make EVP_PKEY opaque

[openssl.git] / ssl / ssl_cert.c
diff --git a/ssl/ssl_cert.c b/ssl/ssl_cert.c

index 3304a1d164d49a610445a1853d0875d40252fe50..2aaf99cc239fa6898868fd788655b9c07a57207a 100644 (file)
--- a/ssl/ssl_cert.c
+++ b/ssl/ssl_cert.c
@@ -195,54 +195,15 @@ CERT *ssl_cert_dup(CERT *cert)
      ret->references = 1;
      ret->key = &ret->pkeys[cert->key - cert->pkeys];
  
-#ifndef OPENSSL_NO_RSA
-    if (cert->rsa_tmp != NULL) {
-        RSA_up_ref(cert->rsa_tmp);
-        ret->rsa_tmp = cert->rsa_tmp;
-    }
-    ret->rsa_tmp_cb = cert->rsa_tmp_cb;
-#endif
-
  #ifndef OPENSSL_NO_DH
      if (cert->dh_tmp != NULL) {
-        ret->dh_tmp = DHparams_dup(cert->dh_tmp);
-        if (ret->dh_tmp == NULL) {
-            SSLerr(SSL_F_SSL_CERT_DUP, ERR_R_DH_LIB);
-            goto err;
-        }
-        if (cert->dh_tmp->priv_key) {
-            BIGNUM *b = BN_dup(cert->dh_tmp->priv_key);
-            if (!b) {
-                SSLerr(SSL_F_SSL_CERT_DUP, ERR_R_BN_LIB);
-                goto err;
-            }
-            ret->dh_tmp->priv_key = b;
-        }
-        if (cert->dh_tmp->pub_key) {
-            BIGNUM *b = BN_dup(cert->dh_tmp->pub_key);
-            if (!b) {
-                SSLerr(SSL_F_SSL_CERT_DUP, ERR_R_BN_LIB);
-                goto err;
-            }
-            ret->dh_tmp->pub_key = b;
-        }
+        ret->dh_tmp = cert->dh_tmp;
+        EVP_PKEY_up_ref(ret->dh_tmp);
      }
      ret->dh_tmp_cb = cert->dh_tmp_cb;
      ret->dh_tmp_auto = cert->dh_tmp_auto;
  #endif
  
-#ifndef OPENSSL_NO_EC
-    if (cert->ecdh_tmp) {
-        ret->ecdh_tmp = EC_KEY_dup(cert->ecdh_tmp);
-        if (ret->ecdh_tmp == NULL) {
-            SSLerr(SSL_F_SSL_CERT_DUP, ERR_R_EC_LIB);
-            goto err;
-        }
-    }
-    ret->ecdh_tmp_cb = cert->ecdh_tmp_cb;
-    ret->ecdh_tmp_auto = cert->ecdh_tmp_auto;
-#endif
-
      for (i = 0; i < SSL_PKEY_NUM; i++) {
          CERT_PKEY *cpk = cert->pkeys + i;
          CERT_PKEY *rpk = ret->pkeys + i;
@@ -253,7 +214,7 @@ CERT *ssl_cert_dup(CERT *cert)
  
          if (cpk->privatekey != NULL) {
              rpk->privatekey = cpk->privatekey;
-            CRYPTO_add(&cpk->privatekey->references, 1, CRYPTO_LOCK_EVP_PKEY);
+            EVP_PKEY_up_ref(cpk->privatekey);
          }
  
          if (cpk->chain) {
@@ -282,7 +243,7 @@ CERT *ssl_cert_dup(CERT *cert)
      /* Configured sigalgs copied across */
      if (cert->conf_sigalgs) {
          ret->conf_sigalgs = OPENSSL_malloc(cert->conf_sigalgslen);
-        if (!ret->conf_sigalgs)
+        if (ret->conf_sigalgs == NULL)
              goto err;
          memcpy(ret->conf_sigalgs, cert->conf_sigalgs, cert->conf_sigalgslen);
          ret->conf_sigalgslen = cert->conf_sigalgslen;
@@ -291,7 +252,7 @@ CERT *ssl_cert_dup(CERT *cert)
  
      if (cert->client_sigalgs) {
          ret->client_sigalgs = OPENSSL_malloc(cert->client_sigalgslen);
-        if (!ret->client_sigalgs)
+        if (ret->client_sigalgs == NULL)
              goto err;
          memcpy(ret->client_sigalgs, cert->client_sigalgs,
                 cert->client_sigalgslen);
@@ -303,7 +264,7 @@ CERT *ssl_cert_dup(CERT *cert)
      /* Copy any custom client certificate types */
      if (cert->ctypes) {
          ret->ctypes = OPENSSL_malloc(cert->ctype_num);
-        if (!ret->ctypes)
+        if (ret->ctypes == NULL)
              goto err;
          memcpy(ret->ctypes, cert->ctypes, cert->ctype_num);
          ret->ctype_num = cert->ctype_num;
@@ -335,7 +296,7 @@ CERT *ssl_cert_dup(CERT *cert)
          goto err;
  #ifndef OPENSSL_NO_PSK
      if (cert->psk_identity_hint) {
-        ret->psk_identity_hint = BUF_strdup(cert->psk_identity_hint);
+        ret->psk_identity_hint = OPENSSL_strdup(cert->psk_identity_hint);
          if (ret->psk_identity_hint == NULL)
              goto err;
      }
@@ -389,14 +350,8 @@ void ssl_cert_free(CERT *c)
      }
  #endif
  
