Introduce the recv_max_early_data setting

[openssl.git] / ssl / ssl_locl.h
diff --git a/ssl/ssl_locl.h b/ssl/ssl_locl.h

index 4607bc79049a44ac850f65f5d4f87997e48cbeb5..0bf3f16f35a96c8a6d617ab8b3e28a3efe5b5a9a 100644 (file)
--- a/ssl/ssl_locl.h
+++ b/ssl/ssl_locl.h
@@ -1,5 +1,5 @@
  /*
- * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
+ * Copyright 1995-2018 The OpenSSL Project Authors. All Rights Reserved.
   * Copyright (c) 2002, Oracle and/or its affiliates. All rights reserved
   * Copyright 2005 Nokia. All rights reserved.
   *
@@ -11,20 +11,16 @@
  
  #ifndef HEADER_SSL_LOCL_H
  # define HEADER_SSL_LOCL_H
+
+# include "e_os.h"              /* struct timeval for DTLS */
  # include <stdlib.h>
  # include <time.h>
  # include <string.h>
  # include <errno.h>
  
-# include "e_os.h"
-# if defined(__unix) || defined(__unix__)
-#  include <sys/time.h>         /* struct timeval for DTLS */
-# endif
-
  # include <openssl/buffer.h>
  # include <openssl/comp.h>
  # include <openssl/bio.h>
-# include <openssl/stack.h>
  # include <openssl/rsa.h>
  # include <openssl/dsa.h>
  # include <openssl/err.h>
@@ -206,6 +202,9 @@
  # define SSL_aGOST12             0x00000080U
  /* Any appropriate signature auth (for TLS 1.3 ciphersuites) */
  # define SSL_aANY                0x00000000U
+/* All bits requiring a certificate */
+#define SSL_aCERT \
+    (SSL_aRSA | SSL_aDSS | SSL_aECDSA | SSL_aGOST01 | SSL_aGOST12)
  
  /* Bits for algorithm_enc (symmetric encryption) */
  # define SSL_DES                 0x00000001U
@@ -228,12 +227,16 @@
  # define SSL_AES256CCM8          0x00020000U
  # define SSL_eGOST2814789CNT12   0x00040000U
  # define SSL_CHACHA20POLY1305    0x00080000U
+# define SSL_ARIA128GCM          0x00100000U
+# define SSL_ARIA256GCM          0x00200000U
  
  # define SSL_AESGCM              (SSL_AES128GCM | SSL_AES256GCM)
  # define SSL_AESCCM              (SSL_AES128CCM | SSL_AES256CCM | SSL_AES128CCM8 | SSL_AES256CCM8)
  # define SSL_AES                 (SSL_AES128|SSL_AES256|SSL_AESGCM|SSL_AESCCM)
  # define SSL_CAMELLIA            (SSL_CAMELLIA128|SSL_CAMELLIA256)
  # define SSL_CHACHA20            (SSL_CHACHA20POLY1305)
+# define SSL_ARIAGCM             (SSL_ARIA128GCM | SSL_ARIA256GCM)
+# define SSL_ARIA                (SSL_ARIAGCM)
  
  /* Bits for algorithm_mac (symmetric authentication) */
  
@@ -320,10 +323,14 @@
                            && (s)->method->version != TLS_ANY_VERSION)
  
  # define SSL_TREAT_AS_TLS13(s) \
-    (SSL_IS_TLS13(s) || (s)->early_data_state == SSL_EARLY_DATA_WRITING \
-     || (s)->early_data_state == SSL_EARLY_DATA_WRITE_RETRY)
+    (SSL_IS_TLS13(s) || (s)->early_data_state == SSL_EARLY_DATA_CONNECTING \
+     || (s)->early_data_state == SSL_EARLY_DATA_CONNECT_RETRY \
+     || (s)->early_data_state == SSL_EARLY_DATA_WRITING \
+     || (s)->early_data_state == SSL_EARLY_DATA_WRITE_RETRY \
+     || (s)->hello_retry_request == SSL_HRR_PENDING)
  
-# define SSL_IS_FIRST_HANDSHAKE(S) ((s)->s3->tmp.finish_md_len == 0)
+# define SSL_IS_FIRST_HANDSHAKE(S) ((s)->s3->tmp.finish_md_len == 0 \
+                                    || (s)->s3->tmp.peer_finish_md_len == 0)
  
  /* See if we need explicit IV */
  # define SSL_USE_EXPLICIT_IV(s)  \
@@ -354,29 +361,28 @@
  # define SSL_CLIENT_USE_SIGALGS(s)        \
      SSL_CLIENT_USE_TLS1_2_CIPHERS(s)
  
+# define IS_MAX_FRAGMENT_LENGTH_EXT_VALID(value) \
+    (((value) >= TLSEXT_max_fragment_length_512) && \
+     ((value) <= TLSEXT_max_fragment_length_4096))
+# define USE_MAX_FRAGMENT_LENGTH_EXT(session) \
+    IS_MAX_FRAGMENT_LENGTH_EXT_VALID(session->ext.max_fragment_len_mode)
+# define GET_MAX_FRAGMENT_LENGTH(session) \
+    (512U << (session->ext.max_fragment_len_mode - 1))
+
  # define SSL_READ_ETM(s) (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC_READ)
  # define SSL_WRITE_ETM(s) (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC_WRITE)
  
  /* Mostly for SSLv3 */
  # define SSL_PKEY_RSA            0
-# define SSL_PKEY_DSA_SIGN       1
-# define SSL_PKEY_ECC            2
-# define SSL_PKEY_GOST01         3
-# define SSL_PKEY_GOST12_256     4
-# define SSL_PKEY_GOST12_512     5
-# define SSL_PKEY_ED25519        6
-# define SSL_PKEY_NUM            7
-/*
- * Pseudo-constant. GOST cipher suites can use different certs for 1
- * SSL_CIPHER. So let's see which one we have in fact.
- */
-# define SSL_PKEY_GOST_EC SSL_PKEY_NUM+1
-
-/*
- * TODO(TLS1.3) for now use SSL_PKEY_RSA keys for PSS
- */
-
-#define SSL_PKEY_RSA_PSS_SIGN SSL_PKEY_RSA
+# define SSL_PKEY_RSA_PSS_SIGN   1
+# define SSL_PKEY_DSA_SIGN       2
+# define SSL_PKEY_ECC            3
+# define SSL_PKEY_GOST01         4
+# define SSL_PKEY_GOST12_256     5
+# define SSL_PKEY_GOST12_512     6
+# define SSL_PKEY_ED25519        7
+# define SSL_PKEY_ED448          8
+# define SSL_PKEY_NUM            9
  
