Fix misc size_t issues causing Windows warnings in 64 bit
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, size_t ticklen,
24                               const unsigned char *sess_id, size_t sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
37     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
38     tls1_alert_code,
39     tls1_export_keying_material,
40     0,
41     ssl3_set_handshake_header,
42     tls_close_construct_packet,
43     ssl3_handshake_write
44 };
45
46 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
47     tls1_enc,
48     tls1_mac,
49     tls1_setup_key_block,
50     tls1_generate_master_secret,
51     tls1_change_cipher_state,
52     tls1_final_finish_mac,
53     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
54     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
55     tls1_alert_code,
56     tls1_export_keying_material,
57     SSL_ENC_FLAG_EXPLICIT_IV,
58     ssl3_set_handshake_header,
59     tls_close_construct_packet,
60     ssl3_handshake_write
61 };
62
63 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
64     tls1_enc,
65     tls1_mac,
66     tls1_setup_key_block,
67     tls1_generate_master_secret,
68     tls1_change_cipher_state,
69     tls1_final_finish_mac,
70     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
71     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
72     tls1_alert_code,
73     tls1_export_keying_material,
74     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
75         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
76     ssl3_set_handshake_header,
77     tls_close_construct_packet,
78     ssl3_handshake_write
79 };
80
81 SSL3_ENC_METHOD const TLSv1_3_enc_data = {
82     tls1_enc,
83     tls1_mac,
84     tls1_setup_key_block,
85     tls1_generate_master_secret,
86     tls1_change_cipher_state,
87     tls1_final_finish_mac,
88     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
89     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
90     tls1_alert_code,
91     tls1_export_keying_material,
92     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
93         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
94     ssl3_set_handshake_header,
95     tls_close_construct_packet,
96     ssl3_handshake_write
97 };
98
99 long tls1_default_timeout(void)
100 {
101     /*
102      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
103      * http, the cache would over fill
104      */
105     return (60 * 60 * 2);
106 }
107
108 int tls1_new(SSL *s)
109 {
110     if (!ssl3_new(s))
111         return (0);
112     s->method->ssl_clear(s);
113     return (1);
114 }
115
116 void tls1_free(SSL *s)
117 {
118     OPENSSL_free(s->tlsext_session_ticket);
119     ssl3_free(s);
120 }
121
122 void tls1_clear(SSL *s)
123 {
124     ssl3_clear(s);
125     if (s->method->version == TLS_ANY_VERSION)
126         s->version = TLS_MAX_VERSION;
127     else
128         s->version = s->method->version;
129 }
130
131 #ifndef OPENSSL_NO_EC
132
133 typedef struct {
134     int nid;                    /* Curve NID */
135     int secbits;                /* Bits of security (from SP800-57) */
136     unsigned int flags;         /* Flags: currently just field type */
137 } tls_curve_info;
138
139 /*
140  * Table of curve information.
141  * Do not delete entries or reorder this array! It is used as a lookup
142  * table: the index of each entry is one less than the TLS curve id.
143  */
144 static const tls_curve_info nid_list[] = {
145     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
146     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
147     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
148     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
149     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
150     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
151     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
152     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
153     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
154     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
155     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
156     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
157     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
158     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
159     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
160     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
161     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
162     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
163     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
164     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
165     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
166     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
167     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
168     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
169     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
170     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
171     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
172     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
173     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
174 };
175
176 static const unsigned char ecformats_default[] = {
177     TLSEXT_ECPOINTFORMAT_uncompressed,
178     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
179     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
180 };
181
182 /* The default curves */
183 static const unsigned char eccurves_default[] = {
184     0, 29,                      /* X25519 (29) */
185     0, 23,                      /* secp256r1 (23) */
186     0, 25,                      /* secp521r1 (25) */
187     0, 24,                      /* secp384r1 (24) */
188 };
189
190 static const unsigned char eccurves_all[] = {
191     0, 29,                      /* X25519 (29) */
192     0, 23,                      /* secp256r1 (23) */
193     0, 25,                      /* secp521r1 (25) */
194     0, 24,                      /* secp384r1 (24) */
195     0, 26,                      /* brainpoolP256r1 (26) */
196     0, 27,                      /* brainpoolP384r1 (27) */
197     0, 28,                      /* brainpool512r1 (28) */
198
199     /*
200      * Remaining curves disabled by default but still permitted if set
201      * via an explicit callback or parameters.
202      */
203     0, 22,                      /* secp256k1 (22) */
204     0, 14,                      /* sect571r1 (14) */
205     0, 13,                      /* sect571k1 (13) */
206     0, 11,                      /* sect409k1 (11) */
207     0, 12,                      /* sect409r1 (12) */
208     0, 9,                       /* sect283k1 (9) */
209     0, 10,                      /* sect283r1 (10) */
210     0, 20,                      /* secp224k1 (20) */
211     0, 21,                      /* secp224r1 (21) */
212     0, 18,                      /* secp192k1 (18) */
213     0, 19,                      /* secp192r1 (19) */
214     0, 15,                      /* secp160k1 (15) */
215     0, 16,                      /* secp160r1 (16) */
216     0, 17,                      /* secp160r2 (17) */
217     0, 8,                       /* sect239k1 (8) */
218     0, 6,                       /* sect233k1 (6) */
219     0, 7,                       /* sect233r1 (7) */
220     0, 4,                       /* sect193r1 (4) */
221     0, 5,                       /* sect193r2 (5) */
222     0, 1,                       /* sect163k1 (1) */
223     0, 2,                       /* sect163r1 (2) */
224     0, 3,                       /* sect163r2 (3) */
225 };
226
227 static const unsigned char suiteb_curves[] = {
228     0, TLSEXT_curve_P_256,
229     0, TLSEXT_curve_P_384
230 };
231
232 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
233 {
234     const tls_curve_info *cinfo;
235     /* ECC curves from RFC 4492 and RFC 7027 */
236     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
237         return 0;
238     cinfo = nid_list + curve_id - 1;
239     if (pflags)
240         *pflags = cinfo->flags;
241     return cinfo->nid;
242 }
243
244 int tls1_ec_nid2curve_id(int nid)
245 {
246     size_t i;
247     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
248         if (nid_list[i].nid == nid)
249             return (int)(i + 1);
250     }
251     return 0;
252 }
253
254 /*
255  * Get curves list, if "sess" is set return client curves otherwise
256  * preferred list.
257  * Sets |num_curves| to the number of curves in the list, i.e.,
258  * the length of |pcurves| is 2 * num_curves.
259  * Returns 1 on success and 0 if the client curves list has invalid format.
260  * The latter indicates an internal error: we should not be accepting such
261  * lists in the first place.
262  * TODO(emilia): we should really be storing the curves list in explicitly
263  * parsed form instead. (However, this would affect binary compatibility
264  * so cannot happen in the 1.0.x series.)
265  */
266 static int tls1_get_curvelist(SSL *s, int sess,
267                               const unsigned char **pcurves, size_t *num_curves)
268 {
269     size_t pcurveslen = 0;
270     if (sess) {
271         *pcurves = s->session->tlsext_ellipticcurvelist;
272         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
273     } else {
274         /* For Suite B mode only include P-256, P-384 */
275         switch (tls1_suiteb(s)) {
276         case SSL_CERT_FLAG_SUITEB_128_LOS:
277             *pcurves = suiteb_curves;
278             pcurveslen = sizeof(suiteb_curves);
279             break;
280
281         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
282             *pcurves = suiteb_curves;
283             pcurveslen = 2;
284             break;
285
286         case SSL_CERT_FLAG_SUITEB_192_LOS:
287             *pcurves = suiteb_curves + 2;
288             pcurveslen = 2;
289             break;
290         default:
291             *pcurves = s->tlsext_ellipticcurvelist;
292             pcurveslen = s->tlsext_ellipticcurvelist_length;
293         }
294         if (!*pcurves) {
295             *pcurves = eccurves_default;
296             pcurveslen = sizeof(eccurves_default);
297         }
298     }
299
300     /* We do not allow odd length arrays to enter the system. */
301     if (pcurveslen & 1) {
302         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
303         *num_curves = 0;
304         return 0;
305     } else {
306         *num_curves = pcurveslen / 2;
307         return 1;
308     }
309 }
310
311 /* See if curve is allowed by security callback */
312 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
313 {
314     const tls_curve_info *cinfo;
315     if (curve[0])
316         return 1;
317     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
318         return 0;
319     cinfo = &nid_list[curve[1] - 1];
320 # ifdef OPENSSL_NO_EC2M
321     if (cinfo->flags & TLS_CURVE_CHAR2)
322         return 0;
323 # endif
324     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
325 }
326
327 /* Check a curve is one of our preferences */
328 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
329 {
330     const unsigned char *curves;
331     size_t num_curves, i;
332     unsigned int suiteb_flags = tls1_suiteb(s);
333     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
334         return 0;
335     /* Check curve matches Suite B preferences */
336     if (suiteb_flags) {
337         unsigned long cid = s->s3->tmp.new_cipher->id;
338         if (p[1])
339             return 0;
340         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
341             if (p[2] != TLSEXT_curve_P_256)
342                 return 0;
343         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
344             if (p[2] != TLSEXT_curve_P_384)
345                 return 0;
346         } else                  /* Should never happen */
347             return 0;
348     }
349     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
350         return 0;
351     for (i = 0; i < num_curves; i++, curves += 2) {
352         if (p[1] == curves[0] && p[2] == curves[1])
353             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
354     }
355     return 0;
356 }
357
358 /*-
359  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
360  * if there is no match.
361  * For nmatch == -1, return number of matches
362  * For nmatch == -2, return the NID of the curve to use for
363  * an EC tmp key, or NID_undef if there is no match.
364  */
365 int tls1_shared_curve(SSL *s, int nmatch)
366 {
367     const unsigned char *pref, *supp;
368     size_t num_pref, num_supp, i, j;
369     int k;
370     /* Can't do anything on client side */
371     if (s->server == 0)
372         return -1;
373     if (nmatch == -2) {
374         if (tls1_suiteb(s)) {
375             /*
376              * For Suite B ciphersuite determines curve: we already know
377              * these are acceptable due to previous checks.
378              */
379             unsigned long cid = s->s3->tmp.new_cipher->id;
380             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
381                 return NID_X9_62_prime256v1; /* P-256 */
382             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
383                 return NID_secp384r1; /* P-384 */
384             /* Should never happen */
385             return NID_undef;
386         }
387         /* If not Suite B just return first preference shared curve */
388         nmatch = 0;
389     }
390     /*
391      * Avoid truncation. tls1_get_curvelist takes an int
392      * but s->options is a long...
393      */
394     if (!tls1_get_curvelist
395         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
396          &num_supp))
397         /* In practice, NID_undef == 0 but let's be precise. */
398         return nmatch == -1 ? 0 : NID_undef;
399     if (!tls1_get_curvelist
400         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
401         return nmatch == -1 ? 0 : NID_undef;
402
403     /*
404      * If the client didn't send the elliptic_curves extension all of them
405      * are allowed.
406      */
407     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
408         supp = eccurves_all;
409         num_supp = sizeof(eccurves_all) / 2;
410     } else if (num_pref == 0 &&
411                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
412         pref = eccurves_all;
413         num_pref = sizeof(eccurves_all) / 2;
414     }
415
416     k = 0;
417     for (i = 0; i < num_pref; i++, pref += 2) {
418         const unsigned char *tsupp = supp;
419         for (j = 0; j < num_supp; j++, tsupp += 2) {
420             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
421                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
422                     continue;
423                 if (nmatch == k) {
424                     int id = (pref[0] << 8) | pref[1];
425                     return tls1_ec_curve_id2nid(id, NULL);
426                 }
427                 k++;
428             }
429         }
430     }
431     if (nmatch == -1)
432         return k;
433     /* Out of range (nmatch > k). */
434     return NID_undef;
435 }
436
437 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
438                     int *curves, size_t ncurves)
439 {
440     unsigned char *clist, *p;
441     size_t i;
442     /*
443      * Bitmap of curves included to detect duplicates: only works while curve
444      * ids < 32
445      */
446     unsigned long dup_list = 0;
447     clist = OPENSSL_malloc(ncurves * 2);
448     if (clist == NULL)
449         return 0;
450     for (i = 0, p = clist; i < ncurves; i++) {
451         unsigned long idmask;
452         int id;
453         id = tls1_ec_nid2curve_id(curves[i]);
454         idmask = 1L << id;
455         if (!id || (dup_list & idmask)) {
456             OPENSSL_free(clist);
457             return 0;
458         }
459         dup_list |= idmask;
460         s2n(id, p);
461     }
462     OPENSSL_free(*pext);
463     *pext = clist;
464     *pextlen = ncurves * 2;
465     return 1;
466 }
467
468 # define MAX_CURVELIST   28
469
470 typedef struct {
471     size_t nidcnt;
472     int nid_arr[MAX_CURVELIST];
473 } nid_cb_st;
474
475 static int nid_cb(const char *elem, int len, void *arg)
476 {
477     nid_cb_st *narg = arg;
478     size_t i;
479     int nid;
480     char etmp[20];
481     if (elem == NULL)
482         return 0;
483     if (narg->nidcnt == MAX_CURVELIST)
484         return 0;
485     if (len > (int)(sizeof(etmp) - 1))
486         return 0;
487     memcpy(etmp, elem, len);
488     etmp[len] = 0;
489     nid = EC_curve_nist2nid(etmp);
490     if (nid == NID_undef)
491         nid = OBJ_sn2nid(etmp);
492     if (nid == NID_undef)
493         nid = OBJ_ln2nid(etmp);
494     if (nid == NID_undef)
495         return 0;
496     for (i = 0; i < narg->nidcnt; i++)
497         if (narg->nid_arr[i] == nid)
498             return 0;
499     narg->nid_arr[narg->nidcnt++] = nid;
500     return 1;
501 }
502
503 /* Set curves based on a colon separate list */
504 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
505 {
506     nid_cb_st ncb;
507     ncb.nidcnt = 0;
508     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
509         return 0;
510     if (pext == NULL)
511         return 1;
512     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
513 }
514
515 /* For an EC key set TLS id and required compression based on parameters */
516 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
517                           EC_KEY *ec)
518 {
519     int id;
520     const EC_GROUP *grp;
521     if (!ec)
522         return 0;
523     /* Determine if it is a prime field */
524     grp = EC_KEY_get0_group(ec);
525     if (!grp)
526         return 0;
527     /* Determine curve ID */
528     id = EC_GROUP_get_curve_name(grp);
529     id = tls1_ec_nid2curve_id(id);
530     /* If no id return error: we don't support arbitrary explicit curves */
531     if (id == 0)
532         return 0;
533     curve_id[0] = 0;
534     curve_id[1] = (unsigned char)id;
535     if (comp_id) {
536         if (EC_KEY_get0_public_key(ec) == NULL)
537             return 0;
538         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
539             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
540         } else {
541             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
542                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
543             else
544                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
545         }
546     }
547     return 1;
548 }
549
550 /* Check an EC key is compatible with extensions */
551 static int tls1_check_ec_key(SSL *s,
552                              unsigned char *curve_id, unsigned char *comp_id)
553 {
554     const unsigned char *pformats, *pcurves;
555     size_t num_formats, num_curves, i;
556     int j;
557     /*
558      * If point formats extension present check it, otherwise everything is
559      * supported (see RFC4492).