-#ifndef OPENSSL_NO_RSA
-    RSA_free(c->rsa_tmp);
-#endif
  #ifndef OPENSSL_NO_DH
-    DH_free(c->dh_tmp);
-#endif
-#ifndef OPENSSL_NO_EC
-    EC_KEY_free(c->ecdh_tmp);
+    EVP_PKEY_free(c->dh_tmp);
  #endif
  
      ssl_cert_clear_certs(c);
@@ -531,6 +486,7 @@ int ssl_verify_cert_chain(SSL *s, STACK_OF(X509) *sk)
      int i;
      X509_STORE *verify_store;
      X509_STORE_CTX ctx;
+    X509_VERIFY_PARAM *param;
  
      if (s->cert->verify_store)
          verify_store = s->cert->verify_store;
@@ -545,10 +501,16 @@ int ssl_verify_cert_chain(SSL *s, STACK_OF(X509) *sk)
          SSLerr(SSL_F_SSL_VERIFY_CERT_CHAIN, ERR_R_X509_LIB);
          return (0);
      }
+    param = X509_STORE_CTX_get0_param(&ctx);
+
      /* Set suite B flags if needed */
      X509_STORE_CTX_set_flags(&ctx, tls1_suiteb(s));
      X509_STORE_CTX_set_ex_data(&ctx, SSL_get_ex_data_X509_STORE_CTX_idx(), s);
  
+    /* Verify via DANE if enabled */
+    if (DANETLS_ENABLED(&s->dane))
+        X509_STORE_CTX_set0_dane(&ctx, &s->dane);
+
      /*
       * We need to inherit the verify parameters. These can be determined by
       * the context: if its a server it will verify SSL client certificates or
@@ -557,9 +519,9 @@ int ssl_verify_cert_chain(SSL *s, STACK_OF(X509) *sk)
  
      X509_STORE_CTX_set_default(&ctx, s->server ? "ssl_client" : "ssl_server");
      /*
-     * Anything non-default in "param" should overwrite anything in the ctx.
+     * Anything non-default in "s->param" should overwrite anything in the ctx.
       */
-    X509_VERIFY_PARAM_set1(X509_STORE_CTX_get0_param(&ctx), s->param);
+    X509_VERIFY_PARAM_set1(param, s->param);
  
      if (s->verify_callback)
          X509_STORE_CTX_set_verify_cb(&ctx, s->verify_callback);
@@ -579,6 +541,10 @@ int ssl_verify_cert_chain(SSL *s, STACK_OF(X509) *sk)
      }
  
      s->verify_result = ctx.error;
+
+    /* Move peername from the store context params to the SSL handle's */
+    X509_VERIFY_PARAM_move_peername(s->param, param);
+
      X509_STORE_CTX_cleanup(&ctx);
  
      return (i);
@@ -914,6 +880,12 @@ int ssl_add_cert_chain(SSL *s, CERT_PKEY *cpk, unsigned long *l)
              SSLerr(SSL_F_SSL_ADD_CERT_CHAIN, ERR_R_X509_LIB);
              return (0);
          }
+        /*
+         * It is valid for the chain not to be complete (because normally we
+         * don't include the root cert in the chain). Therefore we deliberately
+         * ignore the error return from this call. We're not actually verifying
+         * the cert - we're just building as much of the chain as we can
+         */
          X509_verify_cert(&xs_ctx);
          /* Don't leave errors in the queue */
          ERR_clear_error();
@@ -968,7 +940,7 @@ int ssl_build_cert_chain(SSL *s, SSL_CTX *ctx, int flags)
      /* Rearranging and check the chain: add everything to a store */
      if (flags & SSL_BUILD_CHAIN_FLAG_CHECK) {
          chain_store = X509_STORE_new();
-        if (!chain_store)
+        if (chain_store == NULL)
              goto err;
          for (i = 0; i < sk_X509_num(cpk->chain); i++) {
              x = sk_X509_value(cpk->chain, i);
@@ -1090,9 +1062,16 @@ static int ssl_security_default_callback(SSL *s, SSL_CTX *ctx, int op,
          level = SSL_CTX_get_security_level(ctx);
      else
          level = SSL_get_security_level(s);
-    /* Level 0: anything goes */
-    if (level <= 0)
+
+    if (level <= 0) {
+        /*
+         * No EDH keys weaker than 1024-bits even at level 0, otherwise,
+         * anything goes.
+         */
+        if (op == SSL_SECOP_TMP_DH && bits < 80)
+            return 0;
          return 1;
+    }
      if (level > 5)
          level = 5;
      minbits = minbits_table[level - 1];
@@ -1123,15 +1102,21 @@ static int ssl_security_default_callback(SSL *s, SSL_CTX *ctx, int op,
              break;
          }
      case SSL_SECOP_VERSION:
-        /* SSLv3 not allowed on level 2 */
-        if (nid <= SSL3_VERSION && level >= 2)
-            return 0;
-        /* TLS v1.1 and above only for level 3 */
-        if (nid <= TLS1_VERSION && level >= 3)
-            return 0;
-        /* TLS v1.2 only for level 4 and above */
-        if (nid <= TLS1_1_VERSION && level >= 4)
-            return 0;
+        if (!SSL_IS_DTLS(s)) {
+            /* SSLv3 not allowed at level 2 */
+            if (nid <= SSL3_VERSION && level >= 2)
+                return 0;
+            /* TLS v1.1 and above only for level 3 */
+            if (nid <= TLS1_VERSION && level >= 3)
+                return 0;
+            /* TLS v1.2 only for level 4 and above */
+            if (nid <= TLS1_1_VERSION && level >= 4)
+                return 0;
+        } else {
+            /* DTLS v1.2 only for level 4 and above */
+            if (DTLS_VERSION_LT(nid, DTLS1_2_VERSION) && level >= 4)
+                return 0;
+        }
          break;
  
      case SSL_SECOP_COMPRESSION: