make update

[openssl.git] / include / openssl / ssl.h
diff --git a/include/openssl/ssl.h b/include/openssl/ssl.h

index 9709103d5fb984dda3003a7e0cd77460b1ceb2d6..73e3a99b8fb1fdebe9ee7860528e90eecca45eac 100644 (file)
--- a/include/openssl/ssl.h
+++ b/include/openssl/ssl.h
@@ -144,7 +144,6 @@
  
  # include <openssl/e_os2.h>
  # include <openssl/opensslconf.h>
-
  # include <openssl/comp.h>
  # include <openssl/bio.h>
  # if OPENSSL_API_COMPAT < 0x10100000L
@@ -155,9 +154,11 @@
  # endif
  # include <openssl/pem.h>
  # include <openssl/hmac.h>
+# include <openssl/async.h>
  
  # include <openssl/safestack.h>
  # include <openssl/symhacks.h>
+# include <openssl/ct.h>
  
  #ifdef  __cplusplus
  extern "C" {
@@ -177,6 +178,9 @@ extern "C" {
  # define SSL_MAX_KEY_ARG_LENGTH                  8
  # define SSL_MAX_MASTER_KEY_LENGTH               48
  
+/* The maximum number of encrypt/decrypt pipelines we can support */
+# define SSL_MAX_PIPELINES  32
+
  /* text strings for the ciphers */
  
  /* These are used to specify which ciphers to use and not to use */
@@ -326,8 +330,8 @@ typedef struct tls_sigalgs_st TLS_SIGALGS;
  typedef struct ssl_conf_ctx_st SSL_CONF_CTX;
  typedef struct ssl_comp_st SSL_COMP;
  
-DEFINE_STACK_OF_CONST(SSL_CIPHER)
-DEFINE_STACK_OF(SSL_COMP)
+STACK_OF(SSL_CIPHER);
+STACK_OF(SSL_COMP);
  
  /* SRTP protection profiles for use with the use_srtp extension (RFC 5764)*/
  typedef struct srtp_protection_profile_st {
@@ -639,13 +643,8 @@ __owur int SRP_Calc_A_param(SSL *s);
  
  # endif
  
-# if defined(OPENSSL_SYS_MSDOS) && !defined(OPENSSL_SYS_WIN32)
-#  define SSL_MAX_CERT_LIST_DEFAULT 1024*30
-                                          /* 30k max cert list :-) */
-# else
-#  define SSL_MAX_CERT_LIST_DEFAULT 1024*100
-                                           /* 100k max cert list :-) */
-# endif
+/* 100k max cert list */
+# define SSL_MAX_CERT_LIST_DEFAULT 1024*100
  
  # define SSL_SESSION_CACHE_MAX_SIZE_DEFAULT      (1024*20)
  
@@ -775,9 +774,9 @@ __owur int SSL_select_next_proto(unsigned char **out, unsigned char *outlen,
  # define OPENSSL_NPN_NO_OVERLAP  2
  
  __owur int SSL_CTX_set_alpn_protos(SSL_CTX *ctx, const unsigned char *protos,
-                            unsigned protos_len);
+                                   unsigned int protos_len);
  __owur int SSL_set_alpn_protos(SSL *ssl, const unsigned char *protos,
-                        unsigned protos_len);
+                               unsigned int protos_len);
  void SSL_CTX_set_alpn_select_cb(SSL_CTX *ctx,
                                  int (*cb) (SSL *ssl,
                                             const unsigned char **out,
@@ -786,7 +785,7 @@ void SSL_CTX_set_alpn_select_cb(SSL_CTX *ctx,
                                             unsigned int inlen,
                                             void *arg), void *arg);
  void SSL_get0_alpn_selected(const SSL *ssl, const unsigned char **data,
-                            unsigned *len);
+                            unsigned int *len);
  
  # ifndef OPENSSL_NO_PSK
  /*
@@ -861,6 +860,9 @@ const char *SSL_get_psk_identity(const SSL *s);
  
  /* Register callbacks to handle custom TLS Extensions for client or server. */
  
+__owur int SSL_CTX_has_client_custom_ext(const SSL_CTX *ctx,
+                                         unsigned int ext_type);
+
  __owur int SSL_CTX_add_client_custom_ext(SSL_CTX *ctx, unsigned int ext_type,
                                    custom_ext_add_cb add_cb,
                                    custom_ext_free_cb free_cb,
@@ -907,6 +909,13 @@ __owur int SSL_extension_supported(unsigned int ext_type);
  extern "C" {
  #endif
  