560      */
561     if (comp_id && s->session->tlsext_ecpointformatlist) {
562         pformats = s->session->tlsext_ecpointformatlist;
563         num_formats = s->session->tlsext_ecpointformatlist_length;
564         for (i = 0; i < num_formats; i++, pformats++) {
565             if (*comp_id == *pformats)
566                 break;
567         }
568         if (i == num_formats)
569             return 0;
570     }
571     if (!curve_id)
572         return 1;
573     /* Check curve is consistent with client and server preferences */
574     for (j = 0; j <= 1; j++) {
575         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
576             return 0;
577         if (j == 1 && num_curves == 0) {
578             /*
579              * If we've not received any curves then skip this check.
580              * RFC 4492 does not require the supported elliptic curves extension
581              * so if it is not sent we can just choose any curve.
582              * It is invalid to send an empty list in the elliptic curves
583              * extension, so num_curves == 0 always means no extension.
584              */
585             break;
586         }
587         for (i = 0; i < num_curves; i++, pcurves += 2) {
588             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
589                 break;
590         }
591         if (i == num_curves)
592             return 0;
593         /* For clients can only check sent curve list */
594         if (!s->server)
595             break;
596     }
597     return 1;
598 }
599
600 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
601                                 size_t *num_formats)
602 {
603     /*
604      * If we have a custom point format list use it otherwise use default
605      */
606     if (s->tlsext_ecpointformatlist) {
607         *pformats = s->tlsext_ecpointformatlist;
608         *num_formats = s->tlsext_ecpointformatlist_length;
609     } else {
610         *pformats = ecformats_default;
611         /* For Suite B we don't support char2 fields */
612         if (tls1_suiteb(s))
613             *num_formats = sizeof(ecformats_default) - 1;
614         else
615             *num_formats = sizeof(ecformats_default);
616     }
617 }
618
619 /*
620  * Check cert parameters compatible with extensions: currently just checks EC
621  * certificates have compatible curves and compression.
622  */
623 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
624 {
625     unsigned char comp_id, curve_id[2];
626     EVP_PKEY *pkey;
627     int rv;
628     pkey = X509_get0_pubkey(x);
629     if (!pkey)
630         return 0;
631     /* If not EC nothing to do */
632     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
633         return 1;
634     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
635     if (!rv)
636         return 0;
637     /*
638      * Can't check curve_id for client certs as we don't have a supported
639      * curves extension.
640      */
641     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
642     if (!rv)
643         return 0;
644     /*
645      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
646      * SHA384+P-384, adjust digest if necessary.
647      */
648     if (set_ee_md && tls1_suiteb(s)) {
649         int check_md;
650         size_t i;
651         CERT *c = s->cert;
652         if (curve_id[0])
653             return 0;
654         /* Check to see we have necessary signing algorithm */
655         if (curve_id[1] == TLSEXT_curve_P_256)
656             check_md = NID_ecdsa_with_SHA256;
657         else if (curve_id[1] == TLSEXT_curve_P_384)
658             check_md = NID_ecdsa_with_SHA384;
659         else
660             return 0;           /* Should never happen */
661         for (i = 0; i < c->shared_sigalgslen; i++)
662             if (check_md == c->shared_sigalgs[i].signandhash_nid)
663                 break;
664         if (i == c->shared_sigalgslen)
665             return 0;
666         if (set_ee_md == 2) {
667             if (check_md == NID_ecdsa_with_SHA256)
668                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
669             else
670                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
671         }
672     }
673     return rv;
674 }
675
676 # ifndef OPENSSL_NO_EC
677 /*
678  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
679  * @s: SSL connection
680  * @cid: Cipher ID we're considering using
681  *
682  * Checks that the kECDHE cipher suite we're considering using
683  * is compatible with the client extensions.
684  *
685  * Returns 0 when the cipher can't be used or 1 when it can.
686  */
687 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
688 {
689     /*
690      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
691      * curves permitted.
692      */
693     if (tls1_suiteb(s)) {
694         unsigned char curve_id[2];
695         /* Curve to check determined by ciphersuite */
696         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
697             curve_id[1] = TLSEXT_curve_P_256;
698         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
699             curve_id[1] = TLSEXT_curve_P_384;
700         else
701             return 0;
702         curve_id[0] = 0;
703         /* Check this curve is acceptable */
704         if (!tls1_check_ec_key(s, curve_id, NULL))
705             return 0;
706         return 1;
707     }
708     /* Need a shared curve */
709     if (tls1_shared_curve(s, 0))
710         return 1;
711     return 0;
712 }
713 # endif                         /* OPENSSL_NO_EC */
714
715 #else
716
717 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
718 {
719     return 1;
720 }
721
722 #endif                          /* OPENSSL_NO_EC */
723
724 /*
725  * List of supported signature algorithms and hashes. Should make this
726  * customisable at some point, for now include everything we support.
727  */
728
729 #ifdef OPENSSL_NO_RSA
730 # define tlsext_sigalg_rsa(md)  /* */
731 #else
732 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
733 #endif
734
735 #ifdef OPENSSL_NO_DSA
736 # define tlsext_sigalg_dsa(md)  /* */
737 #else
738 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
739 #endif
740
741 #ifdef OPENSSL_NO_EC
742 # define tlsext_sigalg_ecdsa(md)/* */
743 #else
744 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
745 #endif
746
747 #define tlsext_sigalg(md) \
748                 tlsext_sigalg_rsa(md) \
749                 tlsext_sigalg_dsa(md) \
750                 tlsext_sigalg_ecdsa(md)
751
752 static const unsigned char tls12_sigalgs[] = {
753     tlsext_sigalg(TLSEXT_hash_sha512)
754         tlsext_sigalg(TLSEXT_hash_sha384)
755         tlsext_sigalg(TLSEXT_hash_sha256)
756         tlsext_sigalg(TLSEXT_hash_sha224)
757         tlsext_sigalg(TLSEXT_hash_sha1)
758 #ifndef OPENSSL_NO_GOST
759         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
760     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
761     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
762 #endif
763 };
764
765 #ifndef OPENSSL_NO_EC
766 static const unsigned char suiteb_sigalgs[] = {
767     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
768         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
769 };
770 #endif
771 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
772 {
773     /*
774      * If Suite B mode use Suite B sigalgs only, ignore any other
775      * preferences.
776      */
777 #ifndef OPENSSL_NO_EC
778     switch (tls1_suiteb(s)) {
779     case SSL_CERT_FLAG_SUITEB_128_LOS:
780         *psigs = suiteb_sigalgs;
781         return sizeof(suiteb_sigalgs);
782
783     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
784         *psigs = suiteb_sigalgs;
785         return 2;
786
787     case SSL_CERT_FLAG_SUITEB_192_LOS:
788         *psigs = suiteb_sigalgs + 2;
789         return 2;
790     }
791 #endif
792     /* If server use client authentication sigalgs if not NULL */
793     if (s->server && s->cert->client_sigalgs) {
794         *psigs = s->cert->client_sigalgs;
795         return s->cert->client_sigalgslen;
796     } else if (s->cert->conf_sigalgs) {
797         *psigs = s->cert->conf_sigalgs;
798         return s->cert->conf_sigalgslen;
799     } else {
800         *psigs = tls12_sigalgs;
801         return sizeof(tls12_sigalgs);
802     }
803 }
804
805 /*
806  * Check signature algorithm is consistent with sent supported signature
807  * algorithms and if so return relevant digest.
808  */
809 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
810                             const unsigned char *sig, EVP_PKEY *pkey)
811 {
812     const unsigned char *sent_sigs;
813     size_t sent_sigslen, i;
814     int sigalg = tls12_get_sigid(pkey);
815     /* Should never happen */
816     if (sigalg == -1)
817         return -1;
818     /* Check key type is consistent with signature */
819     if (sigalg != (int)sig[1]) {
820         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
821         return 0;
822     }
823 #ifndef OPENSSL_NO_EC
824     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
825         unsigned char curve_id[2], comp_id;
826         /* Check compression and curve matches extensions */
827         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
828             return 0;
829         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
830             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
831             return 0;
832         }
833         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
834         if (tls1_suiteb(s)) {
835             if (curve_id[0])
836                 return 0;
837             if (curve_id[1] == TLSEXT_curve_P_256) {
838                 if (sig[0] != TLSEXT_hash_sha256) {
839                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
840                            SSL_R_ILLEGAL_SUITEB_DIGEST);
841                     return 0;
842                 }
843             } else if (curve_id[1] == TLSEXT_curve_P_384) {
844                 if (sig[0] != TLSEXT_hash_sha384) {
845                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
846                            SSL_R_ILLEGAL_SUITEB_DIGEST);
847                     return 0;
848                 }
849             } else
850                 return 0;
851         }
852     } else if (tls1_suiteb(s))
853         return 0;
854 #endif
855
856     /* Check signature matches a type we sent */
857     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
858     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
859         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
860             break;
861     }
862     /* Allow fallback to SHA1 if not strict mode */
863     if (i == sent_sigslen
864         && (sig[0] != TLSEXT_hash_sha1
865             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
866         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
867         return 0;
868     }
869     *pmd = tls12_get_hash(sig[0]);
870     if (*pmd == NULL) {
871         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
872         return 0;
873     }
874     /* Make sure security callback allows algorithm */
875     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
876                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
877         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
878         return 0;
879     }
880     /*
881      * Store the digest used so applications can retrieve it if they wish.
882      */
883     s->s3->tmp.peer_md = *pmd;
884     return 1;
885 }
886
887 /*
888  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
889  * supported, doesn't appear in supported signature algorithms, isn't supported
890  * by the enabled protocol versions or by the security level.
891  *
892  * This function should only be used for checking which ciphers are supported
893  * by the client.
894  *
895  * Call ssl_cipher_disabled() to check that it's enabled or not.
896  */
897 void ssl_set_client_disabled(SSL *s)
898 {
899     s->s3->tmp.mask_a = 0;
900     s->s3->tmp.mask_k = 0;
901     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
902     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
903 #ifndef OPENSSL_NO_PSK
904     /* with PSK there must be client callback set */
905     if (!s->psk_client_callback) {
906         s->s3->tmp.mask_a |= SSL_aPSK;
907         s->s3->tmp.mask_k |= SSL_PSK;
908     }
909 #endif                          /* OPENSSL_NO_PSK */
910 #ifndef OPENSSL_NO_SRP
911     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
912         s->s3->tmp.mask_a |= SSL_aSRP;
913         s->s3->tmp.mask_k |= SSL_kSRP;
914     }
915 #endif
916 }
917
918 /*
919  * ssl_cipher_disabled - check that a cipher is disabled or not
920  * @s: SSL connection that you want to use the cipher on
921  * @c: cipher to check
922  * @op: Security check that you want to do
923  *
924  * Returns 1 when it's disabled, 0 when enabled.
925  */
926 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
927 {
928     if (c->algorithm_mkey & s->s3->tmp.mask_k
929         || c->algorithm_auth & s->s3->tmp.mask_a)
930         return 1;
931     if (s->s3->tmp.max_ver == 0)
932         return 1;
933     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
934                             || (c->max_tls < s->s3->tmp.min_ver)))
935         return 1;
936     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
937                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
938         return 1;
939
940     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
941 }
942
943 static int tls_use_ticket(SSL *s)
944 {
945     if (s->options & SSL_OP_NO_TICKET)
946         return 0;
947     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
948 }
949
950 static int compare_uint(const void *p1, const void *p2)
951 {
952     unsigned int u1 = *((const unsigned int *)p1);
953     unsigned int u2 = *((const unsigned int *)p2);
954     if (u1 < u2)
955         return -1;
956     else if (u1 > u2)
957         return 1;
958     else
959         return 0;
960 }
961
962 /*
963  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
964  * more than one extension of the same type in a ClientHello or ServerHello.
