3->tmp.md;
2718 #ifndef OPENSSL_NO_DSA
2719     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2720 #endif
2721 #ifndef OPENSSL_NO_RSA
2722     if (SSL_USE_SIGALGS(s))
2723         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2724     else
2725         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2726     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2727 #endif
2728 #ifndef OPENSSL_NO_EC
2729     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2730 #endif
2731 #ifndef OPENSSL_NO_GOST
2732     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2733     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2734     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2735 #endif
2736 }
2737
2738 int tls1_set_server_sigalgs(SSL *s)
2739 {
2740     int al;
2741     size_t i;
2742
2743     /* Clear any shared signature algorithms */
2744     OPENSSL_free(s->cert->shared_sigalgs);
2745     s->cert->shared_sigalgs = NULL;
2746     s->cert->shared_sigalgslen = 0;
2747     /* Clear certificate digests and validity flags */
2748     for (i = 0; i < SSL_PKEY_NUM; i++) {
2749         s->s3->tmp.md[i] = NULL;
2750         s->s3->tmp.valid_flags[i] = 0;
2751     }
2752
2753     /* If sigalgs received process it. */
2754     if (s->s3->tmp.peer_sigalgs) {
2755         if (!tls1_process_sigalgs(s)) {
2756             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2757             al = SSL_AD_INTERNAL_ERROR;
2758             goto err;
2759         }
2760         /* Fatal error is no shared signature algorithms */
2761         if (!s->cert->shared_sigalgs) {
2762             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2763                    SSL_R_NO_SHARED_SIGATURE_ALGORITHMS);
2764             al = SSL_AD_ILLEGAL_PARAMETER;
2765             goto err;
2766         }
2767     } else {
2768         ssl_set_default_md(s);
2769     }
2770     return 1;
2771  err:
2772     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2773     return 0;
2774 }
2775
2776 int ssl_check_clienthello_tlsext_late(SSL *s)
2777 {
2778     int ret = SSL_TLSEXT_ERR_OK;
2779     int al = SSL_AD_INTERNAL_ERROR;
2780
2781     /*
2782      * If status request then ask callback what to do. Note: this must be
2783      * called after servername callbacks in case the certificate has changed,
2784      * and must be called after the cipher has been chosen because this may
2785      * influence which certificate is sent
2786      */
2787     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2788         int r;
2789         CERT_PKEY *certpkey;
2790         certpkey = ssl_get_server_send_pkey(s);
2791         /* If no certificate can't return certificate status */
2792         if (certpkey == NULL) {
2793             s->tlsext_status_expected = 0;
2794             return 1;
2795         }
2796         /*
2797          * Set current certificate to one we will use so SSL_get_certificate
2798          * et al can pick it up.
2799          */
2800         s->cert->key = certpkey;
2801         r = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2802         switch (r) {
2803             /* We don't want to send a status request response */
2804         case SSL_TLSEXT_ERR_NOACK:
2805             s->tlsext_status_expected = 0;
2806             break;
2807             /* status request response should be sent */
2808         case SSL_TLSEXT_ERR_OK:
2809             if (s->tlsext_ocsp_resp)
2810                 s->tlsext_status_expected = 1;
2811             else
2812                 s->tlsext_status_expected = 0;
2813             break;
2814             /* something bad happened */
2815         case SSL_TLSEXT_ERR_ALERT_FATAL:
2816             ret = SSL_TLSEXT_ERR_ALERT_FATAL;
2817             al = SSL_AD_INTERNAL_ERROR;
2818             goto err;
2819         }
2820     } else
2821         s->tlsext_status_expected = 0;
2822
2823     if (!tls1_alpn_handle_client_hello_late(s, &ret, &al)) {
2824         goto err;
2825     }
2826
2827  err:
2828     switch (ret) {
2829     case SSL_TLSEXT_ERR_ALERT_FATAL:
2830         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2831         return -1;
2832
2833     case SSL_TLSEXT_ERR_ALERT_WARNING:
2834         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2835         return 1;
2836
2837     default:
2838         return 1;
2839     }
2840 }
2841
2842 int ssl_check_serverhello_tlsext(SSL *s)
2843 {
2844     int ret = SSL_TLSEXT_ERR_NOACK;
2845     int al = SSL_AD_UNRECOGNIZED_NAME;
2846
2847 #ifndef OPENSSL_NO_EC
2848     /*
2849      * If we are client and using an elliptic curve cryptography cipher
2850      * suite, then if server returns an EC point formats lists extension it
2851      * must contain uncompressed.
2852      */
2853     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2854     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2855     if ((s->tlsext_ecpointformatlist != NULL)
2856         && (s->tlsext_ecpointformatlist_length > 0)
2857         && (s->session->tlsext_ecpointformatlist != NULL)
2858         && (s->session->tlsext_ecpointformatlist_length > 0)
2859         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2860         /* we are using an ECC cipher */
2861         size_t i;
2862         unsigned char *list;
2863         int found_uncompressed = 0;
2864         list = s->session->tlsext_ecpointformatlist;
2865         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2866             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2867                 found_uncompressed = 1;
2868                 break;
2869             }
2870         }
2871         if (!found_uncompressed) {
2872             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2873                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2874             return -1;
2875         }
2876     }
2877     ret = SSL_TLSEXT_ERR_OK;
2878 #endif                         /* OPENSSL_NO_EC */
2879
2880     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2881         ret =
2882             s->ctx->tlsext_servername_callback(s, &al,
2883                                                s->ctx->tlsext_servername_arg);
2884     else if (s->initial_ctx != NULL
2885              && s->initial_ctx->tlsext_servername_callback != 0)
2886         ret =
2887             s->initial_ctx->tlsext_servername_callback(s, &al,
2888                                                        s->
2889                                                        initial_ctx->tlsext_servername_arg);
2890
2891     /*
2892      * Ensure we get sensible values passed to tlsext_status_cb in the event
2893      * that we don't receive a status message
2894      */
2895     OPENSSL_free(s->tlsext_ocsp_resp);
2896     s->tlsext_ocsp_resp = NULL;
2897     s->tlsext_ocsp_resplen = -1;
2898
2899     switch (ret) {
2900     case SSL_TLSEXT_ERR_ALERT_FATAL:
2901         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2902         return -1;
2903
2904     case SSL_TLSEXT_ERR_ALERT_WARNING:
2905         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2906         return 1;
2907
2908     case SSL_TLSEXT_ERR_NOACK:
2909         s->servername_done = 0;
2910     default:
2911         return 1;
2912     }
2913 }
2914
2915 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2916 {
2917     int al = -1;
2918     if (s->version < SSL3_VERSION)
2919         return 1;
2920     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2921         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2922         return 0;
2923     }
2924
2925     if (ssl_check_serverhello_tlsext(s) <= 0) {
2926         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2927         return 0;
2928     }
2929     return 1;
2930 }
2931
2932 /*-
2933  * Since the server cache lookup is done early on in the processing of the
2934  * ClientHello and other operations depend on the result some extensions
2935  * need to be handled at the same time.