+/*
+ * These need to be after the above set of includes due to a compiler bug
+ * in VisualStudio 2015
+ */
+DEFINE_STACK_OF_CONST(SSL_CIPHER)
+DEFINE_STACK_OF(SSL_COMP)
+
  /* compatibility */
  # define SSL_set_app_data(s,arg)         (SSL_set_ex_data(s,0,(char *)arg))
  # define SSL_get_app_data(s)             (SSL_get_ex_data(s,0))
@@ -1101,6 +1110,7 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
  # define SSL_AD_UNKNOWN_PSK_IDENTITY     TLS1_AD_UNKNOWN_PSK_IDENTITY
  /* fatal */
  # define SSL_AD_INAPPROPRIATE_FALLBACK   TLS1_AD_INAPPROPRIATE_FALLBACK
+# define SSL_AD_NO_APPLICATION_PROTOCOL  TLS1_AD_NO_APPLICATION_PROTOCOL
  # define SSL_ERROR_NONE                  0
  # define SSL_ERROR_SSL                   1
  # define SSL_ERROR_WANT_READ             2
@@ -1218,6 +1228,8 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
  # define SSL_CTRL_GET_EXTMS_SUPPORT              122
  # define SSL_CTRL_SET_MIN_PROTO_VERSION          123
  # define SSL_CTRL_SET_MAX_PROTO_VERSION          124
+# define SSL_CTRL_SET_SPLIT_SEND_FRAGMENT        125
+# define SSL_CTRL_SET_MAX_PIPELINES              126
  # define SSL_CERT_SET_FIRST                      1
  # define SSL_CERT_SET_NEXT                       2
  # define SSL_CERT_SET_SERVER                     3
@@ -1355,7 +1367,7 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
          SSL_ctrl(s, SSL_CTRL_SET_MAX_PROTO_VERSION, version, NULL)
  
  
-__owur BIO_METHOD *BIO_f_ssl(void);
+__owur const BIO_METHOD *BIO_f_ssl(void);
  __owur BIO *BIO_new_ssl(SSL_CTX *ctx, int client);
  __owur BIO *BIO_new_ssl_connect(SSL_CTX *ctx);
  __owur BIO *BIO_new_buffer_ssl_connect(SSL_CTX *ctx);
@@ -1377,9 +1389,12 @@ void SSL_CTX_flush_sessions(SSL_CTX *ctx, long tm);
  
  __owur const SSL_CIPHER *SSL_get_current_cipher(const SSL *s);
  __owur int SSL_CIPHER_get_bits(const SSL_CIPHER *c, int *alg_bits);
-__owur char *SSL_CIPHER_get_version(const SSL_CIPHER *c);
+__owur const char *SSL_CIPHER_get_version(const SSL_CIPHER *c);
  __owur const char *SSL_CIPHER_get_name(const SSL_CIPHER *c);
  __owur uint32_t SSL_CIPHER_get_id(const SSL_CIPHER *c);
+__owur int SSL_CIPHER_get_kx_nid(const SSL_CIPHER *c);
+__owur int SSL_CIPHER_get_auth_nid(const SSL_CIPHER *c);
+__owur int SSL_CIPHER_is_aead(const SSL_CIPHER *c);
  
  __owur int SSL_get_fd(const SSL *s);
  __owur int SSL_get_rfd(const SSL *s);
@@ -1388,6 +1403,7 @@ __owur const char *SSL_get_cipher_list(const SSL *s, int n);
  __owur char *SSL_get_shared_ciphers(const SSL *s, char *buf, int len);
  __owur int SSL_get_read_ahead(const SSL *s);
  __owur int SSL_pending(const SSL *s);
+__owur int SSL_has_pending(const SSL *s);
  # ifndef OPENSSL_NO_SOCK
  __owur int SSL_set_fd(SSL *s, int fd);
  __owur int SSL_set_rfd(SSL *s, int fd);
@@ -1457,6 +1473,7 @@ __owur long SSL_SESSION_get_time(const SSL_SESSION *s);
  __owur long SSL_SESSION_set_time(SSL_SESSION *s, long t);
  __owur long SSL_SESSION_get_timeout(const SSL_SESSION *s);
  __owur long SSL_SESSION_set_timeout(SSL_SESSION *s, long t);
+__owur const char *SSL_SESSION_get0_hostname(const SSL_SESSION *s);
  __owur int SSL_SESSION_has_ticket(const SSL_SESSION *s);
  __owur unsigned long SSL_SESSION_get_ticket_lifetime_hint(const SSL_SESSION *s);
  void SSL_SESSION_get0_ticket(const SSL_SESSION *s, unsigned char **tick,
@@ -1475,6 +1492,7 @@ int SSL_SESSION_print_fp(FILE *fp, const SSL_SESSION *ses);
  # endif
  int SSL_SESSION_print(BIO *fp, const SSL_SESSION *ses);
  int SSL_SESSION_print_keylog(BIO *bp, const SSL_SESSION *x);
+int SSL_SESSION_up_ref(SSL_SESSION *ses);
  void SSL_SESSION_free(SSL_SESSION *ses);
  __owur int i2d_SSL_SESSION(SSL_SESSION *in, unsigned char **pp);
  __owur int SSL_set_session(SSL *to, SSL_SESSION *session);
@@ -1519,8 +1537,12 @@ __owur int SSL_CTX_use_certificate_ASN1(SSL_CTX *ctx, int len,
  
