Introduce the recv_max_early_data setting

[openssl.git] / include / openssl / ssl.h
diff --git a/include/openssl/ssl.h b/include/openssl/ssl.h

index 5acf77c5c0858389c8d6f83b8d76808ad9aecf17..2376828e70e11d7a4137a89b08ce2f8f8393e325 100644 (file)
--- a/include/openssl/ssl.h
+++ b/include/openssl/ssl.h
@@ -48,7 +48,6 @@ extern "C" {
  # define SSL_MIN_RSA_MODULUS_LENGTH_IN_BYTES     (512/8)
  # define SSL_MAX_KEY_ARG_LENGTH                  8
  # define SSL_MAX_MASTER_KEY_LENGTH               48
-# define TLS13_MAX_RESUMPTION_MASTER_LENGTH      64
  
  /* The maximum number of encrypt/decrypt pipelines we can support */
  # define SSL_MAX_PIPELINES  32
@@ -369,6 +368,12 @@ typedef int (*SSL_verify_cb)(int preverify_ok, X509_STORE_CTX *x509_ctx);
   */
  # define SSL_OP_TLS_ROLLBACK_BUG                         0x00800000U
  
+/*
+ * Switches off automatic TLSv1.3 anti-replay protection for early data. This
+ * is a server-side option only (no effect on the client).
+ */
+# define SSL_OP_NO_ANTI_REPLAY                           0x01000000U
+
  # define SSL_OP_NO_SSLv3                                 0x02000000U
  # define SSL_OP_NO_TLSv1                                 0x04000000U
  # define SSL_OP_NO_TLSv1_2                               0x08000000U
@@ -914,6 +919,10 @@ int SSL_CTX_set_max_early_data(SSL_CTX *ctx, uint32_t max_early_data);
  uint32_t SSL_CTX_get_max_early_data(const SSL_CTX *ctx);
  int SSL_set_max_early_data(SSL *s, uint32_t max_early_data);
  uint32_t SSL_get_max_early_data(const SSL *s);
+int SSL_CTX_set_recv_max_early_data(SSL_CTX *ctx, uint32_t recv_max_early_data);
+uint32_t SSL_CTX_get_recv_max_early_data(const SSL_CTX *ctx);
+int SSL_set_recv_max_early_data(SSL *s, uint32_t recv_max_early_data);
+uint32_t SSL_get_recv_max_early_data(const SSL *s);
  
  #ifdef __cplusplus
  }
@@ -1080,8 +1089,8 @@ size_t SSL_get_peer_finished(const SSL *s, void *buf, size_t count);
  # define SSL_VERIFY_CLIENT_ONCE          0x04
  # define SSL_VERIFY_POST_HANDSHAKE       0x08
  
-# define OpenSSL_add_ssl_algorithms()    SSL_library_init()
  # if OPENSSL_API_COMPAT < 0x10100000L
+#  define OpenSSL_add_ssl_algorithms()   SSL_library_init()
  #  define SSLeay_add_ssl_algorithms()    SSL_library_init()
  # endif
  
@@ -1368,28 +1377,16 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
          SSL_ctrl(s,SSL_CTRL_SET_CHAIN_CERT_STORE,1,(char *)(st))
  # define SSL_get1_groups(ctx, s) \
          SSL_ctrl(ctx,SSL_CTRL_GET_GROUPS,0,(char *)(s))
-# define SSL_get1_curves(ctx, s) \
-        SSL_get1_groups((ctx), (s))
  # define SSL_CTX_set1_groups(ctx, glist, glistlen) \
          SSL_CTX_ctrl(ctx,SSL_CTRL_SET_GROUPS,glistlen,(char *)(glist))
  # define SSL_CTX_set1_groups_list(ctx, s) \
          SSL_CTX_ctrl(ctx,SSL_CTRL_SET_GROUPS_LIST,0,(char *)(s))
-# define SSL_CTX_set1_curves(ctx, clist, clistlen) \
-        SSL_CTX_set1_groups((ctx), (clist), (clistlen))
-# define SSL_CTX_set1_curves_list(ctx, s) \
-        SSL_CTX_set1_groups_list((ctx), (s))
  # define SSL_set1_groups(ctx, glist, glistlen) \
          SSL_ctrl(ctx,SSL_CTRL_SET_GROUPS,glistlen,(char *)(glist))
  # define SSL_set1_groups_list(ctx, s) \
          SSL_ctrl(ctx,SSL_CTRL_SET_GROUPS_LIST,0,(char *)(s))
-# define SSL_set1_curves(ctx, clist, clistlen) \
-        SSL_set1_groups((ctx), (clist), (clistlen))
-# define SSL_set1_curves_list(ctx, s) \
-        SSL_set1_groups_list((ctx), (s))
  # define SSL_get_shared_group(s, n) \
          SSL_ctrl(s,SSL_CTRL_GET_SHARED_GROUP,n,NULL)
-# define SSL_get_shared_curve(s, n) \
-        SSL_get_shared_group((s), (n))
  # define SSL_CTX_set1_sigalgs(ctx, slist, slistlen) \
          SSL_CTX_ctrl(ctx,SSL_CTRL_SET_SIGALGS,slistlen,(int *)(slist))
  # define SSL_CTX_set1_sigalgs_list(ctx, s) \
@@ -1438,6 +1435,23 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
  # define SSL_get_max_proto_version(s) \
          SSL_ctrl(s, SSL_CTRL_GET_MAX_PROTO_VERSION, 0, NULL)
  
+/*
+ * The following symbol names are old and obsolete. They are kept
+ * for compatibility reasons only and should not be used anymore.
+ */
+# define SSL_CTRL_GET_CURVES           SSL_CTRL_GET_GROUPS
+# define SSL_CTRL_SET_CURVES           SSL_CTRL_SET_GROUPS
+# define SSL_CTRL_SET_CURVES_LIST      SSL_CTRL_SET_GROUPS_LIST
+# define SSL_CTRL_GET_SHARED_CURVE     SSL_CTRL_GET_SHARED_GROUP
+
+# define SSL_get1_curves               SSL_get1_groups
+# define SSL_CTX_set1_curves           SSL_CTX_set1_groups
+# define SSL_CTX_set1_curves_list      SSL_CTX_set1_groups_list
+# define SSL_set1_curves               SSL_set1_groups
+# define SSL_set1_curves_list          SSL_set1_groups_list
+# define SSL_get_shared_curve          SSL_get_shared_group
+
+
  # if OPENSSL_API_COMPAT < 0x10100000L
  /* Provide some compatibility macros for removed functionality. */
  #  define SSL_CTX_need_tmp_RSA(ctx)                0
@@ -1492,7 +1506,7 @@ __owur int SSL_get_fd(const SSL *s);
  __owur int SSL_get_rfd(const SSL *s);
  __owur int SSL_get_wfd(const SSL *s);
  __owur const char *SSL_get_cipher_list(const SSL *s, int n);
-__owur char *SSL_get_shared_ciphers(const SSL *s, char *buf, int len);
+__owur char *SSL_get_shared_ciphers(const SSL *s, char *buf, int size);
  __owur int SSL_get_read_ahead(const SSL *s);
  __owur int SSL_pending(const SSL *s);
  __owur int SSL_has_pending(const SSL *s);
@@ -2090,6 +2104,11 @@ void SSL_set_record_padding_callback_arg(SSL *ssl, void *arg);
  void *SSL_get_record_padding_callback_arg(SSL *ssl);
  int SSL_set_block_padding(SSL *ssl, size_t block_size);
  
+int SSL_set_num_tickets(SSL *s, size_t num_tickets);
+size_t SSL_get_num_tickets(SSL *s);
+int SSL_CTX_set_num_tickets(SSL_CTX *ctx, size_t num_tickets);
+size_t SSL_CTX_get_num_tickets(SSL_CTX *ctx);
+
  # if OPENSSL_API_COMPAT < 0x10100000L
  #  define SSL_cache_hit(s) SSL_session_reused(s)
  # endif
@@ -2325,8 +2344,9 @@ __owur const struct openssl_ssl_test_functions *SSL_test_functions(void);
  __owur int SSL_free_buffers(SSL *ssl);
  __owur int SSL_alloc_buffers(SSL *ssl);
  
-/* Return codes for tls_get_ticket_from_client() and tls_decrypt_ticket() */
-typedef int SSL_TICKET_RETURN;
+/* Status codes passed to the decrypt session ticket callback. Some of these
+ * are for internal use only and are never passed to the callback. */
+typedef int SSL_TICKET_STATUS;
  
  /* Support for ticket appdata */
  /* fatal error, malloc failure */
@@ -2344,11 +2364,25 @@ typedef int SSL_TICKET_RETURN;
  /* same as above but the ticket needs to be renewed */
  # define SSL_TICKET_SUCCESS_RENEW    6
  
+/* Return codes for the decrypt session ticket callback */
+typedef int SSL_TICKET_RETURN;
+
+/* An error occurred */
+#define SSL_TICKET_RETURN_ABORT             0
+/* Do not use the ticket, do not send a renewed ticket to the client */
+#define SSL_TICKET_RETURN_IGNORE            1
+/* Do not use the ticket, send a renewed ticket to the client */
+#define SSL_TICKET_RETURN_IGNORE_RENEW      2
+/* Use the ticket, do not send a renewed ticket to the client */
+#define SSL_TICKET_RETURN_USE               3
+/* Use the ticket, send a renewed ticket to the client */
+#define SSL_TICKET_RETURN_USE_RENEW         4
+
  typedef int (*SSL_CTX_generate_session_ticket_fn)(SSL *s, void *arg);
  typedef SSL_TICKET_RETURN (*SSL_CTX_decrypt_session_ticket_fn)(SSL *s, SSL_SESSION *ss,
                                                                 const unsigned char *keyname,
                                                                 size_t keyname_length,
-                                                               SSL_TICKET_RETURN retv,
+                                                               SSL_TICKET_STATUS status,
                                                                 void *arg);
  int SSL_CTX_set_session_ticket_cb(SSL_CTX *ctx,
                                    SSL_CTX_generate_session_ticket_fn gen_cb,
@@ -2359,13 +2393,19 @@ int SSL_SESSION_get0_ticket_appdata(SSL_SESSION *ss, void **data, size_t *len);
  
  extern const char SSL_version_str[];
  
-
-
  typedef unsigned int (*DTLS_timer_cb)(SSL *s, unsigned int timer_us);
  
  void DTLS_set_timer_cb(SSL *s, DTLS_timer_cb cb);
  
  
+typedef int (*SSL_allow_early_data_cb_fn)(SSL *s, void *arg);
+void SSL_CTX_set_allow_early_data_cb(SSL_CTX *ctx,
+                                     SSL_allow_early_data_cb_fn cb,
+                                     void *arg);
+void SSL_set_allow_early_data_cb(SSL *s,
+                                 SSL_allow_early_data_cb_fn cb,
+                                 void *arg);
+
  # ifdef  __cplusplus
  }
  # endif