965  * This function does an initial scan over the extensions block to filter those
966  * out. It returns 1 if all extensions are unique, and 0 if the extensions
967  * contain duplicates, could not be successfully parsed, or an internal error
968  * occurred.
969  */
970 static int tls1_check_duplicate_extensions(const PACKET *packet)
971 {
972     PACKET extensions = *packet;
973     size_t num_extensions = 0, i = 0;
974     unsigned int *extension_types = NULL;
975     int ret = 0;
976
977     /* First pass: count the extensions. */
978     while (PACKET_remaining(&extensions) > 0) {
979         unsigned int type;
980         PACKET extension;
981         if (!PACKET_get_net_2(&extensions, &type) ||
982             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
983             goto done;
984         }
985         num_extensions++;
986     }
987
988     if (num_extensions <= 1)
989         return 1;
990
991     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
992     if (extension_types == NULL) {
993         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
994         goto done;
995     }
996
997     /* Second pass: gather the extension types. */
998     extensions = *packet;
999     for (i = 0; i < num_extensions; i++) {
1000         PACKET extension;
1001         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
1002             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1003             /* This should not happen. */
1004             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1005             goto done;
1006         }
1007     }
1008
1009     if (PACKET_remaining(&extensions) != 0) {
1010         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1011         goto done;
1012     }
1013     /* Sort the extensions and make sure there are no duplicates. */
1014     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1015     for (i = 1; i < num_extensions; i++) {
1016         if (extension_types[i - 1] == extension_types[i])
1017             goto done;
1018     }
1019     ret = 1;
1020  done:
1021     OPENSSL_free(extension_types);
1022     return ret;
1023 }
1024
1025 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1026 {
1027 #ifndef OPENSSL_NO_EC
1028     /* See if we support any ECC ciphersuites */
1029     int using_ecc = 0;
1030     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1031         int i;
1032         unsigned long alg_k, alg_a;
1033         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1034
1035         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1036             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1037
1038             alg_k = c->algorithm_mkey;
1039             alg_a = c->algorithm_auth;
1040             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1041                 || (alg_a & SSL_aECDSA)) {
1042                 using_ecc = 1;
1043                 break;
1044             }
1045         }
1046     }
1047 #endif
1048
1049     /* Add RI if renegotiating */
1050     if (s->renegotiate) {
1051         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_renegotiate)
1052                 || !WPACKET_start_sub_packet_u16(pkt)
1053                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->previous_client_finished,
1054                                    s->s3->previous_client_finished_len)
1055                 || !WPACKET_close(pkt)) {
1056             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1057             return 0;
1058         }
1059     }
1060     /* Only add RI for SSLv3 */
1061     if (s->client_version == SSL3_VERSION)
1062         goto done;
1063
1064     if (s->tlsext_hostname != NULL) {
1065         /* Add TLS extension servername to the Client Hello message */
1066         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1067                    /* Sub-packet for server_name extension */
1068                 || !WPACKET_start_sub_packet_u16(pkt)
1069                    /* Sub-packet for servername list (always 1 hostname)*/
1070                 || !WPACKET_start_sub_packet_u16(pkt)
1071                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_NAMETYPE_host_name)
1072                 || !WPACKET_sub_memcpy_u16(pkt, s->tlsext_hostname,
1073                                            strlen(s->tlsext_hostname))
1074                 || !WPACKET_close(pkt)
1075                 || !WPACKET_close(pkt)) {
1076             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1077             return 0;
1078         }
1079     }
1080 #ifndef OPENSSL_NO_SRP
1081     /* Add SRP username if there is one */
1082     if (s->srp_ctx.login != NULL) {
1083         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_srp)
1084                    /* Sub-packet for SRP extension */
1085                 || !WPACKET_start_sub_packet_u16(pkt)
1086                 || !WPACKET_start_sub_packet_u8(pkt)
1087                    /* login must not be zero...internal error if so */
1088                 || !WPACKET_set_flags(pkt, WPACKET_FLAGS_NON_ZERO_LENGTH)
1089                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1090                                    strlen(s->srp_ctx.login))
1091                 || !WPACKET_close(pkt)
1092                 || !WPACKET_close(pkt)) {
1093             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1094             return 0;
1095         }
1096     }
1097 #endif
1098
1099 #ifndef OPENSSL_NO_EC
1100     if (using_ecc) {
1101         /*
1102          * Add TLS extension ECPointFormats to the ClientHello message
1103          */
1104         const unsigned char *pcurves, *pformats;
1105         size_t num_curves, num_formats;
1106         size_t i;
1107
1108         tls1_get_formatlist(s, &pformats, &num_formats);
1109
1110         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1111                    /* Sub-packet for formats extension */
1112                 || !WPACKET_start_sub_packet_u16(pkt)
1113                 || !WPACKET_sub_memcpy_u8(pkt, pformats, num_formats)
1114                 || !WPACKET_close(pkt)) {
1115             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1116             return 0;
1117         }
1118
1119         /*
1120          * Add TLS extension EllipticCurves to the ClientHello message
1121          */
1122         pcurves = s->tlsext_ellipticcurvelist;
1123         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1124             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1125             return 0;
1126         }
1127
1128         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_elliptic_curves)
1129                    /* Sub-packet for curves extension */
1130                 || !WPACKET_start_sub_packet_u16(pkt)
1131                 || !WPACKET_start_sub_packet_u16(pkt)) {
1132             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1133             return 0;
1134         }
1135         /* Copy curve ID if supported */
1136         for (i = 0; i < num_curves; i++, pcurves += 2) {
1137             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1138                 if (!WPACKET_put_bytes_u8(pkt, pcurves[0])
1139                     || !WPACKET_put_bytes_u8(pkt, pcurves[1])) {
1140                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1141                                ERR_R_INTERNAL_ERROR);
1142                         return 0;
1143                     }
1144             }
1145         }
1146         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1147             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1148             return 0;
1149         }
1150     }
1151 #endif                          /* OPENSSL_NO_EC */
1152
1153     if (tls_use_ticket(s)) {
1154         size_t ticklen;
1155         if (!s->new_session && s->session && s->session->tlsext_tick)
1156             ticklen = s->session->tlsext_ticklen;
1157         else if (s->session && s->tlsext_session_ticket &&
1158                  s->tlsext_session_ticket->data) {
1159             ticklen = s->tlsext_session_ticket->length;
1160             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1161             if (s->session->tlsext_tick == NULL) {
1162                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1163                 return 0;
1164             }
1165             memcpy(s->session->tlsext_tick,
1166                    s->tlsext_session_ticket->data, ticklen);
1167             s->session->tlsext_ticklen = ticklen;
1168         } else
1169             ticklen = 0;
1170         if (ticklen == 0 && s->tlsext_session_ticket &&
1171             s->tlsext_session_ticket->data == NULL)
1172             goto skip_ext;
1173
1174         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1175                 || !WPACKET_sub_memcpy_u16(pkt, s->session->tlsext_tick,
1176                                            ticklen)) {
1177             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1178             return 0;
1179         }
1180     }
1181  skip_ext:
1182
1183     if (SSL_CLIENT_USE_SIGALGS(s)) {
1184         size_t salglen;
1185         const unsigned char *salg;
1186
1187         salglen = tls12_get_psigalgs(s, &salg);
1188
1189         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signature_algorithms)
1190                    /* Sub-packet for sig-algs extension */
1191                 || !WPACKET_start_sub_packet_u16(pkt)
1192                    /* Sub-packet for the actual list */
1193                 || !WPACKET_start_sub_packet_u16(pkt)
1194                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1195                 || !WPACKET_close(pkt)
1196                 || !WPACKET_close(pkt)) {
1197             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1198             return 0;
1199         }
1200     }
1201 #ifndef OPENSSL_NO_OCSP
1202     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1203         int i;
1204
1205         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1206                    /* Sub-packet for status request extension */
1207                 || !WPACKET_start_sub_packet_u16(pkt)
1208                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_STATUSTYPE_ocsp)
1209                    /* Sub-packet for the ids */
1210                 || !WPACKET_start_sub_packet_u16(pkt)) {
1211             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1212             return 0;
1213         }
1214         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1215             unsigned char *idbytes;
1216             int idlen;
1217             OCSP_RESPID *id;
1218
1219             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1220             idlen = i2d_OCSP_RESPID(id, NULL);
1221             if (idlen <= 0
1222                        /* Sub-packet for an individual id */
1223                     || !WPACKET_sub_allocate_bytes_u16(pkt, idlen, &idbytes)
1224                     || i2d_OCSP_RESPID(id, &idbytes) != idlen) {
1225                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1226                 return 0;
1227             }
1228         }
1229         if (!WPACKET_close(pkt)
1230                 || !WPACKET_start_sub_packet_u16(pkt)) {
1231             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1232             return 0;
1233         }
1234         if (s->tlsext_ocsp_exts) {
1235             unsigned char *extbytes;
1236             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1237
1238             if (extlen < 0) {
1239                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1240                 return 0;
1241             }
1242             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1243                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1244                        != extlen) {
1245                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1246                 return 0;
1247            }
1248         }
1249         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1250             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1251             return 0;
1252         }
1253     }
1254 #endif
1255 #ifndef OPENSSL_NO_HEARTBEATS
1256     if (SSL_IS_DTLS(s)) {
1257         unsigned int mode;
1258
1259         /*-
1260          * Set mode:
1261          * 1: peer may send requests
1262          * 2: peer not allowed to send requests
1263          */
1264         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1265             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1266         else
1267             mode = SSL_DTLSEXT_HB_ENABLED;
1268
1269         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1270                    /* Sub-packet for Hearbeat extension */
1271                 || !WPACKET_start_sub_packet_u16(pkt)
1272                 || !WPACKET_put_bytes_u8(pkt, mode)
1273                 || !WPACKET_close(pkt)) {
1274             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1275             return 0;
1276         }
1277     }
1278 #endif
1279
1280 #ifndef OPENSSL_NO_NEXTPROTONEG
1281     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1282         /*
1283          * The client advertises an empty extension to indicate its support
1284          * for Next Protocol Negotiation
1285          */
1286         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1287                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1288             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1289             return 0;
1290         }
1291     }
1292 #endif
1293
1294     /*
1295      * finish_md_len is non-zero during a renegotiation, so
1296      * this avoids sending ALPN during the renegotiation
1297      * (see longer comment below)
1298      */
1299     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1300         if (!WPACKET_put_bytes_u16(pkt,
1301                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1302                    /* Sub-packet ALPN extension */
1303                 || !WPACKET_start_sub_packet_u16(pkt)
1304                 || !WPACKET_sub_memcpy_u16(pkt, s->alpn_client_proto_list,
1305                                            s->alpn_client_proto_list_len)
1306                 || !WPACKET_close(pkt)) {
1307             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1308             return 0;
1309         }
1310         s->s3->alpn_sent = 1;
1311     }
1312 #ifndef OPENSSL_NO_SRTP
1313     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1314         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = SSL_get_srtp_profiles(s);
1315         SRTP_PROTECTION_PROFILE *prof;
1316         int i, ct;
1317
1318         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1319                    /* Sub-packet for SRTP extension */
1320                 || !WPACKET_start_sub_packet_u16(pkt)
1321                    /* Sub-packet for the protection profile list */
1322                 || !WPACKET_start_sub_packet_u16(pkt)) {
1323             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1324             return 0;
1325         }
1326         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1327         for (i = 0; i < ct; i++) {
1328             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1329             if (prof == NULL || !WPACKET_put_bytes_u16(pkt, prof->id)) {
1330                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1331                 return 0;
1332             }
1333         }
1334         if (!WPACKET_close(pkt)
1335                    /* Add an empty use_mki value */
1336                 || !WPACKET_put_bytes_u8(pkt, 0)
1337                 || !WPACKET_close(pkt)) {
1338             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1339             return 0;
1340         }
1341     }
1342 #endif
1343     custom_ext_init(&s->cert->cli_ext);
1344     /* Add custom TLS Extensions to ClientHello */
1345     if (!custom_ext_add(s, 0, pkt, al)) {
1346         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1347         return 0;
1348     }
1349
1350     if (!(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC)) {
1351         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1352             || !WPACKET_put_bytes_u16(pkt, 0)) {
1353             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1354             return 0;
1355         }
1356     }
1357
1358 #ifndef OPENSSL_NO_CT
1359     if (s->ct_validation_callback != NULL) {
1360         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signed_certificate_timestamp)
1361                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1362             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1363             return 0;
1364         }
1365     }
1366 #endif
1367
1368     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1369             || !WPACKET_put_bytes_u16(pkt, 0)) {
1370         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1371         return 0;
1372     }
1373
1374     /*
1375      * Add padding to workaround bugs in F5 terminators. See
1376      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1377      * code works out the length of all existing extensions it MUST always
1378      * appear last.