  void SSL_CTX_set_default_passwd_cb(SSL_CTX *ctx, pem_password_cb *cb);
  void SSL_CTX_set_default_passwd_cb_userdata(SSL_CTX *ctx, void *u);
+pem_password_cb *SSL_CTX_get_default_passwd_cb(SSL_CTX *ctx);
+void *SSL_CTX_get_default_passwd_cb_userdata(SSL_CTX *ctx);
  void SSL_set_default_passwd_cb(SSL *s, pem_password_cb *cb);
  void SSL_set_default_passwd_cb_userdata(SSL *s, void *u);
+pem_password_cb *SSL_get_default_passwd_cb(SSL *s);
+void *SSL_get_default_passwd_cb_userdata(SSL *s);
  
  __owur int SSL_CTX_check_private_key(const SSL_CTX *ctx);
  __owur int SSL_check_private_key(const SSL *ctx);
@@ -1557,7 +1579,7 @@ __owur int SSL_get0_dane_tlsa(SSL *s, uint8_t *usage, uint8_t *selector,
   * Bridge opacity barrier between libcrypt and libssl, also needed to support
   * offline testing in test/danetest.c
   */
-struct dane_st *SSL_get0_dane(SSL *ssl);
+SSL_DANE *SSL_get0_dane(SSL *ssl);
  
  __owur int SSL_CTX_set1_param(SSL_CTX *ctx, X509_VERIFY_PARAM *vpm);
  __owur int SSL_set1_param(SSL *ssl, X509_VERIFY_PARAM *vpm);
@@ -1592,7 +1614,10 @@ __owur char *SSL_get_srp_userinfo(SSL *s);
  void SSL_certs_clear(SSL *s);
  void SSL_free(SSL *ssl);
  __owur int SSL_waiting_for_async(SSL *s);
-__owur int SSL_get_async_wait_fd(SSL *s);
+__owur int SSL_get_all_async_fds(SSL *s, OSSL_ASYNC_FD *fds, size_t *numfds);
+__owur int SSL_get_changed_async_fds(SSL *s, OSSL_ASYNC_FD *addfd,
+                                     size_t *numaddfds, OSSL_ASYNC_FD *delfd,
+                                     size_t *numdelfds);
  __owur int SSL_accept(SSL *ssl);
  __owur int SSL_connect(SSL *ssl);
  __owur int SSL_read(SSL *ssl, void *buf, int num);
@@ -1610,9 +1635,9 @@ __owur const char *SSL_get_version(const SSL *s);
  __owur int SSL_CTX_set_ssl_version(SSL_CTX *ctx, const SSL_METHOD *meth);
  
  # ifndef OPENSSL_NO_SSL3_METHOD
-__owur const SSL_METHOD *SSLv3_method(void); /* SSLv3 */
-__owur const SSL_METHOD *SSLv3_server_method(void); /* SSLv3 */
-__owur const SSL_METHOD *SSLv3_client_method(void); /* SSLv3 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *SSLv3_method(void)) /* SSLv3 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *SSLv3_server_method(void)) /* SSLv3 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *SSLv3_client_method(void)) /* SSLv3 */
  # endif
  
  #define SSLv23_method           TLS_method
@@ -1624,31 +1649,42 @@ __owur const SSL_METHOD *TLS_method(void);
  __owur const SSL_METHOD *TLS_server_method(void);
  __owur const SSL_METHOD *TLS_client_method(void);
  
