Remove ssl_set_handshake_header()
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
24                               const unsigned char *sess_id, int sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS1_FINISH_MAC_LENGTH,
37     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
38     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
39     tls1_alert_code,
40     tls1_export_keying_material,
41     0,
42     SSL3_HM_HEADER_LENGTH,
43     ssl3_set_handshake_header2,
44     tls_close_construct_packet,
45     ssl3_handshake_write
46 };
47
48 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
49     tls1_enc,
50     tls1_mac,
51     tls1_setup_key_block,
52     tls1_generate_master_secret,
53     tls1_change_cipher_state,
54     tls1_final_finish_mac,
55     TLS1_FINISH_MAC_LENGTH,
56     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
57     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
58     tls1_alert_code,
59     tls1_export_keying_material,
60     SSL_ENC_FLAG_EXPLICIT_IV,
61     SSL3_HM_HEADER_LENGTH,
62     ssl3_set_handshake_header2,
63     tls_close_construct_packet,
64     ssl3_handshake_write
65 };
66
67 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
68     tls1_enc,
69     tls1_mac,
70     tls1_setup_key_block,
71     tls1_generate_master_secret,
72     tls1_change_cipher_state,
73     tls1_final_finish_mac,
74     TLS1_FINISH_MAC_LENGTH,
75     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
76     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
77     tls1_alert_code,
78     tls1_export_keying_material,
79     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
80         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
81     SSL3_HM_HEADER_LENGTH,
82     ssl3_set_handshake_header2,
83     tls_close_construct_packet,
84     ssl3_handshake_write
85 };
86
87 long tls1_default_timeout(void)
88 {
89     /*
90      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
91      * http, the cache would over fill
92      */
93     return (60 * 60 * 2);
94 }
95
96 int tls1_new(SSL *s)
97 {
98     if (!ssl3_new(s))
99         return (0);
100     s->method->ssl_clear(s);
101     return (1);
102 }
103
104 void tls1_free(SSL *s)
105 {
106     OPENSSL_free(s->tlsext_session_ticket);
107     ssl3_free(s);
108 }
109
110 void tls1_clear(SSL *s)
111 {
112     ssl3_clear(s);
113     if (s->method->version == TLS_ANY_VERSION)
114         s->version = TLS_MAX_VERSION;
115     else
116         s->version = s->method->version;
117 }
118
119 #ifndef OPENSSL_NO_EC
120
121 typedef struct {
122     int nid;                    /* Curve NID */
123     int secbits;                /* Bits of security (from SP800-57) */
124     unsigned int flags;         /* Flags: currently just field type */
125 } tls_curve_info;
126
127 /*
128  * Table of curve information.
129  * Do not delete entries or reorder this array! It is used as a lookup
130  * table: the index of each entry is one less than the TLS curve id.
131  */
132 static const tls_curve_info nid_list[] = {
133     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
134     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
135     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
136     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
137     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
138     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
139     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
140     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
141     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
142     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
143     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
144     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
145     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
146     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
147     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
148     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
149     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
150     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
151     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
152     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
153     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
154     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
155     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
156     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
157     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
158     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
159     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
160     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
161     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
162 };
163
164 static const unsigned char ecformats_default[] = {
165     TLSEXT_ECPOINTFORMAT_uncompressed,
166     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
167     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
168 };
169
170 /* The default curves */
171 static const unsigned char eccurves_default[] = {
172     0, 29,                      /* X25519 (29) */
173     0, 23,                      /* secp256r1 (23) */
174     0, 25,                      /* secp521r1 (25) */
175     0, 24,                      /* secp384r1 (24) */
176 };
177
178 static const unsigned char eccurves_all[] = {
179     0, 29,                      /* X25519 (29) */
180     0, 23,                      /* secp256r1 (23) */
181     0, 25,                      /* secp521r1 (25) */
182     0, 24,                      /* secp384r1 (24) */
183     0, 26,                      /* brainpoolP256r1 (26) */
184     0, 27,                      /* brainpoolP384r1 (27) */
185     0, 28,                      /* brainpool512r1 (28) */
186
187     /*
188      * Remaining curves disabled by default but still permitted if set
189      * via an explicit callback or parameters.
190      */
191     0, 22,                      /* secp256k1 (22) */
192     0, 14,                      /* sect571r1 (14) */
193     0, 13,                      /* sect571k1 (13) */
194     0, 11,                      /* sect409k1 (11) */
195     0, 12,                      /* sect409r1 (12) */
196     0, 9,                       /* sect283k1 (9) */
197     0, 10,                      /* sect283r1 (10) */
198     0, 20,                      /* secp224k1 (20) */
199     0, 21,                      /* secp224r1 (21) */
200     0, 18,                      /* secp192k1 (18) */
201     0, 19,                      /* secp192r1 (19) */
202     0, 15,                      /* secp160k1 (15) */
203     0, 16,                      /* secp160r1 (16) */
204     0, 17,                      /* secp160r2 (17) */
205     0, 8,                       /* sect239k1 (8) */
206     0, 6,                       /* sect233k1 (6) */
207     0, 7,                       /* sect233r1 (7) */
208     0, 4,                       /* sect193r1 (4) */
209     0, 5,                       /* sect193r2 (5) */
210     0, 1,                       /* sect163k1 (1) */
211     0, 2,                       /* sect163r1 (2) */
212     0, 3,                       /* sect163r2 (3) */
213 };
214
215 static const unsigned char suiteb_curves[] = {
216     0, TLSEXT_curve_P_256,
217     0, TLSEXT_curve_P_384
218 };
219
220 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
221 {
222     const tls_curve_info *cinfo;
223     /* ECC curves from RFC 4492 and RFC 7027 */
224     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
225         return 0;
226     cinfo = nid_list + curve_id - 1;
227     if (pflags)
228         *pflags = cinfo->flags;
229     return cinfo->nid;
230 }
231
232 int tls1_ec_nid2curve_id(int nid)
233 {
234     size_t i;
235     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
236         if (nid_list[i].nid == nid)
237             return i + 1;
238     }
239     return 0;
240 }
241
242 /*
243  * Get curves list, if "sess" is set return client curves otherwise
244  * preferred list.
245  * Sets |num_curves| to the number of curves in the list, i.e.,
246  * the length of |pcurves| is 2 * num_curves.
247  * Returns 1 on success and 0 if the client curves list has invalid format.
248  * The latter indicates an internal error: we should not be accepting such
249  * lists in the first place.
250  * TODO(emilia): we should really be storing the curves list in explicitly
251  * parsed form instead. (However, this would affect binary compatibility
252  * so cannot happen in the 1.0.x series.)
253  */
254 static int tls1_get_curvelist(SSL *s, int sess,
255                               const unsigned char **pcurves, size_t *num_curves)
256 {
257     size_t pcurveslen = 0;
258     if (sess) {
259         *pcurves = s->session->tlsext_ellipticcurvelist;
260         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
261     } else {
262         /* For Suite B mode only include P-256, P-384 */
263         switch (tls1_suiteb(s)) {
264         case SSL_CERT_FLAG_SUITEB_128_LOS:
265             *pcurves = suiteb_curves;
266             pcurveslen = sizeof(suiteb_curves);
267             break;
268
269         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
270             *pcurves = suiteb_curves;
271             pcurveslen = 2;
272             break;
273
274         case SSL_CERT_FLAG_SUITEB_192_LOS:
275             *pcurves = suiteb_curves + 2;
276             pcurveslen = 2;
277             break;
278         default:
279             *pcurves = s->tlsext_ellipticcurvelist;
280             pcurveslen = s->tlsext_ellipticcurvelist_length;
281         }
282         if (!*pcurves) {
283             *pcurves = eccurves_default;
284             pcurveslen = sizeof(eccurves_default);
285         }
286     }
287
288     /* We do not allow odd length arrays to enter the system. */
289     if (pcurveslen & 1) {
290         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
291         *num_curves = 0;
292         return 0;
293     } else {
294         *num_curves = pcurveslen / 2;
295         return 1;
296     }
297 }
298
299 /* See if curve is allowed by security callback */
300 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
301 {
302     const tls_curve_info *cinfo;
303     if (curve[0])
304         return 1;
305     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
306         return 0;
307     cinfo = &nid_list[curve[1] - 1];
308 # ifdef OPENSSL_NO_EC2M
309     if (cinfo->flags & TLS_CURVE_CHAR2)
310         return 0;
311 # endif
312     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
313 }
314
315 /* Check a curve is one of our preferences */
316 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
317 {
318     const unsigned char *curves;
319     size_t num_curves, i;
320     unsigned int suiteb_flags = tls1_suiteb(s);
321     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
322         return 0;
323     /* Check curve matches Suite B preferences */
324     if (suiteb_flags) {
325         unsigned long cid = s->s3->tmp.new_cipher->id;
326         if (p[1])
327             return 0;
328         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
329             if (p[2] != TLSEXT_curve_P_256)
330                 return 0;
331         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
332             if (p[2] != TLSEXT_curve_P_384)
333                 return 0;
334         } else                  /* Should never happen */
335             return 0;
336     }
337     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
338         return 0;
339     for (i = 0; i < num_curves; i++, curves += 2) {
340         if (p[1] == curves[0] && p[2] == curves[1])
341             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
342     }
343     return 0;
344 }
345
346 /*-
347  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
348  * if there is no match.
349  * For nmatch == -1, return number of matches
350  * For nmatch == -2, return the NID of the curve to use for
351  * an EC tmp key, or NID_undef if there is no match.
352  */
353 int tls1_shared_curve(SSL *s, int nmatch)
354 {
355     const unsigned char *pref, *supp;
356     size_t num_pref, num_supp, i, j;
357     int k;
358     /* Can't do anything on client side */
359     if (s->server == 0)
360         return -1;
361     if (nmatch == -2) {
362         if (tls1_suiteb(s)) {
363             /*
364              * For Suite B ciphersuite determines curve: we already know
365              * these are acceptable due to previous checks.
366              */
367             unsigned long cid = s->s3->tmp.new_cipher->id;
368             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
369                 return NID_X9_62_prime256v1; /* P-256 */
370             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
371                 return NID_secp384r1; /* P-384 */
372             /* Should never happen */
373             return NID_undef;
374         }
375         /* If not Suite B just return first preference shared curve */
376         nmatch = 0;
377     }
378     /*
379      * Avoid truncation. tls1_get_curvelist takes an int
380      * but s->options is a long...
381      */
382     if (!tls1_get_curvelist
383         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
384          &num_supp))
385         /* In practice, NID_undef == 0 but let's be precise. */
386         return nmatch == -1 ? 0 : NID_undef;
387     if (!tls1_get_curvelist
388         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
389         return nmatch == -1 ? 0 : NID_undef;
390
391     /*
392      * If the client didn't send the elliptic_curves extension all of them
393      * are allowed.
394      */
395     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
396         supp = eccurves_all;
397         num_supp = sizeof(eccurves_all) / 2;
398     } else if (num_pref == 0 &&
399                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
400         pref = eccurves_all;
401         num_pref = sizeof(eccurves_all) / 2;
402     }
403
404     k = 0;
405     for (i = 0; i < num_pref; i++, pref += 2) {
406         const unsigned char *tsupp = supp;
407         for (j = 0; j < num_supp; j++, tsupp += 2) {
408             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
409                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
410                     continue;
411                 if (nmatch == k) {
412                     int id = (pref[0] << 8) | pref[1];
413                     return tls1_ec_curve_id2nid(id, NULL);
414                 }
415                 k++;
416             }
417         }
418     }
419     if (nmatch == -1)
420         return k;
421     /* Out of range (nmatch > k). */
422     return NID_undef;
423 }
424
425 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
426                     int *curves, size_t ncurves)
427 {
428     unsigned char *clist, *p;
429     size_t i;
430     /*
431      * Bitmap of curves included to detect duplicates: only works while curve
432      * ids < 32
433      */
434     unsigned long dup_list = 0;
435     clist = OPENSSL_malloc(ncurves * 2);
436     if (clist == NULL)
437         return 0;
438     for (i = 0, p = clist; i < ncurves; i++) {
439         unsigned long idmask;
440         int id;
441         id = tls1_ec_nid2curve_id(curves[i]);
442         idmask = 1L << id;
443         if (!id || (dup_list & idmask)) {
444             OPENSSL_free(clist);
445             return 0;
446         }
447         dup_list |= idmask;
448         s2n(id, p);
449     }
450     OPENSSL_free(*pext);
451     *pext = clist;
452     *pextlen = ncurves * 2;
453     return 1;
454 }
455
456 # define MAX_CURVELIST   28
457
458 typedef struct {
459     size_t nidcnt;
460     int nid_arr[MAX_CURVELIST];
461 } nid_cb_st;
462
463 static int nid_cb(const char *elem, int len, void *arg)
464 {
465     nid_cb_st *narg = arg;
466     size_t i;
467     int nid;
468     char etmp[20];
469     if (elem == NULL)
470         return 0;
471     if (narg->nidcnt == MAX_CURVELIST)
472         return 0;
473     if (len > (int)(sizeof(etmp) - 1))
474         return 0;
475     memcpy(etmp, elem, len);
476     etmp[len] = 0;
477     nid = EC_curve_nist2nid(etmp);
478     if (nid == NID_undef)
479         nid = OBJ_sn2nid(etmp);
480     if (nid == NID_undef)
481         nid = OBJ_ln2nid(etmp);
482     if (nid == NID_undef)
483         return 0;
484     for (i = 0; i < narg->nidcnt; i++)
485         if (narg->nid_arr[i] == nid)
486             return 0;
487     narg->nid_arr[narg->nidcnt++] = nid;
488     return 1;
489 }
490
491 /* Set curves based on a colon separate list */
492 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
493 {
494     nid_cb_st ncb;
495     ncb.nidcnt = 0;
496     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
497         return 0;
498     if (pext == NULL)
499         return 1;
500     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
501 }
502
503 /* For an EC key set TLS id and required compression based on parameters */
504 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
505                           EC_KEY *ec)
506 {
507     int id;
508     const EC_GROUP *grp;
509     if (!ec)
510         return 0;
511     /* Determine if it is a prime field */
512     grp = EC_KEY_get0_group(ec);
513     if (!grp)
514         return 0;
515     /* Determine curve ID */
516     id = EC_GROUP_get_curve_name(grp);
517     id = tls1_ec_nid2curve_id(id);
518     /* If no id return error: we don't support arbitrary explicit curves */
519     if (id == 0)
520         return 0;
521     curve_id[0] = 0;
522     curve_id[1] = (unsigned char)id;
523     if (comp_id) {
524         if (EC_KEY_get0_public_key(ec) == NULL)
525             return 0;
526         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
527             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
528         } else {
529             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
530                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
531             else
532                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
533         }
534     }
535     return 1;
536 }
537
538 /* Check an EC key is compatible with extensions */
539 static int tls1_check_ec_key(SSL *s,
540                              unsigned char *curve_id, unsigned char *comp_id)
541 {
542     const unsigned char *pformats, *pcurves;
543     size_t num_formats, num_curves, i;
544     int j;
545     /*
546      * If point formats extension present check it, otherwise everything is
547      * supported (see RFC4492).
548      */
549     if (comp_id && s->session->tlsext_ecpointformatlist) {
550         pformats = s->session->tlsext_ecpointformatlist;
551         num_formats = s->session->tlsext_ecpointformatlist_length;
552         for (i = 0; i < num_formats; i++, pformats++) {
553             if (*comp_id == *pformats)
554                 break;
555         }
556         if (i == num_formats)
557             return 0;
558     }
559     if (!curve_id)
560         return 1;
561     /* Check curve is consistent with client and server preferences */
562     for (j = 0; j <= 1; j++) {
563         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
564             return 0;
565         if (j == 1 && num_curves == 0) {
566             /*
567              * If we've not received any curves then skip this check.
568              * RFC 4492 does not require the supported elliptic curves extension
569              * so if it is not sent we can just choose any curve.
570              * It is invalid to send an empty list in the elliptic curves
571              * extension, so num_curves == 0 always means no extension.
572              */
573             break;
574         }
575         for (i = 0; i < num_curves; i++, pcurves += 2) {
576             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
577                 break;
578         }
579         if (i == num_curves)
580             return 0;
581         /* For clients can only check sent curve list */
582         if (!s->server)
583             break;
584     }
585     return 1;
586 }
587
588 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
589                                 size_t *num_formats)
590 {
591     /*
592      * If we have a custom point format list use it otherwise use default
593      */
594     if (s->tlsext_ecpointformatlist) {
595         *pformats = s->tlsext_ecpointformatlist;
596         *num_formats = s->tlsext_ecpointformatlist_length;
597     } else {
598         *pformats = ecformats_default;
599         /* For Suite B we don't support char2 fields */
600         if (tls1_suiteb(s))
601             *num_formats = sizeof(ecformats_default) - 1;
602         else
603             *num_formats = sizeof(ecformats_default);
604     }
605 }
606
607 /*
608  * Check cert parameters compatible with extensions: currently just checks EC
609  * certificates have compatible curves and compression.
610  */
611 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
612 {
613     unsigned char comp_id, curve_id[2];
614     EVP_PKEY *pkey;
615     int rv;
616     pkey = X509_get0_pubkey(x);
617     if (!pkey)
618         return 0;
619     /* If not EC nothing to do */
620     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
621         return 1;
622     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
623     if (!rv)
624         return 0;
625     /*
626      * Can't check curve_id for client certs as we don't have a supported
627      * curves extension.
628      */
629     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
630     if (!rv)
631         return 0;
632     /*
633      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
634      * SHA384+P-384, adjust digest if necessary.
635      */
636     if (set_ee_md && tls1_suiteb(s)) {
637         int check_md;
638         size_t i;
639         CERT *c = s->cert;
640         if (curve_id[0])
641             return 0;
642         /* Check to see we have necessary signing algorithm */
643         if (curve_id[1] == TLSEXT_curve_P_256)
644             check_md = NID_ecdsa_with_SHA256;
645         else if (curve_id[1] == TLSEXT_curve_P_384)
646             check_md = NID_ecdsa_with_SHA384;
647         else
648             return 0;           /* Should never happen */
649         for (i = 0; i < c->shared_sigalgslen; i++)
650             if (check_md == c->shared_sigalgs[i].signandhash_nid)
651                 break;
652         if (i == c->shared_sigalgslen)
653             return 0;
654         if (set_ee_md == 2) {
655             if (check_md == NID_ecdsa_with_SHA256)
656                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
657             else
658                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
659         }
660     }
661     return rv;
662 }
663
664 # ifndef OPENSSL_NO_EC
665 /*
666  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
667  * @s: SSL connection
668  * @cid: Cipher ID we're considering using
669  *
670  * Checks that the kECDHE cipher suite we're considering using
671  * is compatible with the client extensions.
672  *
673  * Returns 0 when the cipher can't be used or 1 when it can.
674  */
675 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
676 {
677     /*
678      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
679      * curves permitted.
680      */
681     if (tls1_suiteb(s)) {
682         unsigned char curve_id[2];
683         /* Curve to check determined by ciphersuite */
684         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
685             curve_id[1] = TLSEXT_curve_P_256;
686         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
687             curve_id[1] = TLSEXT_curve_P_384;
688         else
689             return 0;
690         curve_id[0] = 0;
691         /* Check this curve is acceptable */
692         if (!tls1_check_ec_key(s, curve_id, NULL))
693             return 0;
694         return 1;
695     }
696     /* Need a shared curve */
697     if (tls1_shared_curve(s, 0))
698         return 1;
699     return 0;
700 }
701 # endif                         /* OPENSSL_NO_EC */
702
703 #else
704
705 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
706 {
707     return 1;
708 }
709
710 #endif                          /* OPENSSL_NO_EC */
711
712 /*
713  * List of supported signature algorithms and hashes. Should make this
714  * customisable at some point, for now include everything we support.
715  */
716
717 #ifdef OPENSSL_NO_RSA
718 # define tlsext_sigalg_rsa(md)  /* */
719 #else
720 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
721 #endif
722
723 #ifdef OPENSSL_NO_DSA
724 # define tlsext_sigalg_dsa(md)  /* */
725 #else
726 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
727 #endif
728
729 #ifdef OPENSSL_NO_EC
730 # define tlsext_sigalg_ecdsa(md)/* */
731 #else
732 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
733 #endif
734
735 #define tlsext_sigalg(md) \
736                 tlsext_sigalg_rsa(md) \
737                 tlsext_sigalg_dsa(md) \
738                 tlsext_sigalg_ecdsa(md)
739
740 static const unsigned char tls12_sigalgs[] = {
741     tlsext_sigalg(TLSEXT_hash_sha512)
742         tlsext_sigalg(TLSEXT_hash_sha384)
743         tlsext_sigalg(TLSEXT_hash_sha256)
744         tlsext_sigalg(TLSEXT_hash_sha224)
745         tlsext_sigalg(TLSEXT_hash_sha1)
746 #ifndef OPENSSL_NO_GOST
747         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
748     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
749     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
750 #endif
751 };
752
753 #ifndef OPENSSL_NO_EC
754 static const unsigned char suiteb_sigalgs[] = {
755     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
756         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
757 };
758 #endif
759 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
760 {
761     /*
762      * If Suite B mode use Suite B sigalgs only, ignore any other
763      * preferences.
764      */
765 #ifndef OPENSSL_NO_EC
766     switch (tls1_suiteb(s)) {
767     case SSL_CERT_FLAG_SUITEB_128_LOS:
768         *psigs = suiteb_sigalgs;
769         return sizeof(suiteb_sigalgs);
770
771     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
772         *psigs = suiteb_sigalgs;
773         return 2;
774
775     case SSL_CERT_FLAG_SUITEB_192_LOS:
776         *psigs = suiteb_sigalgs + 2;
777         return 2;
778     }
779 #endif
780     /* If server use client authentication sigalgs if not NULL */
781     if (s->server && s->cert->client_sigalgs) {
782         *psigs = s->cert->client_sigalgs;
783         return s->cert->client_sigalgslen;
784     } else if (s->cert->conf_sigalgs) {
785         *psigs = s->cert->conf_sigalgs;
786         return s->cert->conf_sigalgslen;
787     } else {
788         *psigs = tls12_sigalgs;
789         return sizeof(tls12_sigalgs);
790     }
791 }
792
793 /*
794  * Check signature algorithm is consistent with sent supported signature
795  * algorithms and if so return relevant digest.
796  */
797 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
798                             const unsigned char *sig, EVP_PKEY *pkey)
799 {
800     const unsigned char *sent_sigs;
801     size_t sent_sigslen, i;
802     int sigalg = tls12_get_sigid(pkey);
803     /* Should never happen */
804     if (sigalg == -1)
805         return -1;
806     /* Check key type is consistent with signature */
807     if (sigalg != (int)sig[1]) {
808         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
809         return 0;
810     }
811 #ifndef OPENSSL_NO_EC
812     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
813         unsigned char curve_id[2], comp_id;
814         /* Check compression and curve matches extensions */
815         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
816             return 0;
817         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
818             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
819             return 0;
820         }
821         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
822         if (tls1_suiteb(s)) {
823             if (curve_id[0])
824                 return 0;
825             if (curve_id[1] == TLSEXT_curve_P_256) {
826                 if (sig[0] != TLSEXT_hash_sha256) {
827                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
828                            SSL_R_ILLEGAL_SUITEB_DIGEST);
829                     return 0;
830                 }
831             } else if (curve_id[1] == TLSEXT_curve_P_384) {
832                 if (sig[0] != TLSEXT_hash_sha384) {
833                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
834                            SSL_R_ILLEGAL_SUITEB_DIGEST);
835                     return 0;
836                 }
837             } else
838                 return 0;
839         }
840     } else if (tls1_suiteb(s))
841         return 0;
842 #endif
843
844     /* Check signature matches a type we sent */
845     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
846     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
847         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
848             break;
849     }
850     /* Allow fallback to SHA1 if not strict mode */
851     if (i == sent_sigslen
852         && (sig[0] != TLSEXT_hash_sha1
853             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
854         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
855         return 0;
856     }
857     *pmd = tls12_get_hash(sig[0]);
858     if (*pmd == NULL) {
859         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
860         return 0;
861     }
862     /* Make sure security callback allows algorithm */
863     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
864                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
865         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
866         return 0;
867     }
868     /*
869      * Store the digest used so applications can retrieve it if they wish.
870      */
871     s->s3->tmp.peer_md = *pmd;
872     return 1;
873 }
874
875 /*
876  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
877  * supported, doesn't appear in supported signature algorithms, isn't supported
878  * by the enabled protocol versions or by the security level.
879  *
880  * This function should only be used for checking which ciphers are supported
881  * by the client.
882  *
883  * Call ssl_cipher_disabled() to check that it's enabled or not.
884  */
885 void ssl_set_client_disabled(SSL *s)
886 {
887     s->s3->tmp.mask_a = 0;
888     s->s3->tmp.mask_k = 0;
889     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
890     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
891 #ifndef OPENSSL_NO_PSK
892     /* with PSK there must be client callback set */
893     if (!s->psk_client_callback) {
894         s->s3->tmp.mask_a |= SSL_aPSK;
895         s->s3->tmp.mask_k |= SSL_PSK;
896     }
897 #endif                          /* OPENSSL_NO_PSK */
898 #ifndef OPENSSL_NO_SRP
899     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
900         s->s3->tmp.mask_a |= SSL_aSRP;
901         s->s3->tmp.mask_k |= SSL_kSRP;
902     }
903 #endif
904 }
905
906 /*
907  * ssl_cipher_disabled - check that a cipher is disabled or not
908  * @s: SSL connection that you want to use the cipher on
909  * @c: cipher to check
910  * @op: Security check that you want to do
911  *
912  * Returns 1 when it's disabled, 0 when enabled.
913  */
914 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
915 {
916     if (c->algorithm_mkey & s->s3->tmp.mask_k
917         || c->algorithm_auth & s->s3->tmp.mask_a)
918         return 1;
919     if (s->s3->tmp.max_ver == 0)
920         return 1;
921     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
922                             || (c->max_tls < s->s3->tmp.min_ver)))
923         return 1;
924     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
925                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
926         return 1;
927
928     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
929 }
930
931 static int tls_use_ticket(SSL *s)
932 {
933     if (s->options & SSL_OP_NO_TICKET)
934         return 0;
935     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
936 }
937
938 static int compare_uint(const void *p1, const void *p2)
939 {
940     unsigned int u1 = *((const unsigned int *)p1);
941     unsigned int u2 = *((const unsigned int *)p2);
942     if (u1 < u2)
943         return -1;
944     else if (u1 > u2)
945         return 1;
946     else
947         return 0;
948 }
949
950 /*
951  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
952  * more than one extension of the same type in a ClientHello or ServerHello.
953  * This function does an initial scan over the extensions block to filter those
954  * out. It returns 1 if all extensions are unique, and 0 if the extensions
955  * contain duplicates, could not be successfully parsed, or an internal error
956  * occurred.
957  */
958 static int tls1_check_duplicate_extensions(const PACKET *packet)
959 {
960     PACKET extensions = *packet;
961     size_t num_extensions = 0, i = 0;
962     unsigned int *extension_types = NULL;
963     int ret = 0;
964
965     /* First pass: count the extensions. */
966     while (PACKET_remaining(&extensions) > 0) {
967         unsigned int type;
968         PACKET extension;
969         if (!PACKET_get_net_2(&extensions, &type) ||
970             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
971             goto done;
972         }
973         num_extensions++;
974     }
975
976     if (num_extensions <= 1)
977         return 1;
978
979     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
980     if (extension_types == NULL) {
981         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
982         goto done;
983     }
984
985     /* Second pass: gather the extension types. */
986     extensions = *packet;
987     for (i = 0; i < num_extensions; i++) {
988         PACKET extension;
989         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
990             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
991             /* This should not happen. */
992             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
993             goto done;
994         }
995     }
996
997     if (PACKET_remaining(&extensions) != 0) {
998         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
999         goto done;
1000     }
1001     /* Sort the extensions and make sure there are no duplicates. */
1002     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1003     for (i = 1; i < num_extensions; i++) {
1004         if (extension_types[i - 1] == extension_types[i])
1005             goto done;
1006     }
1007     ret = 1;
1008  done:
1009     OPENSSL_free(extension_types);
1010     return ret;
1011 }
1012
1013 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1014 {
1015 #ifndef OPENSSL_NO_EC
1016     /* See if we support any ECC ciphersuites */
1017     int using_ecc = 0;
1018     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1019         int i;
1020         unsigned long alg_k, alg_a;
1021         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1022
1023         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1024             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1025
1026             alg_k = c->algorithm_mkey;
1027             alg_a = c->algorithm_auth;
1028             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1029                 || (alg_a & SSL_aECDSA)) {
1030                 using_ecc = 1;
1031                 break;
1032             }
1033         }
1034     }
1035 #endif
1036
1037     /* Add RI if renegotiating */
1038     if (s->renegotiate) {
1039         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_renegotiate)
1040                 || !WPACKET_start_sub_packet_u16(pkt)
1041                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->previous_client_finished,
1042                                    s->s3->previous_client_finished_len)
1043                 || !WPACKET_close(pkt)) {
1044             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1045             return 0;
1046         }
1047     }
1048     /* Only add RI for SSLv3 */
1049     if (s->client_version == SSL3_VERSION)
1050         goto done;
1051
1052     if (s->tlsext_hostname != NULL) {
1053         /* Add TLS extension servername to the Client Hello message */
1054         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1055                    /* Sub-packet for server_name extension */
1056                 || !WPACKET_start_sub_packet_u16(pkt)
1057                    /* Sub-packet for servername list (always 1 hostname)*/
1058                 || !WPACKET_start_sub_packet_u16(pkt)
1059                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_NAMETYPE_host_name)
1060                 || !WPACKET_sub_memcpy_u16(pkt, s->tlsext_hostname,
1061                                            strlen(s->tlsext_hostname))
1062                 || !WPACKET_close(pkt)
1063                 || !WPACKET_close(pkt)) {
1064             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1065             return 0;
1066         }
1067     }
1068 #ifndef OPENSSL_NO_SRP
1069     /* Add SRP username if there is one */
1070     if (s->srp_ctx.login != NULL) {
1071         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_srp)
1072                    /* Sub-packet for SRP extension */
1073                 || !WPACKET_start_sub_packet_u16(pkt)
1074                 || !WPACKET_start_sub_packet_u8(pkt)
1075                    /* login must not be zero...internal error if so */
1076                 || !WPACKET_set_flags(pkt, WPACKET_FLAGS_NON_ZERO_LENGTH)
1077                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1078                                    strlen(s->srp_ctx.login))
1079                 || !WPACKET_close(pkt)
1080                 || !WPACKET_close(pkt)) {
1081             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1082             return 0;
1083         }
1084     }
1085 #endif
1086
1087 #ifndef OPENSSL_NO_EC
1088     if (using_ecc) {
1089         /*
1090          * Add TLS extension ECPointFormats to the ClientHello message
1091          */
1092         const unsigned char *pcurves, *pformats;
1093         size_t num_curves, num_formats;
1094         size_t i;
1095
1096         tls1_get_formatlist(s, &pformats, &num_formats);
1097
1098         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1099                    /* Sub-packet for formats extension */
1100                 || !WPACKET_start_sub_packet_u16(pkt)
1101                 || !WPACKET_sub_memcpy_u8(pkt, pformats, num_formats)
1102                 || !WPACKET_close(pkt)) {
1103             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1104             return 0;
1105         }
1106
1107         /*
1108          * Add TLS extension EllipticCurves to the ClientHello message
1109          */
1110         pcurves = s->tlsext_ellipticcurvelist;
1111         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1112             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1113             return 0;
1114         }
1115
1116         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_elliptic_curves)
1117                    /* Sub-packet for curves extension */
1118                 || !WPACKET_start_sub_packet_u16(pkt)
1119                 || !WPACKET_start_sub_packet_u16(pkt)) {
1120             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1121             return 0;
1122         }
1123         /* Copy curve ID if supported */
1124         for (i = 0; i < num_curves; i++, pcurves += 2) {
1125             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1126                 if (!WPACKET_put_bytes_u8(pkt, pcurves[0])
1127                     || !WPACKET_put_bytes_u8(pkt, pcurves[1])) {
1128                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1129                                ERR_R_INTERNAL_ERROR);
1130                         return 0;
1131                     }
1132             }
1133         }
1134         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1135             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1136             return 0;
1137         }
1138     }
1139 #endif                          /* OPENSSL_NO_EC */
1140
1141     if (tls_use_ticket(s)) {
1142         int ticklen;
1143         if (!s->new_session && s->session && s->session->tlsext_tick)
1144             ticklen = s->session->tlsext_ticklen;
1145         else if (s->session && s->tlsext_session_ticket &&
1146                  s->tlsext_session_ticket->data) {
1147             ticklen = s->tlsext_session_ticket->length;
1148             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1149             if (s->session->tlsext_tick == NULL) {
1150                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1151                 return 0;
1152             }
1153             memcpy(s->session->tlsext_tick,
1154                    s->tlsext_session_ticket->data, ticklen);
1155             s->session->tlsext_ticklen = ticklen;
1156         } else
1157             ticklen = 0;
1158         if (ticklen == 0 && s->tlsext_session_ticket &&
1159             s->tlsext_session_ticket->data == NULL)
1160             goto skip_ext;
1161
1162         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1163                 || !WPACKET_sub_memcpy_u16(pkt, s->session->tlsext_tick,
1164                                            ticklen)) {
1165             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1166             return 0;
1167         }
1168     }
1169  skip_ext:
1170
1171     if (SSL_CLIENT_USE_SIGALGS(s)) {
1172         size_t salglen;
1173         const unsigned char *salg;
1174
1175         salglen = tls12_get_psigalgs(s, &salg);
1176
1177         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signature_algorithms)
1178                    /* Sub-packet for sig-algs extension */
1179                 || !WPACKET_start_sub_packet_u16(pkt)
1180                    /* Sub-packet for the actual list */
1181                 || !WPACKET_start_sub_packet_u16(pkt)
1182                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1183                 || !WPACKET_close(pkt)
1184                 || !WPACKET_close(pkt)) {
1185             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1186             return 0;
1187         }
1188     }
1189 #ifndef OPENSSL_NO_OCSP
1190     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1191         int i;
1192
1193         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1194                    /* Sub-packet for status request extension */
1195                 || !WPACKET_start_sub_packet_u16(pkt)
1196                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_STATUSTYPE_ocsp)
1197                    /* Sub-packet for the ids */
1198                 || !WPACKET_start_sub_packet_u16(pkt)) {
1199             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1200             return 0;
1201         }
1202         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1203             unsigned char *idbytes;
1204             int idlen;
1205             OCSP_RESPID *id;
1206
1207             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1208             idlen = i2d_OCSP_RESPID(id, NULL);
1209             if (idlen <= 0
1210                        /* Sub-packet for an individual id */
1211                     || !WPACKET_sub_allocate_bytes_u16(pkt, idlen, &idbytes)
1212                     || i2d_OCSP_RESPID(id, &idbytes) != idlen) {
1213                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1214                 return 0;
1215             }
1216         }
1217         if (!WPACKET_close(pkt)
1218                 || !WPACKET_start_sub_packet_u16(pkt)) {
1219             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1220             return 0;
1221         }
1222         if (s->tlsext_ocsp_exts) {
1223             unsigned char *extbytes;
1224             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1225
1226             if (extlen < 0) {
1227                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1228                 return 0;
1229             }
1230             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1231                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1232                        != extlen) {
1233                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1234                 return 0;
1235            }
1236         }
1237         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1238             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1239             return 0;
1240         }
1241     }
1242 #endif
1243 #ifndef OPENSSL_NO_HEARTBEATS
1244     if (SSL_IS_DTLS(s)) {
1245         unsigned int mode;
1246
1247         /*-
1248          * Set mode:
1249          * 1: peer may send requests
1250          * 2: peer not allowed to send requests
1251          */
1252         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1253             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1254         else
1255             mode = SSL_DTLSEXT_HB_ENABLED;
1256
1257         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1258                    /* Sub-packet for Hearbeat extension */
1259                 || !WPACKET_start_sub_packet_u16(pkt)
1260                 || !WPACKET_put_bytes_u8(pkt, mode)
1261                 || !WPACKET_close(pkt)) {
1262             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1263             return 0;
1264         }
1265     }
1266 #endif
1267
1268 #ifndef OPENSSL_NO_NEXTPROTONEG
1269     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1270         /*
1271          * The client advertises an empty extension to indicate its support
1272          * for Next Protocol Negotiation
1273          */
1274         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1275                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1276             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1277             return 0;
1278         }
1279     }
1280 #endif
1281
1282     /*
1283      * finish_md_len is non-zero during a renegotiation, so
1284      * this avoids sending ALPN during the renegotiation
1285      * (see longer comment below)
1286      */
1287     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1288         if (!WPACKET_put_bytes_u16(pkt,
1289                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1290                    /* Sub-packet ALPN extension */
1291                 || !WPACKET_start_sub_packet_u16(pkt)
1292                 || !WPACKET_sub_memcpy_u16(pkt, s->alpn_client_proto_list,
1293                                            s->alpn_client_proto_list_len)
1294                 || !WPACKET_close(pkt)) {
1295             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1296             return 0;
1297         }
1298         s->s3->alpn_sent = 1;
1299     }
1300 #ifndef OPENSSL_NO_SRTP
1301     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1302         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = SSL_get_srtp_profiles(s);
1303         SRTP_PROTECTION_PROFILE *prof;
1304         int i, ct;
1305
1306         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1307                    /* Sub-packet for SRTP extension */
1308                 || !WPACKET_start_sub_packet_u16(pkt)
1309                    /* Sub-packet for the protection profile list */
1310                 || !WPACKET_start_sub_packet_u16(pkt)) {
1311             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1312             return 0;
1313         }
1314         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1315         for (i = 0; i < ct; i++) {
1316             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1317             if (prof == NULL || !WPACKET_put_bytes_u16(pkt, prof->id)) {
1318                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1319                 return 0;
1320             }
1321         }
1322         if (!WPACKET_close(pkt)
1323                    /* Add an empty use_mki value */
1324                 || !WPACKET_put_bytes_u8(pkt, 0)
1325                 || !WPACKET_close(pkt)) {
1326             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1327             return 0;
1328         }
1329     }
1330 #endif
1331     custom_ext_init(&s->cert->cli_ext);
1332     /* Add custom TLS Extensions to ClientHello */
1333     if (!custom_ext_add(s, 0, pkt, al)) {
1334         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1335         return 0;
1336     }
1337
1338     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1339             || !WPACKET_put_bytes_u16(pkt, 0)) {
1340         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1341         return 0;
1342     }
1343
1344 #ifndef OPENSSL_NO_CT
1345     if (s->ct_validation_callback != NULL) {
1346         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signed_certificate_timestamp)
1347                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1348             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1349             return 0;
1350         }
1351     }
1352 #endif
1353
1354     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1355             || !WPACKET_put_bytes_u16(pkt, 0)) {
1356         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1357         return 0;
1358     }
1359
1360     /*
1361      * Add padding to workaround bugs in F5 terminators. See
1362      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1363      * code works out the length of all existing extensions it MUST always
1364      * appear last.
1365      */
1366     if (s->options & SSL_OP_TLSEXT_PADDING) {
1367         unsigned char *padbytes;
1368         size_t hlen;
1369
1370         if (!WPACKET_get_total_written(pkt, &hlen)) {
1371             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1372             return 0;
1373         }
1374
1375         if (hlen > 0xff && hlen < 0x200) {
1376             hlen = 0x200 - hlen;
1377             if (hlen >= 4)
1378                 hlen -= 4;
1379             else
1380                 hlen = 0;
1381
1382             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_padding)
1383                     || !WPACKET_sub_allocate_bytes_u16(pkt, hlen, &padbytes)) {
1384                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1385                 return 0;
1386             }
1387             memset(padbytes, 0, hlen);
1388         }
1389     }
1390
1391  done:
1392     return 1;
1393 }
1394
1395 int ssl_add_serverhello_tlsext(SSL *s, WPACKET *pkt, int *al)
1396 {
1397 #ifndef OPENSSL_NO_NEXTPROTONEG
1398     int next_proto_neg_seen;
1399 #endif
1400 #ifndef OPENSSL_NO_EC
1401     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1402     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1403     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1404     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1405 #endif
1406
1407     if (!WPACKET_start_sub_packet_u16(pkt)
1408             || !WPACKET_set_flags(pkt, WPACKET_FLAGS_ABANDON_ON_ZERO_LENGTH)) {
1409         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1410         return 0;
1411     }
1412
1413     if (s->s3->send_connection_binding &&
1414             !ssl_add_serverhello_renegotiate_ext(s, pkt)) {
1415         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1416         return 0;
1417     }
1418
1419     /* Only add RI for SSLv3 */
1420     if (s->version == SSL3_VERSION)
1421         goto done;
1422
1423     if (!s->hit && s->servername_done == 1
1424             && s->session->tlsext_hostname != NULL) {
1425         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1426                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1427             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1428             return 0;
1429         }
1430     }
1431 #ifndef OPENSSL_NO_EC
1432     if (using_ecc) {
1433         const unsigned char *plist;
1434         size_t plistlen;
1435         /*
1436          * Add TLS extension ECPointFormats to the ServerHello message
1437          */
1438         tls1_get_formatlist(s, &plist, &plistlen);
1439
1440         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1441                 || !WPACKET_start_sub_packet_u16(pkt)
1442                 || !WPACKET_sub_memcpy_u8(pkt, plist, plistlen)
1443                 || !WPACKET_close(pkt)) {
1444             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1445             return 0;
1446         }
1447     }
1448     /*
1449      * Currently the server should not respond with a SupportedCurves
1450      * extension
1451      */
1452 #endif                          /* OPENSSL_NO_EC */
1453
1454     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1455         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1456                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1457             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1458             return 0;
1459         }
1460     } else {
1461         /*
1462          * if we don't add the above TLSEXT, we can't add a session ticket
1463          * later
1464          */
1465         s->tlsext_ticket_expected = 0;
1466     }
1467
1468     if (s->tlsext_status_expected) {
1469         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1470                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1471             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1472             return 0;
1473         }
1474     }
1475 #ifndef OPENSSL_NO_SRTP
1476     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1477         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1478                 || !WPACKET_start_sub_packet_u16(pkt)
1479                 || !WPACKET_put_bytes_u16(pkt, 2)
1480                 || !WPACKET_put_bytes_u16(pkt, s->srtp_profile->id)
1481                 || !WPACKET_put_bytes_u8(pkt, 0)
1482                 || !WPACKET_close(pkt)) {
1483             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1484             return 0;
1485         }
1486     }
1487 #endif
1488
1489     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1490          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1491         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1492         const unsigned char cryptopro_ext[36] = {
1493             0xfd, 0xe8,         /* 65000 */
1494             0x00, 0x20,         /* 32 bytes length */
1495             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1496             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1497             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1498             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1499         };
1500         if (!WPACKET_memcpy(pkt, cryptopro_ext, sizeof(cryptopro_ext))) {
1501             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1502             return 0;
1503         }
1504     }
1505 #ifndef OPENSSL_NO_HEARTBEATS
1506     /* Add Heartbeat extension if we've received one */
1507     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1508         unsigned int mode;
1509         /*-
1510          * Set mode:
1511          * 1: peer may send requests
1512          * 2: peer not allowed to send requests
1513          */
1514         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1515             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1516         else
1517             mode = SSL_DTLSEXT_HB_ENABLED;
1518
1519         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1520                 || !WPACKET_start_sub_packet_u16(pkt)
1521                 || !WPACKET_put_bytes_u8(pkt, mode)
1522                 || !WPACKET_close(pkt)) {
1523             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1524             return 0;
1525         }
1526
1527     }
1528 #endif
1529
1530 #ifndef OPENSSL_NO_NEXTPROTONEG
1531     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1532     s->s3->next_proto_neg_seen = 0;
1533     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1534         const unsigned char *npa;
1535         unsigned int npalen;
1536         int r;
1537
1538         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1539                                               s->
1540                                               ctx->next_protos_advertised_cb_arg);
1541         if (r == SSL_TLSEXT_ERR_OK) {
1542             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1543                     || !WPACKET_sub_memcpy_u16(pkt, npa, npalen)) {
1544                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1545                 return 0;
1546             }
1547             s->s3->next_proto_neg_seen = 1;
1548         }
1549     }
1550 #endif
1551     if (!custom_ext_add(s, 1, pkt, al)) {
1552         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1553         return 0;
1554     }
1555
1556     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1557         /*
1558          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1559          * for other cases too.
1560          */
1561         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1562             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1563             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1564             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1565             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1566         else {
1567             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1568                     || !WPACKET_put_bytes_u16(pkt, 0)) {
1569                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1570                 return 0;
1571             }
1572         }
1573     }
1574     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1575         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1576                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1577             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1578             return 0;
1579         }
1580     }
1581
1582     if (s->s3->alpn_selected != NULL) {
1583         if (!WPACKET_put_bytes_u16(pkt,
1584                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1585                 || !WPACKET_start_sub_packet_u16(pkt)
1586                 || !WPACKET_start_sub_packet_u16(pkt)
1587                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->alpn_selected,
1588                                           s->s3->alpn_selected_len)
1589                 || !WPACKET_close(pkt)
1590                 || !WPACKET_close(pkt)) {
1591             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1592             return 0;
1593         }
1594     }
1595
1596  done:
1597     if (!WPACKET_close(pkt)) {
1598         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1599         return 0;
1600     }
1601     return 1;
1602 }
1603
1604 /*
1605  * Save the ALPN extension in a ClientHello.
1606  * pkt: the contents of the ALPN extension, not including type and length.
1607  * al: a pointer to the  alert value to send in the event of a failure.
1608  * returns: 1 on success, 0 on error.
1609  */
1610 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1611 {
1612     PACKET protocol_list, save_protocol_list, protocol;
1613
1614     *al = SSL_AD_DECODE_ERROR;
1615
1616     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1617         || PACKET_remaining(&protocol_list) < 2) {
1618         return 0;
1619     }
1620
1621     save_protocol_list = protocol_list;
1622     do {
1623         /* Protocol names can't be empty. */
1624         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1625             || PACKET_remaining(&protocol) == 0) {
1626             return 0;
1627         }
1628     } while (PACKET_remaining(&protocol_list) != 0);
1629
1630     if (!PACKET_memdup(&save_protocol_list,
1631                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1632         *al = TLS1_AD_INTERNAL_ERROR;
1633         return 0;
1634     }
1635
1636     return 1;
1637 }
1638
1639 /*
1640  * Process the ALPN extension in a ClientHello.
1641  * al: a pointer to the alert value to send in the event of a failure.
1642  * returns 1 on success, 0 on error.