2936  *
2937  * Two extensions are currently handled, session ticket and extended master
2938  * secret.
2939  *
2940  *   session_id: ClientHello session ID.
2941  *   ext: ClientHello extensions (including length prefix)
2942  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2943  *       point to the resulting session.
2944  *
2945  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2946  * ciphersuite, in which case we have no use for session tickets and one will
2947  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2948  *
2949  * Returns:
2950  *   -1: fatal error, either from parsing or decrypting the ticket.
2951  *    0: no ticket was found (or was ignored, based on settings).
2952  *    1: a zero length extension was found, indicating that the client supports
2953  *       session tickets but doesn't currently have one to offer.
2954  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2955  *       couldn't be decrypted because of a non-fatal error.
2956  *    3: a ticket was successfully decrypted and *ret was set.
2957  *
2958  * Side effects:
2959  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2960  *   a new session ticket to the client because the client indicated support
2961  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2962  *   a session ticket or we couldn't use the one it gave us, or if
2963  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2964  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2965  *
2966  *   For extended master secret flag is set if the extension is present.
2967  *
2968  */
2969 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2970                                        const PACKET *session_id,
2971                                        SSL_SESSION **ret)
2972 {
2973     unsigned int i;
2974     PACKET local_ext = *ext;
2975     int retv = -1;
2976
2977     int have_ticket = 0;
2978     int use_ticket = tls_use_ticket(s);
2979
2980     *ret = NULL;
2981     s->tlsext_ticket_expected = 0;
2982     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2983
2984     /*
2985      * If tickets disabled behave as if no ticket present to permit stateful
2986      * resumption.
2987      */
2988     if ((s->version <= SSL3_VERSION))
2989         return 0;
2990
2991     if (!PACKET_get_net_2(&local_ext, &i)) {
2992         retv = 0;
2993         goto end;
2994     }
2995     while (PACKET_remaining(&local_ext) >= 4) {
2996         unsigned int type, size;
2997
2998         if (!PACKET_get_net_2(&local_ext, &type)
2999                 || !PACKET_get_net_2(&local_ext, &size)) {
3000             /* Shouldn't ever happen */
3001             retv = -1;
3002             goto end;
3003         }
3004         if (PACKET_remaining(&local_ext) < size) {
3005             retv = 0;
3006             goto end;
3007         }
3008         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
3009             int r;
3010             const unsigned char *etick;
3011
3012             /* Duplicate extension */
3013             if (have_ticket != 0) {
3014                 retv = -1;
3015                 goto end;
3016             }
3017             have_ticket = 1;
3018
3019             if (size == 0) {
3020                 /*
3021                  * The client will accept a ticket but doesn't currently have
3022                  * one.
3023                  */
3024                 s->tlsext_ticket_expected = 1;
3025                 retv = 1;
3026                 continue;
3027             }
3028             if (s->tls_session_secret_cb) {
3029                 /*
3030                  * Indicate that the ticket couldn't be decrypted rather than
3031                  * generating the session from ticket now, trigger
3032                  * abbreviated handshake based on external mechanism to
3033                  * calculate the master secret later.
3034                  */
3035                 retv = 2;
3036                 continue;
3037             }
3038             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
3039                 /* Shouldn't ever happen */
3040                 retv = -1;
3041                 goto end;
3042             }
3043             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
3044                                    PACKET_remaining(session_id), ret);
3045             switch (r) {
3046             case 2:            /* ticket couldn't be decrypted */
3047                 s->tlsext_ticket_expected = 1;
3048                 retv = 2;
3049                 break;
3050             case 3:            /* ticket was decrypted */
3051                 retv = r;
3052                 break;
3053             case 4:            /* ticket decrypted but need to renew */
3054                 s->tlsext_ticket_expected = 1;
3055                 retv = 3;
3056                 break;
3057             default:           /* fatal error */
3058                 retv = -1;
3059                 break;
3060             }
3061             continue;
3062         } else {
3063             if (type == TLSEXT_TYPE_extended_master_secret)
3064                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
3065             if (!PACKET_forward(&local_ext, size)) {
3066                 retv = -1;
3067                 goto end;
3068             }
3069         }
3070     }
3071     if (have_ticket == 0)
3072         retv = 0;
3073 end:
3074     return retv;
3075 }
3076
3077 /*-
3078  * tls_decrypt_ticket attempts to decrypt a session ticket.
3079  *
3080  *   etick: points to the body of the session ticket extension.
3081  *   eticklen: the length of the session tickets extension.
3082  *   sess_id: points at the session ID.
3083  *   sesslen: the length of the session ID.
3084  *   psess: (output) on return, if a ticket was decrypted, then this is set to
3085  *       point to the resulting session.
3086  *
3087  * Returns:
3088  *   -2: fatal error, malloc failure.
3089  *   -1: fatal error, either from parsing or decrypting the ticket.
3090  *    2: the ticket couldn't be decrypted.
3091  *    3: a ticket was successfully decrypted and *psess was set.
3092  *    4: same as 3, but the ticket needs to be renewed.