-__owur const SSL_METHOD *TLSv1_method(void); /* TLSv1.0 */
-__owur const SSL_METHOD *TLSv1_server_method(void); /* TLSv1.0 */
-__owur const SSL_METHOD *TLSv1_client_method(void); /* TLSv1.0 */
+# ifndef OPENSSL_NO_TLS1_METHOD
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_method(void)) /* TLSv1.0 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_server_method(void)) /* TLSv1.0 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_client_method(void)) /* TLSv1.0 */
+# endif
  
-__owur const SSL_METHOD *TLSv1_1_method(void); /* TLSv1.1 */
-__owur const SSL_METHOD *TLSv1_1_server_method(void); /* TLSv1.1 */
-__owur const SSL_METHOD *TLSv1_1_client_method(void); /* TLSv1.1 */
+# ifndef OPENSSL_NO_TLS1_1_METHOD
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_1_method(void)) /* TLSv1.1 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_1_server_method(void)) /* TLSv1.1 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_1_client_method(void)) /* TLSv1.1 */
+# endif
  
-__owur const SSL_METHOD *TLSv1_2_method(void); /* TLSv1.2 */
-__owur const SSL_METHOD *TLSv1_2_server_method(void); /* TLSv1.2 */
-__owur const SSL_METHOD *TLSv1_2_client_method(void); /* TLSv1.2 */
+# ifndef OPENSSL_NO_TLS1_2_METHOD
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_2_method(void)) /* TLSv1.2 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_2_server_method(void)) /* TLSv1.2 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *TLSv1_2_client_method(void)) /* TLSv1.2 */
+# endif
  
-__owur const SSL_METHOD *DTLSv1_method(void); /* DTLSv1.0 */
-__owur const SSL_METHOD *DTLSv1_server_method(void); /* DTLSv1.0 */
-__owur const SSL_METHOD *DTLSv1_client_method(void); /* DTLSv1.0 */
+# ifndef OPENSSL_NO_DTLS1_METHOD
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *DTLSv1_method(void)) /* DTLSv1.0 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *DTLSv1_server_method(void)) /* DTLSv1.0 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *DTLSv1_client_method(void)) /* DTLSv1.0 */
+# endif
  
-__owur const SSL_METHOD *DTLSv1_2_method(void); /* DTLSv1.2 */
-__owur const SSL_METHOD *DTLSv1_2_server_method(void); /* DTLSv1.2 */
-__owur const SSL_METHOD *DTLSv1_2_client_method(void); /* DTLSv1.2 */
+# ifndef OPENSSL_NO_DTLS1_2_METHOD
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *DTLSv1_2_method(void)) /* DTLSv1.2 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *DTLSv1_2_server_method(void)) /* DTLSv1.2 */
+DEPRECATEDIN_1_1_0(__owur const SSL_METHOD *DTLSv1_2_client_method(void)) /* DTLSv1.2 */
+#endif
  
  __owur const SSL_METHOD *DTLS_method(void); /* DTLS 1.0 and 1.2 */
  __owur const SSL_METHOD *DTLS_server_method(void); /* DTLS 1.0 and 1.2 */
  __owur const SSL_METHOD *DTLS_client_method(void); /* DTLS 1.0 and 1.2 */
  
  __owur STACK_OF(SSL_CIPHER) *SSL_get_ciphers(const SSL *s);
+__owur STACK_OF(SSL_CIPHER) *SSL_CTX_get_ciphers(const SSL_CTX *ctx);
  __owur STACK_OF(SSL_CIPHER) *SSL_get_client_ciphers(const SSL *s);
  __owur STACK_OF(SSL_CIPHER) *SSL_get1_supported_ciphers(SSL *s);
  
@@ -1730,15 +1766,15 @@ __owur size_t SSL_SESSION_get_master_key(const SSL_SESSION *ssl,
                                           unsigned char *out, size_t outlen);
  