1643  */
1644 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1645 {
1646     const unsigned char *selected = NULL;
1647     unsigned char selected_len = 0;
1648
1649     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1650         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1651                                        s->s3->alpn_proposed,
1652                                        s->s3->alpn_proposed_len,
1653                                        s->ctx->alpn_select_cb_arg);
1654
1655         if (r == SSL_TLSEXT_ERR_OK) {
1656             OPENSSL_free(s->s3->alpn_selected);
1657             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1658             if (s->s3->alpn_selected == NULL) {
1659                 *al = SSL_AD_INTERNAL_ERROR;
1660                 return 0;
1661             }
1662             s->s3->alpn_selected_len = selected_len;
1663 #ifndef OPENSSL_NO_NEXTPROTONEG
1664             /* ALPN takes precedence over NPN. */
1665             s->s3->next_proto_neg_seen = 0;
1666 #endif
1667         } else {
1668             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1669             return 0;
1670         }
1671     }
1672
1673     return 1;
1674 }
1675
1676 #ifndef OPENSSL_NO_EC
1677 /*-
1678  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1679  * SecureTransport using the TLS extension block in |pkt|.
1680  * Safari, since 10.6, sends exactly these extensions, in this order:
1681  *   SNI,
1682  *   elliptic_curves
1683  *   ec_point_formats
1684  *
1685  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1686  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1687  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1688  * 10.8..10.8.3 (which don't work).
1689  */
1690 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1691 {
1692     unsigned int type;
1693     PACKET sni, tmppkt;
1694     size_t ext_len;
1695
1696     static const unsigned char kSafariExtensionsBlock[] = {
1697         0x00, 0x0a,             /* elliptic_curves extension */
1698         0x00, 0x08,             /* 8 bytes */
1699         0x00, 0x06,             /* 6 bytes of curve ids */
1700         0x00, 0x17,             /* P-256 */
1701         0x00, 0x18,             /* P-384 */
1702         0x00, 0x19,             /* P-521 */
1703
1704         0x00, 0x0b,             /* ec_point_formats */
1705         0x00, 0x02,             /* 2 bytes */
1706         0x01,                   /* 1 point format */
1707         0x00,                   /* uncompressed */
1708         /* The following is only present in TLS 1.2 */
1709         0x00, 0x0d,             /* signature_algorithms */
1710         0x00, 0x0c,             /* 12 bytes */
1711         0x00, 0x0a,             /* 10 bytes */
1712         0x05, 0x01,             /* SHA-384/RSA */
1713         0x04, 0x01,             /* SHA-256/RSA */
1714         0x02, 0x01,             /* SHA-1/RSA */
1715         0x04, 0x03,             /* SHA-256/ECDSA */
1716         0x02, 0x03,             /* SHA-1/ECDSA */
1717     };
1718
1719     /* Length of the common prefix (first two extensions). */
1720     static const size_t kSafariCommonExtensionsLength = 18;
1721
1722     tmppkt = *pkt;
1723
1724     if (!PACKET_forward(&tmppkt, 2)
1725         || !PACKET_get_net_2(&tmppkt, &type)
1726         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1727         return;
1728     }
1729
1730     if (type != TLSEXT_TYPE_server_name)
1731         return;
1732
1733     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1734         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1735
1736     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1737                                              ext_len);
1738 }
1739 #endif                          /* !OPENSSL_NO_EC */
1740
1741 /*
1742  * Parse ClientHello extensions and stash extension info in various parts of
1743  * the SSL object. Verify that there are no duplicate extensions.
1744  *
1745  * Behaviour upon resumption is extension-specific. If the extension has no
1746  * effect during resumption, it is parsed (to verify its format) but otherwise
1747  * ignored.
1748  *
1749  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1750  * Upon failure, sets |al| to the appropriate alert.
1751  */
1752 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1753 {
1754     unsigned int type;
1755     int renegotiate_seen = 0;
1756     PACKET extensions;
1757
1758     *al = SSL_AD_DECODE_ERROR;
1759     s->servername_done = 0;
1760     s->tlsext_status_type = -1;
1761 #ifndef OPENSSL_NO_NEXTPROTONEG
1762     s->s3->next_proto_neg_seen = 0;
1763 #endif
1764
1765     OPENSSL_free(s->s3->alpn_selected);
1766     s->s3->alpn_selected = NULL;
1767     s->s3->alpn_selected_len = 0;
1768     OPENSSL_free(s->s3->alpn_proposed);
1769     s->s3->alpn_proposed = NULL;
1770     s->s3->alpn_proposed_len = 0;
1771 #ifndef OPENSSL_NO_HEARTBEATS
1772     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1773                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1774 #endif
1775
1776 #ifndef OPENSSL_NO_EC
1777     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1778         ssl_check_for_safari(s, pkt);
1779 #endif                          /* !OPENSSL_NO_EC */
1780
1781     /* Clear any signature algorithms extension received */
1782     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1783     s->s3->tmp.peer_sigalgs = NULL;
1784     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1785
1786 #ifndef OPENSSL_NO_SRP
1787     OPENSSL_free(s->srp_ctx.login);
1788     s->srp_ctx.login = NULL;
1789 #endif
1790
1791     s->srtp_profile = NULL;
1792
1793     if (PACKET_remaining(pkt) == 0)
1794         goto ri_check;
1795
1796     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1797         return 0;
1798
1799     if (!tls1_check_duplicate_extensions(&extensions))
1800         return 0;
1801
1802     /*
1803      * We parse all extensions to ensure the ClientHello is well-formed but,
1804      * unless an extension specifies otherwise, we ignore extensions upon
1805      * resumption.
1806      */
1807     while (PACKET_get_net_2(&extensions, &type)) {
1808         PACKET extension;
1809         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1810             return 0;
1811
1812         if (s->tlsext_debug_cb)
1813             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1814                                PACKET_remaining(&extension),
1815                                s->tlsext_debug_arg);
1816
1817         if (type == TLSEXT_TYPE_renegotiate) {
1818             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1819                 return 0;
1820             renegotiate_seen = 1;
1821         } else if (s->version == SSL3_VERSION) {
1822         }
1823 /*-
1824  * The servername extension is treated as follows:
1825  *
1826  * - Only the hostname type is supported with a maximum length of 255.
1827  * - The servername is rejected if too long or if it contains zeros,
1828  *   in which case an fatal alert is generated.
1829  * - The servername field is maintained together with the session cache.
1830  * - When a session is resumed, the servername call back invoked in order
1831  *   to allow the application to position itself to the right context.
1832  * - The servername is acknowledged if it is new for a session or when
1833  *   it is identical to a previously used for the same session.
1834  *   Applications can control the behaviour.  They can at any time
1835  *   set a 'desirable' servername for a new SSL object. This can be the
1836  *   case for example with HTTPS when a Host: header field is received and
1837  *   a renegotiation is requested. In this case, a possible servername
1838  *   presented in the new client hello is only acknowledged if it matches
1839  *   the value of the Host: field.
1840  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1841  *   if they provide for changing an explicit servername context for the
1842  *   session, i.e. when the session has been established with a servername
1843  *   extension.
1844  * - On session reconnect, the servername extension may be absent.
1845  *
1846  */
1847
1848         else if (type == TLSEXT_TYPE_server_name) {
1849             unsigned int servname_type;
1850             PACKET sni, hostname;
1851
1852             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1853                 /* ServerNameList must be at least 1 byte long. */
1854                 || PACKET_remaining(&sni) == 0) {
1855                 return 0;
1856             }
1857
1858             /*
1859              * Although the server_name extension was intended to be
1860              * extensible to new name types, RFC 4366 defined the
1861              * syntax inextensibility and OpenSSL 1.0.x parses it as
1862              * such.
1863              * RFC 6066 corrected the mistake but adding new name types
1864              * is nevertheless no longer feasible, so act as if no other
1865              * SNI types can exist, to simplify parsing.
1866              *
1867              * Also note that the RFC permits only one SNI value per type,
1868              * i.e., we can only have a single hostname.
1869              */
1870             if (!PACKET_get_1(&sni, &servname_type)
1871                 || servname_type != TLSEXT_NAMETYPE_host_name
1872                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1873                 return 0;
1874             }
1875
1876             if (!s->hit) {
1877                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1878                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1879                     return 0;
1880                 }
1881
1882                 if (PACKET_contains_zero_byte(&hostname)) {
1883                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1884                     return 0;
1885                 }
1886
1887                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1888                     *al = TLS1_AD_INTERNAL_ERROR;
1889                     return 0;
1890                 }
1891
1892                 s->servername_done = 1;
1893             } else {
1894                 /*
1895                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1896                  * fall back to a full handshake.
1897                  */
1898                 s->servername_done = s->session->tlsext_hostname
1899                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1900                                     strlen(s->session->tlsext_hostname));
1901             }
1902         }
1903 #ifndef OPENSSL_NO_SRP
1904         else if (type == TLSEXT_TYPE_srp) {
1905             PACKET srp_I;
1906
1907             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1908                 return 0;
1909
1910             if (PACKET_contains_zero_byte(&srp_I))
1911                 return 0;
1912
1913             /*
1914              * TODO(openssl-team): currently, we re-authenticate the user
1915              * upon resumption. Instead, we MUST ignore the login.
1916              */
1917             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1918                 *al = TLS1_AD_INTERNAL_ERROR;
1919                 return 0;
1920             }
1921         }
1922 #endif
1923
1924 #ifndef OPENSSL_NO_EC
1925         else if (type == TLSEXT_TYPE_ec_point_formats) {
1926             PACKET ec_point_format_list;
1927
1928             if (!PACKET_as_length_prefixed_1(&extension, &ec_point_format_list)
1929                 || PACKET_remaining(&ec_point_format_list) == 0) {
1930                 return 0;
1931             }
1932
1933             if (!s->hit) {
1934                 if (!PACKET_memdup(&ec_point_format_list,
1935                                    &s->session->tlsext_ecpointformatlist,
1936                                    &s->
1937                                    session->tlsext_ecpointformatlist_length)) {
1938                     *al = TLS1_AD_INTERNAL_ERROR;
1939                     return 0;
1940                 }
1941             }
1942         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1943             PACKET elliptic_curve_list;
1944
1945             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1946             if (!PACKET_as_length_prefixed_2(&extension, &elliptic_curve_list)
1947                 || PACKET_remaining(&elliptic_curve_list) == 0
1948                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1949                 return 0;
1950             }
1951
1952             if (!s->hit) {
1953                 if (!PACKET_memdup(&elliptic_curve_list,
1954                                    &s->session->tlsext_ellipticcurvelist,
1955                                    &s->
1956                                    session->tlsext_ellipticcurvelist_length)) {
1957                     *al = TLS1_AD_INTERNAL_ERROR;
1958                     return 0;
1959                 }
1960             }
1961         }
1962 #endif                          /* OPENSSL_NO_EC */
1963         else if (type == TLSEXT_TYPE_session_ticket) {
1964             if (s->tls_session_ticket_ext_cb &&
1965                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
1966                                               PACKET_remaining(&extension),
1967                                               s->tls_session_ticket_ext_cb_arg))
1968             {
1969                 *al = TLS1_AD_INTERNAL_ERROR;
1970                 return 0;
1971             }
1972         } else if (type == TLSEXT_TYPE_signature_algorithms) {
1973             PACKET supported_sig_algs;
1974
1975             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
1976                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
1977                 || PACKET_remaining(&supported_sig_algs) == 0) {
1978                 return 0;
1979             }
1980
1981             if (!s->hit) {
1982                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
1983                                        PACKET_remaining(&supported_sig_algs))) {
1984                     return 0;
1985                 }
1986             }
1987         } else if (type == TLSEXT_TYPE_status_request) {
1988             if (!PACKET_get_1(&extension,
1989                               (unsigned int *)&s->tlsext_status_type)) {
1990                 return 0;
1991             }
1992 #ifndef OPENSSL_NO_OCSP
1993             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1994                 const unsigned char *ext_data;
1995                 PACKET responder_id_list, exts;
1996                 if (!PACKET_get_length_prefixed_2
1997                     (&extension, &responder_id_list))
1998                     return 0;
1999
2000                 /*
2001                  * We remove any OCSP_RESPIDs from a previous handshake
2002                  * to prevent unbounded memory growth - CVE-2016-6304
2003                  */
2004                 sk_OCSP_RESPID_pop_free(s->tlsext_ocsp_ids,
2005                                         OCSP_RESPID_free);
2006                 if (PACKET_remaining(&responder_id_list) > 0) {
2007                     s->tlsext_ocsp_ids = sk_OCSP_RESPID_new_null();
2008                     if (s->tlsext_ocsp_ids == NULL) {
2009                         *al = SSL_AD_INTERNAL_ERROR;
2010                         return 0;
2011                     }
2012                 } else {
2013                     s->tlsext_ocsp_ids = NULL;
2014                 }
2015
2016                 while (PACKET_remaining(&responder_id_list) > 0) {
2017                     OCSP_RESPID *id;
2018                     PACKET responder_id;
2019                     const unsigned char *id_data;
2020
2021                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2022                                                       &responder_id)
2023                         || PACKET_remaining(&responder_id) == 0) {
2024                         return 0;
2025                     }
2026
2027                     id_data = PACKET_data(&responder_id);
2028                     id = d2i_OCSP_RESPID(NULL, &id_data,
2029                                          PACKET_remaining(&responder_id));
2030                     if (id == NULL)
2031                         return 0;
2032
2033                     if (id_data != PACKET_end(&responder_id)) {
2034                         OCSP_RESPID_free(id);
2035                         return 0;
2036                     }
2037
2038                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2039                         OCSP_RESPID_free(id);
2040                         *al = SSL_AD_INTERNAL_ERROR;
2041                         return 0;
2042                     }
2043                 }
2044
2045                 /* Read in request_extensions */
2046                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2047                     return 0;
2048
2049                 if (PACKET_remaining(&exts) > 0) {
2050                     ext_data = PACKET_data(&exts);
2051                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2052                                                X509_EXTENSION_free);
2053                     s->tlsext_ocsp_exts =
2054                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2055                                             PACKET_remaining(&exts));
2056                     if (s->tlsext_ocsp_exts == NULL
2057                         || ext_data != PACKET_end(&exts)) {
2058                         return 0;
2059                     }
2060                 }
2061             } else
2062 #endif
2063             {
2064                 /*
2065                  * We don't know what to do with any other type so ignore it.
2066                  */
2067                 s->tlsext_status_type = -1;
2068             }
2069         }
2070 #ifndef OPENSSL_NO_HEARTBEATS
2071         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2072             unsigned int hbtype;
2073
2074             if (!PACKET_get_1(&extension, &hbtype)
2075                 || PACKET_remaining(&extension)) {
2076                 *al = SSL_AD_DECODE_ERROR;
2077                 return 0;
2078             }
2079             switch (hbtype) {
2080             case 0x01:         /* Client allows us to send HB requests */
2081                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2082                 break;
2083             case 0x02:         /* Client doesn't accept HB requests */
2084                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2085                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2086                 break;
2087             default:
2088                 *al = SSL_AD_ILLEGAL_PARAMETER;
2089                 return 0;
2090             }
2091         }
2092 #endif
2093 #ifndef OPENSSL_NO_NEXTPROTONEG
2094         else if (type == TLSEXT_TYPE_next_proto_neg &&
2095                  s->s3->tmp.finish_md_len == 0) {
2096             /*-
2097              * We shouldn't accept this extension on a
2098              * renegotiation.
2099              *
2100              * s->new_session will be set on renegotiation, but we
2101              * probably shouldn't rely that it couldn't be set on
2102              * the initial renegotiation too in certain cases (when
2103              * there's some other reason to disallow resuming an
2104              * earlier session -- the current code won't be doing
2105              * anything like that, but this might change).
2106              *
2107              * A valid sign that there's been a previous handshake
2108              * in this connection is if s->s3->tmp.finish_md_len >
2109              * 0.  (We are talking about a check that will happen
2110              * in the Hello protocol round, well before a new
2111              * Finished message could have been computed.)