1379      */
1380     if (s->options & SSL_OP_TLSEXT_PADDING) {
1381         unsigned char *padbytes;
1382         size_t hlen;
1383
1384         if (!WPACKET_get_total_written(pkt, &hlen)) {
1385             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1386             return 0;
1387         }
1388
1389         if (hlen > 0xff && hlen < 0x200) {
1390             hlen = 0x200 - hlen;
1391             if (hlen >= 4)
1392                 hlen -= 4;
1393             else
1394                 hlen = 0;
1395
1396             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_padding)
1397                     || !WPACKET_sub_allocate_bytes_u16(pkt, hlen, &padbytes)) {
1398                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1399                 return 0;
1400             }
1401             memset(padbytes, 0, hlen);
1402         }
1403     }
1404
1405  done:
1406     return 1;
1407 }
1408
1409 int ssl_add_serverhello_tlsext(SSL *s, WPACKET *pkt, int *al)
1410 {
1411 #ifndef OPENSSL_NO_NEXTPROTONEG
1412     int next_proto_neg_seen;
1413 #endif
1414 #ifndef OPENSSL_NO_EC
1415     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1416     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1417     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1418     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1419 #endif
1420
1421     if (!WPACKET_start_sub_packet_u16(pkt)
1422             || !WPACKET_set_flags(pkt, WPACKET_FLAGS_ABANDON_ON_ZERO_LENGTH)) {
1423         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1424         return 0;
1425     }
1426
1427     if (s->s3->send_connection_binding &&
1428             !ssl_add_serverhello_renegotiate_ext(s, pkt)) {
1429         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1430         return 0;
1431     }
1432
1433     /* Only add RI for SSLv3 */
1434     if (s->version == SSL3_VERSION)
1435         goto done;
1436
1437     if (!s->hit && s->servername_done == 1
1438             && s->session->tlsext_hostname != NULL) {
1439         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1440                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1441             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1442             return 0;
1443         }
1444     }
1445 #ifndef OPENSSL_NO_EC
1446     if (using_ecc) {
1447         const unsigned char *plist;
1448         size_t plistlen;
1449         /*
1450          * Add TLS extension ECPointFormats to the ServerHello message
1451          */
1452         tls1_get_formatlist(s, &plist, &plistlen);
1453
1454         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1455                 || !WPACKET_start_sub_packet_u16(pkt)
1456                 || !WPACKET_sub_memcpy_u8(pkt, plist, plistlen)
1457                 || !WPACKET_close(pkt)) {
1458             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1459             return 0;
1460         }
1461     }
1462     /*
1463      * Currently the server should not respond with a SupportedCurves
1464      * extension
1465      */
1466 #endif                          /* OPENSSL_NO_EC */
1467
1468     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1469         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1470                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1471             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1472             return 0;
1473         }
1474     } else {
1475         /*
1476          * if we don't add the above TLSEXT, we can't add a session ticket
1477          * later
1478          */
1479         s->tlsext_ticket_expected = 0;
1480     }
1481
1482     if (s->tlsext_status_expected) {
1483         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1484                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1485             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1486             return 0;
1487         }
1488     }
1489 #ifndef OPENSSL_NO_SRTP
1490     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1491         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1492                 || !WPACKET_start_sub_packet_u16(pkt)
1493                 || !WPACKET_put_bytes_u16(pkt, 2)
1494                 || !WPACKET_put_bytes_u16(pkt, s->srtp_profile->id)
1495                 || !WPACKET_put_bytes_u8(pkt, 0)
1496                 || !WPACKET_close(pkt)) {
1497             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1498             return 0;
1499         }
1500     }
1501 #endif
1502
1503     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1504          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1505         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1506         const unsigned char cryptopro_ext[36] = {
1507             0xfd, 0xe8,         /* 65000 */
1508             0x00, 0x20,         /* 32 bytes length */
1509             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1510             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1511             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1512             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1513         };
1514         if (!WPACKET_memcpy(pkt, cryptopro_ext, sizeof(cryptopro_ext))) {
1515             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1516             return 0;
1517         }
1518     }
1519 #ifndef OPENSSL_NO_HEARTBEATS
1520     /* Add Heartbeat extension if we've received one */
1521     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1522         unsigned int mode;
1523         /*-
1524          * Set mode:
1525          * 1: peer may send requests
1526          * 2: peer not allowed to send requests
1527          */
1528         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1529             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1530         else
1531             mode = SSL_DTLSEXT_HB_ENABLED;
1532
1533         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1534                 || !WPACKET_start_sub_packet_u16(pkt)
1535                 || !WPACKET_put_bytes_u8(pkt, mode)
1536                 || !WPACKET_close(pkt)) {
1537             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1538             return 0;
1539         }
1540
1541     }
1542 #endif
1543
1544 #ifndef OPENSSL_NO_NEXTPROTONEG
1545     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1546     s->s3->next_proto_neg_seen = 0;
1547     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1548         const unsigned char *npa;
1549         unsigned int npalen;
1550         int r;
1551
1552         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1553                                               s->
1554                                               ctx->next_protos_advertised_cb_arg);
1555         if (r == SSL_TLSEXT_ERR_OK) {
1556             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1557                     || !WPACKET_sub_memcpy_u16(pkt, npa, npalen)) {
1558                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1559                 return 0;
1560             }
1561             s->s3->next_proto_neg_seen = 1;
1562         }
1563     }
1564 #endif
1565     if (!custom_ext_add(s, 1, pkt, al)) {
1566         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1567         return 0;
1568     }
1569
1570     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1571         /*
1572          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1573          * for other cases too.
1574          */
1575         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1576             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1577             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1578             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1579             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1580         else {
1581             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1582                     || !WPACKET_put_bytes_u16(pkt, 0)) {
1583                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1584                 return 0;
1585             }
1586         }
1587     }
1588     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1589         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1590                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1591             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1592             return 0;
1593         }
1594     }
1595
1596     if (s->s3->alpn_selected != NULL) {
1597         if (!WPACKET_put_bytes_u16(pkt,
1598                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1599                 || !WPACKET_start_sub_packet_u16(pkt)
1600                 || !WPACKET_start_sub_packet_u16(pkt)
1601                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->alpn_selected,
1602                                           s->s3->alpn_selected_len)
1603                 || !WPACKET_close(pkt)
1604                 || !WPACKET_close(pkt)) {
1605             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1606             return 0;
1607         }
1608     }
1609
1610  done:
1611     if (!WPACKET_close(pkt)) {
1612         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1613         return 0;
1614     }
1615     return 1;
1616 }
1617
1618 /*
1619  * Save the ALPN extension in a ClientHello.
1620  * pkt: the contents of the ALPN extension, not including type and length.
1621  * al: a pointer to the  alert value to send in the event of a failure.
1622  * returns: 1 on success, 0 on error.
1623  */
1624 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1625 {
1626     PACKET protocol_list, save_protocol_list, protocol;
1627
1628     *al = SSL_AD_DECODE_ERROR;
1629
1630     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1631         || PACKET_remaining(&protocol_list) < 2) {
1632         return 0;
1633     }
1634
1635     save_protocol_list = protocol_list;
1636     do {
1637         /* Protocol names can't be empty. */
1638         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1639             || PACKET_remaining(&protocol) == 0) {
1640             return 0;
1641         }
1642     } while (PACKET_remaining(&protocol_list) != 0);
1643
1644     if (!PACKET_memdup(&save_protocol_list,
1645                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1646         *al = TLS1_AD_INTERNAL_ERROR;
1647         return 0;
1648     }
1649
1650     return 1;
1651 }
1652
1653 /*
1654  * Process the ALPN extension in a ClientHello.
1655  * al: a pointer to the alert value to send in the event of a failure.
1656  * returns 1 on success, 0 on error.
1657  */
1658 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1659 {
1660     const unsigned char *selected = NULL;
1661     unsigned char selected_len = 0;
1662
1663     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1664         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1665                                        s->s3->alpn_proposed,
1666                                        (unsigned int)s->s3->alpn_proposed_len,
1667                                        s->ctx->alpn_select_cb_arg);
1668
1669         if (r == SSL_TLSEXT_ERR_OK) {
1670             OPENSSL_free(s->s3->alpn_selected);
1671             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1672             if (s->s3->alpn_selected == NULL) {
1673                 *al = SSL_AD_INTERNAL_ERROR;
1674                 return 0;
1675             }
1676             s->s3->alpn_selected_len = selected_len;
1677 #ifndef OPENSSL_NO_NEXTPROTONEG
1678             /* ALPN takes precedence over NPN. */
1679             s->s3->next_proto_neg_seen = 0;
1680 #endif
1681         } else {
1682             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1683             return 0;
1684         }
1685     }
1686
1687     return 1;
1688 }
1689
1690 #ifndef OPENSSL_NO_EC
1691 /*-
1692  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1693  * SecureTransport using the TLS extension block in |pkt|.
1694  * Safari, since 10.6, sends exactly these extensions, in this order:
1695  *   SNI,
1696  *   elliptic_curves
1697  *   ec_point_formats
1698  *
1699  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1700  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1701  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1702  * 10.8..10.8.3 (which don't work).
1703  */
1704 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1705 {
1706     unsigned int type;
1707     PACKET sni, tmppkt;
1708     size_t ext_len;
1709
1710     static const unsigned char kSafariExtensionsBlock[] = {
1711         0x00, 0x0a,             /* elliptic_curves extension */
1712         0x00, 0x08,             /* 8 bytes */
1713         0x00, 0x06,             /* 6 bytes of curve ids */
1714         0x00, 0x17,             /* P-256 */
1715         0x00, 0x18,             /* P-384 */
1716         0x00, 0x19,             /* P-521 */
1717
1718         0x00, 0x0b,             /* ec_point_formats */
1719         0x00, 0x02,             /* 2 bytes */
1720         0x01,                   /* 1 point format */
1721         0x00,                   /* uncompressed */
1722         /* The following is only present in TLS 1.2 */
1723         0x00, 0x0d,             /* signature_algorithms */
1724         0x00, 0x0c,             /* 12 bytes */
1725         0x00, 0x0a,             /* 10 bytes */
1726         0x05, 0x01,             /* SHA-384/RSA */
1727         0x04, 0x01,             /* SHA-256/RSA */
1728         0x02, 0x01,             /* SHA-1/RSA */
1729         0x04, 0x03,             /* SHA-256/ECDSA */
1730         0x02, 0x03,             /* SHA-1/ECDSA */
1731     };
1732
1733     /* Length of the common prefix (first two extensions). */
1734     static const size_t kSafariCommonExtensionsLength = 18;
1735
1736     tmppkt = *pkt;
1737
1738     if (!PACKET_forward(&tmppkt, 2)
1739         || !PACKET_get_net_2(&tmppkt, &type)
1740         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1741         return;
1742     }
1743
1744     if (type != TLSEXT_TYPE_server_name)
1745         return;
1746
1747     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1748         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1749
1750     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1751                                              ext_len);
1752 }
1753 #endif                          /* !OPENSSL_NO_EC */
1754
1755 /*
1756  * Parse ClientHello extensions and stash extension info in various parts of
1757  * the SSL object. Verify that there are no duplicate extensions.
1758  *
1759  * Behaviour upon resumption is extension-specific. If the extension has no
1760  * effect during resumption, it is parsed (to verify its format) but otherwise
1761  * ignored.
1762  *
1763  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1764  * Upon failure, sets |al| to the appropriate alert.
1765  */
1766 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1767 {
1768     unsigned int type;
1769     int renegotiate_seen = 0;
1770     PACKET extensions;
1771
1772     *al = SSL_AD_DECODE_ERROR;
1773     s->servername_done = 0;
1774     s->tlsext_status_type = -1;
1775 #ifndef OPENSSL_NO_NEXTPROTONEG
1776     s->s3->next_proto_neg_seen = 0;
1777 #endif
1778
1779     OPENSSL_free(s->s3->alpn_selected);
1780     s->s3->alpn_selected = NULL;
1781     s->s3->alpn_selected_len = 0;
1782     OPENSSL_free(s->s3->alpn_proposed);
1783     s->s3->alpn_proposed = NULL;
1784     s->s3->alpn_proposed_len = 0;
1785 #ifndef OPENSSL_NO_HEARTBEATS
1786     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1787                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1788 #endif
1789
1790 #ifndef OPENSSL_NO_EC
1791     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1792         ssl_check_for_safari(s, pkt);
1793 #endif                          /* !OPENSSL_NO_EC */
1794
1795     /* Clear any signature algorithms extension received */
1796     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1797     s->s3->tmp.peer_sigalgs = NULL;
1798     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1799
1800 #ifndef OPENSSL_NO_SRP
1801     OPENSSL_free(s->srp_ctx.login);
1802     s->srp_ctx.login = NULL;
1803 #endif
1804
1805     s->srtp_profile = NULL;
1806
1807     if (PACKET_remaining(pkt) == 0)
1808         goto ri_check;
1809
1810     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1811         return 0;
1812
1813     if (!tls1_check_duplicate_extensions(&extensions))
1814         return 0;
1815
1816     /*
1817      * We parse all extensions to ensure the ClientHello is well-formed but,
1818      * unless an extension specifies otherwise, we ignore extensions upon
1819      * resumption.
1820      */
1821     while (PACKET_get_net_2(&extensions, &type)) {
1822         PACKET extension;
1823         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1824             return 0;
1825
1826         if (s->tlsext_debug_cb)
1827             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1828                                (int)PACKET_remaining(&extension),
1829                                s->tlsext_debug_arg);
1830
1831         if (type == TLSEXT_TYPE_renegotiate) {
1832             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1833                 return 0;
1834             renegotiate_seen = 1;
1835         } else if (s->version == SSL3_VERSION) {
1836         }
1837 /*-
1838  * The servername extension is treated as follows:
1839  *
1840  * - Only the hostname type is supported with a maximum length of 255.
1841  * - The servername is rejected if too long or if it contains zeros,
1842  *   in which case an fatal alert is generated.
1843  * - The servername field is maintained together with the session cache.
1844  * - When a session is resumed, the servername call back invoked in order
1845  *   to allow the application to position itself to the right context.