  #define SSL_get_ex_new_index(l, p, newf, dupf, freef) \
-    CRYPTO_get_ex_new_index(CRYPTO_EX_INDEX_SSL_SESSION, l, p, newf, dupf, freef)
+    CRYPTO_get_ex_new_index(CRYPTO_EX_INDEX_SSL, l, p, newf, dupf, freef)
  __owur int SSL_set_ex_data(SSL *ssl, int idx, void *data);
  void *SSL_get_ex_data(const SSL *ssl, int idx);
  #define SSL_SESSION_get_ex_new_index(l, p, newf, dupf, freef) \
-    CRYPTO_get_ex_new_index(CRYPTO_EX_INDEX_SSL_CTX, l, p, newf, dupf, freef)
+    CRYPTO_get_ex_new_index(CRYPTO_EX_INDEX_SSL_SESSION, l, p, newf, dupf, freef)
  __owur int SSL_SESSION_set_ex_data(SSL_SESSION *ss, int idx, void *data);
  void *SSL_SESSION_get_ex_data(const SSL_SESSION *ss, int idx);
  #define SSL_CTX_get_ex_new_index(l, p, newf, dupf, freef) \
-    CRYPTO_get_ex_new_index(CRYPTO_EX_INDEX_SSL, l, p, newf, dupf, freef)
+    CRYPTO_get_ex_new_index(CRYPTO_EX_INDEX_SSL_CTX, l, p, newf, dupf, freef)
  __owur int SSL_CTX_set_ex_data(SSL_CTX *ssl, int idx, void *data);
  void *SSL_CTX_get_ex_data(const SSL_CTX *ssl, int idx);
  
@@ -1772,6 +1808,17 @@ __owur int SSL_get_ex_data_X509_STORE_CTX_idx(void);
          SSL_CTX_ctrl(ctx,SSL_CTRL_SET_MAX_SEND_FRAGMENT,m,NULL)
  # define SSL_set_max_send_fragment(ssl,m) \
          SSL_ctrl(ssl,SSL_CTRL_SET_MAX_SEND_FRAGMENT,m,NULL)
+# define SSL_CTX_set_split_send_fragment(ctx,m) \
+        SSL_CTX_ctrl(ctx,SSL_CTRL_SET_SPLIT_SEND_FRAGMENT,m,NULL)
+# define SSL_set_split_send_fragment(ssl,m) \
+        SSL_ctrl(ssl,SSL_CTRL_SET_SPLIT_SEND_FRAGMENT,m,NULL)
+# define SSL_CTX_set_max_pipelines(ctx,m) \
+        SSL_CTX_ctrl(ctx,SSL_CTRL_SET_MAX_PIPELINES,m,NULL)
+# define SSL_set_max_pipelines(ssl,m) \
+        SSL_ctrl(ssl,SSL_CTRL_SET_MAX_PIPELINES,m,NULL)
+
+void SSL_CTX_set_default_read_buffer_len(SSL_CTX *ctx, size_t len);
+void SSL_set_default_read_buffer_len(SSL *s, size_t len);
  
       /* NB: the keylength is only applicable when is_export is true */
  # ifndef OPENSSL_NO_DH
@@ -1789,7 +1836,9 @@ __owur const char *SSL_COMP_get_name(const COMP_METHOD *comp);
  STACK_OF(SSL_COMP) *SSL_COMP_get_compression_methods(void);
  __owur STACK_OF(SSL_COMP) *SSL_COMP_set0_compression_methods(STACK_OF(SSL_COMP)
                                                        *meths);
-void SSL_COMP_free_compression_methods(void);
+#if OPENSSL_API_COMPAT < 0x10100000L
+# define SSL_COMP_free_compression_methods() while(0) continue
+#endif
  __owur int SSL_COMP_add_compression_method(int id, COMP_METHOD *cm);
  
  const SSL_CIPHER *SSL_CIPHER_find(SSL *ssl, const unsigned char *ptr);
@@ -1847,7 +1896,107 @@ void SSL_trace(int write_p, int version, int content_type,
  __owur const char *SSL_CIPHER_standard_name(const SSL_CIPHER *c);
  # endif
  