2112              */
2113             s->s3->next_proto_neg_seen = 1;
2114         }
2115 #endif
2116
2117         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2118                  s->s3->tmp.finish_md_len == 0) {
2119             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2120                 return 0;
2121         }
2122
2123         /* session ticket processed earlier */
2124 #ifndef OPENSSL_NO_SRTP
2125         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2126                  && type == TLSEXT_TYPE_use_srtp) {
2127             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2128                 return 0;
2129         }
2130 #endif
2131         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2132             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2133         /*
2134          * Note: extended master secret extension handled in
2135          * tls_check_serverhello_tlsext_early()
2136          */
2137
2138         /*
2139          * If this ClientHello extension was unhandled and this is a
2140          * nonresumed connection, check whether the extension is a custom
2141          * TLS Extension (has a custom_srv_ext_record), and if so call the
2142          * callback and record the extension number so that an appropriate
2143          * ServerHello may be later returned.
2144          */
2145         else if (!s->hit) {
2146             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2147                                  PACKET_remaining(&extension), al) <= 0)
2148                 return 0;
2149         }
2150     }
2151
2152     if (PACKET_remaining(pkt) != 0) {
2153         /*
2154          * tls1_check_duplicate_extensions should ensure this never happens.
2155          */
2156         *al = SSL_AD_INTERNAL_ERROR;
2157         return 0;
2158     }
2159
2160  ri_check:
2161
2162     /* Need RI if renegotiating */
2163
2164     if (!renegotiate_seen && s->renegotiate &&
2165         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2166         *al = SSL_AD_HANDSHAKE_FAILURE;
2167         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2168                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2169         return 0;
2170     }
2171
2172     /*
2173      * This function currently has no state to clean up, so it returns directly.
2174      * If parsing fails at any point, the function returns early.
2175      * The SSL object may be left with partial data from extensions, but it must
2176      * then no longer be used, and clearing it up will free the leftovers.
2177      */
2178     return 1;
2179 }
2180
2181 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2182 {
2183     int al = -1;
2184     custom_ext_init(&s->cert->srv_ext);
2185     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2186         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2187         return 0;
2188     }
2189     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2190         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2191         return 0;
2192     }
2193     return 1;
2194 }
2195
2196 #ifndef OPENSSL_NO_NEXTPROTONEG
2197 /*
2198  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2199  * elements of zero length are allowed and the set of elements must exactly
2200  * fill the length of the block.
2201  */
2202 static char ssl_next_proto_validate(PACKET *pkt)
2203 {
2204     PACKET tmp_protocol;
2205
2206     while (PACKET_remaining(pkt)) {
2207         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2208             || PACKET_remaining(&tmp_protocol) == 0)
2209             return 0;
2210     }
2211
2212     return 1;
2213 }
2214 #endif
2215
2216 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2217 {
2218     unsigned int length, type, size;
2219     int tlsext_servername = 0;
2220     int renegotiate_seen = 0;
2221
2222 #ifndef OPENSSL_NO_NEXTPROTONEG
2223     s->s3->next_proto_neg_seen = 0;
2224 #endif
2225     s->tlsext_ticket_expected = 0;
2226
2227     OPENSSL_free(s->s3->alpn_selected);
2228     s->s3->alpn_selected = NULL;
2229 #ifndef OPENSSL_NO_HEARTBEATS
2230     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2231                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2232 #endif
2233
2234     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2235
2236     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2237
2238     if (!PACKET_get_net_2(pkt, &length))
2239         goto ri_check;
2240
2241     if (PACKET_remaining(pkt) != length) {
2242         *al = SSL_AD_DECODE_ERROR;
2243         return 0;
2244     }
2245
2246     if (!tls1_check_duplicate_extensions(pkt)) {
2247         *al = SSL_AD_DECODE_ERROR;
2248         return 0;
2249     }
2250
2251     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2252         const unsigned char *data;
2253         PACKET spkt;
2254
2255         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2256             || !PACKET_peek_bytes(&spkt, &data, size))
2257             goto ri_check;
2258
2259         if (s->tlsext_debug_cb)
2260             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2261
2262         if (type == TLSEXT_TYPE_renegotiate) {
2263             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2264                 return 0;
2265             renegotiate_seen = 1;
2266         } else if (s->version == SSL3_VERSION) {
2267         } else if (type == TLSEXT_TYPE_server_name) {
2268             if (s->tlsext_hostname == NULL || size > 0) {
2269                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2270                 return 0;
2271             }
2272             tlsext_servername = 1;
2273         }
2274 #ifndef OPENSSL_NO_EC
2275         else if (type == TLSEXT_TYPE_ec_point_formats) {
2276             unsigned int ecpointformatlist_length;
2277             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2278                 || ecpointformatlist_length != size - 1) {
2279                 *al = TLS1_AD_DECODE_ERROR;
2280                 return 0;
2281             }
2282             if (!s->hit) {
2283                 s->session->tlsext_ecpointformatlist_length = 0;
2284                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2285                 if ((s->session->tlsext_ecpointformatlist =
2286                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2287                     *al = TLS1_AD_INTERNAL_ERROR;
2288                     return 0;
2289                 }
2290                 s->session->tlsext_ecpointformatlist_length =
2291                     ecpointformatlist_length;
2292                 if (!PACKET_copy_bytes(&spkt,
2293                                        s->session->tlsext_ecpointformatlist,
2294                                        ecpointformatlist_length)) {
2295                     *al = TLS1_AD_DECODE_ERROR;
2296                     return 0;
2297                 }
2298
2299             }
2300         }
2301 #endif                          /* OPENSSL_NO_EC */
2302
2303         else if (type == TLSEXT_TYPE_session_ticket) {
2304             if (s->tls_session_ticket_ext_cb &&
2305                 !s->tls_session_ticket_ext_cb(s, data, size,
2306                                               s->tls_session_ticket_ext_cb_arg))
2307             {
2308                 *al = TLS1_AD_INTERNAL_ERROR;
2309                 return 0;
2310             }
2311             if (!tls_use_ticket(s) || (size > 0)) {
2312                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2313                 return 0;
2314             }
2315             s->tlsext_ticket_expected = 1;
2316         } else if (type == TLSEXT_TYPE_status_request) {
2317             /*
2318              * MUST be empty and only sent if we've requested a status
2319              * request message.
2320              */
2321             if ((s->tlsext_status_type == -1) || (size > 0)) {
2322                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2323                 return 0;
2324             }
2325             /* Set flag to expect CertificateStatus message */
2326             s->tlsext_status_expected = 1;
2327         }
2328 #ifndef OPENSSL_NO_CT
2329         /*
2330          * Only take it if we asked for it - i.e if there is no CT validation
2331          * callback set, then a custom extension MAY be processing it, so we
2332          * need to let control continue to flow to that.
2333          */
2334         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2335                  s->ct_validation_callback != NULL) {
2336             /* Simply copy it off for later processing */
2337             if (s->tlsext_scts != NULL) {
2338                 OPENSSL_free(s->tlsext_scts);
2339                 s->tlsext_scts = NULL;
2340             }
2341             s->tlsext_scts_len = size;
2342             if (size > 0) {
2343                 s->tlsext_scts = OPENSSL_malloc(size);
2344                 if (s->tlsext_scts == NULL) {
2345                     *al = TLS1_AD_INTERNAL_ERROR;
2346                     return 0;
2347                 }
2348                 memcpy(s->tlsext_scts, data, size);
2349             }
2350         }
2351 #endif
2352 #ifndef OPENSSL_NO_NEXTPROTONEG
2353         else if (type == TLSEXT_TYPE_next_proto_neg &&
2354                  s->s3->tmp.finish_md_len == 0) {
2355             unsigned char *selected;
2356             unsigned char selected_len;
2357             /* We must have requested it. */
2358             if (s->ctx->next_proto_select_cb == NULL) {
2359                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2360                 return 0;
2361             }
2362             /* The data must be valid */
2363             if (!ssl_next_proto_validate(&spkt)) {
2364                 *al = TLS1_AD_DECODE_ERROR;
2365                 return 0;
2366             }
2367             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2368                                              size,
2369                                              s->
2370                                              ctx->next_proto_select_cb_arg) !=
2371                 SSL_TLSEXT_ERR_OK) {
2372                 *al = TLS1_AD_INTERNAL_ERROR;
2373                 return 0;
2374             }
2375             /*
2376              * Could be non-NULL if server has sent multiple NPN extensions in
2377              * a single Serverhello
2378              */
2379             OPENSSL_free(s->next_proto_negotiated);
2380             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2381             if (s->next_proto_negotiated == NULL) {
2382                 *al = TLS1_AD_INTERNAL_ERROR;
2383                 return 0;
2384             }
2385             memcpy(s->next_proto_negotiated, selected, selected_len);
2386             s->next_proto_negotiated_len = selected_len;
2387             s->s3->next_proto_neg_seen = 1;
2388         }
2389 #endif
2390
2391         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2392             unsigned len;
2393             /* We must have requested it. */
2394             if (!s->s3->alpn_sent) {
2395                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2396                 return 0;
2397             }
2398             /*-
2399              * The extension data consists of:
2400              *   uint16 list_length
2401              *   uint8 proto_length;
2402              *   uint8 proto[proto_length];
2403              */
2404             if (!PACKET_get_net_2(&spkt, &len)
2405                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2406                 || PACKET_remaining(&spkt) != len) {
2407                 *al = TLS1_AD_DECODE_ERROR;
2408                 return 0;
2409             }
2410             OPENSSL_free(s->s3->alpn_selected);
2411             s->s3->alpn_selected = OPENSSL_malloc(len);
2412             if (s->s3->alpn_selected == NULL) {
2413                 *al = TLS1_AD_INTERNAL_ERROR;
2414                 return 0;
2415             }
2416             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2417                 *al = TLS1_AD_DECODE_ERROR;
2418                 return 0;
2419             }
2420             s->s3->alpn_selected_len = len;
2421         }
2422 #ifndef OPENSSL_NO_HEARTBEATS
2423         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2424             unsigned int hbtype;
2425             if (!PACKET_get_1(&spkt, &hbtype)) {
2426                 *al = SSL_AD_DECODE_ERROR;
2427                 return 0;
2428             }
2429             switch (hbtype) {
2430             case 0x01:         /* Server allows us to send HB requests */
2431                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2432                 break;
2433             case 0x02:         /* Server doesn't accept HB requests */
2434                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2435                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2436                 break;
2437             default:
2438                 *al = SSL_AD_ILLEGAL_PARAMETER;
2439                 return 0;
2440             }
2441         }
2442 #endif
2443 #ifndef OPENSSL_NO_SRTP
2444         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2445             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2446                 return 0;
2447         }
2448 #endif
2449         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2450             /* Ignore if inappropriate ciphersuite */
2451             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2452                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2453                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2454         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2455             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2456             if (!s->hit)
2457                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2458         }
2459         /*
2460          * If this extension type was not otherwise handled, but matches a
2461          * custom_cli_ext_record, then send it to the c callback
2462          */
2463         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2464             return 0;
2465     }
2466
2467     if (PACKET_remaining(pkt) != 0) {
2468         *al = SSL_AD_DECODE_ERROR;
2469         return 0;
2470     }
2471
2472     if (!s->hit && tlsext_servername == 1) {
2473         if (s->tlsext_hostname) {
2474             if (s->session->tlsext_hostname == NULL) {
2475                 s->session->tlsext_hostname =
2476                     OPENSSL_strdup(s->tlsext_hostname);
2477                 if (!s->session->tlsext_hostname) {
2478                     *al = SSL_AD_UNRECOGNIZED_NAME;
2479                     return 0;
2480                 }
2481             } else {
2482                 *al = SSL_AD_DECODE_ERROR;
2483                 return 0;
2484             }
2485         }
2486     }
2487
2488  ri_check:
2489
2490     /*
2491      * Determine if we need to see RI. Strictly speaking if we want to avoid
2492      * an attack we should *always* see RI even on initial server hello
2493      * because the client doesn't see any renegotiation during an attack.
2494      * However this would mean we could not connect to any server which
2495      * doesn't support RI so for the immediate future tolerate RI absence
2496      */
2497     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2498         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2499         *al = SSL_AD_HANDSHAKE_FAILURE;
2500         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2501                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2502         return 0;
2503     }
2504
2505     if (s->hit) {
2506         /*
2507          * Check extended master secret extension is consistent with
2508          * original session.
2509          */
2510         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2511             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2512             *al = SSL_AD_HANDSHAKE_FAILURE;
2513             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2514             return 0;
2515         }
2516     }
2517
2518     return 1;
2519 }
2520
2521 int ssl_prepare_clienthello_tlsext(SSL *s)
2522 {
2523     s->s3->alpn_sent = 0;
2524     return 1;
2525 }
2526
2527 int ssl_prepare_serverhello_tlsext(SSL *s)
2528 {
2529     return 1;
2530 }
2531
2532 static int ssl_check_clienthello_tlsext_early(SSL *s)
2533 {
2534     int ret = SSL_TLSEXT_ERR_NOACK;
2535     int al = SSL_AD_UNRECOGNIZED_NAME;
2536
2537 #ifndef OPENSSL_NO_EC
2538     /*
2539      * The handling of the ECPointFormats extension is done elsewhere, namely
2540      * in ssl3_choose_cipher in s3_lib.c.
2541      */
2542     /*
2543      * The handling of the EllipticCurves extension is done elsewhere, namely
2544      * in ssl3_choose_cipher in s3_lib.c.
2545      */
2546 #endif
2547
2548     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2549         ret =
2550             s->ctx->tlsext_servername_callback(s, &al,
2551                                                s->ctx->tlsext_servername_arg);
2552     else if (s->initial_ctx != NULL
2553              && s->initial_ctx->tlsext_servername_callback != 0)
2554         ret =
2555             s->initial_ctx->tlsext_servername_callback(s, &al,
2556                                                        s->
2557                                                        initial_ctx->tlsext_servername_arg);
2558
2559     switch (ret) {
2560     case SSL_TLSEXT_ERR_ALERT_FATAL:
2561         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2562         return -1;
2563
2564     case SSL_TLSEXT_ERR_ALERT_WARNING:
2565         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2566         return 1;
2567
2568     case SSL_TLSEXT_ERR_NOACK:
2569         s->servername_done = 0;
2570     default:
2571         return 1;
2572     }
2573 }
2574
2575 /* Initialise digests to default values */
2576 void ssl_set_default_md(SSL *s)
2577 {
2578     const EVP_MD **pmd = s->s3->tmp.md;
2579 #ifndef OPENSSL_NO_DSA
2580     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2581 #endif
2582 #ifndef OPENSSL_NO_RSA
2583     if (SSL_USE_SIGALGS(s))
2584         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2585     else
2586         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2587     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2588 #endif
2589 #ifndef OPENSSL_NO_EC
2590     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2591 #endif
2592 #ifndef OPENSSL_NO_GOST
2593     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2594     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2595     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2596 #endif
2597 }
2598
2599 int tls1_set_server_sigalgs(SSL *s)
2600 {
2601     int al;
2602     size_t i;
2603
2604     /* Clear any shared signature algorithms */
2605     OPENSSL_free(s->cert->shared_sigalgs);
2606     s->cert->shared_sigalgs = NULL;
2607     s->cert->shared_sigalgslen = 0;
2608     /* Clear certificate digests and validity flags */
2609     for (i = 0; i < SSL_PKEY_NUM; i++) {
2610         s->s3->tmp.md[i] = NULL;
2611         s->s3->tmp.valid_flags[i] = 0;
2612     }
2613
2614     /* If sigalgs received process it. */
2615     if (s->s3->tmp.peer_sigalgs) {
2616         if (!tls1_process_sigalgs(s)) {
2617             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2618             al = SSL_AD_INTERNAL_ERROR;
2619             goto err;
2620         }
2621         /* Fatal error is no shared signature algorithms */
2622         if (!s->cert->shared_sigalgs) {
2623             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2624                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2625             al = SSL_AD_ILLEGAL_PARAMETER;
2626             goto err;
2627         }
2628     } else {
2629         ssl_set_default_md(s);
2630     }
2631     return 1;
2632  err:
2633     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2634     return 0;
2635 }
2636
2637 /*
2638  * Upon success, returns 1.