  /*-
   * SSL_kRSA <- RSA_ENC
@@ -392,12 +398,22 @@
  #define CERT_PRIVATE_KEY        2
  */
  
+/* Post-Handshake Authentication state */
+typedef enum {
+    SSL_PHA_NONE = 0,
+    SSL_PHA_EXT_SENT,        /* client-side only: extension sent */
+    SSL_PHA_EXT_RECEIVED,    /* server-side only: extension received */
+    SSL_PHA_REQUEST_PENDING, /* server-side only: request pending */
+    SSL_PHA_REQUESTED        /* request received by client, or sent by server */
+} SSL_PHA_STATE;
+
  /* CipherSuite length. SSLv3 and all TLS versions. */
  # define TLS_CIPHER_LEN 2
  /* used to hold info on the particular ciphers used */
  struct ssl_cipher_st {
      uint32_t valid;
      const char *name;           /* text name */
+    const char *stdname;        /* RFC name */
      uint32_t id;                /* id, 4 bytes, first is version */
      /*
       * changed in 1.0.0: these four used to be portions of a single value
@@ -454,6 +470,8 @@ struct ssl_method_st {
      long (*ssl_ctx_callback_ctrl) (SSL_CTX *s, int cb_id, void (*fp) (void));
  };
  
+# define TLS13_MAX_RESUMPTION_PSK_LENGTH      64
+
  /*-
   * Lets make this into an ASN.1 type structure as follows
   * SSL_SESSION_ID ::= SEQUENCE {
@@ -485,11 +503,13 @@ struct ssl_session_st {
                                   * in here? */
      size_t master_key_length;
  
+    /* TLSv1.3 early_secret used for external PSKs */
+    unsigned char early_secret[EVP_MAX_MD_SIZE];
      /*
       * For <=TLS1.2 this is the master_key. For TLS1.3 this is the resumption
-     * master secret
+     * PSK
       */
-    unsigned char master_key[TLS13_MAX_RESUMPTION_MASTER_LENGTH];
+    unsigned char master_key[TLS13_MAX_RESUMPTION_PSK_LENGTH];
      /* session_id - valid? */
      size_t session_id_length;
      unsigned char session_id[SSL_MAX_SSL_SESSION_ID_LENGTH];
@@ -527,7 +547,7 @@ struct ssl_session_st {
      const SSL_CIPHER *cipher;
      unsigned long cipher_id;    /* when ASN.1 loaded, this needs to be used to
                                   * load the 'cipher' structure */
-    STACK_OF(SSL_CIPHER) *ciphers; /* shared ciphers? */
+    STACK_OF(SSL_CIPHER) *ciphers; /* ciphers offered by the client */
      CRYPTO_EX_DATA ex_data;     /* application specific data */
      /*
       * These are used to make removal of session-ids more efficient and to
@@ -540,9 +560,9 @@ struct ssl_session_st {
  # ifndef OPENSSL_NO_EC
          size_t ecpointformats_len;
          unsigned char *ecpointformats; /* peer's list */
-        size_t supportedgroups_len;
-        unsigned char *supportedgroups; /* peer's list */
  # endif                         /* OPENSSL_NO_EC */
+        size_t supportedgroups_len;
+        uint16_t *supportedgroups; /* peer's list */
      /* RFC4507 info */
          unsigned char *tick; /* Session ticket */
          size_t ticklen;      /* Session ticket length */
@@ -555,10 +575,19 @@ struct ssl_session_st {
          /* The ALPN protocol selected for this session */
          unsigned char *alpn_selected;
          size_t alpn_selected_len;
+        /*
+         * Maximum Fragment Length as per RFC 4366.
+         * If this value does not contain RFC 4366 allowed values (1-4) then
+         * either the Maximum Fragment Length Negotiation failed or was not
+         * performed at all.
+         */
+        uint8_t max_fragment_len_mode;
      } ext;
  # ifndef OPENSSL_NO_SRP
      char *srp_username;
  # endif
+    unsigned char *ticket_appdata;
+    size_t ticket_appdata_len;
      uint32_t flags;
      CRYPTO_RWLOCK *lock;
  };
@@ -593,6 +622,7 @@ typedef enum {
      SSL_EARLY_DATA_CONNECTING,
      SSL_EARLY_DATA_WRITE_RETRY,
      SSL_EARLY_DATA_WRITING,
+    SSL_EARLY_DATA_WRITE_FLUSH,
      SSL_EARLY_DATA_UNAUTH_WRITING,
      SSL_EARLY_DATA_FINISHED_WRITING,
      SSL_EARLY_DATA_ACCEPT_RETRY,
@@ -666,11 +696,11 @@ typedef struct {
  typedef enum tlsext_index_en {
      TLSEXT_IDX_renegotiate,
      TLSEXT_IDX_server_name,
+    TLSEXT_IDX_max_fragment_length,
      TLSEXT_IDX_srp,
      TLSEXT_IDX_ec_point_formats,
      TLSEXT_IDX_supported_groups,
      TLSEXT_IDX_session_ticket,
-    TLSEXT_IDX_signature_algorithms,
      TLSEXT_IDX_status_request,
      TLSEXT_IDX_next_proto_neg,
      TLSEXT_IDX_application_layer_protocol_negotiation,
@@ -678,6 +708,9 @@ typedef enum tlsext_index_en {
      TLSEXT_IDX_encrypt_then_mac,
      TLSEXT_IDX_signed_certificate_timestamp,
      TLSEXT_IDX_extended_master_secret,
+    TLSEXT_IDX_signature_algorithms_cert,
+    TLSEXT_IDX_post_handshake_auth,
+    TLSEXT_IDX_signature_algorithms,
      TLSEXT_IDX_supported_versions,
      TLSEXT_IDX_psk_kex_modes,
      TLSEXT_IDX_key_share,
@@ -695,13 +728,21 @@ DEFINE_LHASH_OF(SSL_SESSION);
  /* Needed in ssl_cert.c */
  DEFINE_LHASH_OF(X509_NAME);
  