3093  */
3094 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
3095                               int eticklen, const unsigned char *sess_id,
3096                               int sesslen, SSL_SESSION **psess)
3097 {
3098     SSL_SESSION *sess;
3099     unsigned char *sdec;
3100     const unsigned char *p;
3101     int slen, mlen, renew_ticket = 0, ret = -1;
3102     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
3103     HMAC_CTX *hctx = NULL;
3104     EVP_CIPHER_CTX *ctx;
3105     SSL_CTX *tctx = s->initial_ctx;
3106     /* Need at least keyname + iv + some encrypted data */
3107     if (eticklen < 48)
3108         return 2;
3109     /* Initialize session ticket encryption and HMAC contexts */
3110     hctx = HMAC_CTX_new();
3111     if (hctx == NULL)
3112         return -2;
3113     ctx = EVP_CIPHER_CTX_new();
3114     if (ctx == NULL) {
3115         ret = -2;
3116         goto err;
3117     }
3118     if (tctx->tlsext_ticket_key_cb) {
3119         unsigned char *nctick = (unsigned char *)etick;
3120         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
3121                                             ctx, hctx, 0);
3122         if (rv < 0)
3123             goto err;
3124         if (rv == 0) {
3125             ret = 2;
3126             goto err;
3127         }
3128         if (rv == 2)
3129             renew_ticket = 1;
3130     } else {
3131         /* Check key name matches */
3132         if (memcmp(etick, tctx->tlsext_tick_key_name, 16)) {
3133             ret = 2;
3134             goto err;
3135         }
3136         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key, 16,
3137                          EVP_sha256(), NULL) <= 0
3138                 || EVP_DecryptInit_ex(ctx, EVP_aes_128_cbc(), NULL,
3139                                       tctx->tlsext_tick_aes_key,
3140                                       etick + 16) <= 0) {
3141             goto err;
3142        }
3143     }
3144     /*
3145      * Attempt to process session ticket, first conduct sanity and integrity
3146      * checks on ticket.
3147      */
3148     mlen = HMAC_size(hctx);
3149     if (mlen < 0) {
3150         goto err;
3151     }
3152     eticklen -= mlen;
3153     /* Check HMAC of encrypted ticket */
3154     if (HMAC_Update(hctx, etick, eticklen) <= 0
3155             || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3156         goto err;
3157     }
3158     HMAC_CTX_free(hctx);
3159     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3160         EVP_CIPHER_CTX_free(ctx);
3161         return 2;
3162     }
3163     /* Attempt to decrypt session data */
3164     /* Move p after IV to start of encrypted ticket, update length */
3165     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3166     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3167     sdec = OPENSSL_malloc(eticklen);
3168     if (sdec == NULL
3169             || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3170         EVP_CIPHER_CTX_free(ctx);
3171         OPENSSL_free(sdec);
3172         return -1;
3173     }
3174     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3175         EVP_CIPHER_CTX_free(ctx);
3176         OPENSSL_free(sdec);
3177         return 2;
3178     }
3179     slen += mlen;
3180     EVP_CIPHER_CTX_free(ctx);
3181     ctx = NULL;
3182     p = sdec;
3183
3184     sess = d2i_SSL_SESSION(NULL, &p, slen);
3185     OPENSSL_free(sdec);
3186     if (sess) {
3187         /*
3188          * The session ID, if non-empty, is used by some clients to detect
3189          * that the ticket has been accepted. So we copy it to the session
3190          * structure. If it is empty set length to zero as required by
3191          * standard.
3192          */
3193         if (sesslen)
3194             memcpy(sess->session_id, sess_id, sesslen);
3195         sess->session_id_length = sesslen;
3196         *psess = sess;
3197         if (renew_ticket)
3198             return 4;
3199         else
3200             return 3;
3201     }
3202     ERR_clear_error();
3203     /*
3204      * For session parse failure, indicate that we need to send a new ticket.
3205      */
3206     return 2;
3207 err:
3208     EVP_CIPHER_CTX_free(ctx);
3209     HMAC_CTX_free(hctx);
3210     return ret;
3211 }
3212
3213 /* Tables to translate from NIDs to TLS v1.2 ids */
3214
3215 typedef struct {
3216     int nid;
3217     int id;
3218 } tls12_lookup;
3219
3220 static const tls12_lookup tls12_md[] = {
3221     {NID_md5, TLSEXT_hash_md5},
3222     {NID_sha1, TLSEXT_hash_sha1},
3223     {NID_sha224, TLSEXT_hash_sha224},
3224     {NID_sha256, TLSEXT_hash_sha256},
3225     {NID_sha384, TLSEXT_hash_sha384},
3226     {NID_sha512, TLSEXT_hash_sha512},
3227     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3228     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3229     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3230 };
3231
3232 static const tls12_lookup tls12_sig[] = {
3233     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3234     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3235     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3236     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3237     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3238     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3239 };
3240
3241 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3242 {
3243     size_t i;
3244     for (i = 0; i < tlen; i++) {
3245         if (table[i].nid == nid)
3246             return table[i].id;
3247     }
3248     return -1;
3249 }
3250
3251 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3252 {
3253     size_t i;
3254     for (i = 0; i < tlen; i++) {
3255         if ((table[i].id) == id)
3256             return table[i].nid;
3257     }
3258     return NID_undef;
3259 }
3260
3261 int tls12_get_sigandhash(unsigned char *p, const EVP_PKEY *pk,
3262                          const EVP_MD *md)
3263 {
3264     int sig_id, md_id;
3265     if (!md)
3266         return 0;
3267     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3268     if (md_id == -1)
3269         return 0;
3270     sig_id = tls12_get_sigid(pk);
3271     if (sig_id == -1)
3272         return 0;
3273     p[0] = (unsigned char)md_id;
3274     p[1] = (unsigned char)sig_id;
3275     return 1;
3276 }
3277
3278 int tls12_get_sigid(const EVP_PKEY *pk)
3279 {
3280     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3281 }
3282
3283 typedef struct {
3284     int nid;
3285     int secbits;
3286     int md_idx;
3287     unsigned char tlsext_hash;
3288 } tls12_hash_info;
3289
3290 static const tls12_hash_info tls12_md_info[] = {