1846  * - The servername is acknowledged if it is new for a session or when
1847  *   it is identical to a previously used for the same session.
1848  *   Applications can control the behaviour.  They can at any time
1849  *   set a 'desirable' servername for a new SSL object. This can be the
1850  *   case for example with HTTPS when a Host: header field is received and
1851  *   a renegotiation is requested. In this case, a possible servername
1852  *   presented in the new client hello is only acknowledged if it matches
1853  *   the value of the Host: field.
1854  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1855  *   if they provide for changing an explicit servername context for the
1856  *   session, i.e. when the session has been established with a servername
1857  *   extension.
1858  * - On session reconnect, the servername extension may be absent.
1859  *
1860  */
1861
1862         else if (type == TLSEXT_TYPE_server_name) {
1863             unsigned int servname_type;
1864             PACKET sni, hostname;
1865
1866             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1867                 /* ServerNameList must be at least 1 byte long. */
1868                 || PACKET_remaining(&sni) == 0) {
1869                 return 0;
1870             }
1871
1872             /*
1873              * Although the server_name extension was intended to be
1874              * extensible to new name types, RFC 4366 defined the
1875              * syntax inextensibility and OpenSSL 1.0.x parses it as
1876              * such.
1877              * RFC 6066 corrected the mistake but adding new name types
1878              * is nevertheless no longer feasible, so act as if no other
1879              * SNI types can exist, to simplify parsing.
1880              *
1881              * Also note that the RFC permits only one SNI value per type,
1882              * i.e., we can only have a single hostname.
1883              */
1884             if (!PACKET_get_1(&sni, &servname_type)
1885                 || servname_type != TLSEXT_NAMETYPE_host_name
1886                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1887                 return 0;
1888             }
1889
1890             if (!s->hit) {
1891                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1892                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1893                     return 0;
1894                 }
1895
1896                 if (PACKET_contains_zero_byte(&hostname)) {
1897                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1898                     return 0;
1899                 }
1900
1901                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1902                     *al = TLS1_AD_INTERNAL_ERROR;
1903                     return 0;
1904                 }
1905
1906                 s->servername_done = 1;
1907             } else {
1908                 /*
1909                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1910                  * fall back to a full handshake.
1911                  */
1912                 s->servername_done = s->session->tlsext_hostname
1913                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1914                                     strlen(s->session->tlsext_hostname));
1915             }
1916         }
1917 #ifndef OPENSSL_NO_SRP
1918         else if (type == TLSEXT_TYPE_srp) {
1919             PACKET srp_I;
1920
1921             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1922                 return 0;
1923
1924             if (PACKET_contains_zero_byte(&srp_I))
1925                 return 0;
1926
1927             /*
1928              * TODO(openssl-team): currently, we re-authenticate the user
1929              * upon resumption. Instead, we MUST ignore the login.
1930              */
1931             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1932                 *al = TLS1_AD_INTERNAL_ERROR;
1933                 return 0;
1934             }
1935         }
1936 #endif
1937
1938 #ifndef OPENSSL_NO_EC
1939         else if (type == TLSEXT_TYPE_ec_point_formats) {
1940             PACKET ec_point_format_list;
1941
1942             if (!PACKET_as_length_prefixed_1(&extension, &ec_point_format_list)
1943                 || PACKET_remaining(&ec_point_format_list) == 0) {
1944                 return 0;
1945             }
1946
1947             if (!s->hit) {
1948                 if (!PACKET_memdup(&ec_point_format_list,
1949                                    &s->session->tlsext_ecpointformatlist,
1950                                    &s->
1951                                    session->tlsext_ecpointformatlist_length)) {
1952                     *al = TLS1_AD_INTERNAL_ERROR;
1953                     return 0;
1954                 }
1955             }
1956         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1957             PACKET elliptic_curve_list;
1958
1959             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1960             if (!PACKET_as_length_prefixed_2(&extension, &elliptic_curve_list)
1961                 || PACKET_remaining(&elliptic_curve_list) == 0
1962                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1963                 return 0;
1964             }
1965
1966             if (!s->hit) {
1967                 if (!PACKET_memdup(&elliptic_curve_list,
1968                                    &s->session->tlsext_ellipticcurvelist,
1969                                    &s->
1970                                    session->tlsext_ellipticcurvelist_length)) {
1971                     *al = TLS1_AD_INTERNAL_ERROR;
1972                     return 0;
1973                 }
1974             }
1975         }
1976 #endif                          /* OPENSSL_NO_EC */
1977         else if (type == TLSEXT_TYPE_session_ticket) {
1978             if (s->tls_session_ticket_ext_cb &&
1979                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
1980                                               (int)PACKET_remaining(&extension),
1981                                               s->tls_session_ticket_ext_cb_arg))
1982             {
1983                 *al = TLS1_AD_INTERNAL_ERROR;
1984                 return 0;
1985             }
1986         } else if (type == TLSEXT_TYPE_signature_algorithms) {
1987             PACKET supported_sig_algs;
1988
1989             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
1990                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
1991                 || PACKET_remaining(&supported_sig_algs) == 0) {
1992                 return 0;
1993             }
1994
1995             if (!s->hit) {
1996                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
1997                                        PACKET_remaining(&supported_sig_algs))) {
1998                     return 0;
1999                 }
2000             }
2001         } else if (type == TLSEXT_TYPE_status_request) {
2002             if (!PACKET_get_1(&extension,
2003                               (unsigned int *)&s->tlsext_status_type)) {
2004                 return 0;
2005             }
2006 #ifndef OPENSSL_NO_OCSP
2007             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2008                 const unsigned char *ext_data;
2009                 PACKET responder_id_list, exts;
2010                 if (!PACKET_get_length_prefixed_2
2011                     (&extension, &responder_id_list))
2012                     return 0;
2013
2014                 /*
2015                  * We remove any OCSP_RESPIDs from a previous handshake
2016                  * to prevent unbounded memory growth - CVE-2016-6304
2017                  */
2018                 sk_OCSP_RESPID_pop_free(s->tlsext_ocsp_ids,
2019                                         OCSP_RESPID_free);
2020                 if (PACKET_remaining(&responder_id_list) > 0) {
2021                     s->tlsext_ocsp_ids = sk_OCSP_RESPID_new_null();
2022                     if (s->tlsext_ocsp_ids == NULL) {
2023                         *al = SSL_AD_INTERNAL_ERROR;
2024                         return 0;
2025                     }
2026                 } else {
2027                     s->tlsext_ocsp_ids = NULL;
2028                 }
2029
2030                 while (PACKET_remaining(&responder_id_list) > 0) {
2031                     OCSP_RESPID *id;
2032                     PACKET responder_id;
2033                     const unsigned char *id_data;
2034
2035                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2036                                                       &responder_id)
2037                         || PACKET_remaining(&responder_id) == 0) {
2038                         return 0;
2039                     }
2040
2041                     id_data = PACKET_data(&responder_id);
2042                     /* TODO(size_t): Convert d2i_* to size_t */
2043                     id = d2i_OCSP_RESPID(NULL, &id_data,
2044                                          (int)PACKET_remaining(&responder_id));
2045                     if (id == NULL)
2046                         return 0;
2047
2048                     if (id_data != PACKET_end(&responder_id)) {
2049                         OCSP_RESPID_free(id);
2050                         return 0;
2051                     }
2052
2053                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2054                         OCSP_RESPID_free(id);
2055                         *al = SSL_AD_INTERNAL_ERROR;
2056                         return 0;
2057                     }
2058                 }
2059
2060                 /* Read in request_extensions */
2061                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2062                     return 0;
2063
2064                 if (PACKET_remaining(&exts) > 0) {
2065                     ext_data = PACKET_data(&exts);
2066                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2067                                                X509_EXTENSION_free);
2068                     s->tlsext_ocsp_exts =
2069                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2070                                             (int)PACKET_remaining(&exts));
2071                     if (s->tlsext_ocsp_exts == NULL
2072                         || ext_data != PACKET_end(&exts)) {
2073                         return 0;
2074                     }
2075                 }
2076             } else
2077 #endif
2078             {
2079                 /*
2080                  * We don't know what to do with any other type so ignore it.
2081                  */
2082                 s->tlsext_status_type = -1;
2083             }
2084         }
2085 #ifndef OPENSSL_NO_HEARTBEATS
2086         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2087             unsigned int hbtype;
2088
2089             if (!PACKET_get_1(&extension, &hbtype)
2090                 || PACKET_remaining(&extension)) {
2091                 *al = SSL_AD_DECODE_ERROR;
2092                 return 0;
2093             }
2094             switch (hbtype) {
2095             case 0x01:         /* Client allows us to send HB requests */
2096                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2097                 break;
2098             case 0x02:         /* Client doesn't accept HB requests */
2099                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2100                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2101                 break;
2102             default:
2103                 *al = SSL_AD_ILLEGAL_PARAMETER;
2104                 return 0;
2105             }
2106         }
2107 #endif
2108 #ifndef OPENSSL_NO_NEXTPROTONEG
2109         else if (type == TLSEXT_TYPE_next_proto_neg &&
2110                  s->s3->tmp.finish_md_len == 0) {
2111             /*-
2112              * We shouldn't accept this extension on a
2113              * renegotiation.
2114              *
2115              * s->new_session will be set on renegotiation, but we
2116              * probably shouldn't rely that it couldn't be set on
2117              * the initial renegotiation too in certain cases (when
2118              * there's some other reason to disallow resuming an
2119              * earlier session -- the current code won't be doing
2120              * anything like that, but this might change).
2121              *
2122              * A valid sign that there's been a previous handshake
2123              * in this connection is if s->s3->tmp.finish_md_len >
2124              * 0.  (We are talking about a check that will happen
2125              * in the Hello protocol round, well before a new
2126              * Finished message could have been computed.)
2127              */
2128             s->s3->next_proto_neg_seen = 1;
2129         }
2130 #endif
2131
2132         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2133                  s->s3->tmp.finish_md_len == 0) {
2134             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2135                 return 0;
2136         }
2137
2138         /* session ticket processed earlier */
2139 #ifndef OPENSSL_NO_SRTP
2140         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2141                  && type == TLSEXT_TYPE_use_srtp) {
2142             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2143                 return 0;
2144         }
2145 #endif
2146         else if (type == TLSEXT_TYPE_encrypt_then_mac &&
2147                  !(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC))
2148             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2149         /*
2150          * Note: extended master secret extension handled in
2151          * tls_check_serverhello_tlsext_early()
2152          */
2153
2154         /*
2155          * If this ClientHello extension was unhandled and this is a
2156          * nonresumed connection, check whether the extension is a custom
2157          * TLS Extension (has a custom_srv_ext_record), and if so call the
2158          * callback and record the extension number so that an appropriate
2159          * ServerHello may be later returned.
2160          */
2161         else if (!s->hit) {
2162             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2163                                  PACKET_remaining(&extension), al) <= 0)
2164                 return 0;
2165         }
2166     }
2167
2168     if (PACKET_remaining(pkt) != 0) {
2169         /*
2170          * tls1_check_duplicate_extensions should ensure this never happens.
2171          */
2172         *al = SSL_AD_INTERNAL_ERROR;
2173         return 0;
2174     }
2175
2176  ri_check:
2177
2178     /* Need RI if renegotiating */
2179
2180     if (!renegotiate_seen && s->renegotiate &&
2181         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2182         *al = SSL_AD_HANDSHAKE_FAILURE;
2183         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2184                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2185         return 0;
2186     }
2187
2188     /*
2189      * This function currently has no state to clean up, so it returns directly.
2190      * If parsing fails at any point, the function returns early.
2191      * The SSL object may be left with partial data from extensions, but it must
2192      * then no longer be used, and clearing it up will free the leftovers.
2193      */
2194     return 1;
2195 }
2196
2197 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2198 {
2199     int al = -1;
2200     custom_ext_init(&s->cert->srv_ext);
2201     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2202         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2203         return 0;
2204     }
2205     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2206         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2207         return 0;
2208     }
2209     return 1;
2210 }
2211
2212 #ifndef OPENSSL_NO_NEXTPROTONEG
2213 /*
2214  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2215  * elements of zero length are allowed and the set of elements must exactly
2216  * fill the length of the block.