-# define TLSEXT_KEYNAME_LENGTH 16
+# define TLSEXT_KEYNAME_LENGTH  16
+# define TLSEXT_TICK_KEY_LENGTH 32
+
+typedef struct ssl_ctx_ext_secure_st {
+    unsigned char tick_hmac_key[TLSEXT_TICK_KEY_LENGTH];
+    unsigned char tick_aes_key[TLSEXT_TICK_KEY_LENGTH];
+} SSL_CTX_EXT_SECURE;
  
  struct ssl_ctx_st {
      const SSL_METHOD *method;
      STACK_OF(SSL_CIPHER) *cipher_list;
      /* same as above but sorted for lookup */
      STACK_OF(SSL_CIPHER) *cipher_list_by_id;
+    /* TLSv1.3 specific ciphersuites */
+    STACK_OF(SSL_CIPHER) *tls13_ciphersuites;
      struct x509_store_st /* X509_STORE */ *cert_store;
      LHASH_OF(SSL_SESSION) *sessions;
      /*
@@ -714,7 +755,7 @@ struct ssl_ctx_st {
      /*
       * This can have one of 2 values, ored together, SSL_SESS_CACHE_CLIENT,
       * SSL_SESS_CACHE_SERVER, Default is SSL_SESSION_CACHE_SERVER, which
-     * means only SSL_accept which cache SSL_SESSIONS.
+     * means only SSL_accept will cache SSL_SESSIONS.
       */
      uint32_t session_cache_mode;
      /*
@@ -782,6 +823,14 @@ struct ssl_ctx_st {
      int (*app_verify_cookie_cb) (SSL *ssl, const unsigned char *cookie,
                                   unsigned int cookie_len);
  
+    /* TLS1.3 app-controlled cookie generate callback */
+    int (*gen_stateless_cookie_cb) (SSL *ssl, unsigned char *cookie,
+                                    size_t *cookie_len);
+
+    /* TLS1.3 verify app-controlled cookie callback */
+    int (*verify_stateless_cookie_cb) (SSL *ssl, const unsigned char *cookie,
+                                       size_t cookie_len);
+
      CRYPTO_EX_DATA ex_data;
  
      const EVP_MD *md5;          /* For SSLv3/TLSv1 'ssl3-md5' */
@@ -868,9 +917,9 @@ struct ssl_ctx_st {
      ENGINE *client_cert_engine;
  # endif
  
-    /* Early callback.  Mostly for extensions, but not entirely. */
-    SSL_early_cb_fn early_cb;
-    void *early_cb_arg;
+    /* ClientHello callback.  Mostly for extensions, but not entirely. */
+    SSL_client_hello_cb_fn client_hello_cb;
+    void *client_hello_cb_arg;
  
      /* TLS extensions. */
      struct {
@@ -879,8 +928,7 @@ struct ssl_ctx_st {
          void *servername_arg;
          /* RFC 4507 session ticket keys */
          unsigned char tick_key_name[TLSEXT_KEYNAME_LENGTH];
-        unsigned char tick_hmac_key[32];
-        unsigned char tick_aes_key[32];
+        SSL_CTX_EXT_SECURE *secure;
          /* Callback to support customisation of ticket key setting */
          int (*ticket_key_cb) (SSL *ssl,
                                unsigned char *name, unsigned char *iv,
@@ -892,13 +940,15 @@ struct ssl_ctx_st {
          void *status_arg;
          /* ext status type used for CSR extension (OCSP Stapling) */
          int status_type;
+        /* RFC 4366 Maximum Fragment Length Negotiation */
+        uint8_t max_fragment_len_mode;
  
  # ifndef OPENSSL_NO_EC
          /* EC extension values inherited by SSL structure */
          size_t ecpointformats_len;
          unsigned char *ecpointformats;
          size_t supportedgroups_len;
-        unsigned char *supportedgroups;
+        uint16_t *supportedgroups;
  # endif                         /* OPENSSL_NO_EC */
  
          /*
@@ -946,12 +996,16 @@ struct ssl_ctx_st {
          SSL_CTX_npn_select_cb_func npn_select_cb;
          void *npn_select_cb_arg;
  # endif
+
+        unsigned char cookie_hmac_key[SHA256_DIGEST_LENGTH];
      } ext;
  
  # ifndef OPENSSL_NO_PSK
      SSL_psk_client_cb_func psk_client_callback;
      SSL_psk_server_cb_func psk_server_callback;
  # endif
+    SSL_psk_find_session_cb_func psk_find_session_cb;
+    SSL_psk_use_session_cb_func psk_use_session_cb;
  
  # ifndef OPENSSL_NO_SRP
      SRP_CTX srp_ctx;            /* ctx for SRP authentication */
@@ -960,8 +1014,10 @@ struct ssl_ctx_st {
      /* Shared DANE context */
      struct dane_ctx_st dane;
  
+# ifndef OPENSSL_NO_SRTP
      /* SRTP profiles we are willing to do from RFC 5764 */
      STACK_OF(SRTP_PROTECTION_PROFILE) *srtp_profiles;
+# endif
      /*
       * Callback for disabling session caching and ticket support on a session
       * basis, depending on the chosen cipher.
@@ -976,13 +1032,34 @@ struct ssl_ctx_st {
       */
      SSL_CTX_keylog_cb_func keylog_callback;
  
-    /* The maximum number of bytes that can be sent as early data */
+    /*
+     * The maximum number of bytes advertised in session tickets that can be
+     * sent as early data.
+     */
      uint32_t max_early_data;
  
+    /*
+     * The maximum number of bytes of early data that a server will tolerate
+     * (which should be at least as much as max_early_data).
+     */
+    uint32_t recv_max_early_data;
+
      /* TLS1.3 padding callback */
      size_t (*record_padding_cb)(SSL *s, int type, size_t len, void *arg);
      void *record_padding_arg;
      size_t block_padding;
+
+    /* Session ticket appdata */
+    SSL_CTX_generate_session_ticket_fn generate_ticket_cb;
+    SSL_CTX_decrypt_session_ticket_fn decrypt_ticket_cb;
+    void *ticket_cb_data;
+
+    /* The number of TLS1.3 tickets to automatically send */
+    size_t num_tickets;
+
+    /* Callback to determine if early_data is acceptable or not */
+    SSL_allow_early_data_cb_fn allow_early_data_cb;
+    void *allow_early_data_cb_data;
  };
  