+# ifndef OPENSSL_NO_SOCK
  int DTLSv1_listen(SSL *s, BIO_ADDR *client);
+# endif
+
+# ifndef OPENSSL_NO_CT
+
+/*
+ * A callback for verifying that the received SCTs are sufficient.
+ * Expected to return 1 if they are sufficient, otherwise 0.
+ * May return a negative integer if an error occurs.
+ * A connection should be aborted if the SCTs are deemed insufficient.
+ */
+typedef int(*ssl_ct_validation_cb)(const CT_POLICY_EVAL_CTX *ctx,
+                                   const STACK_OF(SCT) *scts, void *arg);
+
+/*
+ * Sets a |callback| that is invoked upon receipt of ServerHelloDone to validate
+ * the received SCTs.
+ * If the callback returns a non-positive result, the connection is terminated.
+ * Call this function before beginning a handshake.
+ * If a NULL |callback| is provided, SCT validation is disabled.
+ * |arg| is arbitrary userdata that will be passed to the callback whenever it
+ * is invoked. Ownership of |arg| remains with the caller.
+ *
+ * NOTE: A side-effect of setting a CT callback is that an OCSP stapled response
+ *       will be requested.
+ */
+int SSL_set_ct_validation_callback(SSL *s, ssl_ct_validation_cb callback,
+                                   void *arg);
+int SSL_CTX_set_ct_validation_callback(SSL_CTX *ctx,
+                                       ssl_ct_validation_cb callback,
+                                       void *arg);
+#define SSL_disable_ct(s) \
+        ((void) SSL_set_validation_callback((s), NULL, NULL))
+#define SSL_CTX_disable_ct(ctx) \
+        ((void) SSL_CTX_set_validation_callback((ctx), NULL, NULL))
+
+/*
+ * The validation type enumerates the available behaviours of the built-in SSL
+ * CT validation callback selected via SSL_enable_ct() and SSL_CTX_enable_ct().
+ * The underlying callback is a static function in libssl.
+ */
+enum {
+    SSL_CT_VALIDATION_PERMISSIVE = 0,
+    SSL_CT_VALIDATION_STRICT
+};
+
+/*
+ * Enable CT by setting up a callback that implements one of the built-in
+ * validation variants.  The SSL_CT_VALIDATION_PERMISSIVE variant always
+ * continues the handshake, the application can make appropriate decisions at
+ * handshake completion.  The SSL_CT_VALIDATION_STRICT variant requires at
+ * least one valid SCT, or else handshake termination will be requested.  The
+ * handshake may continue anyway if SSL_VERIFY_NONE is in effect.
+ */
+int SSL_enable_ct(SSL *s, int validation_mode);
+int SSL_CTX_enable_ct(SSL_CTX *ctx, int validation_mode);
+
+/*
+ * Report whether a non-NULL callback is enabled.
+ */
+int SSL_ct_is_enabled(const SSL *s);
+int SSL_CTX_ct_is_enabled(const SSL_CTX *ctx);
+
+/* Gets the SCTs received from a connection */
+const STACK_OF(SCT) *SSL_get0_peer_scts(SSL *s);
+
+/*
+ * Loads the CT log list from the default location.
+ * If a CTLOG_STORE has previously been set using SSL_CTX_set_ctlog_store,
+ * the log information loaded from this file will be appended to the
+ * CTLOG_STORE.
+ * Returns 1 on success, 0 otherwise.
+ */
+int SSL_CTX_set_default_ctlog_list_file(SSL_CTX *ctx);
+
+/*
+ * Loads the CT log list from the specified file path.
+ * If a CTLOG_STORE has previously been set using SSL_CTX_set_ctlog_store,
+ * the log information loaded from this file will be appended to the
+ * CTLOG_STORE.
+ * Returns 1 on success, 0 otherwise.
+ */
+int SSL_CTX_set_ctlog_list_file(SSL_CTX *ctx, const char *path);
+
+/*
+ * Sets the CT log list used by all SSL connections created from this SSL_CTX.
+ * Ownership of the CTLOG_STORE is transferred to the SSL_CTX.
+ */
+void SSL_CTX_set0_ctlog_store(SSL_CTX *ctx, CTLOG_STORE *logs);
+
+/*
+ * Gets the CT log list used by all SSL connections created from this SSL_CTX.
+ * This will be NULL unless one of the following functions has been called:
+ * - SSL_CTX_set_default_ctlog_list_file
+ * - SSL_CTX_set_ctlog_list_file
+ * - SSL_CTX_set_ctlog_store
+ */
+const CTLOG_STORE *SSL_CTX_get0_ctlog_store(const SSL_CTX *ctx);
+
+# endif /* OPENSSL_NO_CT */
  