2217  */
2218 static char ssl_next_proto_validate(PACKET *pkt)
2219 {
2220     PACKET tmp_protocol;
2221
2222     while (PACKET_remaining(pkt)) {
2223         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2224             || PACKET_remaining(&tmp_protocol) == 0)
2225             return 0;
2226     }
2227
2228     return 1;
2229 }
2230 #endif
2231
2232 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2233 {
2234     unsigned int length, type, size;
2235     int tlsext_servername = 0;
2236     int renegotiate_seen = 0;
2237
2238 #ifndef OPENSSL_NO_NEXTPROTONEG
2239     s->s3->next_proto_neg_seen = 0;
2240 #endif
2241     s->tlsext_ticket_expected = 0;
2242
2243     OPENSSL_free(s->s3->alpn_selected);
2244     s->s3->alpn_selected = NULL;
2245 #ifndef OPENSSL_NO_HEARTBEATS
2246     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2247                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2248 #endif
2249
2250     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2251
2252     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2253
2254     if (!PACKET_get_net_2(pkt, &length))
2255         goto ri_check;
2256
2257     if (PACKET_remaining(pkt) != length) {
2258         *al = SSL_AD_DECODE_ERROR;
2259         return 0;
2260     }
2261
2262     if (!tls1_check_duplicate_extensions(pkt)) {
2263         *al = SSL_AD_DECODE_ERROR;
2264         return 0;
2265     }
2266
2267     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2268         const unsigned char *data;
2269         PACKET spkt;
2270
2271         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2272             || !PACKET_peek_bytes(&spkt, &data, size))
2273             goto ri_check;
2274
2275         if (s->tlsext_debug_cb)
2276             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2277
2278         if (type == TLSEXT_TYPE_renegotiate) {
2279             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2280                 return 0;
2281             renegotiate_seen = 1;
2282         } else if (s->version == SSL3_VERSION) {
2283         } else if (type == TLSEXT_TYPE_server_name) {
2284             if (s->tlsext_hostname == NULL || size > 0) {
2285                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2286                 return 0;
2287             }
2288             tlsext_servername = 1;
2289         }
2290 #ifndef OPENSSL_NO_EC
2291         else if (type == TLSEXT_TYPE_ec_point_formats) {
2292             unsigned int ecpointformatlist_length;
2293             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2294                 || ecpointformatlist_length != size - 1) {
2295                 *al = TLS1_AD_DECODE_ERROR;
2296                 return 0;
2297             }
2298             if (!s->hit) {
2299                 s->session->tlsext_ecpointformatlist_length = 0;
2300                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2301                 if ((s->session->tlsext_ecpointformatlist =
2302                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2303                     *al = TLS1_AD_INTERNAL_ERROR;
2304                     return 0;
2305                 }
2306                 s->session->tlsext_ecpointformatlist_length =
2307                     ecpointformatlist_length;
2308                 if (!PACKET_copy_bytes(&spkt,
2309                                        s->session->tlsext_ecpointformatlist,
2310                                        ecpointformatlist_length)) {
2311                     *al = TLS1_AD_DECODE_ERROR;
2312                     return 0;
2313                 }
2314
2315             }
2316         }
2317 #endif                          /* OPENSSL_NO_EC */
2318
2319         else if (type == TLSEXT_TYPE_session_ticket) {
2320             if (s->tls_session_ticket_ext_cb &&
2321                 !s->tls_session_ticket_ext_cb(s, data, size,
2322                                               s->tls_session_ticket_ext_cb_arg))
2323             {
2324                 *al = TLS1_AD_INTERNAL_ERROR;
2325                 return 0;
2326             }
2327             if (!tls_use_ticket(s) || (size > 0)) {
2328                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2329                 return 0;
2330             }
2331             s->tlsext_ticket_expected = 1;
2332         } else if (type == TLSEXT_TYPE_status_request) {
2333             /*
2334              * MUST be empty and only sent if we've requested a status
2335              * request message.
2336              */
2337             if ((s->tlsext_status_type == -1) || (size > 0)) {
2338                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2339                 return 0;
2340             }
2341             /* Set flag to expect CertificateStatus message */
2342             s->tlsext_status_expected = 1;
2343         }
2344 #ifndef OPENSSL_NO_CT
2345         /*
2346          * Only take it if we asked for it - i.e if there is no CT validation
2347          * callback set, then a custom extension MAY be processing it, so we
2348          * need to let control continue to flow to that.
2349          */
2350         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2351                  s->ct_validation_callback != NULL) {
2352             /* Simply copy it off for later processing */
2353             if (s->tlsext_scts != NULL) {
2354                 OPENSSL_free(s->tlsext_scts);
2355                 s->tlsext_scts = NULL;
2356             }
2357             s->tlsext_scts_len = size;
2358             if (size > 0) {
2359                 s->tlsext_scts = OPENSSL_malloc(size);
2360                 if (s->tlsext_scts == NULL) {
2361                     *al = TLS1_AD_INTERNAL_ERROR;
2362                     return 0;
2363                 }
2364                 memcpy(s->tlsext_scts, data, size);
2365             }
2366         }
2367 #endif
2368 #ifndef OPENSSL_NO_NEXTPROTONEG
2369         else if (type == TLSEXT_TYPE_next_proto_neg &&
2370                  s->s3->tmp.finish_md_len == 0) {
2371             unsigned char *selected;
2372             unsigned char selected_len;
2373             /* We must have requested it. */
2374             if (s->ctx->next_proto_select_cb == NULL) {
2375                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2376                 return 0;
2377             }
2378             /* The data must be valid */
2379             if (!ssl_next_proto_validate(&spkt)) {
2380                 *al = TLS1_AD_DECODE_ERROR;
2381                 return 0;
2382             }
2383             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2384                                              size,
2385                                              s->
2386                                              ctx->next_proto_select_cb_arg) !=
2387                 SSL_TLSEXT_ERR_OK) {
2388                 *al = TLS1_AD_INTERNAL_ERROR;
2389                 return 0;
2390             }
2391             /*
2392              * Could be non-NULL if server has sent multiple NPN extensions in
2393              * a single Serverhello
2394              */
2395             OPENSSL_free(s->next_proto_negotiated);
2396             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2397             if (s->next_proto_negotiated == NULL) {
2398                 *al = TLS1_AD_INTERNAL_ERROR;
2399                 return 0;
2400             }
2401             memcpy(s->next_proto_negotiated, selected, selected_len);
2402             s->next_proto_negotiated_len = selected_len;
2403             s->s3->next_proto_neg_seen = 1;
2404         }
2405 #endif
2406
2407         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2408             unsigned len;
2409             /* We must have requested it. */
2410             if (!s->s3->alpn_sent) {
2411                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2412                 return 0;
2413             }
2414             /*-
2415              * The extension data consists of:
2416              *   uint16 list_length
2417              *   uint8 proto_length;
2418              *   uint8 proto[proto_length];
2419              */
2420             if (!PACKET_get_net_2(&spkt, &len)
2421                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2422                 || PACKET_remaining(&spkt) != len) {
2423                 *al = TLS1_AD_DECODE_ERROR;
2424                 return 0;
2425             }
2426             OPENSSL_free(s->s3->alpn_selected);
2427             s->s3->alpn_selected = OPENSSL_malloc(len);
2428             if (s->s3->alpn_selected == NULL) {
2429                 *al = TLS1_AD_INTERNAL_ERROR;
2430                 return 0;
2431             }
2432             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2433                 *al = TLS1_AD_DECODE_ERROR;
2434                 return 0;
2435             }
2436             s->s3->alpn_selected_len = len;
2437         }
2438 #ifndef OPENSSL_NO_HEARTBEATS
2439         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2440             unsigned int hbtype;
2441             if (!PACKET_get_1(&spkt, &hbtype)) {
2442                 *al = SSL_AD_DECODE_ERROR;
2443                 return 0;
2444             }
2445             switch (hbtype) {
2446             case 0x01:         /* Server allows us to send HB requests */
2447                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2448                 break;
2449             case 0x02:         /* Server doesn't accept HB requests */
2450                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2451                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2452                 break;
2453             default:
2454                 *al = SSL_AD_ILLEGAL_PARAMETER;
2455                 return 0;
2456             }
2457         }
2458 #endif
2459 #ifndef OPENSSL_NO_SRTP
2460         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2461             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2462                 return 0;
2463         }
2464 #endif
2465         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2466             /* Ignore if inappropriate ciphersuite */
2467             if (!(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC) &&
2468                 s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2469                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2470                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2471         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2472             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2473             if (!s->hit)
2474                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2475         }
2476         /*
2477          * If this extension type was not otherwise handled, but matches a
2478          * custom_cli_ext_record, then send it to the c callback
2479          */
2480         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2481             return 0;
2482     }
2483
2484     if (PACKET_remaining(pkt) != 0) {
2485         *al = SSL_AD_DECODE_ERROR;
2486         return 0;
2487     }
2488
2489     if (!s->hit && tlsext_servername == 1) {
2490         if (s->tlsext_hostname) {
2491             if (s->session->tlsext_hostname == NULL) {
2492                 s->session->tlsext_hostname =
2493                     OPENSSL_strdup(s->tlsext_hostname);
2494                 if (!s->session->tlsext_hostname) {
2495                     *al = SSL_AD_UNRECOGNIZED_NAME;
2496                     return 0;
2497                 }
2498             } else {
2499                 *al = SSL_AD_DECODE_ERROR;
2500                 return 0;
2501             }
2502         }
2503     }
2504
2505  ri_check:
2506
2507     /*
2508      * Determine if we need to see RI. Strictly speaking if we want to avoid
2509      * an attack we should *always* see RI even on initial server hello
2510      * because the client doesn't see any renegotiation during an attack.
2511      * However this would mean we could not connect to any server which
2512      * doesn't support RI so for the immediate future tolerate RI absence
2513      */
2514     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2515         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2516         *al = SSL_AD_HANDSHAKE_FAILURE;
2517         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2518                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2519         return 0;
2520     }
2521
2522     if (s->hit) {
2523         /*
2524          * Check extended master secret extension is consistent with
2525          * original session.
2526          */
2527         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2528             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2529             *al = SSL_AD_HANDSHAKE_FAILURE;
2530             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2531             return 0;
2532         }
2533     }
2534
2535     return 1;
2536 }
2537
2538 int ssl_prepare_clienthello_tlsext(SSL *s)
2539 {
2540     s->s3->alpn_sent = 0;
2541     return 1;
2542 }
2543
2544 int ssl_prepare_serverhello_tlsext(SSL *s)
2545 {
2546     return 1;
2547 }
2548
2549 static int ssl_check_clienthello_tlsext_early(SSL *s)
2550 {
2551     int ret = SSL_TLSEXT_ERR_NOACK;
2552     int al = SSL_AD_UNRECOGNIZED_NAME;
2553
2554 #ifndef OPENSSL_NO_EC
2555     /*
2556      * The handling of the ECPointFormats extension is done elsewhere, namely
2557      * in ssl3_choose_cipher in s3_lib.c.
2558      */
2559     /*
2560      * The handling of the EllipticCurves extension is done elsewhere, namely
2561      * in ssl3_choose_cipher in s3_lib.c.
2562      */
2563 #endif
2564
2565     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2566         ret =
2567             s->ctx->tlsext_servername_callback(s, &al,
2568                                                s->ctx->tlsext_servername_arg);
2569     else if (s->initial_ctx != NULL
2570              && s->initial_ctx->tlsext_servername_callback != 0)
2571         ret =
2572             s->initial_ctx->tlsext_servername_callback(s, &al,
2573                                                        s->
2574                                                        initial_ctx->tlsext_servername_arg);
2575
2576     switch (ret) {
2577     case SSL_TLSEXT_ERR_ALERT_FATAL:
2578         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2579         return -1;
2580
2581     case SSL_TLSEXT_ERR_ALERT_WARNING:
2582         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2583         return 1;
2584
2585     case SSL_TLSEXT_ERR_NOACK:
2586         s->servername_done = 0;
2587     default:
2588         return 1;
2589     }
2590 }
2591
2592 /* Initialise digests to default values */
2593 void ssl_set_default_md(SSL *s)
2594 {
2595     const EVP_MD **pmd = s->s3->tmp.md;
2596 #ifndef OPENSSL_NO_DSA
2597     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2598 #endif
2599 #ifndef OPENSSL_NO_RSA
2600     if (SSL_USE_SIGALGS(s))
2601         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2602     else
2603         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2604     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2605 #endif
2606 #ifndef OPENSSL_NO_EC
2607     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2608 #endif
2609 #ifndef OPENSSL_NO_GOST
2610     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2611     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2612     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2613 #endif
2614 }
2615
2616 int tls1_set_server_sigalgs(SSL *s)
2617 {
2618     int al;
2619     size_t i;
2620
2621     /* Clear any shared signature algorithms */
2622     OPENSSL_free(s->cert->shared_sigalgs);
2623     s->cert->shared_sigalgs = NULL;
2624     s->cert->shared_sigalgslen = 0;
2625     /* Clear certificate digests and validity flags */
2626     for (i = 0; i < SSL_PKEY_NUM; i++) {
2627         s->s3->tmp.md[i] = NULL;
2628         s->s3->tmp.valid_flags[i] = 0;
2629     }
2630
2631     /* If sigalgs received process it. */
2632     if (s->s3->tmp.peer_sigalgs) {
2633         if (!tls1_process_sigalgs(s)) {
2634             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2635             al = SSL_AD_INTERNAL_ERROR;
2636             goto err;
2637         }
2638         /* Fatal error is no shared signature algorithms */
2639         if (!s->cert->shared_sigalgs) {
2640             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2641                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2642             al = SSL_AD_ILLEGAL_PARAMETER;
2643             goto err;
2644         }
2645     } else {
2646         ssl_set_default_md(s);
2647     }
2648     return 1;
2649  err:
2650     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2651     return 0;
2652 }
2653
2654 /*
2655  * Upon success, returns 1.
2656  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2657  */
2658 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2659 {
2660     s->tlsext_status_expected = 0;
2661
2662     /*
2663      * If status request then ask callback what to do. Note: this must be
2664      * called after servername callbacks in case the certificate has changed,
2665      * and must be called after the cipher has been chosen because this may
2666      * influence which certificate is sent
2667      */
2668     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2669         int ret;
2670         CERT_PKEY *certpkey;
2671         certpkey = ssl_get_server_send_pkey(s);
2672         /* If no certificate can't return certificate status */
2673         if (certpkey != NULL) {
2674             /*
2675              * Set current certificate to one we will use so SSL_get_certificate
2676              * et al can pick it up.