  struct ssl_st {
@@ -991,6 +1068,8 @@ struct ssl_st {
       * DTLS1_VERSION)
       */
      int version;
+    /* TODO(TLS1.3): Remove this before release */
+    int version_draft;
      /* SSLv3 */
      const SSL_METHOD *method;
      /*
@@ -1051,24 +1130,28 @@ struct ssl_st {
      /* crypto */
      STACK_OF(SSL_CIPHER) *cipher_list;
      STACK_OF(SSL_CIPHER) *cipher_list_by_id;
+    /* TLSv1.3 specific ciphersuites */
+    STACK_OF(SSL_CIPHER) *tls13_ciphersuites;
      /*
       * These are the ones being used, the ones in SSL_SESSION are the ones to
       * be 'copied' into these ones
       */
      uint32_t mac_flags;
      /*
-     * The TLS1.3 secrets. The resumption master secret is stored in the
-     * session.
+     * The TLS1.3 secrets.
       */
      unsigned char early_secret[EVP_MAX_MD_SIZE];
      unsigned char handshake_secret[EVP_MAX_MD_SIZE];
      unsigned char master_secret[EVP_MAX_MD_SIZE];
+    unsigned char resumption_master_secret[EVP_MAX_MD_SIZE];
      unsigned char client_finished_secret[EVP_MAX_MD_SIZE];
      unsigned char server_finished_secret[EVP_MAX_MD_SIZE];
      unsigned char server_finished_hash[EVP_MAX_MD_SIZE];
      unsigned char handshake_traffic_hash[EVP_MAX_MD_SIZE];
      unsigned char client_app_traffic_secret[EVP_MAX_MD_SIZE];
      unsigned char server_app_traffic_secret[EVP_MAX_MD_SIZE];
+    unsigned char exporter_master_secret[EVP_MAX_MD_SIZE];
+    unsigned char early_exporter_master_secret[EVP_MAX_MD_SIZE];
      EVP_CIPHER_CTX *enc_read_ctx; /* cryptographic state */
      unsigned char read_iv[EVP_MAX_IV_LENGTH]; /* TLSv1.3 static read IV */
      EVP_MD_CTX *read_hash;      /* used for mac generation */
@@ -1092,7 +1175,8 @@ struct ssl_st {
      size_t cert_verify_hash_len;
  
      /* Flag to indicate whether we should send a HelloRetryRequest or not */
-    int hello_retry_request;
+    enum {SSL_HRR_NONE = 0, SSL_HRR_PENDING, SSL_HRR_COMPLETE}
+        hello_retry_request;
  
      /*
       * the session_id_context is used to ensure sessions are only reused in
@@ -1102,8 +1186,18 @@ struct ssl_st {
      unsigned char sid_ctx[SSL_MAX_SID_CTX_LENGTH];
      /* This can also be in the session once a session is established */
      SSL_SESSION *session;
+    /* TLSv1.3 PSK session */
+    SSL_SESSION *psksession;
+    unsigned char *psksession_id;
+    size_t psksession_id_len;
      /* Default generate session ID callback. */
      GEN_SESSION_CB generate_session_id;
+    /*
+     * The temporary TLSv1.3 session id. This isn't really a session id at all
+     * but is a random value sent in the legacy session id field.
+     */
+    unsigned char tmp_session_id[SSL_MAX_SSL_SESSION_ID_LENGTH];
+    size_t tmp_session_id_len;
      /* Used in SSL3 */
      /*
       * 0 don't care about verify failure.
@@ -1122,6 +1216,9 @@ struct ssl_st {
      SSL_psk_client_cb_func psk_client_callback;
      SSL_psk_server_cb_func psk_server_callback;
  # endif
+    SSL_psk_find_session_cb_func psk_find_session_cb;
+    SSL_psk_use_session_cb_func psk_use_session_cb;
+
      SSL_CTX *ctx;
      /* Verified chain of peer */
      STACK_OF(X509) *verified_chain;
@@ -1190,10 +1287,10 @@ struct ssl_st {
          size_t ecpointformats_len;
          /* our list */
          unsigned char *ecpointformats;
+# endif                         /* OPENSSL_NO_EC */
          size_t supportedgroups_len;
          /* our list */
-        unsigned char *supportedgroups;
-# endif                         /* OPENSSL_NO_EC */
+        uint16_t *supportedgroups;
          /* TLS Session Ticket extension override */
          TLS_SESSION_TICKET_EXT *session_ticket;
          /* TLS Session Ticket extension callback */
@@ -1232,9 +1329,25 @@ struct ssl_st {
          /* May be sent by a server in HRR. Must be echoed back in ClientHello */
          unsigned char *tls13_cookie;
          size_t tls13_cookie_len;
+        /* Have we received a cookie from the client? */
+        int cookieok;
+
+        /*
+         * Maximum Fragment Length as per RFC 4366.
+         * If this member contains one of the allowed values (1-4)
+         * then we should include Maximum Fragment Length Negotiation
+         * extension in Client Hello.
+         * Please note that value of this member does not have direct
+         * effect. The actual (binding) value is stored in SSL_SESSION,
+         * as this extension is optional on server side.
+         */
+        uint8_t max_fragment_len_mode;
      } ext;
  
-    /* Parsed form of the ClientHello, kept around across early_cb calls. */
+    /*
+     * Parsed form of the ClientHello, kept around across client_hello_cb
+     * calls.
+     */
      CLIENTHELLO_MSG *clienthello;
  
      /*-
@@ -1261,10 +1374,12 @@ struct ssl_st {
      int scts_parsed;
  # endif
      SSL_CTX *session_ctx;       /* initial ctx, used to store sessions */
+# ifndef OPENSSL_NO_SRTP
      /* What we'll do */
      STACK_OF(SRTP_PROTECTION_PROFILE) *srtp_profiles;
      /* What's been chosen */
      SRTP_PROTECTION_PROFILE *srtp_profile;
+# endif
      /*-
       * 1 if we are renegotiating.
       * 2 if we are a server and are inside a handshake
@@ -1273,6 +1388,14 @@ struct ssl_st {
      int renegotiate;
      /* If sending a KeyUpdate is pending */
      int key_update;
+    /* Post-handshake authentication state */
+    SSL_PHA_STATE post_handshake_auth;
+    int pha_forced;
+    uint8_t* pha_context;
+    size_t pha_context_len;
+    int certreqs_sent;
+    EVP_MD_CTX *pha_dgst; /* this is just the digest through ClientFinished */
+
  # ifndef OPENSSL_NO_SRP
      /* ctx for SRP authentication */
      SRP_CTX srp_ctx;
@@ -1292,8 +1415,17 @@ struct ssl_st {
      ASYNC_WAIT_CTX *waitctx;
      size_t asyncrw;
  
-    /* The maximum number of plaintext bytes that can be sent as early data */
+    /*
+     * The maximum number of bytes advertised in session tickets that can be
+     * sent as early data.
+     */
      uint32_t max_early_data;
+    /*
+     * The maximum number of bytes of early data that a server will tolerate
+     * (which should be at least as much as max_early_data).
+     */
+    uint32_t recv_max_early_data;
+
      /*
       * The number of bytes of early data received so far. If we accepted early
       * data then this is a count of the plaintext bytes. If we rejected it then
@@ -1307,6 +1439,18 @@ struct ssl_st {
      size_t block_padding;
  