3291     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3292     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3293     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3294     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3295     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3296     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3297     {NID_id_GostR3411_94,       128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3298     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX, TLSEXT_hash_gostr34112012_256},
3299     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX, TLSEXT_hash_gostr34112012_512},
3300 };
3301
3302 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3303 {
3304     unsigned int i;
3305     if (hash_alg == 0)
3306         return NULL;
3307
3308     for (i=0; i < OSSL_NELEM(tls12_md_info); i++)
3309     {
3310         if (tls12_md_info[i].tlsext_hash == hash_alg)
3311             return tls12_md_info + i;
3312     }
3313
3314     return NULL;
3315 }
3316
3317 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3318 {
3319     const tls12_hash_info *inf;
3320     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3321         return NULL;
3322     inf = tls12_get_hash_info(hash_alg);
3323     if (!inf)
3324         return NULL;
3325     return ssl_md(inf->md_idx);
3326 }
3327
3328 static int tls12_get_pkey_idx(unsigned char sig_alg)
3329 {
3330     switch (sig_alg) {
3331 #ifndef OPENSSL_NO_RSA
3332     case TLSEXT_signature_rsa:
3333         return SSL_PKEY_RSA_SIGN;
3334 #endif
3335 #ifndef OPENSSL_NO_DSA
3336     case TLSEXT_signature_dsa:
3337         return SSL_PKEY_DSA_SIGN;
3338 #endif
3339 #ifndef OPENSSL_NO_EC
3340     case TLSEXT_signature_ecdsa:
3341         return SSL_PKEY_ECC;
3342 #endif
3343 # ifndef OPENSSL_NO_GOST
3344     case TLSEXT_signature_gostr34102001:
3345         return SSL_PKEY_GOST01;
3346
3347     case TLSEXT_signature_gostr34102012_256:
3348         return SSL_PKEY_GOST12_256;
3349
3350     case TLSEXT_signature_gostr34102012_512:
3351         return SSL_PKEY_GOST12_512;
3352 # endif
3353     }
3354     return -1;
3355 }
3356
3357 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3358 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3359                                int *psignhash_nid, const unsigned char *data)
3360 {
3361     int sign_nid = NID_undef, hash_nid = NID_undef;
3362     if (!phash_nid && !psign_nid && !psignhash_nid)
3363         return;
3364     if (phash_nid || psignhash_nid) {
3365         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3366         if (phash_nid)
3367             *phash_nid = hash_nid;
3368     }
3369     if (psign_nid || psignhash_nid) {
3370         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3371         if (psign_nid)
3372             *psign_nid = sign_nid;
3373     }
3374     if (psignhash_nid) {
3375         if (sign_nid == NID_undef || hash_nid == NID_undef
3376                 || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid,
3377                                           sign_nid) <= 0)
3378             *psignhash_nid = NID_undef;
3379     }
3380 }
3381
3382 /* Check to see if a signature algorithm is allowed */
3383 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3384 {
3385     /* See if we have an entry in the hash table and it is enabled */
3386     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3387     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3388         return 0;
3389     /* See if public key algorithm allowed */
3390     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3391         return 0;
3392     /* Finally see if security callback allows it */
3393     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3394 }
3395
3396 /*
3397  * Get a mask of disabled public key algorithms based on supported signature
3398  * algorithms. For example if no signature algorithm supports RSA then RSA is
3399  * disabled.
3400  */
3401
3402 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3403 {
3404     const unsigned char *sigalgs;
3405     size_t i, sigalgslen;
3406     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3407     /*
3408      * Now go through all signature algorithms seeing if we support any for
3409      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3410      * down calls to security callback only check if we have to.
3411      */
3412     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3413     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3414         switch (sigalgs[1]) {
3415 #ifndef OPENSSL_NO_RSA
3416         case TLSEXT_signature_rsa:
3417             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3418                 have_rsa = 1;
3419             break;
3420 #endif
3421 #ifndef OPENSSL_NO_DSA
3422         case TLSEXT_signature_dsa:
3423             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3424                 have_dsa = 1;
3425             break;
3426 #endif
3427 #ifndef OPENSSL_NO_EC
3428         case TLSEXT_signature_ecdsa:
3429             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3430                 have_ecdsa = 1;
3431             break;
3432 #endif
3433         }
3434     }
3435     if (!have_rsa)
3436         *pmask_a |= SSL_aRSA;
3437     if (!have_dsa)
3438         *pmask_a |= SSL_aDSS;
3439     if (!have_ecdsa)
3440         *pmask_a |= SSL_aECDSA;
3441 }
3442
3443 size_t tls12_copy_sigalgs(SSL *s, unsigned char *out,
3444                           const unsigned char *psig, size_t psiglen)
3445 {
3446     unsigned char *tmpout = out;
3447     size_t i;
3448     for (i = 0; i < psiglen; i += 2, psig += 2) {
3449         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3450             *tmpout++ = psig[0];
3451             *tmpout++ = psig[1];
3452         }
3453     }
3454     return tmpout - out;
3455 }
3456
3457 /* Given preference and allowed sigalgs set shared sigalgs */
3458 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3459                                 const unsigned char *pref, size_t preflen,
3460                                 const unsigned char *allow, size_t allowlen)
3461 {
3462     const unsigned char *ptmp, *atmp;
3463     size_t i, j, nmatch = 0;
3464     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3465         /* Skip disabled hashes or signature algorithms */
3466         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3467             continue;
3468         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3469             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3470                 nmatch++;
3471                 if (shsig) {
3472                     shsig->rhash = ptmp[0];
3473                     shsig->rsign = ptmp[1];
3474                     tls1_lookup_sigalg(&shsig->hash_nid,