2639  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2640  */
2641 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2642 {
2643     s->tlsext_status_expected = 0;
2644
2645     /*
2646      * If status request then ask callback what to do. Note: this must be
2647      * called after servername callbacks in case the certificate has changed,
2648      * and must be called after the cipher has been chosen because this may
2649      * influence which certificate is sent
2650      */
2651     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2652         int ret;
2653         CERT_PKEY *certpkey;
2654         certpkey = ssl_get_server_send_pkey(s);
2655         /* If no certificate can't return certificate status */
2656         if (certpkey != NULL) {
2657             /*
2658              * Set current certificate to one we will use so SSL_get_certificate
2659              * et al can pick it up.
2660              */
2661             s->cert->key = certpkey;
2662             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2663             switch (ret) {
2664                 /* We don't want to send a status request response */
2665             case SSL_TLSEXT_ERR_NOACK:
2666                 s->tlsext_status_expected = 0;
2667                 break;
2668                 /* status request response should be sent */
2669             case SSL_TLSEXT_ERR_OK:
2670                 if (s->tlsext_ocsp_resp)
2671                     s->tlsext_status_expected = 1;
2672                 break;
2673                 /* something bad happened */
2674             case SSL_TLSEXT_ERR_ALERT_FATAL:
2675             default:
2676                 *al = SSL_AD_INTERNAL_ERROR;
2677                 return 0;
2678             }
2679         }
2680     }
2681
2682     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2683         return 0;
2684     }
2685
2686     return 1;
2687 }
2688
2689 int ssl_check_serverhello_tlsext(SSL *s)
2690 {
2691     int ret = SSL_TLSEXT_ERR_NOACK;
2692     int al = SSL_AD_UNRECOGNIZED_NAME;
2693
2694 #ifndef OPENSSL_NO_EC
2695     /*
2696      * If we are client and using an elliptic curve cryptography cipher
2697      * suite, then if server returns an EC point formats lists extension it
2698      * must contain uncompressed.
2699      */
2700     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2701     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2702     if ((s->tlsext_ecpointformatlist != NULL)
2703         && (s->tlsext_ecpointformatlist_length > 0)
2704         && (s->session->tlsext_ecpointformatlist != NULL)
2705         && (s->session->tlsext_ecpointformatlist_length > 0)
2706         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2707         /* we are using an ECC cipher */
2708         size_t i;
2709         unsigned char *list;
2710         int found_uncompressed = 0;
2711         list = s->session->tlsext_ecpointformatlist;
2712         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2713             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2714                 found_uncompressed = 1;
2715                 break;
2716             }
2717         }
2718         if (!found_uncompressed) {
2719             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2720                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2721             return -1;
2722         }
2723     }
2724     ret = SSL_TLSEXT_ERR_OK;
2725 #endif                          /* OPENSSL_NO_EC */
2726
2727     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2728         ret =
2729             s->ctx->tlsext_servername_callback(s, &al,
2730                                                s->ctx->tlsext_servername_arg);
2731     else if (s->initial_ctx != NULL
2732              && s->initial_ctx->tlsext_servername_callback != 0)
2733         ret =
2734             s->initial_ctx->tlsext_servername_callback(s, &al,
2735                                                        s->
2736                                                        initial_ctx->tlsext_servername_arg);
2737
2738     /*
2739      * Ensure we get sensible values passed to tlsext_status_cb in the event
2740      * that we don't receive a status message
2741      */
2742     OPENSSL_free(s->tlsext_ocsp_resp);
2743     s->tlsext_ocsp_resp = NULL;
2744     s->tlsext_ocsp_resplen = -1;
2745
2746     switch (ret) {
2747     case SSL_TLSEXT_ERR_ALERT_FATAL:
2748         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2749         return -1;
2750
2751     case SSL_TLSEXT_ERR_ALERT_WARNING:
2752         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2753         return 1;
2754
2755     case SSL_TLSEXT_ERR_NOACK:
2756         s->servername_done = 0;
2757     default:
2758         return 1;
2759     }
2760 }
2761
2762 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2763 {
2764     int al = -1;
2765     if (s->version < SSL3_VERSION)
2766         return 1;
2767     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2768         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2769         return 0;
2770     }
2771
2772     if (ssl_check_serverhello_tlsext(s) <= 0) {
2773         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2774         return 0;
2775     }
2776     return 1;
2777 }
2778
2779 /*-
2780  * Since the server cache lookup is done early on in the processing of the
2781  * ClientHello and other operations depend on the result some extensions
2782  * need to be handled at the same time.
2783  *
2784  * Two extensions are currently handled, session ticket and extended master
2785  * secret.
2786  *
2787  *   session_id: ClientHello session ID.
2788  *   ext: ClientHello extensions (including length prefix)
2789  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2790  *       point to the resulting session.
2791  *
2792  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2793  * ciphersuite, in which case we have no use for session tickets and one will
2794  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2795  *
2796  * Returns:
2797  *   -1: fatal error, either from parsing or decrypting the ticket.
2798  *    0: no ticket was found (or was ignored, based on settings).
2799  *    1: a zero length extension was found, indicating that the client supports
2800  *       session tickets but doesn't currently have one to offer.
2801  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2802  *       couldn't be decrypted because of a non-fatal error.
2803  *    3: a ticket was successfully decrypted and *ret was set.
2804  *
2805  * Side effects:
2806  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2807  *   a new session ticket to the client because the client indicated support
2808  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2809  *   a session ticket or we couldn't use the one it gave us, or if
2810  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2811  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2812  *
2813  *   For extended master secret flag is set if the extension is present.
2814  *
2815  */
2816 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2817                                        const PACKET *session_id,
2818                                        SSL_SESSION **ret)
2819 {
2820     unsigned int i;
2821     PACKET local_ext = *ext;
2822     int retv = -1;
2823
2824     int have_ticket = 0;
2825     int use_ticket = tls_use_ticket(s);
2826
2827     *ret = NULL;
2828     s->tlsext_ticket_expected = 0;
2829     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2830
2831     /*
2832      * If tickets disabled behave as if no ticket present to permit stateful
2833      * resumption.
2834      */
2835     if ((s->version <= SSL3_VERSION))
2836         return 0;
2837
2838     if (!PACKET_get_net_2(&local_ext, &i)) {
2839         retv = 0;
2840         goto end;
2841     }
2842     while (PACKET_remaining(&local_ext) >= 4) {
2843         unsigned int type, size;
2844
2845         if (!PACKET_get_net_2(&local_ext, &type)
2846             || !PACKET_get_net_2(&local_ext, &size)) {
2847             /* Shouldn't ever happen */
2848             retv = -1;
2849             goto end;
2850         }
2851         if (PACKET_remaining(&local_ext) < size) {
2852             retv = 0;
2853             goto end;
2854         }
2855         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2856             int r;
2857             const unsigned char *etick;
2858
2859             /* Duplicate extension */
2860             if (have_ticket != 0) {
2861                 retv = -1;
2862                 goto end;
2863             }
2864             have_ticket = 1;
2865
2866             if (size == 0) {
2867                 /*
2868                  * The client will accept a ticket but doesn't currently have
2869                  * one.
2870                  */
2871                 s->tlsext_ticket_expected = 1;
2872                 retv = 1;
2873                 continue;
2874             }
2875             if (s->tls_session_secret_cb) {
2876                 /*
2877                  * Indicate that the ticket couldn't be decrypted rather than
2878                  * generating the session from ticket now, trigger
2879                  * abbreviated handshake based on external mechanism to
2880                  * calculate the master secret later.
2881                  */
2882                 retv = 2;
2883                 continue;
2884             }
2885             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2886                 /* Shouldn't ever happen */
2887                 retv = -1;
2888                 goto end;
2889             }
2890             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2891                                    PACKET_remaining(session_id), ret);
2892             switch (r) {
2893             case 2:            /* ticket couldn't be decrypted */
2894                 s->tlsext_ticket_expected = 1;
2895                 retv = 2;
2896                 break;
2897             case 3:            /* ticket was decrypted */
2898                 retv = r;
2899                 break;
2900             case 4:            /* ticket decrypted but need to renew */
2901                 s->tlsext_ticket_expected = 1;
2902                 retv = 3;
2903                 break;
2904             default:           /* fatal error */
2905                 retv = -1;
2906                 break;
2907             }
2908             continue;
2909         } else {
2910             if (type == TLSEXT_TYPE_extended_master_secret)
2911                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2912             if (!PACKET_forward(&local_ext, size)) {
2913                 retv = -1;
2914                 goto end;
2915             }
2916         }
2917     }
2918     if (have_ticket == 0)
2919         retv = 0;
2920  end:
2921     return retv;
2922 }
2923
2924 /*-
2925  * tls_decrypt_ticket attempts to decrypt a session ticket.
2926  *
2927  *   etick: points to the body of the session ticket extension.
2928  *   eticklen: the length of the session tickets extension.
2929  *   sess_id: points at the session ID.
2930  *   sesslen: the length of the session ID.
2931  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2932  *       point to the resulting session.
2933  *
2934  * Returns:
2935  *   -2: fatal error, malloc failure.
2936  *   -1: fatal error, either from parsing or decrypting the ticket.
2937  *    2: the ticket couldn't be decrypted.
2938  *    3: a ticket was successfully decrypted and *psess was set.
2939  *    4: same as 3, but the ticket needs to be renewed.
2940  */
2941 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2942                               int eticklen, const unsigned char *sess_id,
2943                               int sesslen, SSL_SESSION **psess)
2944 {
2945     SSL_SESSION *sess;
2946     unsigned char *sdec;
2947     const unsigned char *p;
2948     int slen, mlen, renew_ticket = 0, ret = -1;
2949     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2950     HMAC_CTX *hctx = NULL;
2951     EVP_CIPHER_CTX *ctx;
2952     SSL_CTX *tctx = s->initial_ctx;
2953
2954     /* Initialize session ticket encryption and HMAC contexts */
2955     hctx = HMAC_CTX_new();
2956     if (hctx == NULL)
2957         return -2;
2958     ctx = EVP_CIPHER_CTX_new();
2959     if (ctx == NULL) {
2960         ret = -2;
2961         goto err;
2962     }
2963     if (tctx->tlsext_ticket_key_cb) {
2964         unsigned char *nctick = (unsigned char *)etick;
2965         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
2966                                             ctx, hctx, 0);
2967         if (rv < 0)
2968             goto err;
2969         if (rv == 0) {
2970             ret = 2;
2971             goto err;
2972         }
2973         if (rv == 2)
2974             renew_ticket = 1;
2975     } else {
2976         /* Check key name matches */
2977         if (memcmp(etick, tctx->tlsext_tick_key_name,
2978                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
2979             ret = 2;
2980             goto err;
2981         }
2982         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
2983                          sizeof(tctx->tlsext_tick_hmac_key),
2984                          EVP_sha256(), NULL) <= 0
2985             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
2986                                   tctx->tlsext_tick_aes_key,
2987                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
2988             0) {
2989             goto err;
2990         }
2991     }
2992     /*
2993      * Attempt to process session ticket, first conduct sanity and integrity
2994      * checks on ticket.
2995      */
2996     mlen = HMAC_size(hctx);
2997     if (mlen < 0) {
2998         goto err;
2999     }
3000     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3001     if (eticklen <=
3002         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3003         ret = 2;
3004         goto err;
3005     }
3006     eticklen -= mlen;
3007     /* Check HMAC of encrypted ticket */
3008     if (HMAC_Update(hctx, etick, eticklen) <= 0
3009         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3010         goto err;
3011     }
3012     HMAC_CTX_free(hctx);
3013     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3014         EVP_CIPHER_CTX_free(ctx);
3015         return 2;
3016     }
3017     /* Attempt to decrypt session data */
3018     /* Move p after IV to start of encrypted ticket, update length */
3019     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3020     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3021     sdec = OPENSSL_malloc(eticklen);
3022     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3023         EVP_CIPHER_CTX_free(ctx);
3024         OPENSSL_free(sdec);
3025         return -1;
3026     }
3027     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3028         EVP_CIPHER_CTX_free(ctx);
3029         OPENSSL_free(sdec);
3030         return 2;
3031     }
3032     slen += mlen;
3033     EVP_CIPHER_CTX_free(ctx);
3034     ctx = NULL;
3035     p = sdec;
3036
3037     sess = d2i_SSL_SESSION(NULL, &p, slen);
3038     OPENSSL_free(sdec);
3039     if (sess) {
3040         /*
3041          * The session ID, if non-empty, is used by some clients to detect
3042          * that the ticket has been accepted. So we copy it to the session
3043          * structure. If it is empty set length to zero as required by
3044          * standard.
3045          */
3046         if (sesslen)
3047             memcpy(sess->session_id, sess_id, sesslen);
3048         sess->session_id_length = sesslen;
3049         *psess = sess;
3050         if (renew_ticket)
3051             return 4;
3052         else
3053             return 3;
3054     }
3055     ERR_clear_error();
3056     /*
3057      * For session parse failure, indicate that we need to send a new ticket.