      CRYPTO_RWLOCK *lock;
+    RAND_DRBG *drbg;
+
+    /* The number of TLS1.3 tickets to automatically send */
+    size_t num_tickets;
+    /* The number of TLS1.3 tickets actually sent so far */
+    size_t sent_tickets;
+    /* The next nonce value to use when we send a ticket on this connection */
+    uint64_t next_ticket_nonce;
+
+    /* Callback to determine if early_data is acceptable or not */
+    SSL_allow_early_data_cb_fn allow_early_data_cb;
+    void *allow_early_data_cb_data;
  };
  
  /*
@@ -1318,9 +1462,9 @@ typedef struct sigalg_lookup_st {
      const char *name;
      /* Raw value used in extension */
      uint16_t sigalg;
-    /* NID of hash algorithm */
+    /* NID of hash algorithm or NID_undef if no hash */
      int hash;
-    /* Index of hash algorithm */
+    /* Index of hash algorithm or -1 if no hash algorithm */
      int hash_idx;
      /* NID of signature algorithm */
      int sig;
@@ -1332,8 +1476,29 @@ typedef struct sigalg_lookup_st {
      int curve;
  } SIGALG_LOOKUP;
  
+typedef struct tls_group_info_st {
+    int nid;                    /* Curve NID */
+    int secbits;                /* Bits of security (from SP800-57) */
+    uint16_t flags;             /* Flags: currently just group type */
+} TLS_GROUP_INFO;
+
+/* flags values */
+# define TLS_CURVE_TYPE          0x3 /* Mask for group type */
+# define TLS_CURVE_PRIME         0x0
+# define TLS_CURVE_CHAR2         0x1
+# define TLS_CURVE_CUSTOM        0x2
+
  typedef struct cert_pkey_st CERT_PKEY;
  
+/*
+ * Structure containing table entry of certificate info corresponding to
+ * CERT_PKEY entries
+ */
+typedef struct {
+    int nid; /* NID of pubic key algorithm */
+    uint32_t amask; /* authmask corresponding to key type */
+} SSL_CERT_LOOKUP;
+
  typedef struct ssl3_state_st {
      long flags;
      size_t read_mac_secret_size;
@@ -1425,11 +1590,14 @@ typedef struct ssl3_state_st {
           * signature algorithms peer reports: e.g. supported signature
           * algorithms extension for server or as part of a certificate
           * request for client.
+         * Keep track of the algorithms for TLS and X.509 usage separately.
           */
          uint16_t *peer_sigalgs;
-        /* Size of above array */
+        uint16_t *peer_cert_sigalgs;
+        /* Size of above arrays */
          size_t peer_sigalgslen;
-        /* Sigalg peer actualy uses */
+        size_t peer_cert_sigalgslen;
+        /* Sigalg peer actually uses */
          const SIGALG_LOOKUP *peer_sigalg;
          /*
           * Set if corresponding CERT_PKEY can be used with current
@@ -1497,7 +1665,7 @@ typedef struct ssl3_state_st {
      /* For clients: peer temporary key */
  # if !defined(OPENSSL_NO_EC) || !defined(OPENSSL_NO_DH)
      /* The group_id for the DH/ECDH key */
-    unsigned int group_id;
+    uint16_t group_id;
      EVP_PKEY *peer_tmp;
  # endif
  
@@ -1514,7 +1682,7 @@ typedef struct ssl3_state_st {
  
  /*
   * Flag used in message reuse to indicate the buffer contains the record
- * header as well as the the handshake message header.
+ * header as well as the handshake message header.
   */
  # define DTLS1_SKIP_RECORD_HEADER                 2
  
@@ -1596,11 +1764,15 @@ typedef struct dtls1_state_st {
       */
      struct timeval next_timeout;
      /* Timeout duration */
-    unsigned short timeout_duration;
+    unsigned int timeout_duration_us;
+
      unsigned int retransmitting;
  # ifndef OPENSSL_NO_SCTP
      int shutdown_received;
  # endif
+
+    DTLS_timer_cb timer_cb;
+
  } DTLS1_STATE;
  
  # ifndef OPENSSL_NO_EC
@@ -1832,9 +2004,12 @@ typedef enum downgrade_en {
  #define TLSEXT_SIGALG_ecdsa_secp521r1_sha512                    0x0603
  #define TLSEXT_SIGALG_ecdsa_sha224                              0x0303
  #define TLSEXT_SIGALG_ecdsa_sha1                                0x0203
-#define TLSEXT_SIGALG_rsa_pss_sha256                            0x0804
-#define TLSEXT_SIGALG_rsa_pss_sha384                            0x0805
-#define TLSEXT_SIGALG_rsa_pss_sha512                            0x0806
+#define TLSEXT_SIGALG_rsa_pss_rsae_sha256                       0x0804
+#define TLSEXT_SIGALG_rsa_pss_rsae_sha384                       0x0805
+#define TLSEXT_SIGALG_rsa_pss_rsae_sha512                       0x0806
+#define TLSEXT_SIGALG_rsa_pss_pss_sha256                        0x0809
+#define TLSEXT_SIGALG_rsa_pss_pss_sha384                        0x080a
+#define TLSEXT_SIGALG_rsa_pss_pss_sha512                        0x080b
  #define TLSEXT_SIGALG_rsa_pkcs1_sha256                          0x0401
  #define TLSEXT_SIGALG_rsa_pkcs1_sha384                          0x0501
  #define TLSEXT_SIGALG_rsa_pkcs1_sha512                          0x0601
@@ -1849,6 +2024,9 @@ typedef enum downgrade_en {
  #define TLSEXT_SIGALG_gostr34102012_512_gostr34112012_512       0xefef
  #define TLSEXT_SIGALG_gostr34102001_gostr3411                   0xeded
  
+#define TLSEXT_SIGALG_ed25519                                   0x0807
+#define TLSEXT_SIGALG_ed448                                     0x0808
+
  /* Known PSK key exchange modes */
  #define TLSEXT_KEX_MODE_KE                                      0x00
  #define TLSEXT_KEX_MODE_KE_DHE                                  0x01
@@ -2042,6 +2220,13 @@ static ossl_inline int ssl_has_cert(const SSL *s, int idx)
          && s->cert->pkeys[idx].privatekey != NULL;
  }
  
