TLS 1.3 client sigalgs test no longer needs TLS 1.2

[openssl.git] / test / recipes / 70-test_sslsigalgs.t
diff --git a/test/recipes/70-test_sslsigalgs.t b/test/recipes/70-test_sslsigalgs.t

old mode 100755 (executable)

new mode 100644 (file)

index 954b9c5..832a4ba
--- a/test/recipes/70-test_sslsigalgs.t
+++ b/test/recipes/70-test_sslsigalgs.t
@@ -42,9 +42,13 @@ use constant {
      PSS_ONLY_SIG_ALGS => 4
  };
  
+#Note: Throughout this test we override the default ciphersuites where TLSv1.2
+#      is expected to ensure that a ServerKeyExchange message is sent that uses
+#      the sigalgs
+
  #Test 1: Default sig algs should succeed
  $proxy->start() or plan skip_all => "Unable to start up Proxy for tests";
-plan tests => 14;
+plan tests => 16;
  ok(TLSProxy::Message->success, "Default sigalgs");
  my $testtype;
  
@@ -88,32 +92,33 @@ SKIP: {
  }
  
  SKIP: {
-    skip "TLSv1.3 or TLSv1.2 disabled", 2
-        if disabled("tls1_2") || disabled("tls1_3");
-
+    skip "EC or TLSv1.3 disabled", 1
+        if disabled("tls1_3") || disabled("ec");
      #Test 7: Sending a valid sig algs list but not including a sig type that
-    #        matches the certificate should fail in TLSv1.3. We need TLSv1.2
-    #        enabled for this test - otherwise the client will not attempt to
-    #        connect due to no TLSv1.3 ciphers being available.
-    #        TODO(TLS1.3): When proper TLSv1.3 certificate selection is working
-    #        we can move this test into the section above
+    #        matches the certificate should fail in TLSv1.3.
      $proxy->clear();
      $proxy->clientflags("-sigalgs ECDSA+SHA256");
      $proxy->filter(undef);
      $proxy->start();
      ok(TLSProxy::Message->fail, "No matching TLSv1.3 sigalgs");
+}
+
+SKIP: {
+    skip "EC, TLSv1.3 or TLSv1.2 disabled", 1
+        if disabled("tls1_2") || disabled("tls1_3") || disabled("ec");
  
      #Test 8: Sending a full list of TLSv1.3 sig algs but negotiating TLSv1.2
      #        should succeed
      $proxy->clear();
      $proxy->serverflags("-no_tls1_3");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->filter(undef);
      $proxy->start();
      ok(TLSProxy::Message->success, "TLSv1.3 client TLSv1.2 server");
  }
  
  SKIP: {
-    skip "TLSv1.2 disabled", 6 if disabled("tls1_2");
+    skip "EC or TLSv1.2 disabled", 8 if disabled("tls1_2") || disabled("ec");
  
      $proxy->filter(\&sigalgs_filter);
  
@@ -121,6 +126,7 @@ SKIP: {
      $proxy->clear();
      $testtype = NO_SIG_ALGS_EXT;
      $proxy->clientflags("-no_tls1_3");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->start();
      ok(TLSProxy::Message->success, "No TLSv1.2 sigalgs");
  
@@ -128,6 +134,7 @@ SKIP: {
      $proxy->clear();
      $testtype = EMPTY_SIG_ALGS_EXT;
      $proxy->clientflags("-no_tls1_3");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->start();
      ok(TLSProxy::Message->fail, "Empty TLSv1.2 sigalgs");
  
@@ -135,6 +142,7 @@ SKIP: {
      $proxy->clear();
      $testtype = NO_KNOWN_SIG_ALGS;
      $proxy->clientflags("-no_tls1_3");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->start();
      ok(TLSProxy::Message->fail, "No known TLSv1.3 sigalgs");
  
@@ -143,24 +151,50 @@ SKIP: {
      $proxy->clear();
      $testtype = NO_PSS_SIG_ALGS;
      $proxy->clientflags("-no_tls1_3");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->start();
      ok(TLSProxy::Message->success, "No PSS TLSv1.2 sigalgs");
  
-    #Test 13: Sending only TLSv1.3 PSS sig algs in TLSv1.2 should fail
+    #Test 13: Sending only TLSv1.3 PSS sig algs in TLSv1.2 should succeed
      $proxy->clear();
      $testtype = PSS_ONLY_SIG_ALGS;
-    $proxy->clientflags("-no_tls1_3");
+    $proxy->serverflags("-no_tls1_3");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
+    $proxy->start();
+    ok(TLSProxy::Message->success, "PSS only sigalgs in TLSv1.2");
+
+    #Test 14: Responding with a sig alg we did not send in TLSv1.2 should fail
+    #         We send rsa_pkcs1_sha256 and respond with rsa_pss_sha256
+    #         TODO(TLS1.3): Add a similar test to the TLSv1.3 section above
+    #         when we have an API capable of configuring the TLSv1.3 sig algs
+    $proxy->clear();
+    $testtype = PSS_ONLY_SIG_ALGS;
+    $proxy->clientflags("-no_tls1_3 -sigalgs RSA+SHA256");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->start();
-    ok(TLSProxy::Message->fail, "PSS only sigalgs in TLSv1.2");
+    ok(TLSProxy::Message->fail, "Sigalg we did not send in TLSv1.2");
  
-    #Test 14: Sending a valid sig algs list but not including a sig type that
+    #Test 15: Sending a valid sig algs list but not including a sig type that
      #         matches the certificate should fail in TLSv1.2
      $proxy->clear();
      $proxy->clientflags("-no_tls1_3 -sigalgs ECDSA+SHA256");
+    $proxy->ciphers("ECDHE-RSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
      $proxy->filter(undef);
      $proxy->start();
      ok(TLSProxy::Message->fail, "No matching TLSv1.2 sigalgs");
      $proxy->filter(\&sigalgs_filter);
+
+    #Test 16: No sig algs extension, ECDSA cert, TLSv1.2 should succeed
+    $proxy->clear();
+    $testtype = NO_SIG_ALGS_EXT;
+    $proxy->clientflags("-no_tls1_3");
+    $proxy->serverflags("-cert " . srctop_file("test", "certs",
+                                               "server-ecdsa-cert.pem") .
+                        " -key " . srctop_file("test", "certs",
+                                               "server-ecdsa-key.pem")),
+    $proxy->ciphers("ECDHE-ECDSA-AES128-SHA:TLS13-AES-128-GCM-SHA256");
+    $proxy->start();
+    ok(TLSProxy::Message->success, "No TLSv1.2 sigalgs, ECDSA");
  }