3058      */
3059     return 2;
3060  err:
3061     EVP_CIPHER_CTX_free(ctx);
3062     HMAC_CTX_free(hctx);
3063     return ret;
3064 }
3065
3066 /* Tables to translate from NIDs to TLS v1.2 ids */
3067
3068 typedef struct {
3069     int nid;
3070     int id;
3071 } tls12_lookup;
3072
3073 static const tls12_lookup tls12_md[] = {
3074     {NID_md5, TLSEXT_hash_md5},
3075     {NID_sha1, TLSEXT_hash_sha1},
3076     {NID_sha224, TLSEXT_hash_sha224},
3077     {NID_sha256, TLSEXT_hash_sha256},
3078     {NID_sha384, TLSEXT_hash_sha384},
3079     {NID_sha512, TLSEXT_hash_sha512},
3080     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3081     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3082     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3083 };
3084
3085 static const tls12_lookup tls12_sig[] = {
3086     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3087     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3088     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3089     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3090     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3091     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3092 };
3093
3094 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3095 {
3096     size_t i;
3097     for (i = 0; i < tlen; i++) {
3098         if (table[i].nid == nid)
3099             return table[i].id;
3100     }
3101     return -1;
3102 }
3103
3104 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3105 {
3106     size_t i;
3107     for (i = 0; i < tlen; i++) {
3108         if ((table[i].id) == id)
3109             return table[i].nid;
3110     }
3111     return NID_undef;
3112 }
3113
3114 int tls12_get_sigandhash(WPACKET *pkt, const EVP_PKEY *pk, const EVP_MD *md)
3115 {
3116     int sig_id, md_id;
3117
3118     if (md == NULL)
3119         return 0;
3120     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3121     if (md_id == -1)
3122         return 0;
3123     sig_id = tls12_get_sigid(pk);
3124     if (sig_id == -1)
3125         return 0;
3126     if (!WPACKET_put_bytes_u8(pkt, md_id) || !WPACKET_put_bytes_u8(pkt, sig_id))
3127         return 0;
3128
3129     return 1;
3130 }
3131
3132 int tls12_get_sigid(const EVP_PKEY *pk)
3133 {
3134     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3135 }
3136
3137 typedef struct {
3138     int nid;
3139     int secbits;
3140     int md_idx;
3141     unsigned char tlsext_hash;
3142 } tls12_hash_info;
3143
3144 static const tls12_hash_info tls12_md_info[] = {
3145     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3146     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3147     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3148     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3149     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3150     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3151     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3152     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3153      TLSEXT_hash_gostr34112012_256},
3154     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3155      TLSEXT_hash_gostr34112012_512},
3156 };
3157
3158 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3159 {
3160     unsigned int i;
3161     if (hash_alg == 0)
3162         return NULL;
3163
3164     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3165         if (tls12_md_info[i].tlsext_hash == hash_alg)
3166             return tls12_md_info + i;
3167     }
3168
3169     return NULL;
3170 }
3171
3172 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3173 {
3174     const tls12_hash_info *inf;
3175     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3176         return NULL;
3177     inf = tls12_get_hash_info(hash_alg);
3178     if (!inf)
3179         return NULL;
3180     return ssl_md(inf->md_idx);
3181 }
3182
3183 static int tls12_get_pkey_idx(unsigned char sig_alg)
3184 {
3185     switch (sig_alg) {
3186 #ifndef OPENSSL_NO_RSA
3187     case TLSEXT_signature_rsa:
3188         return SSL_PKEY_RSA_SIGN;
3189 #endif
3190 #ifndef OPENSSL_NO_DSA
3191     case TLSEXT_signature_dsa:
3192         return SSL_PKEY_DSA_SIGN;
3193 #endif
3194 #ifndef OPENSSL_NO_EC
3195     case TLSEXT_signature_ecdsa:
3196         return SSL_PKEY_ECC;
3197 #endif
3198 #ifndef OPENSSL_NO_GOST
3199     case TLSEXT_signature_gostr34102001:
3200         return SSL_PKEY_GOST01;
3201
3202     case TLSEXT_signature_gostr34102012_256:
3203         return SSL_PKEY_GOST12_256;
3204
3205     case TLSEXT_signature_gostr34102012_512:
3206         return SSL_PKEY_GOST12_512;
3207 #endif
3208     }
3209     return -1;
3210 }
3211
3212 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3213 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3214                                int *psignhash_nid, const unsigned char *data)
3215 {
3216     int sign_nid = NID_undef, hash_nid = NID_undef;
3217     if (!phash_nid && !psign_nid && !psignhash_nid)
3218         return;
3219     if (phash_nid || psignhash_nid) {
3220         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3221         if (phash_nid)
3222             *phash_nid = hash_nid;
3223     }
3224     if (psign_nid || psignhash_nid) {
3225         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3226         if (psign_nid)
3227             *psign_nid = sign_nid;
3228     }
3229     if (psignhash_nid) {
3230         if (sign_nid == NID_undef || hash_nid == NID_undef
3231             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3232             *psignhash_nid = NID_undef;
3233     }
3234 }
3235
3236 /* Check to see if a signature algorithm is allowed */
3237 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3238 {
3239     /* See if we have an entry in the hash table and it is enabled */
3240     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3241     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3242         return 0;
3243     /* See if public key algorithm allowed */
3244     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3245         return 0;
3246     /* Finally see if security callback allows it */
3247     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3248 }
3249
3250 /*
3251  * Get a mask of disabled public key algorithms based on supported signature
3252  * algorithms. For example if no signature algorithm supports RSA then RSA is
3253  * disabled.
3254  */
3255
3256 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3257 {
3258     const unsigned char *sigalgs;
3259     size_t i, sigalgslen;
3260     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3261     /*
3262      * Now go through all signature algorithms seeing if we support any for
3263      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3264      * down calls to security callback only check if we have to.
3265      */
3266     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3267     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3268         switch (sigalgs[1]) {
3269 #ifndef OPENSSL_NO_RSA
3270         case TLSEXT_signature_rsa:
3271             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3272                 have_rsa = 1;
3273             break;
3274 #endif
3275 #ifndef OPENSSL_NO_DSA
3276         case TLSEXT_signature_dsa:
3277             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3278                 have_dsa = 1;
3279             break;
3280 #endif
3281 #ifndef OPENSSL_NO_EC
3282         case TLSEXT_signature_ecdsa:
3283             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3284                 have_ecdsa = 1;
3285             break;
3286 #endif
3287         }
3288     }
3289     if (!have_rsa)
3290         *pmask_a |= SSL_aRSA;
3291     if (!have_dsa)
3292         *pmask_a |= SSL_aDSS;
3293     if (!have_ecdsa)
3294         *pmask_a |= SSL_aECDSA;
3295 }
3296
3297 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3298                        const unsigned char *psig, size_t psiglen)
3299 {
3300     size_t i;
3301
3302     for (i = 0; i < psiglen; i += 2, psig += 2) {
3303         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3304             if (!WPACKET_put_bytes_u8(pkt, psig[0])
3305                     || !WPACKET_put_bytes_u8(pkt, psig[1]))
3306                 return 0;
3307         }
3308     }
3309     return 1;
3310 }
3311
3312 /* Given preference and allowed sigalgs set shared sigalgs */
3313 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3314                                 const unsigned char *pref, size_t preflen,
3315                                 const unsigned char *allow, size_t allowlen)
3316 {
3317     const unsigned char *ptmp, *atmp;
3318     size_t i, j, nmatch = 0;
3319     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3320         /* Skip disabled hashes or signature algorithms */
3321         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3322             continue;
3323         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3324             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3325                 nmatch++;
3326                 if (shsig) {
3327                     shsig->rhash = ptmp[0];
3328                     shsig->rsign = ptmp[1];
3329                     tls1_lookup_sigalg(&shsig->hash_nid,
3330                                        &shsig->sign_nid,
3331                                        &shsig->signandhash_nid, ptmp);
3332                     shsig++;
3333                 }
3334                 break;
3335             }
3336         }
3337     }
3338     return nmatch;
3339 }
3340
3341 /* Set shared signature algorithms for SSL structures */
3342 static int tls1_set_shared_sigalgs(SSL *s)
3343 {
3344     const unsigned char *pref, *allow, *conf;
3345     size_t preflen, allowlen, conflen;
3346     size_t nmatch;
3347     TLS_SIGALGS *salgs = NULL;
3348     CERT *c = s->cert;
3349     unsigned int is_suiteb = tls1_suiteb(s);
3350
3351     OPENSSL_free(c->shared_sigalgs);
3352     c->shared_sigalgs = NULL;
3353     c->shared_sigalgslen = 0;
3354     /* If client use client signature algorithms if not NULL */
3355     if (!s->server && c->client_sigalgs && !is_suiteb) {
3356         conf = c->client_sigalgs;
3357         conflen = c->client_sigalgslen;
3358     } else if (c->conf_sigalgs && !is_suiteb) {
3359         conf = c->conf_sigalgs;
3360         conflen = c->conf_sigalgslen;
3361     } else
3362         conflen = tls12_get_psigalgs(s, &conf);
3363     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3364         pref = conf;
3365         preflen = conflen;
3366         allow = s->s3->tmp.peer_sigalgs;
3367         allowlen = s->s3->tmp.peer_sigalgslen;
3368     } else {
3369         allow = conf;
3370         allowlen = conflen;
3371         pref = s->s3->tmp.peer_sigalgs;
3372         preflen = s->s3->tmp.peer_sigalgslen;
3373     }
3374     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3375     if (nmatch) {
3376         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3377         if (salgs == NULL)
3378             return 0;
3379         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3380     } else {
3381         salgs = NULL;
3382     }
3383     c->shared_sigalgs = salgs;
3384     c->shared_sigalgslen = nmatch;
3385     return 1;
3386 }
3387
3388 /* Set preferred digest for each key type */
3389
3390 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3391 {
3392     CERT *c = s->cert;
3393     /* Extension ignored for inappropriate versions */
3394     if (!SSL_USE_SIGALGS(s))
3395         return 1;
3396     /* Should never happen */
3397     if (!c)
3398         return 0;
3399
3400     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3401     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3402     if (s->s3->tmp.peer_sigalgs == NULL)
3403         return 0;
3404     s->s3->tmp.peer_sigalgslen = dsize;
3405     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3406     return 1;
3407 }
3408
3409 int tls1_process_sigalgs(SSL *s)
3410 {
3411     int idx;
3412     size_t i;
3413     const EVP_MD *md;
3414     const EVP_MD **pmd = s->s3->tmp.md;
3415     uint32_t *pvalid = s->s3->tmp.valid_flags;
3416     CERT *c = s->cert;
3417     TLS_SIGALGS *sigptr;
3418     if (!tls1_set_shared_sigalgs(s))
3419         return 0;
3420
3421     for (i = 0, sigptr = c->shared_sigalgs;
3422          i < c->shared_sigalgslen; i++, sigptr++) {
3423         idx = tls12_get_pkey_idx(sigptr->rsign);
3424         if (idx > 0 && pmd[idx] == NULL) {
3425             md = tls12_get_hash(sigptr->rhash);
3426             pmd[idx] = md;
3427             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3428             if (idx == SSL_PKEY_RSA_SIGN) {
3429                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3430                 pmd[SSL_PKEY_RSA_ENC] = md;
3431             }
3432         }
3433
3434     }
3435     /*
3436      * In strict mode leave unset digests as NULL to indicate we can't use
3437      * the certificate for signing.
3438      */
3439     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3440         /*
3441          * Set any remaining keys to default values. NOTE: if alg is not
3442          * supported it stays as NULL.
3443          */
3444 #ifndef OPENSSL_NO_DSA
3445         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3446             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3447 #endif
3448 #ifndef OPENSSL_NO_RSA
3449         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3450             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3451             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3452         }
3453 #endif
3454 #ifndef OPENSSL_NO_EC
3455         if (pmd[SSL_PKEY_ECC] == NULL)
3456             pmd[SSL_PKEY_ECC] = EVP_sha1();
3457 #endif
3458 #ifndef OPENSSL_NO_GOST
3459         if (pmd[SSL_PKEY_GOST01] == NULL)
3460             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3461         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3462             pmd[SSL_PKEY_GOST12_256] =
3463                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3464         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3465             pmd[SSL_PKEY_GOST12_512] =
3466                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3467 #endif
3468     }
3469     return 1;
3470 }
3471
3472 int SSL_get_sigalgs(SSL *s, int idx,
3473                     int *psign, int *phash, int *psignhash,
3474                     unsigned char *rsig, unsigned char *rhash)
3475 {
3476     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3477     if (psig == NULL)
3478         return 0;
3479     if (idx >= 0) {
3480         idx <<= 1;
3481         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3482             return 0;
3483         psig += idx;
3484         if (rhash)
3485             *rhash = psig[0];
3486         if (rsig)
3487             *rsig = psig[1];
3488         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3489     }
3490     return s->s3->tmp.peer_sigalgslen / 2;
3491 }
3492
3493 int SSL_get_shared_sigalgs(SSL *s, int idx,
3494                            int *psign, int *phash, int *psignhash,
3495                            unsigned char *rsig, unsigned char *rhash)
3496 {
3497     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3498     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3499         return 0;
3500     shsigalgs += idx;
3501     if (phash)
3502         *phash = shsigalgs->hash_nid;
3503     if (psign)
3504         *psign = shsigalgs->sign_nid;
3505     if (psignhash)
3506         *psignhash = shsigalgs->signandhash_nid;
3507     if (rsig)
3508         *rsig = shsigalgs->rsign;
3509     if (rhash)
3510         *rhash = shsigalgs->rhash;
3511     return s->cert->shared_sigalgslen;
3512 }
3513
3514 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3515
3516 typedef struct {
3517     size_t sigalgcnt;
3518     int sigalgs[MAX_SIGALGLEN];
3519 } sig_cb_st;
3520
3521 static void get_sigorhash(int *psig, int *phash, const char *str)
3522 {
3523     if (strcmp(str, "RSA") == 0) {
3524         *psig = EVP_PKEY_RSA;
3525     } else if (strcmp(str, "DSA") == 0) {
3526         *psig = EVP_PKEY_DSA;
3527     } else if (strcmp(str, "ECDSA") == 0) {
3528         *psig = EVP_PKEY_EC;
3529     } else {
3530         *phash = OBJ_sn2nid(str);
3531         if (*phash == NID_undef)
3532             *phash = OBJ_ln2nid(str);
3533     }
3534 }
3535
3536 static int sig_cb(const char *elem, int len, void *arg)
3537 {
3538     sig_cb_st *sarg = arg;
3539     size_t i;
3540     char etmp[20], *p;
3541     int sig_alg = NID_undef, hash_alg = NID_undef;
3542     if (elem == NULL)
3543         return 0;
3544     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3545         return 0;
3546     if (len > (int)(sizeof(etmp) - 1))
3547         return 0;
3548     memcpy(etmp, elem, len);
3549     etmp[len] = 0;
3550     p = strchr(etmp, '+');
3551     if (!p)
3552         return 0;
3553     *p = 0;
3554     p++;
3555     if (!*p)
3556         return 0;
3557
3558     get_sigorhash(&sig_alg, &hash_alg, etmp);
3559     get_sigorhash(&sig_alg, &hash_alg, p);
3560
3561     if (sig_alg == NID_undef || hash_alg == NID_undef)
3562         return 0;
3563
3564     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3565         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3566             return 0;
3567     }
3568     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3569     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3570     return 1;
3571 }
3572
3573 /*
3574  * Set supported signature algorithms based on a colon separated list of the
3575  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3576  */
3577 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3578 {
3579     sig_cb_st sig;
3580     sig.sigalgcnt = 0;
3581     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3582         return 0;
3583     if (c == NULL)
3584         return 1;
3585     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3586 }
3587
3588 int tls1_set_sigalgs(CERT *c, const int *psig_nids, size_t salglen, int client)
3589 {
3590     unsigned char *sigalgs, *sptr;
3591     int rhash, rsign;
3592     size_t i;
3593     if (salglen & 1)
3594         return 0;
3595     sigalgs = OPENSSL_malloc(salglen);
3596     if (sigalgs == NULL)
3597         return 0;
3598     for (i = 0, sptr = sigalgs; i < salglen; i += 2) {
3599         rhash = tls12_find_id(*psig_nids++, tls12_md, OSSL_NELEM(tls12_md));
3600         rsign = tls12_find_id(*psig_nids++, tls12_sig, OSSL_NELEM(tls12_sig));
3601
3602         if (rhash == -1 || rsign == -1)
3603             goto err;
3604         *sptr++ = rhash;
3605         *sptr++ = rsign;
3606     }
3607
3608     if (client) {
3609         OPENSSL_free(c->client_sigalgs);
3610         c->client_sigalgs = sigalgs;
3611         c->client_sigalgslen = salglen;
3612     } else {
3613         OPENSSL_free(c->conf_sigalgs);
3614         c->conf_sigalgs = sigalgs;
3615         c->conf_sigalgslen = salglen;
3616     }
3617
3618     return 1;
3619
3620  err:
3621     OPENSSL_free(sigalgs);
3622     return 0;
3623 }
3624
3625 static int tls1_check_sig_alg(CERT *c, X509 *x, int default_nid)
3626 {
3627     int sig_nid;
3628     size_t i;
3629     if (default_nid == -1)
3630         return 1;
3631     sig_nid = X509_get_signature_nid(x);
3632     if (default_nid)
3633         return sig_nid == default_nid ? 1 : 0;
3634     for (i = 0; i < c->shared_sigalgslen; i++)
3635         if (sig_nid == c->shared_sigalgs[i].signandhash_nid)
3636             return 1;
3637     return 0;
3638 }
3639
3640 /* Check to see if a certificate issuer name matches list of CA names */
3641 static int ssl_check_ca_name(STACK_OF(X509_NAME) *names, X509 *x)
3642 {
3643     X509_NAME *nm;
3644     int i;
3645     nm = X509_get_issuer_name(x);
3646     for (i = 0; i < sk_X509_NAME_num(names); i++) {
3647         if (!X509_NAME_cmp(nm, sk_X509_NAME_value(names, i)))
3648             return 1;
3649     }
3650     return 0;
3651 }
3652
3653 /*
3654  * Check certificate chain is consistent with TLS extensions and is usable by
3655  * server. This servers two purposes: it allows users to check chains before
3656  * passing them to the server and it allows the server to check chains before
3657  * attempting to use them.