+static ossl_inline void tls1_get_peer_groups(SSL *s, const uint16_t **pgroups,
+                                             size_t *pgroupslen)
+{
+    *pgroups = s->session->ext.supportedgroups;
+    *pgroupslen = s->session->ext.supportedgroups_len;
+}
+
  # ifndef OPENSSL_UNIT_TEST
  
  __owur int ssl_read_internal(SSL *s, void *buf, size_t num, size_t *readbytes);
@@ -2052,25 +2237,28 @@ __owur CERT *ssl_cert_new(void);
  __owur CERT *ssl_cert_dup(CERT *cert);
  void ssl_cert_clear_certs(CERT *c);
  void ssl_cert_free(CERT *c);
+__owur int ssl_generate_session_id(SSL *s, SSL_SESSION *ss);
  __owur int ssl_get_new_session(SSL *s, int session);
-__owur int ssl_get_prev_session(SSL *s, CLIENTHELLO_MSG *hello, int *al);
+__owur SSL_SESSION *lookup_sess_in_cache(SSL *s, const unsigned char *sess_id,
+                                         size_t sess_id_len);
+__owur int ssl_get_prev_session(SSL *s, CLIENTHELLO_MSG *hello);
  __owur SSL_SESSION *ssl_session_dup(SSL_SESSION *src, int ticket);
  __owur int ssl_cipher_id_cmp(const SSL_CIPHER *a, const SSL_CIPHER *b);
  DECLARE_OBJ_BSEARCH_GLOBAL_CMP_FN(SSL_CIPHER, SSL_CIPHER, ssl_cipher_id);
  __owur int ssl_cipher_ptr_id_cmp(const SSL_CIPHER *const *ap,
                                   const SSL_CIPHER *const *bp);
-__owur STACK_OF(SSL_CIPHER) *ssl_create_cipher_list(const SSL_METHOD *meth,
-                                                    STACK_OF(SSL_CIPHER) **pref,
-                                                    STACK_OF(SSL_CIPHER)
-                                                    **sorted,
+__owur int set_ciphersuites(STACK_OF(SSL_CIPHER) **currciphers, const char *str);
+__owur STACK_OF(SSL_CIPHER) *ssl_create_cipher_list(const SSL_METHOD *ssl_method,
+                                                    STACK_OF(SSL_CIPHER) *tls13_ciphersuites,
+                                                    STACK_OF(SSL_CIPHER) **cipher_list,
+                                                    STACK_OF(SSL_CIPHER) **cipher_list_by_id,
                                                      const char *rule_str,
                                                      CERT *c);
-__owur int ssl_cache_cipherlist(SSL *s, PACKET *cipher_suites,
-                                int sslv2format, int *al);
+__owur int ssl_cache_cipherlist(SSL *s, PACKET *cipher_suites, int sslv2format);
  __owur int bytes_to_cipher_list(SSL *s, PACKET *cipher_suites,
                                  STACK_OF(SSL_CIPHER) **skp,
                                  STACK_OF(SSL_CIPHER) **scsvs, int sslv2format,
-                                int *al);
+                                int fatal);
  void ssl_update_cache(SSL *s, int mode);
  __owur int ssl_cipher_get_evp(const SSL_SESSION *s, const EVP_CIPHER **enc,
                                const EVP_MD **md, int *mac_pkey_type,
@@ -2079,7 +2267,7 @@ __owur int ssl_cipher_get_evp(const SSL_SESSION *s, const EVP_CIPHER **enc,
  __owur int ssl_cipher_get_overhead(const SSL_CIPHER *c, size_t *mac_overhead,
                                     size_t *int_overhead, size_t *blocksize,
                                     size_t *ext_overhead);
-__owur int ssl_cipher_get_cert_index(const SSL_CIPHER *c);
+__owur int ssl_cert_is_disabled(size_t idx);
  __owur const SSL_CIPHER *ssl_get_cipher_by_char(SSL *ssl,
                                                  const unsigned char *ptr,
                                                  int all);
@@ -2089,7 +2277,6 @@ __owur int ssl_cert_add0_chain_cert(SSL *s, SSL_CTX *ctx, X509 *x);
  __owur int ssl_cert_add1_chain_cert(SSL *s, SSL_CTX *ctx, X509 *x);
  __owur int ssl_cert_select_current(CERT *c, X509 *x);
  __owur int ssl_cert_set_current(CERT *c, long arg);
-__owur X509 *ssl_cert_get0_next_certificate(CERT *c, int first);
  void ssl_cert_set_cert_cb(CERT *c, int (*cb) (SSL *ssl, void *arg), void *arg);
  
  __owur int ssl_verify_cert_chain(SSL *s, STACK_OF(X509) *sk);
@@ -2101,16 +2288,19 @@ __owur int ssl_security(const SSL *s, int op, int bits, int nid, void *other);
  __owur int ssl_ctx_security(const SSL_CTX *ctx, int op, int bits, int nid,
                              void *other);
  
+__owur const SSL_CERT_LOOKUP *ssl_cert_lookup_by_pkey(const EVP_PKEY *pk,
+                                                      size_t *pidx);
+__owur const SSL_CERT_LOOKUP *ssl_cert_lookup_by_idx(size_t idx);
+
  int ssl_undefined_function(SSL *s);
  __owur int ssl_undefined_void_function(void);
  __owur int ssl_undefined_const_function(const SSL *s);
  __owur int ssl_get_server_cert_serverinfo(SSL *s,
                                            const unsigned char **serverinfo,
                                            size_t *serverinfo_length);
-__owur int ssl_cert_type(const X509 *x, const EVP_PKEY *pkey);
  void ssl_set_masks(SSL *s);
  __owur STACK_OF(SSL_CIPHER) *ssl_get_ciphers_by_id(SSL *s);
-__owur int ssl_verify_alarm_type(long type);
+__owur int ssl_x509err2alert(int type);
  void ssl_sort_cipher_list(void);
  int ssl_load_ciphers(void);
  __owur int ssl_fill_hello_random(SSL *s, int server, unsigned char *field,
@@ -2121,8 +2311,11 @@ __owur EVP_PKEY *ssl_generate_pkey(EVP_PKEY *pm);
  __owur int ssl_derive(SSL *s, EVP_PKEY *privkey, EVP_PKEY *pubkey,
                        int genmaster);
  __owur EVP_PKEY *ssl_dh_to_pkey(DH *dh);
+__owur unsigned int ssl_get_max_send_fragment(const SSL *ssl);
+__owur unsigned int ssl_get_split_send_fragment(const SSL *ssl);
  