  /* What the "other" parameter contains in security callback */
  /* Mask for type */
@@ -1910,10 +2059,10 @@ int DTLSv1_listen(SSL *s, BIO_ADDR *client);
  void SSL_set_security_level(SSL *s, int level);
  __owur int SSL_get_security_level(const SSL *s);
  void SSL_set_security_callback(SSL *s,
-                               int (*cb) (SSL *s, SSL_CTX *ctx, int op,
+                               int (*cb) (const SSL *s, const SSL_CTX *ctx, int op,
                                            int bits, int nid, void *other,
                                            void *ex));
-int (*SSL_get_security_callback(const SSL *s)) (SSL *s, SSL_CTX *ctx, int op,
+int (*SSL_get_security_callback(const SSL *s)) (const SSL *s, const SSL_CTX *ctx, int op,
                                                  int bits, int nid,
                                                  void *other, void *ex);
  void SSL_set0_security_ex_data(SSL *s, void *ex);
@@ -1922,11 +2071,11 @@ __owur void *SSL_get0_security_ex_data(const SSL *s);
  void SSL_CTX_set_security_level(SSL_CTX *ctx, int level);
  __owur int SSL_CTX_get_security_level(const SSL_CTX *ctx);
  void SSL_CTX_set_security_callback(SSL_CTX *ctx,
-                                   int (*cb) (SSL *s, SSL_CTX *ctx, int op,
+                                   int (*cb) (const SSL *s, const SSL_CTX *ctx, int op,
                                                int bits, int nid, void *other,
                                                void *ex));
-int (*SSL_CTX_get_security_callback(const SSL_CTX *ctx)) (SSL *s,
-                                                          SSL_CTX *ctx,
+int (*SSL_CTX_get_security_callback(const SSL_CTX *ctx)) (const SSL *s,
+                                                          const SSL_CTX *ctx,
                                                            int op, int bits,
                                                            int nid,
                                                            void *other,
@@ -1960,6 +2109,8 @@ void ERR_load_SSL_strings(void);
  