3658  */
3659
3660 /* Flags which need to be set for a certificate when stict mode not set */
3661
3662 #define CERT_PKEY_VALID_FLAGS \
3663         (CERT_PKEY_EE_SIGNATURE|CERT_PKEY_EE_PARAM)
3664 /* Strict mode flags */
3665 #define CERT_PKEY_STRICT_FLAGS \
3666          (CERT_PKEY_VALID_FLAGS|CERT_PKEY_CA_SIGNATURE|CERT_PKEY_CA_PARAM \
3667          | CERT_PKEY_ISSUER_NAME|CERT_PKEY_CERT_TYPE)
3668
3669 int tls1_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain,
3670                      int idx)
3671 {
3672     int i;
3673     int rv = 0;
3674     int check_flags = 0, strict_mode;
3675     CERT_PKEY *cpk = NULL;
3676     CERT *c = s->cert;
3677     uint32_t *pvalid;
3678     unsigned int suiteb_flags = tls1_suiteb(s);
3679     /* idx == -1 means checking server chains */
3680     if (idx != -1) {
3681         /* idx == -2 means checking client certificate chains */
3682         if (idx == -2) {
3683             cpk = c->key;
3684             idx = cpk - c->pkeys;
3685         } else
3686             cpk = c->pkeys + idx;
3687         pvalid = s->s3->tmp.valid_flags + idx;
3688         x = cpk->x509;
3689         pk = cpk->privatekey;
3690         chain = cpk->chain;
3691         strict_mode = c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT;
3692         /* If no cert or key, forget it */
3693         if (!x || !pk)
3694             goto end;
3695     } else {
3696         if (!x || !pk)
3697             return 0;
3698         idx = ssl_cert_type(x, pk);
3699         if (idx == -1)
3700             return 0;
3701         pvalid = s->s3->tmp.valid_flags + idx;
3702
3703         if (c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)
3704             check_flags = CERT_PKEY_STRICT_FLAGS;
3705         else
3706             check_flags = CERT_PKEY_VALID_FLAGS;
3707         strict_mode = 1;
3708     }
3709
3710     if (suiteb_flags) {
3711         int ok;
3712         if (check_flags)
3713             check_flags |= CERT_PKEY_SUITEB;
3714         ok = X509_chain_check_suiteb(NULL, x, chain, suiteb_flags);
3715         if (ok == X509_V_OK)
3716             rv |= CERT_PKEY_SUITEB;
3717         else if (!check_flags)
3718             goto end;
3719     }
3720
3721     /*
3722      * Check all signature algorithms are consistent with signature
3723      * algorithms extension if TLS 1.2 or later and strict mode.
3724      */
3725     if (TLS1_get_version(s) >= TLS1_2_VERSION && strict_mode) {
3726         int default_nid;
3727         unsigned char rsign = 0;
3728         if (s->s3->tmp.peer_sigalgs)
3729             default_nid = 0;
3730         /* If no sigalgs extension use defaults from RFC5246 */
3731         else {
3732             switch (idx) {
3733             case SSL_PKEY_RSA_ENC:
3734             case SSL_PKEY_RSA_SIGN:
3735                 rsign = TLSEXT_signature_rsa;
3736                 default_nid = NID_sha1WithRSAEncryption;
3737                 break;
3738
3739             case SSL_PKEY_DSA_SIGN:
3740                 rsign = TLSEXT_signature_dsa;
3741                 default_nid = NID_dsaWithSHA1;
3742                 break;
3743
3744             case SSL_PKEY_ECC:
3745                 rsign = TLSEXT_signature_ecdsa;
3746                 default_nid = NID_ecdsa_with_SHA1;
3747                 break;
3748
3749             case SSL_PKEY_GOST01:
3750                 rsign = TLSEXT_signature_gostr34102001;
3751                 default_nid = NID_id_GostR3411_94_with_GostR3410_2001;
3752                 break;
3753
3754             case SSL_PKEY_GOST12_256:
3755                 rsign = TLSEXT_signature_gostr34102012_256;
3756                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_256;
3757                 break;
3758
3759             case SSL_PKEY_GOST12_512:
3760                 rsign = TLSEXT_signature_gostr34102012_512;
3761                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_512;
3762                 break;
3763
3764             default:
3765                 default_nid = -1;
3766                 break;
3767             }
3768         }
3769         /*
3770          * If peer sent no signature algorithms extension and we have set
3771          * preferred signature algorithms check we support sha1.
3772          */
3773         if (default_nid > 0 && c->conf_sigalgs) {
3774             size_t j;
3775             const unsigned char *p = c->conf_sigalgs;
3776             for (j = 0; j < c->conf_sigalgslen; j += 2, p += 2) {
3777                 if (p[0] == TLSEXT_hash_sha1 && p[1] == rsign)
3778                     break;
3779             }
3780             if (j == c->conf_sigalgslen) {
3781                 if (check_flags)
3782                     goto skip_sigs;
3783                 else
3784                     goto end;
3785             }
3786         }
3787         /* Check signature algorithm of each cert in chain */
3788         if (!tls1_check_sig_alg(c, x, default_nid)) {
3789             if (!check_flags)
3790                 goto end;
3791         } else
3792             rv |= CERT_PKEY_EE_SIGNATURE;
3793         rv |= CERT_PKEY_CA_SIGNATURE;
3794         for (i = 0; i < sk_X509_num(chain); i++) {
3795             if (!tls1_check_sig_alg(c, sk_X509_value(chain, i), default_nid)) {
3796                 if (check_flags) {
3797                     rv &= ~CERT_PKEY_CA_SIGNATURE;
3798                     break;
3799                 } else
3800                     goto end;
3801             }
3802         }
3803     }
3804     /* Else not TLS 1.2, so mark EE and CA signing algorithms OK */
3805     else if (check_flags)
3806         rv |= CERT_PKEY_EE_SIGNATURE | CERT_PKEY_CA_SIGNATURE;
3807  skip_sigs:
3808     /* Check cert parameters are consistent */
3809     if (tls1_check_cert_param(s, x, check_flags ? 1 : 2))
3810         rv |= CERT_PKEY_EE_PARAM;
3811     else if (!check_flags)
3812         goto end;
3813     if (!s->server)
3814         rv |= CERT_PKEY_CA_PARAM;
3815     /* In strict mode check rest of chain too */
3816     else if (strict_mode) {
3817         rv |= CERT_PKEY_CA_PARAM;
3818         for (i = 0; i < sk_X509_num(chain); i++) {
3819             X509 *ca = sk_X509_value(chain, i);
3820             if (!tls1_check_cert_param(s, ca, 0)) {
3821                 if (check_flags) {
3822                     rv &= ~CERT_PKEY_CA_PARAM;
3823                     break;
3824                 } else
3825                     goto end;
3826             }
3827         }
3828     }
3829     if (!s->server && strict_mode) {
3830         STACK_OF(X509_NAME) *ca_dn;
3831         int check_type = 0;
3832         switch (EVP_PKEY_id(pk)) {
3833         case EVP_PKEY_RSA:
3834             check_type = TLS_CT_RSA_SIGN;
3835             break;
3836         case EVP_PKEY_DSA:
3837             check_type = TLS_CT_DSS_SIGN;
3838             break;
3839         case EVP_PKEY_EC:
3840             check_type = TLS_CT_ECDSA_SIGN;
3841             break;
3842         }
3843         if (check_type) {
3844             const unsigned char *ctypes;
3845             int ctypelen;
3846             if (c->ctypes) {
3847                 ctypes = c->ctypes;
3848                 ctypelen = (int)c->ctype_num;
3849             } else {
3850                 ctypes = (unsigned char *)s->s3->tmp.ctype;
3851                 ctypelen = s->s3->tmp.ctype_num;
3852             }
3853             for (i = 0; i < ctypelen; i++) {
3854                 if (ctypes[i] == check_type) {
3855                     rv |= CERT_PKEY_CERT_TYPE;
3856                     break;
3857                 }
3858             }
3859             if (!(rv & CERT_PKEY_CERT_TYPE) && !check_flags)
3860                 goto end;
3861         } else
3862             rv |= CERT_PKEY_CERT_TYPE;
3863
3864         ca_dn = s->s3->tmp.ca_names;
3865
3866         if (!sk_X509_NAME_num(ca_dn))
3867             rv |= CERT_PKEY_ISSUER_NAME;
3868
3869         if (!(rv & CERT_PKEY_ISSUER_NAME)) {
3870             if (ssl_check_ca_name(ca_dn, x))
3871                 rv |= CERT_PKEY_ISSUER_NAME;
3872         }
3873         if (!(rv & CERT_PKEY_ISSUER_NAME)) {
3874             for (i = 0; i < sk_X509_num(chain); i++) {
3875                 X509 *xtmp = sk_X509_value(chain, i);
3876                 if (ssl_check_ca_name(ca_dn, xtmp)) {
3877                     rv |= CERT_PKEY_ISSUER_NAME;
3878                     break;
3879                 }
3880             }
3881         }
3882         if (!check_flags && !(rv & CERT_PKEY_ISSUER_NAME))
3883             goto end;
3884     } else
3885         rv |= CERT_PKEY_ISSUER_NAME | CERT_PKEY_CERT_TYPE;
3886
3887     if (!check_flags || (rv & check_flags) == check_flags)
3888         rv |= CERT_PKEY_VALID;
3889
3890  end:
3891
3892     if (TLS1_get_version(s) >= TLS1_2_VERSION) {
3893         if (*pvalid & CERT_PKEY_EXPLICIT_SIGN)
3894             rv |= CERT_PKEY_EXPLICIT_SIGN | CERT_PKEY_SIGN;
3895         else if (s->s3->tmp.md[idx] != NULL)
3896             rv |= CERT_PKEY_SIGN;
3897     } else
3898         rv |= CERT_PKEY_SIGN | CERT_PKEY_EXPLICIT_SIGN;
3899
3900     /*
3901      * When checking a CERT_PKEY structure all flags are irrelevant if the
3902      * chain is invalid.
3903      */
3904     if (!check_flags) {
3905         if (rv & CERT_PKEY_VALID)
3906             *pvalid = rv;
3907         else {
3908             /* Preserve explicit sign flag, clear rest */
3909             *pvalid &= CERT_PKEY_EXPLICIT_SIGN;
3910             return 0;
3911         }
3912     }
3913     return rv;
3914 }
3915
3916 /* Set validity of certificates in an SSL structure */
3917 void tls1_set_cert_validity(SSL *s)
3918 {
3919     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_RSA_ENC);
3920     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_RSA_SIGN);
3921     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_DSA_SIGN);
3922     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_ECC);
3923     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST01);
3924     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST12_256);
3925     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST12_512);
3926 }
3927
3928 /* User level utiity function to check a chain is suitable */
3929 int SSL_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain)
3930 {
3931     return tls1_check_chain(s, x, pk, chain, -1);
3932 }
3933
3934 #ifndef OPENSSL_NO_DH
3935 DH *ssl_get_auto_dh(SSL *s)
3936 {
3937     int dh_secbits = 80;
3938     if (s->cert->dh_tmp_auto == 2)
3939         return DH_get_1024_160();
3940     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aPSK)) {
3941         if (s->s3->tmp.new_cipher->strength_bits == 256)
3942             dh_secbits = 128;
3943         else
3944             dh_secbits = 80;
3945     } else {
3946         CERT_PKEY *cpk = ssl_get_server_send_pkey(s);
3947         dh_secbits = EVP_PKEY_security_bits(cpk->privatekey);
3948     }
3949
3950     if (dh_secbits >= 128) {
3951         DH *dhp = DH_new();
3952         BIGNUM *p, *g;
3953         if (dhp == NULL)
3954             return NULL;
3955         g = BN_new();
3956         if (g != NULL)
3957             BN_set_word(g, 2);
3958         if (dh_secbits >= 192)
3959             p = BN_get_rfc3526_prime_8192(NULL);
3960         else
3961             p = BN_get_rfc3526_prime_3072(NULL);
3962         if (p == NULL || g == NULL || !DH_set0_pqg(dhp, p, NULL, g)) {
3963             DH_free(dhp);
3964             BN_free(p);
3965             BN_free(g);
3966             return NULL;
3967         }
3968         return dhp;
3969     }
3970     if (dh_secbits >= 112)
3971         return DH_get_2048_224();
3972     return DH_get_1024_160();
3973 }
3974 #endif
3975
3976 static int ssl_security_cert_key(SSL *s, SSL_CTX *ctx, X509 *x, int op)
3977 {
3978     int secbits = -1;
3979     EVP_PKEY *pkey = X509_get0_pubkey(x);
3980     if (pkey) {
3981         /*
3982          * If no parameters this will return -1 and fail using the default
3983          * security callback for any non-zero security level. This will
3984          * reject keys which omit parameters but this only affects DSA and
3985          * omission of parameters is never (?) done in practice.
3986          */
3987         secbits = EVP_PKEY_security_bits(pkey);
3988     }
3989     if (s)
3990         return ssl_security(s, op, secbits, 0, x);
3991     else
3992         return ssl_ctx_security(ctx, op, secbits, 0, x);
3993 }
3994
3995 static int ssl_security_cert_sig(SSL *s, SSL_CTX *ctx, X509 *x, int op)
3996 {
3997     /* Lookup signature algorithm digest */
3998     int secbits = -1, md_nid = NID_undef, sig_nid;
3999     /* Don't check signature if self signed */
4000     if ((X509_get_extension_flags(x) & EXFLAG_SS) != 0)
4001         return 1;
4002     sig_nid = X509_get_signature_nid(x);
4003     if (sig_nid && OBJ_find_sigid_algs(sig_nid, &md_nid, NULL)) {
4004         const EVP_MD *md;
4005         if (md_nid && (md = EVP_get_digestbynid(md_nid)))
4006             secbits = EVP_MD_size(md) * 4;
4007     }
4008     if (s)
4009         return ssl_security(s, op, secbits, md_nid, x);
4010     else
4011         return ssl_ctx_security(ctx, op, secbits, md_nid, x);
4012 }
4013
4014 int ssl_security_cert(SSL *s, SSL_CTX *ctx, X509 *x, int vfy, int is_ee)
4015 {
4016     if (vfy)
4017         vfy = SSL_SECOP_PEER;
4018     if (is_ee) {
4019         if (!ssl_security_cert_key(s, ctx, x, SSL_SECOP_EE_KEY | vfy))
4020             return SSL_R_EE_KEY_TOO_SMALL;
4021     } else {
4022         if (!ssl_security_cert_key(s, ctx, x, SSL_SECOP_CA_KEY | vfy))
4023             return SSL_R_CA_KEY_TOO_SMALL;
4024     }
4025     if (!ssl_security_cert_sig(s, ctx, x, SSL_SECOP_CA_MD | vfy))
4026         return SSL_R_CA_MD_TOO_WEAK;
4027     return 1;
4028 }
4029
4030 /*
4031  * Check security of a chain, if sk includes the end entity certificate then
4032  * x is NULL. If vfy is 1 then we are verifying a peer chain and not sending
4033  * one to the peer. Return values: 1 if ok otherwise error code to use
4034  */
4035
4036 int ssl_security_cert_chain(SSL *s, STACK_OF(X509) *sk, X509 *x, int vfy)
4037 {
4038     int rv, start_idx, i;
4039     if (x == NULL) {
4040         x = sk_X509_value(sk, 0);
4041         start_idx = 1;
4042     } else
4043         start_idx = 0;
4044
4045     rv = ssl_security_cert(s, NULL, x, vfy, 1);
4046     if (rv != 1)
4047         return rv;
4048
4049     for (i = start_idx; i < sk_X509_num(sk); i++) {
4050         x = sk_X509_value(sk, i);
4051         rv = ssl_security_cert(s, NULL, x, vfy, 0);
4052         if (rv != 1)
4053             return rv;
4054     }
4055     return 1;
4056 }