  __owur const SSL_CIPHER *ssl3_get_cipher_by_id(uint32_t id);
+__owur const SSL_CIPHER *ssl3_get_cipher_by_std_name(const char *stdname);
  __owur const SSL_CIPHER *ssl3_get_cipher_by_char(const unsigned char *p);
  __owur int ssl3_put_cipher_by_char(const SSL_CIPHER *c, WPACKET *pkt,
                                     size_t *len);
@@ -2146,7 +2339,7 @@ __owur size_t ssl3_final_finish_mac(SSL *s, const char *sender, size_t slen,
  __owur int ssl3_finish_mac(SSL *s, const unsigned char *buf, size_t len);
  void ssl3_free_digest_list(SSL *s);
  __owur unsigned long ssl3_output_cert_chain(SSL *s, WPACKET *pkt,
-                                            CERT_PKEY *cpk, int *al);
+                                            CERT_PKEY *cpk);
  __owur const SSL_CIPHER *ssl3_choose_cipher(SSL *ssl,
                                              STACK_OF(SSL_CIPHER) *clnt,
                                              STACK_OF(SSL_CIPHER) *srvr);
@@ -2182,9 +2375,10 @@ __owur int ssl_check_version_downgrade(SSL *s);
  __owur int ssl_set_version_bound(int method_version, int version, int *bound);
  __owur int ssl_choose_server_version(SSL *s, CLIENTHELLO_MSG *hello,
                                       DOWNGRADE *dgrd);
-__owur int ssl_choose_client_version(SSL *s, int version, int checkdgrd,
-                                     int *al);
-int ssl_get_min_max_version(const SSL *s, int *min_version, int *max_version);
+__owur int ssl_choose_client_version(SSL *s, int version,
+                                     RAW_EXTENSION *extensions);
+__owur int ssl_get_min_max_version(const SSL *s, int *min_version,
+                                   int *max_version);
  
  __owur long tls1_default_timeout(void);
  __owur int dtls1_do_write(SSL *s, int type);
@@ -2215,7 +2409,6 @@ __owur int dtls1_is_timer_expired(SSL *s);
  void dtls1_double_timeout(SSL *s);
  __owur int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
                                           size_t cookie_len);
-__owur int dtls1_send_newsession_ticket(SSL *s);
  __owur size_t dtls1_min_mtu(SSL *s);
  void dtls1_hm_fragment_free(hm_fragment *frag);
  __owur int dtls1_query_mtu(SSL *s);
@@ -2223,8 +2416,6 @@ __owur int dtls1_query_mtu(SSL *s);
  __owur int tls1_new(SSL *s);
  void tls1_free(SSL *s);
  int tls1_clear(SSL *s);
-long tls1_ctrl(SSL *s, int cmd, long larg, void *parg);
-long tls1_callback_ctrl(SSL *s, int cmd, void (*fp) (void));
  
  __owur int dtls1_new(SSL *s);
  void dtls1_free(SSL *s);
@@ -2252,7 +2443,7 @@ __owur int tls13_update_key(SSL *s, int send);
  __owur int tls13_hkdf_expand(SSL *s, const EVP_MD *md,
                               const unsigned char *secret,
                               const unsigned char *label, size_t labellen,
-                             const unsigned char *hash,
+                             const unsigned char *data, size_t datalen,
                               unsigned char *out, size_t outlen);
  __owur int tls13_derive_key(SSL *s, const EVP_MD *md,
                              const unsigned char *secret, unsigned char *key,
@@ -2278,6 +2469,15 @@ __owur int tls1_export_keying_material(SSL *s, unsigned char *out, size_t olen,
                                         const char *label, size_t llen,
                                         const unsigned char *p, size_t plen,
                                         int use_context);
+__owur int tls13_export_keying_material(SSL *s, unsigned char *out, size_t olen,
+                                        const char *label, size_t llen,
+                                        const unsigned char *context,
+                                        size_t contextlen, int use_context);
+__owur int tls13_export_keying_material_early(SSL *s, unsigned char *out,
+                                              size_t olen, const char *label,
+                                              size_t llen,
+                                              const unsigned char *context,
+                                              size_t contextlen);
  __owur int tls1_alert_code(int code);
  __owur int tls13_alert_code(int code);
  __owur int ssl3_alert_code(int code);
@@ -2289,69 +2489,41 @@ __owur int ssl_check_srvr_ecc_cert_and_alg(X509 *x, SSL *s);
  SSL_COMP *ssl3_comp_find(STACK_OF(SSL_COMP) *sk, int n);
  
  #  ifndef OPENSSL_NO_EC
-/* Flags values from tls1_ec_curve_id2nid() */
-/* Mask for curve type */
-# define TLS_CURVE_TYPE          0x3
-# define TLS_CURVE_PRIME         0x0
-# define TLS_CURVE_CHAR2         0x1
-# define TLS_CURVE_CUSTOM        0x2
  
-#define bytestogroup(bytes) ((unsigned int)(bytes[0] << 8 | bytes[1]))
-
-__owur int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags);
-__owur int tls1_ec_nid2curve_id(int nid);
-__owur int tls1_check_curve(SSL *s, const unsigned char *p, size_t len);
-__owur int tls1_shared_group(SSL *s, int nmatch);
-__owur int tls1_set_groups(unsigned char **pext, size_t *pextlen,
+__owur const TLS_GROUP_INFO *tls1_group_id_lookup(uint16_t curve_id);
+__owur int tls1_check_group_id(SSL *s, uint16_t group_id, int check_own_curves);
+__owur uint16_t tls1_shared_group(SSL *s, int nmatch);
+__owur int tls1_set_groups(uint16_t **pext, size_t *pextlen,
                             int *curves, size_t ncurves);
-__owur int tls1_set_groups_list(unsigned char **pext, size_t *pextlen,
+__owur int tls1_set_groups_list(uint16_t **pext, size_t *pextlen,
                                  const char *str);
  void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
                           size_t *num_formats);
  __owur int tls1_check_ec_tmp_key(SSL *s, unsigned long id);
-__owur EVP_PKEY *ssl_generate_pkey_curve(int id);
+__owur EVP_PKEY *ssl_generate_pkey_group(SSL *s, uint16_t id);
+__owur EVP_PKEY *ssl_generate_param_group(uint16_t id);
  #  endif                        /* OPENSSL_NO_EC */
  
-__owur int tls1_shared_list(SSL *s,
-                            const unsigned char *l1, size_t l1len,
-                            const unsigned char *l2, size_t l2len, int nmatch);
-__owur int tls_curve_allowed(SSL *s, const unsigned char *curve, int op);
-__owur  int tls1_get_curvelist(SSL *s, int sess, const unsigned char **pcurves,
-                               size_t *num_curves);
+__owur int tls_curve_allowed(SSL *s, uint16_t curve, int op);
+void tls1_get_supported_groups(SSL *s, const uint16_t **pgroups,
+                               size_t *pgroupslen);
  