  /* Function codes. */
  # define SSL_F_CHECK_SUITEB_CIPHER_LIST                   331
+# define SSL_F_CT_MOVE_SCTS                               345
+# define SSL_F_CT_STRICT                                  349
  # define SSL_F_D2I_SSL_SESSION                            103
  # define SSL_F_DANE_CTX_ENABLE                            347
  # define SSL_F_DANE_MTYPE_SET                             393
@@ -2042,10 +2193,13 @@ void ERR_load_SSL_strings(void);
  # define SSL_F_SSL_CREATE_CIPHER_LIST                     166
  # define SSL_F_SSL_CTRL                                   232
  # define SSL_F_SSL_CTX_CHECK_PRIVATE_KEY                  168
+# define SSL_F_SSL_CTX_ENABLE_CT                          398
  # define SSL_F_SSL_CTX_MAKE_PROFILES                      309
  # define SSL_F_SSL_CTX_NEW                                169
+# define SSL_F_SSL_CTX_SET_ALPN_PROTOS                    343
  # define SSL_F_SSL_CTX_SET_CIPHER_LIST                    269
  # define SSL_F_SSL_CTX_SET_CLIENT_CERT_ENGINE             290
+# define SSL_F_SSL_CTX_SET_CT_VALIDATION_CALLBACK         396
  # define SSL_F_SSL_CTX_SET_PURPOSE                        226
  # define SSL_F_SSL_CTX_SET_SESSION_ID_CONTEXT             219
  # define SSL_F_SSL_CTX_SET_SSL_VERSION                    170
@@ -2062,9 +2216,12 @@ void ERR_load_SSL_strings(void);
  # define SSL_F_SSL_CTX_USE_RSAPRIVATEKEY_FILE             179
  # define SSL_F_SSL_CTX_USE_SERVERINFO                     336
  # define SSL_F_SSL_CTX_USE_SERVERINFO_FILE                337
+# define SSL_F_SSL_DANE_DUP                               403
  # define SSL_F_SSL_DANE_ENABLE                            395
  # define SSL_F_SSL_DO_CONFIG                              391
  # define SSL_F_SSL_DO_HANDSHAKE                           180
+# define SSL_F_SSL_ENABLE_CT                              402
+# define SSL_F_SSL_GET0_PEER_SCTS                         397
  # define SSL_F_SSL_GET_NEW_SESSION                        181
  # define SSL_F_SSL_GET_PREV_SESSION                       217
  # define SSL_F_SSL_GET_SERVER_CERT_INDEX                  322
@@ -2091,8 +2248,10 @@ void ERR_load_SSL_strings(void);
  # define SSL_F_SSL_SESSION_NEW                            189
  # define SSL_F_SSL_SESSION_PRINT_FP                       190
  # define SSL_F_SSL_SESSION_SET1_ID_CONTEXT                312
+# define SSL_F_SSL_SET_ALPN_PROTOS                        344
  # define SSL_F_SSL_SET_CERT                               191
  # define SSL_F_SSL_SET_CIPHER_LIST                        271
+# define SSL_F_SSL_SET_CT_VALIDATION_CALLBACK             399
  # define SSL_F_SSL_SET_FD                                 192
  # define SSL_F_SSL_SET_PKEY                               193
  # define SSL_F_SSL_SET_PURPOSE                            227
@@ -2118,6 +2277,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_F_SSL_USE_RSAPRIVATEKEY                      204
  # define SSL_F_SSL_USE_RSAPRIVATEKEY_ASN1                 205
  # define SSL_F_SSL_USE_RSAPRIVATEKEY_FILE                 206
+# define SSL_F_SSL_VALIDATE_CT                            400
  # define SSL_F_SSL_VERIFY_CERT_CHAIN                      207
  # define SSL_F_SSL_WRITE                                  208
  # define SSL_F_STATE_MACHINE                              353
@@ -2125,6 +2285,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_F_TLS1_CHANGE_CIPHER_STATE                   209
  # define SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS            341
  # define SSL_F_TLS1_CHECK_SERVERHELLO_TLSEXT              274
+# define SSL_F_TLS1_ENC                                   401
  # define SSL_F_TLS1_EXPORT_KEYING_MATERIAL                314
  # define SSL_F_TLS1_GET_CURVELIST                         338
  # define SSL_F_TLS1_PREPARE_CLIENTHELLO_TLSEXT            275
@@ -2235,6 +2396,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_R_CONTEXT_NOT_DANE_ENABLED                   167
  # define SSL_R_COOKIE_GEN_CALLBACK_FAILURE                400
  # define SSL_R_COOKIE_MISMATCH                            308
+# define SSL_R_CUSTOM_EXT_HANDLER_ALREADY_INSTALLED       206
  # define SSL_R_DANE_ALREADY_ENABLED                       172
  # define SSL_R_DANE_CANNOT_OVERRIDE_MTYPE_FULL            173
  # define SSL_R_DANE_NOT_ENABLED                           175
@@ -2282,6 +2444,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_R_INVALID_COMMAND                            280
  # define SSL_R_INVALID_COMPRESSION_ALGORITHM              341
  # define SSL_R_INVALID_CONFIGURATION_NAME                 113
+# define SSL_R_INVALID_CT_VALIDATION_TYPE                 212
  # define SSL_R_INVALID_NULL_CMD_NAME                      385
  # define SSL_R_INVALID_PURPOSE                            278
  # define SSL_R_INVALID_SEQUENCE_NUMBER                    402
@@ -2330,6 +2493,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_R_NO_SHARED_CIPHER                           193
  # define SSL_R_NO_SHARED_SIGATURE_ALGORITHMS              376
  # define SSL_R_NO_SRTP_PROFILES                           359
+# define SSL_R_NO_VALID_SCTS                              216
  # define SSL_R_NO_VERIFY_CALLBACK                         194
  # define SSL_R_NO_VERIFY_COOKIE_CALLBACK                  403
  # define SSL_R_NULL_SSL_CTX                               195
@@ -2343,6 +2507,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE          199
  # define SSL_R_PEM_NAME_BAD_PREFIX                        391
  # define SSL_R_PEM_NAME_TOO_SHORT                         392
+# define SSL_R_PIPELINE_FAILURE                           406
  # define SSL_R_PRE_MAC_LENGTH_TOO_LONG                    205
  # define SSL_R_PROTOCOL_IS_SHUTDOWN                       207
  # define SSL_R_PSK_IDENTITY_NOT_FOUND                     223
@@ -2359,8 +2524,10 @@ void ERR_load_SSL_strings(void);
  # define SSL_R_REQUIRED_CIPHER_MISSING                    215
  # define SSL_R_REQUIRED_COMPRESSSION_ALGORITHM_MISSING    342
  # define SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING           345
+# define SSL_R_SCT_VERIFICATION_FAILED                    208
  # define SSL_R_SERVERHELLO_TLSEXT                         275
  # define SSL_R_SESSION_ID_CONTEXT_UNINITIALIZED           277
+# define SSL_R_SET_FAILED                                 209
  # define SSL_R_SHUTDOWN_WHILE_IN_INIT                     407
  # define SSL_R_SIGNATURE_ALGORITHMS_ERROR                 360
  # define SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE      220
@@ -2385,6 +2552,7 @@ void ERR_load_SSL_strings(void);
  # define SSL_R_SSL_SESSION_ID_CONFLICT                    302
  # define SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG            273
  # define SSL_R_SSL_SESSION_ID_HAS_BAD_LENGTH              303
+# define SSL_R_SSL_SESSION_VERSION_MISMATCH               210
  # define SSL_R_TLS_CLIENT_CERT_REQ_WITH_ANON_CIPHER       232
  # define SSL_R_TLS_HEARTBEAT_PEER_DOESNT_ACCEPT           365
  # define SSL_R_TLS_HEARTBEAT_PENDING                      366