2677              */
2678             s->cert->key = certpkey;
2679             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2680             switch (ret) {
2681                 /* We don't want to send a status request response */
2682             case SSL_TLSEXT_ERR_NOACK:
2683                 s->tlsext_status_expected = 0;
2684                 break;
2685                 /* status request response should be sent */
2686             case SSL_TLSEXT_ERR_OK:
2687                 if (s->tlsext_ocsp_resp)
2688                     s->tlsext_status_expected = 1;
2689                 break;
2690                 /* something bad happened */
2691             case SSL_TLSEXT_ERR_ALERT_FATAL:
2692             default:
2693                 *al = SSL_AD_INTERNAL_ERROR;
2694                 return 0;
2695             }
2696         }
2697     }
2698
2699     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2700         return 0;
2701     }
2702
2703     return 1;
2704 }
2705
2706 int ssl_check_serverhello_tlsext(SSL *s)
2707 {
2708     int ret = SSL_TLSEXT_ERR_NOACK;
2709     int al = SSL_AD_UNRECOGNIZED_NAME;
2710
2711 #ifndef OPENSSL_NO_EC
2712     /*
2713      * If we are client and using an elliptic curve cryptography cipher
2714      * suite, then if server returns an EC point formats lists extension it
2715      * must contain uncompressed.
2716      */
2717     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2718     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2719     if ((s->tlsext_ecpointformatlist != NULL)
2720         && (s->tlsext_ecpointformatlist_length > 0)
2721         && (s->session->tlsext_ecpointformatlist != NULL)
2722         && (s->session->tlsext_ecpointformatlist_length > 0)
2723         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2724         /* we are using an ECC cipher */
2725         size_t i;
2726         unsigned char *list;
2727         int found_uncompressed = 0;
2728         list = s->session->tlsext_ecpointformatlist;
2729         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2730             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2731                 found_uncompressed = 1;
2732                 break;
2733             }
2734         }
2735         if (!found_uncompressed) {
2736             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2737                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2738             return -1;
2739         }
2740     }
2741     ret = SSL_TLSEXT_ERR_OK;
2742 #endif                          /* OPENSSL_NO_EC */
2743
2744     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2745         ret =
2746             s->ctx->tlsext_servername_callback(s, &al,
2747                                                s->ctx->tlsext_servername_arg);
2748     else if (s->initial_ctx != NULL
2749              && s->initial_ctx->tlsext_servername_callback != 0)
2750         ret =
2751             s->initial_ctx->tlsext_servername_callback(s, &al,
2752                                                        s->
2753                                                        initial_ctx->tlsext_servername_arg);
2754
2755     /*
2756      * Ensure we get sensible values passed to tlsext_status_cb in the event
2757      * that we don't receive a status message
2758      */
2759     OPENSSL_free(s->tlsext_ocsp_resp);
2760     s->tlsext_ocsp_resp = NULL;
2761     s->tlsext_ocsp_resplen = 0;
2762
2763     switch (ret) {
2764     case SSL_TLSEXT_ERR_ALERT_FATAL:
2765         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2766         return -1;
2767
2768     case SSL_TLSEXT_ERR_ALERT_WARNING:
2769         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2770         return 1;
2771
2772     case SSL_TLSEXT_ERR_NOACK:
2773         s->servername_done = 0;
2774     default:
2775         return 1;
2776     }
2777 }
2778
2779 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2780 {
2781     int al = -1;
2782     if (s->version < SSL3_VERSION)
2783         return 1;
2784     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2785         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2786         return 0;
2787     }
2788
2789     if (ssl_check_serverhello_tlsext(s) <= 0) {
2790         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2791         return 0;
2792     }
2793     return 1;
2794 }
2795
2796 /*-
2797  * Since the server cache lookup is done early on in the processing of the
2798  * ClientHello and other operations depend on the result some extensions
2799  * need to be handled at the same time.
2800  *
2801  * Two extensions are currently handled, session ticket and extended master
2802  * secret.
2803  *
2804  *   session_id: ClientHello session ID.
2805  *   ext: ClientHello extensions (including length prefix)
2806  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2807  *       point to the resulting session.
2808  *
2809  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2810  * ciphersuite, in which case we have no use for session tickets and one will
2811  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2812  *
2813  * Returns:
2814  *   -1: fatal error, either from parsing or decrypting the ticket.
2815  *    0: no ticket was found (or was ignored, based on settings).
2816  *    1: a zero length extension was found, indicating that the client supports
2817  *       session tickets but doesn't currently have one to offer.
2818  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2819  *       couldn't be decrypted because of a non-fatal error.
2820  *    3: a ticket was successfully decrypted and *ret was set.
2821  *
2822  * Side effects:
2823  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2824  *   a new session ticket to the client because the client indicated support
2825  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2826  *   a session ticket or we couldn't use the one it gave us, or if
2827  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2828  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2829  *
2830  *   For extended master secret flag is set if the extension is present.
2831  *
2832  */
2833 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2834                                        const PACKET *session_id,
2835                                        SSL_SESSION **ret)
2836 {
2837     unsigned int i;
2838     PACKET local_ext = *ext;
2839     int retv = -1;
2840
2841     int have_ticket = 0;
2842     int use_ticket = tls_use_ticket(s);
2843
2844     *ret = NULL;
2845     s->tlsext_ticket_expected = 0;
2846     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2847
2848     /*
2849      * If tickets disabled behave as if no ticket present to permit stateful
2850      * resumption.
2851      */
2852     if ((s->version <= SSL3_VERSION))
2853         return 0;
2854
2855     if (!PACKET_get_net_2(&local_ext, &i)) {
2856         retv = 0;
2857         goto end;
2858     }
2859     while (PACKET_remaining(&local_ext) >= 4) {
2860         unsigned int type, size;
2861
2862         if (!PACKET_get_net_2(&local_ext, &type)
2863             || !PACKET_get_net_2(&local_ext, &size)) {
2864             /* Shouldn't ever happen */
2865             retv = -1;
2866             goto end;
2867         }
2868         if (PACKET_remaining(&local_ext) < size) {
2869             retv = 0;
2870             goto end;
2871         }
2872         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2873             int r;
2874             const unsigned char *etick;
2875
2876             /* Duplicate extension */
2877             if (have_ticket != 0) {
2878                 retv = -1;
2879                 goto end;
2880             }
2881             have_ticket = 1;
2882
2883             if (size == 0) {
2884                 /*
2885                  * The client will accept a ticket but doesn't currently have
2886                  * one.
2887                  */
2888                 s->tlsext_ticket_expected = 1;
2889                 retv = 1;
2890                 continue;
2891             }
2892             if (s->tls_session_secret_cb) {
2893                 /*
2894                  * Indicate that the ticket couldn't be decrypted rather than
2895                  * generating the session from ticket now, trigger
2896                  * abbreviated handshake based on external mechanism to
2897                  * calculate the master secret later.
2898                  */
2899                 retv = 2;
2900                 continue;
2901             }
2902             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2903                 /* Shouldn't ever happen */
2904                 retv = -1;
2905                 goto end;
2906             }
2907             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2908                                    PACKET_remaining(session_id), ret);
2909             switch (r) {
2910             case 2:            /* ticket couldn't be decrypted */
2911                 s->tlsext_ticket_expected = 1;
2912                 retv = 2;
2913                 break;
2914             case 3:            /* ticket was decrypted */
2915                 retv = r;
2916                 break;
2917             case 4:            /* ticket decrypted but need to renew */
2918                 s->tlsext_ticket_expected = 1;
2919                 retv = 3;
2920                 break;
2921             default:           /* fatal error */
2922                 retv = -1;
2923                 break;
2924             }
2925             continue;
2926         } else {
2927             if (type == TLSEXT_TYPE_extended_master_secret)
2928                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2929             if (!PACKET_forward(&local_ext, size)) {
2930                 retv = -1;
2931                 goto end;
2932             }
2933         }
2934     }
2935     if (have_ticket == 0)
2936         retv = 0;
2937  end:
2938     return retv;
2939 }
2940
2941 /*-
2942  * tls_decrypt_ticket attempts to decrypt a session ticket.
2943  *
2944  *   etick: points to the body of the session ticket extension.
2945  *   eticklen: the length of the session tickets extension.
2946  *   sess_id: points at the session ID.
2947  *   sesslen: the length of the session ID.
2948  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2949  *       point to the resulting session.
2950  *
2951  * Returns:
2952  *   -2: fatal error, malloc failure.
2953  *   -1: fatal error, either from parsing or decrypting the ticket.
2954  *    2: the ticket couldn't be decrypted.
2955  *    3: a ticket was successfully decrypted and *psess was set.
2956  *    4: same as 3, but the ticket needs to be renewed.
2957  */
2958 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2959                               size_t eticklen, const unsigned char *sess_id,
2960                               size_t sesslen, SSL_SESSION **psess)
2961 {
2962     SSL_SESSION *sess;
2963     unsigned char *sdec;
2964     const unsigned char *p;
2965     int slen, renew_ticket = 0, ret = -1, declen;
2966     size_t mlen;
2967     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2968     HMAC_CTX *hctx = NULL;
2969     EVP_CIPHER_CTX *ctx;
2970     SSL_CTX *tctx = s->initial_ctx;
2971
2972     /* Initialize session ticket encryption and HMAC contexts */
2973     hctx = HMAC_CTX_new();
2974     if (hctx == NULL)
2975         return -2;
2976     ctx = EVP_CIPHER_CTX_new();
2977     if (ctx == NULL) {
2978         ret = -2;
2979         goto err;
2980     }
2981     if (tctx->tlsext_ticket_key_cb) {
2982         unsigned char *nctick = (unsigned char *)etick;
2983         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
2984                                             ctx, hctx, 0);
2985         if (rv < 0)
2986             goto err;
2987         if (rv == 0) {
2988             ret = 2;
2989             goto err;
2990         }
2991         if (rv == 2)
2992             renew_ticket = 1;
2993     } else {
2994         /* Check key name matches */
2995         if (memcmp(etick, tctx->tlsext_tick_key_name,
2996                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
2997             ret = 2;
2998             goto err;
2999         }
3000         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3001                          sizeof(tctx->tlsext_tick_hmac_key),
3002                          EVP_sha256(), NULL) <= 0
3003             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3004                                   tctx->tlsext_tick_aes_key,
3005                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
3006             0) {
3007             goto err;
3008         }
3009     }
3010     /*
3011      * Attempt to process session ticket, first conduct sanity and integrity
3012      * checks on ticket.
3013      */
3014     mlen = HMAC_size(hctx);
3015     if (mlen == 0) {
3016         goto err;
3017     }
3018     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3019     if (eticklen <=
3020         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3021         ret = 2;
3022         goto err;
3023     }
3024     eticklen -= mlen;
3025     /* Check HMAC of encrypted ticket */
3026     if (HMAC_Update(hctx, etick, eticklen) <= 0
3027         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3028         goto err;
3029     }
3030     HMAC_CTX_free(hctx);
3031     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3032         EVP_CIPHER_CTX_free(ctx);
3033         return 2;
3034     }
3035     /* Attempt to decrypt session data */
3036     /* Move p after IV to start of encrypted ticket, update length */
3037     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3038     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3039     sdec = OPENSSL_malloc(eticklen);
3040     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p,
3041                                           (int)eticklen) <= 0) {
3042         EVP_CIPHER_CTX_free(ctx);
3043         OPENSSL_free(sdec);
3044         return -1;
3045     }
3046     if (EVP_DecryptFinal(ctx, sdec + slen, &declen) <= 0) {
3047         EVP_CIPHER_CTX_free(ctx);
3048         OPENSSL_free(sdec);
3049         return 2;
3050     }
3051     slen += declen;
3052     EVP_CIPHER_CTX_free(ctx);
3053     ctx = NULL;
3054     p = sdec;
3055
3056     sess = d2i_SSL_SESSION(NULL, &p, slen);
3057     OPENSSL_free(sdec);
3058     if (sess) {
3059         /*
3060          * The session ID, if non-empty, is used by some clients to detect
3061          * that the ticket has been accepted. So we copy it to the session
3062          * structure. If it is empty set length to zero as required by
3063          * standard.
3064          */
3065         if (sesslen)
3066             memcpy(sess->session_id, sess_id, sesslen);
3067         sess->session_id_length = sesslen;
3068         *psess = sess;
3069         if (renew_ticket)
3070             return 4;
3071         else
3072             return 3;
3073     }
3074     ERR_clear_error();
3075     /*
3076      * For session parse failure, indicate that we need to send a new ticket.