-void ssl_set_default_md(SSL *s);
  __owur int tls1_set_server_sigalgs(SSL *s);
  
-/* Return codes for tls_get_ticket_from_client() and tls_decrypt_ticket() */
-typedef enum ticket_en {
-    /* fatal error, malloc failure */
-    TICKET_FATAL_ERR_MALLOC,
-    /* fatal error, either from parsing or decrypting the ticket */
-    TICKET_FATAL_ERR_OTHER,
-    /* No ticket present */
-    TICKET_NONE,
-    /* Empty ticket present */
-    TICKET_EMPTY,
-    /* the ticket couldn't be decrypted */
-    TICKET_NO_DECRYPT,
-    /* a ticket was successfully decrypted */
-    TICKET_SUCCESS,
-    /* same as above but the ticket needs to be reneewed */
-    TICKET_SUCCESS_RENEW
-} TICKET_RETURN;
-
-__owur TICKET_RETURN tls_get_ticket_from_client(SSL *s, CLIENTHELLO_MSG *hello,
-                                                SSL_SESSION **ret);
-__owur TICKET_RETURN tls_decrypt_ticket(SSL *s, const unsigned char *etick,
-                                        size_t eticklen,
-                                        const unsigned char *sess_id,
-                                        size_t sesslen, SSL_SESSION **psess);
+__owur SSL_TICKET_STATUS tls_get_ticket_from_client(SSL *s, CLIENTHELLO_MSG *hello,
+                                                    SSL_SESSION **ret);
+__owur SSL_TICKET_STATUS tls_decrypt_ticket(SSL *s, const unsigned char *etick,
+                                            size_t eticklen,
+                                            const unsigned char *sess_id,
+                                            size_t sesslen, SSL_SESSION **psess);
  
  __owur int tls_use_ticket(SSL *s);
  
  void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op);
  
  __owur int tls1_set_sigalgs_list(CERT *c, const char *str, int client);
+__owur int tls1_set_raw_sigalgs(CERT *c, const uint16_t *psigs, size_t salglen,
+                                int client);
  __owur int tls1_set_sigalgs(CERT *c, const int *salg, size_t salglen,
                              int client);
  int tls1_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain,
@@ -2370,19 +2542,21 @@ __owur int ssl_security_cert(SSL *s, SSL_CTX *ctx, X509 *x, int vfy, int is_ee);
  __owur int ssl_security_cert_chain(SSL *s, STACK_OF(X509) *sk, X509 *ex,
                                     int vfy);
  
-int tls_choose_sigalg(SSL *s, int *al);
+int tls_choose_sigalg(SSL *s, int fatalerrs);
  
  __owur EVP_MD_CTX *ssl_replace_hash(EVP_MD_CTX **hash, const EVP_MD *md);
  void ssl_clear_hash_ctx(EVP_MD_CTX **hash);
  __owur long ssl_get_algorithm2(SSL *s);
  __owur int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
                                const uint16_t *psig, size_t psiglen);
-__owur int tls1_save_sigalgs(SSL *s, PACKET *pkt);
+__owur int tls1_save_u16(PACKET *pkt, uint16_t **pdest, size_t *pdestlen);
+__owur int tls1_save_sigalgs(SSL *s, PACKET *pkt, int cert);
  __owur int tls1_process_sigalgs(SSL *s);
  __owur int tls1_set_peer_legacy_sigalg(SSL *s, const EVP_PKEY *pkey);
+__owur int tls1_lookup_md(const SIGALG_LOOKUP *lu, const EVP_MD **pmd);
  __owur size_t tls12_get_psigalgs(SSL *s, int sent, const uint16_t **psigs);
  __owur int tls12_check_peer_sigalg(SSL *s, uint16_t, EVP_PKEY *pkey);
-void ssl_set_client_disabled(SSL *s);
+__owur int ssl_set_client_disabled(SSL *s);
  __owur int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op, int echde);
  
  __owur int ssl_handshake_hash(SSL *s, unsigned char *out, size_t outlen,
@@ -2417,6 +2591,8 @@ __owur int ssl_log_secret(SSL *ssl, const char *label,
  #define SERVER_HANDSHAKE_LABEL "SERVER_HANDSHAKE_TRAFFIC_SECRET"
  #define CLIENT_APPLICATION_LABEL "CLIENT_TRAFFIC_SECRET_0"
  #define SERVER_APPLICATION_LABEL "SERVER_TRAFFIC_SECRET_0"
+#define EARLY_EXPORTER_SECRET_LABEL "EARLY_EXPORTER_SECRET"
+#define EXPORTER_SECRET_LABEL "EXPORTER_SECRET"
  
  /* s3_cbc.c */
  __owur char ssl3_cbc_record_digest_supported(const EVP_MD_CTX *ctx);
@@ -2432,7 +2608,11 @@ __owur int ssl3_cbc_digest_record(const EVP_MD_CTX *ctx,
  
  __owur int srp_generate_server_master_secret(SSL *s);
  __owur int srp_generate_client_master_secret(SSL *s);
-__owur int srp_verify_server_param(SSL *s, int *al);
+__owur int srp_verify_server_param(SSL *s);
+
+/* statem/statem_srvr.c */
+
+__owur int send_certificate_request(SSL *s);
  
  /* statem/extensions_cust.c */
  
@@ -2444,9 +2624,9 @@ void custom_ext_init(custom_ext_methods *meths);
  
  __owur int custom_ext_parse(SSL *s, unsigned int context, unsigned int ext_type,
                              const unsigned char *ext_data, size_t ext_size,
-                            X509 *x, size_t chainidx, int *al);
+                            X509 *x, size_t chainidx);
  __owur int custom_ext_add(SSL *s, int context, WPACKET *pkt, X509 *x,
-                          size_t chainidx, int maxversion, int *al);
+                          size_t chainidx, int maxversion);
  
  __owur int custom_exts_copy(custom_ext_methods *dst,
                              const custom_ext_methods *src);
@@ -2456,6 +2636,9 @@ void custom_exts_free(custom_ext_methods *exts);
  
  void ssl_comp_free_compression_methods_int(void);
  
+/* ssl_mcnf.c */
+void ssl_ctx_system_config(SSL_CTX *ctx);
+
  # else /* OPENSSL_UNIT_TEST */
  
  #  define ssl_init_wbio_buffer SSL_test_functions()->p_ssl_init_wbio_buffer