3475                                        &shsig->sign_nid,
3476                                        &shsig->signandhash_nid, ptmp);
3477                     shsig++;
3478                 }
3479                 break;
3480             }
3481         }
3482     }
3483     return nmatch;
3484 }
3485
3486 /* Set shared signature algorithms for SSL structures */
3487 static int tls1_set_shared_sigalgs(SSL *s)
3488 {
3489     const unsigned char *pref, *allow, *conf;
3490     size_t preflen, allowlen, conflen;
3491     size_t nmatch;
3492     TLS_SIGALGS *salgs = NULL;
3493     CERT *c = s->cert;
3494     unsigned int is_suiteb = tls1_suiteb(s);
3495
3496     OPENSSL_free(c->shared_sigalgs);
3497     c->shared_sigalgs = NULL;
3498     c->shared_sigalgslen = 0;
3499     /* If client use client signature algorithms if not NULL */
3500     if (!s->server && c->client_sigalgs && !is_suiteb) {
3501         conf = c->client_sigalgs;
3502         conflen = c->client_sigalgslen;
3503     } else if (c->conf_sigalgs && !is_suiteb) {
3504         conf = c->conf_sigalgs;
3505         conflen = c->conf_sigalgslen;
3506     } else
3507         conflen = tls12_get_psigalgs(s, &conf);
3508     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3509         pref = conf;
3510         preflen = conflen;
3511         allow = s->s3->tmp.peer_sigalgs;
3512         allowlen = s->s3->tmp.peer_sigalgslen;
3513     } else {
3514         allow = conf;
3515         allowlen = conflen;
3516         pref = s->s3->tmp.peer_sigalgs;
3517         preflen = s->s3->tmp.peer_sigalgslen;
3518     }
3519     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3520     if (nmatch) {
3521         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3522         if (salgs == NULL)
3523             return 0;
3524         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3525     } else {
3526         salgs = NULL;
3527     }
3528     c->shared_sigalgs = salgs;
3529     c->shared_sigalgslen = nmatch;
3530     return 1;
3531 }
3532
3533 /* Set preferred digest for each key type */
3534
3535 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3536 {
3537     CERT *c = s->cert;
3538     /* Extension ignored for inappropriate versions */
3539     if (!SSL_USE_SIGALGS(s))
3540         return 1;
3541     /* Should never happen */
3542     if (!c)
3543         return 0;
3544
3545     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3546     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3547     if (s->s3->tmp.peer_sigalgs == NULL)
3548         return 0;
3549     s->s3->tmp.peer_sigalgslen = dsize;
3550     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3551     return 1;
3552 }
3553
3554 int tls1_process_sigalgs(SSL *s)
3555 {
3556     int idx;
3557     size_t i;
3558     const EVP_MD *md;
3559     const EVP_MD **pmd = s->s3->tmp.md;
3560     uint32_t *pvalid = s->s3->tmp.valid_flags;
3561     CERT *c = s->cert;
3562     TLS_SIGALGS *sigptr;
3563     if (!tls1_set_shared_sigalgs(s))
3564         return 0;
3565
3566     for (i = 0, sigptr = c->shared_sigalgs;
3567          i < c->shared_sigalgslen; i++, sigptr++) {
3568         idx = tls12_get_pkey_idx(sigptr->rsign);
3569         if (idx > 0 && pmd[idx] == NULL) {
3570             md = tls12_get_hash(sigptr->rhash);
3571             pmd[idx] = md;
3572             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3573             if (idx == SSL_PKEY_RSA_SIGN) {
3574                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3575                 pmd[SSL_PKEY_RSA_ENC] = md;
3576             }
3577         }
3578
3579     }
3580     /*
3581      * In strict mode leave unset digests as NULL to indicate we can't use
3582      * the certificate for signing.
3583      */
3584     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3585         /*
3586          * Set any remaining keys to default values. NOTE: if alg is not
3587          * supported it stays as NULL.
3588          */
3589 #ifndef OPENSSL_NO_DSA
3590         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3591             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3592 #endif
3593 #ifndef OPENSSL_NO_RSA
3594         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3595             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3596             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3597         }
3598 #endif
3599 #ifndef OPENSSL_NO_EC
3600         if (pmd[SSL_PKEY_ECC] == NULL)
3601             pmd[SSL_PKEY_ECC] = EVP_sha1();
3602 #endif
3603 # ifndef OPENSSL_NO_GOST
3604         if (pmd[SSL_PKEY_GOST01] == NULL)
3605             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3606         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3607             pmd[SSL_PKEY_GOST12_256] = EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3608         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3609             pmd[SSL_PKEY_GOST12_512] = EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3610 # endif
3611     }
3612     return 1;
3613 }
3614
3615 int SSL_get_sigalgs(SSL *s, int idx,
3616                     int *psign, int *phash, int *psignhash,
3617                     unsigned char *rsig, unsigned char *rhash)
3618 {
3619     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3620     if (psig == NULL)
3621         return 0;
3622     if (idx >= 0) {
3623         idx <<= 1;
3624         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3625             return 0;
3626         psig += idx;
3627         if (rhash)
3628             *rhash = psig[0];
3629         if (rsig)
3630             *rsig = psig[1];
3631         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3632     }
3633     return s->s3->tmp.peer_sigalgslen / 2;
3634 }
3635
3636 int SSL_get_shared_sigalgs(SSL *s, int idx,
3637                            int *psign, int *phash, int *psignhash,
3638                            unsigned char *rsig, unsigned char *rhash)
3639 {
3640     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3641     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3642         return 0;
3643     shsigalgs += idx;
3644     if (phash)
3645         *phash = shsigalgs->hash_nid;
3646     if (psign)
3647         *psign = shsigalgs->sign_nid;
3648     if (psignhash)
3649         *psignhash = shsigalgs->signandhash_nid;
3650     if (rsig)
3651         *rsig = shsigalgs->rsign;
3652     if (rhash)
3653         *rhash = shsigalgs->rhash;
3654     return s->cert->shared_sigalgslen;
3655 }
3656
3657 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3658
3659 typedef struct {
3660     size_t sigalgcnt;
3661     int sigalgs[MAX_SIGALGLEN];
3662 } sig_cb_st;
3663
3664 static void get_sigorhash(int *psig, int *phash, const char *str)
3665 {
3666     if (strcmp(str, "RSA") == 0) {
3667         *psig = EVP_PKEY_RSA;
3668     } else if (strcmp(str, "DSA") == 0) {
3669         *psig = EVP_PKEY_DSA;
3670     } else if (strcmp(str, "ECDSA") == 0) {
3671         *psig = EVP_PKEY_EC;
3672     } else {
3673         *phash = OBJ_sn2nid(str);
3674         if (*phash == NID_undef)
3675             *phash = OBJ_ln2nid(str);
3676     }
3677 }
3678
3679 static int sig_cb(const char *elem, int len, void *arg)
3680 {
3681     sig_cb_st *sarg = arg;
3682     size_t i;
3683     char etmp[20], *p;
3684     int sig_alg = NID_undef, hash_alg = NID_undef;
3685     if (elem == NULL)
3686         return 0;
3687     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3688         return 0;
3689     if (len > (int)(sizeof(etmp) - 1))
3690         return 0;
3691     memcpy(etmp, elem, len);
3692     etmp[len] = 0;
3693     p = strchr(etmp, '+');
3694     if (!p)
3695         return 0;
3696     *p = 0;
3697     p++;
3698     if (!*p)
3699         return 0;
3700
3701     get_sigorhash(&sig_alg, &hash_alg, etmp);
3702     get_sigorhash(&sig_alg, &hash_alg, p);
3703
3704     if (sig_alg == NID_undef || hash_alg == NID_undef)
3705         return 0;
3706
3707     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3708         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3709             return 0;
3710     }
3711     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3712     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3713     return 1;
3714 }
3715
3716 /*
3717  * Set suppored signature algorithms based on a colon separated list of the
3718  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3719  */
3720 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3721 {
3722     sig_cb_st sig;
3723     sig.sigalgcnt = 0;
3724     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3725         return 0;
3726     if (c == NULL)
3727         return 1;
3728     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3729 }
3730
3731 int tls1_set_sigalgs(CERT *c, const int *psig_nids, size_t salglen,
3732                      int client)
3733 {
3734     unsigned char *sigalgs, *sptr;
3735     int rhash, rsign;
3736     size_t i;
3737     if (salglen & 1)
3738         return 0;
3739     sigalgs = OPENSSL_malloc(salglen);
3740     if (sigalgs == NULL)
3741         return 0;
3742     for (i = 0, sptr = sigalgs; i < salglen; i += 2) {
3743         rhash = tls12_find_id(*psig_nids++, tls12_md, OSSL_NELEM(tls12_md));
3744         rsign = tls12_find_id(*psig_nids++, tls12_sig, OSSL_NELEM(tls12_sig));
3745
3746         if (rhash == -1 || rsign == -1)
3747             goto err;
3748         *sptr++ = rhash;
3749         *sptr++ = rsign;
3750     }
3751
3752     if (client) {
3753         OPENSSL_free(c->client_sigalgs);
3754         c->client_sigalgs = sigalgs;
3755         c->client_sigalgslen = salglen;
3756     } else {
3757         OPENSSL_free(c->conf_sigalgs);
3758         c->conf_sigalgs = sigalgs;
3759         c->conf_sigalgslen = salglen;
3760     }
3761
3762     return 1;
3763
3764  err:
3765     OPENSSL_free(sigalgs);
3766     return 0;
3767 }
3768
3769 static int tls1_check_sig_alg(CERT *c, X509 *x, int default_nid)
3770 {
3771     int sig_nid;
3772     size_t i;
3773     if (default_nid == -1)
3774         return 1;
3775     sig_nid = X509_get_signature_nid(x);
3776     if (default_nid)
3777         return sig_nid == default_nid ? 1 : 0;
3778     for (i = 0; i < c->shared_sigalgslen; i++)
3779         if (sig_nid == c->shared_sigalgs[i].signandhash_nid)
3780             return 1;
3781     return 0;
3782 }
3783
3784 /* Check to see if a certificate issuer name matches list of CA names */
3785 static int ssl_check_ca_name(STACK_OF(X509_NAME) *names, X509 *x)
3786 {
3787     X509_NAME *nm;
3788     int i;
3789     nm = X509_get_issuer_name(x);
3790     for (i = 0; i < sk_X509_NAME_num(names); i++) {
3791         if (!X509_NAME_cmp(nm, sk_X509_NAME_value(names, i)))
3792             return 1;
3793     }
3794     return 0;
3795 }
3796
3797 /*
3798  * Check certificate chain is consistent with TLS extensions and is usable by
3799  * server. This servers two purposes: it allows users to check chains before
3800  * passing them to the server and it allows the server to check chains before
3801  * attempting to use them.
3802  */
3803
3804 /* Flags which need to be set for a certificate when stict mode not set */
3805
3806 #define CERT_PKEY_VALID_FLAGS \
3807         (CERT_PKEY_EE_SIGNATURE|CERT_PKEY_EE_PARAM)
3808 /* Strict mode flags */
3809 #define CERT_PKEY_STRICT_FLAGS \
3810          (CERT_PKEY_VALID_FLAGS|CERT_PKEY_CA_SIGNATURE|CERT_PKEY_CA_PARAM \
3811          | CERT_PKEY_ISSUER_NAME|CERT_PKEY_CERT_TYPE)
3812
3813 int tls1_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain,
3814                      int idx)
3815 {
3816     int i;
3817     int rv = 0;
3818     int check_flags = 0, strict_mode;
3819     CERT_PKEY *cpk = NULL;
3820     CERT *c = s->cert;
3821     uint32_t *pvalid;
3822     unsigned int suiteb_flags = tls1_suiteb(s);
3823     /* idx == -1 means checking server chains */
3824     if (idx != -1) {
3825         /* idx == -2 means checking client certificate chains */
3826         if (idx == -2) {
3827             cpk = c->key;
3828             idx = cpk - c->pkeys;
3829         } else
3830             cpk = c->pkeys + idx;
3831         pvalid = s->s3->tmp.valid_flags + idx;
3832         x = cpk->x509;
3833         pk = cpk->privatekey;
3834         chain = cpk->chain;
3835         strict_mode = c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT;
3836         /* If no cert or key, forget it */
3837         if (!x || !pk)
3838             goto end;
3839     } else {
3840         if (!x || !pk)
3841             return 0;
3842         idx = ssl_cert_type(x, pk);
3843         if (idx == -1)
3844             return 0;
3845         pvalid = s->s3->tmp.valid_flags + idx;
3846
3847         if (c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)
3848             check_flags = CERT_PKEY_STRICT_FLAGS;
3849         else
3850             check_flags = CERT_PKEY_VALID_FLAGS;
3851         strict_mode = 1;
3852     }
3853
3854     if (suiteb_flags) {
3855         int ok;
3856         if (check_flags)
3857             check_flags |= CERT_PKEY_SUITEB;
3858         ok = X509_chain_check_suiteb(NULL, x, chain, suiteb_flags);
3859         if (ok == X509_V_OK)
3860             rv |= CERT_PKEY_SUITEB;
3861         else if (!check_flags)
3862             goto end;
3863     }
3864
3865     /*
3866      * Check all signature algorithms are consistent with signature
3867      * algorithms extension if TLS 1.2 or later and strict mode.
3868      */
3869     if (TLS1_get_version(s) >= TLS1_2_VERSION && strict_mode) {
3870         int default_nid;
3871         unsigned char rsign = 0;
3872         if (s->s3->tmp.peer_sigalgs)
3873             default_nid = 0;
3874         /* If no sigalgs extension use defaults from RFC5246 */
3875         else {
3876             switch (idx) {
3877             case SSL_PKEY_RSA_ENC:
3878             case SSL_PKEY_RSA_SIGN:
3879                 rsign = TLSEXT_signature_rsa;
3880                 default_nid = NID_sha1WithRSAEncryption;
3881                 break;
3882
3883             case SSL_PKEY_DSA_SIGN:
3884                 rsign = TLSEXT_signature_dsa;
3885                 default_nid = NID_dsaWithSHA1;
3886                 break;
3887
3888             case SSL_PKEY_ECC:
3889                 rsign = TLSEXT_signature_ecdsa;
3890                 default_nid = NID_ecdsa_with_SHA1;
3891                 break;
3892
3893             case SSL_PKEY_GOST01:
3894                 rsign = TLSEXT_signature_gostr34102001;
3895                 default_nid = NID_id_GostR3411_94_with_GostR3410_2001;
3896                 break;
3897
3898             case SSL_PKEY_GOST12_256:
3899                 rsign = TLSEXT_signature_gostr34102012_256;
3900                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_256;
3901                 break;
3902
3903             case SSL_PKEY_GOST12_512:
3904                 rsign = TLSEXT_signature_gostr34102012_512;
3905                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_512;
3906                 break;
3907
3908             default:
3909                 default_nid = -1;
3910                 break;
3911             }
3912         }
3913         /*
3914          * If peer sent no signature algorithms extension and we have set
3915          * preferred signature algorithms check we support sha1.
3916          */
3917         if (default_nid > 0 && c->conf_sigalgs) {
3918             size_t j;
3919             const unsigned char *p = c->conf_sigalgs;
3920             for (j = 0; j < c->conf_sigalgslen; j += 2, p += 2) {
3921                 if (p[0] == TLSEXT_hash_sha1 && p[1] == rsign)
3922                     break;
3923             }
3924             if (j == c->conf_sigalgslen) {
3925                 if (check_flags)
3926                     goto skip_sigs;
3927                 else
3928                     goto end;
3929             }
3930         }
3931         /* Check signature algorithm of each cert in chain */
3932         if (!tls1_check_sig_alg(c, x, default_nid)) {
3933             if (!check_flags)
3934                 goto end;
3935         } else
3936             rv |= CERT_PKEY_EE_SIGNATURE;
3937         rv |= CERT_PKEY_CA_SIGNATURE;
3938         for (i = 0; i < sk_X509_num(chain); i++) {
3939             if (!tls1_check_sig_alg(c, sk_X509_value(chain, i), default_nid)) {
3940                 if (check_flags) {
3941                     rv &= ~CERT_PKEY_CA_SIGNATURE;
3942                     break;
3943                 } else
3944                     goto end;
3945             }
3946         }
3947     }
3948     /* Else not TLS 1.2, so mark EE and CA signing algorithms OK */
3949     else if (check_flags)
3950         rv |= CERT_PKEY_EE_SIGNATURE | CERT_PKEY_CA_SIGNATURE;
3951  skip_sigs:
3952     /* Check cert parameters are consistent */
3953     if (tls1_check_cert_param(s, x, check_flags ? 1 : 2))
3954         rv |= CERT_PKEY_EE_PARAM;
3955     else if (!check_flags)
3956         goto end;
3957     if (!s->server)
3958         rv |= CERT_PKEY_CA_PARAM;
3959     /* In strict mode check rest of chain too */
3960     else if (strict_mode) {
3961         rv |= CERT_PKEY_CA_PARAM;
3962         for (i = 0; i < sk_X509_num(chain); i++) {
3963             X509 *ca = sk_X509_value(chain, i);
3964             if (!tls1_check_cert_param(s, ca, 0)) {
3965                 if (check_flags) {
3966                     rv &= ~CERT_PKEY_CA_PARAM;
3967                     break;
3968                 } else
3969                     goto end;
3970             }
3971         }
3972     }
3973     if (!s->server && strict_mode) {
3974         STACK_OF(X509_NAME) *ca_dn;
3975         int check_type = 0;
3976         switch (EVP_PKEY_id(pk)) {
3977         case EVP_PKEY_RSA:
3978             check_type = TLS_CT_RSA_SIGN;
3979             break;
3980         case EVP_PKEY_DSA:
3981             check_type = TLS_CT_DSS_SIGN;
3982             break;
3983         case EVP_PKEY_EC:
3984             check_type = TLS_CT_ECDSA_SIGN;
3985             break;
3986         }
3987         if (check_type) {
3988             const unsigned char *ctypes;
3989             int ctypelen;
3990             if (c->ctypes) {
3991                 ctypes = c->ctypes;
3992                 ctypelen = (int)c->ctype_num;
3993             } else {
3994                 ctypes = (unsigned char *)s->s3->tmp.ctype;
3995                 ctypelen = s->s3->tmp.ctype_num;
3996             }
3997             for (i = 0; i < ctypelen; i++) {
3998                 if (ctypes[i] == check_type) {
3999                     rv |= CERT_PKEY_CERT_TYPE;
4000                     break;
4001                 }
4002             }
4003             if (!(rv & CERT_PKEY_CERT_TYPE) && !check_flags)
4004                 goto end;
4005         } else
4006             rv |= CERT_PKEY_CERT_TYPE;
4007
4008         ca_dn = s->s3->tmp.ca_names;
4009
4010         if (!sk_X509_NAME_num(ca_dn))
4011             rv |= CERT_PKEY_ISSUER_NAME;
4012
4013         if (!(rv & CERT_PKEY_ISSUER_NAME)) {
4014             if (ssl_check_ca_name(ca_dn, x))
4015                 rv |= CERT_PKEY_ISSUER_NAME;
4016         }
4017         if (!(rv & CERT_PKEY_ISSUER_NAME)) {
4018             for (i = 0; i < sk_X509_num(chain); i++) {
4019                 X509 *xtmp = sk_X509_value(chain, i);
4020                 if (ssl_check_ca_name(ca_dn, xtmp)) {
4021                     rv |= CERT_PKEY_ISSUER_NAME;
4022                     break;
4023                 }
4024             }
4025         }
4026         if (!check_flags && !(rv & CERT_PKEY_ISSUER_NAME))
4027             goto end;
4028     } else
4029         rv |= CERT_PKEY_ISSUER_NAME | CERT_PKEY_CERT_TYPE;
4030
4031     if (!check_flags || (rv & check_flags) == check_flags)
4032         rv |= CERT_PKEY_VALID;
4033
4034  end:
4035
4036     if (TLS1_get_version(s) >= TLS1_2_VERSION) {
4037         if (*pvalid & CERT_PKEY_EXPLICIT_SIGN)
4038             rv |= CERT_PKEY_EXPLICIT_SIGN | CERT_PKEY_SIGN;
4039         else if (s->s3->tmp.md[idx] != NULL)
4040             rv |= CERT_PKEY_SIGN;
4041     } else
4042         rv |= CERT_PKEY_SIGN | CERT_PKEY_EXPLICIT_SIGN;
4043
4044     /*
4045      * When checking a CERT_PKEY structure all flags are irrelevant if the
4046      * chain is invalid.
4047      */
4048     if (!check_flags) {
4049         if (rv & CERT_PKEY_VALID)
4050             *pvalid = rv;
4051         else {
4052             /* Preserve explicit sign flag, clear rest */
4053             *pvalid &= CERT_PKEY_EXPLICIT_SIGN;
4054             return 0;
4055         }
4056     }
4057     return rv;
4058 }
4059
4060 /* Set validity of certificates in an SSL structure */
4061 void tls1_set_cert_validity(SSL *s)
4062 {
4063     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_RSA_ENC);
4064     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_RSA_SIGN);
4065     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_DSA_SIGN);
4066     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_ECC);
4067     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST01);
4068     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST12_256);
4069     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST12_512);
4070 }
4071
4072 /* User level utiity function to check a chain is suitable */
4073 int SSL_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain)
4074 {
4075     return tls1_check_chain(s, x, pk, chain, -1);
4076 }
4077
4078
4079 #ifndef OPENSSL_NO_DH
4080 DH *ssl_get_auto_dh(SSL *s)
4081 {
4082     int dh_secbits = 80;
4083     if (s->cert->dh_tmp_auto == 2)
4084         return DH_get_1024_160();
4085     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aPSK)) {
4086         if (s->s3->tmp.new_cipher->strength_bits == 256)
4087             dh_secbits = 128;
4088         else
4089             dh_secbits = 80;
4090     } else {
4091         CERT_PKEY *cpk = ssl_get_server_send_pkey(s);
4092         dh_secbits = EVP_PKEY_security_bits(cpk->privatekey);
4093     }
4094
4095     if (dh_secbits >= 128) {
4096         DH *dhp = DH_new();
4097         BIGNUM *p, *g;
4098         if (dhp == NULL)
4099             return NULL;
4100         g = BN_new();
4101         if (g != NULL)
4102             BN_set_word(g, 2);
4103         if (dh_secbits >= 192)
4104             p = BN_get_rfc3526_prime_8192(NULL);
4105         else
4106             p = BN_get_rfc3526_prime_3072(NULL);
4107         if (p == NULL || g == NULL || !DH_set0_pqg(dhp, p, NULL, g)) {
4108             DH_free(dhp);
4109             BN_free(p);
4110             BN_free(g);
4111             return NULL;
4112         }
4113         return dhp;
4114     }
4115     if (dh_secbits >= 112)
4116         return DH_get_2048_224();
4117     return DH_get_1024_160();
4118 }
4119 #endif
4120
4121 static int ssl_security_cert_key(SSL *s, SSL_CTX *ctx, X509 *x, int op)
4122 {
4123     int secbits = -1;
4124     EVP_PKEY *pkey = X509_get0_pubkey(x);
4125     if (pkey) {
4126         /*
4127          * If no parameters this will return -1 and fail using the default
4128          * security callback for any non-zero security level. This will
4129          * reject keys which omit parameters but this only affects DSA and
4130          * omission of parameters is never (?) done in practice.
4131          */
4132         secbits = EVP_PKEY_security_bits(pkey);
4133     }
4134     if (s)
4135         return ssl_security(s, op, secbits, 0, x);
4136     else
4137         return ssl_ctx_security(ctx, op, secbits, 0, x);
4138 }
4139
4140 static int ssl_security_cert_sig(SSL *s, SSL_CTX *ctx, X509 *x, int op)
4141 {
4142     /* Lookup signature algorithm digest */
4143     int secbits = -1, md_nid = NID_undef, sig_nid;
4144     /* Don't check signature if self signed */
4145     if ((X509_get_extension_flags(x) & EXFLAG_SS) != 0)
4146         return 1;
4147     sig_nid = X509_get_signature_nid(x);
4148     if (sig_nid && OBJ_find_sigid_algs(sig_nid, &md_nid, NULL)) {
4149         const EVP_MD *md;
4150         if (md_nid && (md = EVP_get_digestbynid(md_nid)))
4151             secbits = EVP_MD_size(md) * 4;
4152     }
4153     if (s)
4154         return ssl_security(s, op, secbits, md_nid, x);
4155     else
4156         return ssl_ctx_security(ctx, op, secbits, md_nid, x);
4157 }
4158
4159 int ssl_security_cert(SSL *s, SSL_CTX *ctx, X509 *x, int vfy, int is_ee)
4160 {
4161     if (vfy)
4162         vfy = SSL_SECOP_PEER;
4163     if (is_ee) {
4164         if (!ssl_security_cert_key(s, ctx, x, SSL_SECOP_EE_KEY | vfy))
4165             return SSL_R_EE_KEY_TOO_SMALL;
4166     } else {
4167         if (!ssl_security_cert_key(s, ctx, x, SSL_SECOP_CA_KEY | vfy))
4168             return SSL_R_CA_KEY_TOO_SMALL;
4169     }
4170     if (!ssl_security_cert_sig(s, ctx, x, SSL_SECOP_CA_MD | vfy))
4171         return SSL_R_CA_MD_TOO_WEAK;
4172     return 1;
4173 }
4174
4175 /*
4176  * Check security of a chain, if sk includes the end entity certificate then
4177  * x is NULL. If vfy is 1 then we are verifying a peer chain and not sending
4178  * one to the peer. Return values: 1 if ok otherwise error code to use
4179  */
4180
4181 int ssl_security_cert_chain(SSL *s, STACK_OF(X509) *sk, X509 *x, int vfy)
4182 {
4183     int rv, start_idx, i;
4184     if (x == NULL) {
4185         x = sk_X509_value(sk, 0);
4186         start_idx = 1;
4187     } else
4188         start_idx = 0;
4189
4190     rv = ssl_security_cert(s, NULL, x, vfy, 1);
4191     if (rv != 1)
4192         return rv;
4193
4194     for (i = start_idx; i < sk_X509_num(sk); i++) {
4195         x = sk_X509_value(sk, i);
4196         rv = ssl_security_cert(s, NULL, x, vfy, 0);
4197         if (rv != 1)
4198             return rv;
4199     }
4200     return 1;
4201 }