3077      */
3078     return 2;
3079  err:
3080     EVP_CIPHER_CTX_free(ctx);
3081     HMAC_CTX_free(hctx);
3082     return ret;
3083 }
3084
3085 /* Tables to translate from NIDs to TLS v1.2 ids */
3086
3087 typedef struct {
3088     int nid;
3089     int id;
3090 } tls12_lookup;
3091
3092 static const tls12_lookup tls12_md[] = {
3093     {NID_md5, TLSEXT_hash_md5},
3094     {NID_sha1, TLSEXT_hash_sha1},
3095     {NID_sha224, TLSEXT_hash_sha224},
3096     {NID_sha256, TLSEXT_hash_sha256},
3097     {NID_sha384, TLSEXT_hash_sha384},
3098     {NID_sha512, TLSEXT_hash_sha512},
3099     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3100     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3101     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3102 };
3103
3104 static const tls12_lookup tls12_sig[] = {
3105     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3106     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3107     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3108     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3109     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3110     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3111 };
3112
3113 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3114 {
3115     size_t i;
3116     for (i = 0; i < tlen; i++) {
3117         if (table[i].nid == nid)
3118             return table[i].id;
3119     }
3120     return -1;
3121 }
3122
3123 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3124 {
3125     size_t i;
3126     for (i = 0; i < tlen; i++) {
3127         if ((table[i].id) == id)
3128             return table[i].nid;
3129     }
3130     return NID_undef;
3131 }
3132
3133 int tls12_get_sigandhash(WPACKET *pkt, const EVP_PKEY *pk, const EVP_MD *md)
3134 {
3135     int sig_id, md_id;
3136
3137     if (md == NULL)
3138         return 0;
3139     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3140     if (md_id == -1)
3141         return 0;
3142     sig_id = tls12_get_sigid(pk);
3143     if (sig_id == -1)
3144         return 0;
3145     if (!WPACKET_put_bytes_u8(pkt, md_id) || !WPACKET_put_bytes_u8(pkt, sig_id))
3146         return 0;
3147
3148     return 1;
3149 }
3150
3151 int tls12_get_sigid(const EVP_PKEY *pk)
3152 {
3153     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3154 }
3155
3156 typedef struct {
3157     int nid;
3158     int secbits;
3159     int md_idx;
3160     unsigned char tlsext_hash;
3161 } tls12_hash_info;
3162
3163 static const tls12_hash_info tls12_md_info[] = {
3164     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3165     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3166     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3167     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3168     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3169     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3170     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3171     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3172      TLSEXT_hash_gostr34112012_256},
3173     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3174      TLSEXT_hash_gostr34112012_512},
3175 };
3176
3177 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3178 {
3179     unsigned int i;
3180     if (hash_alg == 0)
3181         return NULL;
3182
3183     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3184         if (tls12_md_info[i].tlsext_hash == hash_alg)
3185             return tls12_md_info + i;
3186     }
3187
3188     return NULL;
3189 }
3190
3191 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3192 {
3193     const tls12_hash_info *inf;
3194     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3195         return NULL;
3196     inf = tls12_get_hash_info(hash_alg);
3197     if (!inf)
3198         return NULL;
3199     return ssl_md(inf->md_idx);
3200 }
3201
3202 static int tls12_get_pkey_idx(unsigned char sig_alg)
3203 {
3204     switch (sig_alg) {
3205 #ifndef OPENSSL_NO_RSA
3206     case TLSEXT_signature_rsa:
3207         return SSL_PKEY_RSA_SIGN;
3208 #endif
3209 #ifndef OPENSSL_NO_DSA
3210     case TLSEXT_signature_dsa:
3211         return SSL_PKEY_DSA_SIGN;
3212 #endif
3213 #ifndef OPENSSL_NO_EC
3214     case TLSEXT_signature_ecdsa:
3215         return SSL_PKEY_ECC;
3216 #endif
3217 #ifndef OPENSSL_NO_GOST
3218     case TLSEXT_signature_gostr34102001:
3219         return SSL_PKEY_GOST01;
3220
3221     case TLSEXT_signature_gostr34102012_256:
3222         return SSL_PKEY_GOST12_256;
3223
3224     case TLSEXT_signature_gostr34102012_512:
3225         return SSL_PKEY_GOST12_512;
3226 #endif
3227     }
3228     return -1;
3229 }
3230
3231 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3232 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3233                                int *psignhash_nid, const unsigned char *data)
3234 {
3235     int sign_nid = NID_undef, hash_nid = NID_undef;
3236     if (!phash_nid && !psign_nid && !psignhash_nid)
3237         return;
3238     if (phash_nid || psignhash_nid) {
3239         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3240         if (phash_nid)
3241             *phash_nid = hash_nid;
3242     }
3243     if (psign_nid || psignhash_nid) {
3244         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3245         if (psign_nid)
3246             *psign_nid = sign_nid;
3247     }
3248     if (psignhash_nid) {
3249         if (sign_nid == NID_undef || hash_nid == NID_undef
3250             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3251             *psignhash_nid = NID_undef;
3252     }
3253 }
3254
3255 /* Check to see if a signature algorithm is allowed */
3256 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3257 {
3258     /* See if we have an entry in the hash table and it is enabled */
3259     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3260     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3261         return 0;
3262     /* See if public key algorithm allowed */
3263     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3264         return 0;
3265     /* Finally see if security callback allows it */
3266     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3267 }
3268
3269 /*
3270  * Get a mask of disabled public key algorithms based on supported signature
3271  * algorithms. For example if no signature algorithm supports RSA then RSA is
3272  * disabled.
3273  */
3274
3275 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3276 {
3277     const unsigned char *sigalgs;
3278     size_t i, sigalgslen;
3279     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3280     /*
3281      * Now go through all signature algorithms seeing if we support any for
3282      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3283      * down calls to security callback only check if we have to.
3284      */
3285     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3286     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3287         switch (sigalgs[1]) {
3288 #ifndef OPENSSL_NO_RSA
3289         case TLSEXT_signature_rsa:
3290             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3291                 have_rsa = 1;
3292             break;
3293 #endif
3294 #ifndef OPENSSL_NO_DSA
3295         case TLSEXT_signature_dsa:
3296             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3297                 have_dsa = 1;
3298             break;
3299 #endif
3300 #ifndef OPENSSL_NO_EC
3301         case TLSEXT_signature_ecdsa:
3302             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3303                 have_ecdsa = 1;
3304             break;
3305 #endif
3306         }
3307     }
3308     if (!have_rsa)
3309         *pmask_a |= SSL_aRSA;
3310     if (!have_dsa)
3311         *pmask_a |= SSL_aDSS;
3312     if (!have_ecdsa)
3313         *pmask_a |= SSL_aECDSA;
3314 }
3315
3316 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3317                        const unsigned char *psig, size_t psiglen)
3318 {
3319     size_t i;
3320
3321     for (i = 0; i < psiglen; i += 2, psig += 2) {
3322         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3323             if (!WPACKET_put_bytes_u8(pkt, psig[0])
3324                     || !WPACKET_put_bytes_u8(pkt, psig[1]))
3325                 return 0;
3326         }
3327     }
3328     return 1;
3329 }
3330
3331 /* Given preference and allowed sigalgs set shared sigalgs */
3332 static size_t tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3333                                    const unsigned char *pref, size_t preflen,
3334                                    const unsigned char *allow, size_t allowlen)
3335 {
3336     const unsigned char *ptmp, *atmp;
3337     size_t i, j, nmatch = 0;
3338     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3339         /* Skip disabled hashes or signature algorithms */
3340         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3341             continue;
3342         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3343             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3344                 nmatch++;
3345                 if (shsig) {
3346                     shsig->rhash = ptmp[0];
3347                     shsig->rsign = ptmp[1];
3348                     tls1_lookup_sigalg(&shsig->hash_nid,
3349                                        &shsig->sign_nid,
3350                                        &shsig->signandhash_nid, ptmp);
3351                     shsig++;
3352                 }
3353                 break;
3354             }
3355         }
3356     }
3357     return nmatch;
3358 }
3359
3360 /* Set shared signature algorithms for SSL structures */
3361 static int tls1_set_shared_sigalgs(SSL *s)
3362 {
3363     const unsigned char *pref, *allow, *conf;
3364     size_t preflen, allowlen, conflen;
3365     size_t nmatch;
3366     TLS_SIGALGS *salgs = NULL;
3367     CERT *c = s->cert;
3368     unsigned int is_suiteb = tls1_suiteb(s);
3369
3370     OPENSSL_free(c->shared_sigalgs);
3371     c->shared_sigalgs = NULL;
3372     c->shared_sigalgslen = 0;
3373     /* If client use client signature algorithms if not NULL */
3374     if (!s->server && c->client_sigalgs && !is_suiteb) {
3375         conf = c->client_sigalgs;
3376         conflen = c->client_sigalgslen;
3377     } else if (c->conf_sigalgs && !is_suiteb) {
3378         conf = c->conf_sigalgs;
3379         conflen = c->conf_sigalgslen;
3380     } else
3381         conflen = tls12_get_psigalgs(s, &conf);
3382     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3383         pref = conf;
3384         preflen = conflen;
3385         allow = s->s3->tmp.peer_sigalgs;
3386         allowlen = s->s3->tmp.peer_sigalgslen;
3387     } else {
3388         allow = conf;
3389         allowlen = conflen;
3390         pref = s->s3->tmp.peer_sigalgs;
3391         preflen = s->s3->tmp.peer_sigalgslen;
3392     }
3393     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3394     if (nmatch) {
3395         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3396         if (salgs == NULL)
3397             return 0;
3398         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3399     } else {
3400         salgs = NULL;
3401     }
3402     c->shared_sigalgs = salgs;
3403     c->shared_sigalgslen = nmatch;
3404     return 1;
3405 }
3406
3407 /* Set preferred digest for each key type */
3408
3409 int tls1_save_sigalgs(SSL *s, const unsigned char *data, size_t dsize)
3410 {
3411     CERT *c = s->cert;
3412     /* Extension ignored for inappropriate versions */
3413     if (!SSL_USE_SIGALGS(s))
3414         return 1;
3415     /* Should never happen */
3416     if (!c)
3417         return 0;
3418
3419     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3420     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3421     if (s->s3->tmp.peer_sigalgs == NULL)
3422         return 0;
3423     s->s3->tmp.peer_sigalgslen = dsize;
3424     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3425     return 1;
3426 }
3427
3428 int tls1_process_sigalgs(SSL *s)
3429 {
3430     int idx;
3431     size_t i;
3432     const EVP_MD *md;
3433     const EVP_MD **pmd = s->s3->tmp.md;
3434     uint32_t *pvalid = s->s3->tmp.valid_flags;
3435     CERT *c = s->cert;
3436     TLS_SIGALGS *sigptr;
3437     if (!tls1_set_shared_sigalgs(s))
3438         return 0;
3439
3440     for (i = 0, sigptr = c->shared_sigalgs;
3441          i < c->shared_sigalgslen; i++, sigptr++) {
3442         idx = tls12_get_pkey_idx(sigptr->rsign);
3443         if (idx > 0 && pmd[idx] == NULL) {
3444             md = tls12_get_hash(sigptr->rhash);
3445             pmd[idx] = md;
3446             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3447             if (idx == SSL_PKEY_RSA_SIGN) {
3448                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3449                 pmd[SSL_PKEY_RSA_ENC] = md;
3450             }
3451         }
3452
3453     }
3454     /*
3455      * In strict mode leave unset digests as NULL to indicate we can't use
3456      * the certificate for signing.
3457      */
3458     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3459         /*
3460          * Set any remaining keys to default values. NOTE: if alg is not
3461          * supported it stays as NULL.
3462          */
3463 #ifndef OPENSSL_NO_DSA
3464         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3465             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3466 #endif
3467 #ifndef OPENSSL_NO_RSA
3468         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3469             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3470             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3471         }
3472 #endif
3473 #ifndef OPENSSL_NO_EC
3474         if (pmd[SSL_PKEY_ECC] == NULL)
3475             pmd[SSL_PKEY_ECC] = EVP_sha1();
3476 #endif
3477 #ifndef OPENSSL_NO_GOST
3478         if (pmd[SSL_PKEY_GOST01] == NULL)
3479             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3480         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3481             pmd[SSL_PKEY_GOST12_256] =
3482                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3483         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3484             pmd[SSL_PKEY_GOST12_512] =
3485                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3486 #endif
3487     }
3488     return 1;
3489 }
3490
3491 int SSL_get_sigalgs(SSL *s, int idx,
3492                     int *psign, int *phash, int *psignhash,
3493                     unsigned char *rsig, unsigned char *rhash)
3494 {
3495     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3496     size_t numsigalgs = s->s3->tmp.peer_sigalgslen / 2;
3497     if (psig == NULL || numsigalgs > INT_MAX)
3498         return 0;
3499     if (idx >= 0) {
3500         idx <<= 1;
3501         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3502             return 0;
3503         psig += idx;
3504         if (rhash)
3505             *rhash = psig[0];
3506         if (rsig)
3507             *rsig = psig[1];
3508         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3509     }
3510     return (int)numsigalgs;
3511 }
3512
3513 int SSL_get_shared_sigalgs(SSL *s, int idx,
3514                            int *psign, int *phash, int *psignhash,
3515                            unsigned char *rsig, unsigned char *rhash)
3516 {
3517     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3518     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen
3519             || s->cert->shared_sigalgslen > INT_MAX)
3520         return 0;
3521     shsigalgs += idx;
3522     if (phash)
3523         *phash = shsigalgs->hash_nid;
3524     if (psign)
3525         *psign = shsigalgs->sign_nid;
3526     if (psignhash)
3527         *psignhash = shsigalgs->signandhash_nid;
3528     if (rsig)
3529         *rsig = shsigalgs->rsign;
3530     if (rhash)
3531         *rhash = shsigalgs->rhash;
3532     return (int)s->cert->shared_sigalgslen;
3533 }
3534
3535 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3536
3537 typedef struct {
3538     size_t sigalgcnt;
3539     int sigalgs[MAX_SIGALGLEN];
3540 } sig_cb_st;
3541
3542 static void get_sigorhash(int *psig, int *phash, const char *str)
3543 {
3544     if (strcmp(str, "RSA") == 0) {
3545         *psig = EVP_PKEY_RSA;
3546     } else if (strcmp(str, "DSA") == 0) {
3547         *psig = EVP_PKEY_DSA;
3548     } else if (strcmp(str, "ECDSA") == 0) {
3549         *psig = EVP_PKEY_EC;
3550     } else {
3551         *phash = OBJ_sn2nid(str);
3552         if (*phash == NID_undef)
3553             *phash = OBJ_ln2nid(str);
3554     }
3555 }
3556
3557 static int sig_cb(const char *elem, int len, void *arg)
3558 {
3559     sig_cb_st *sarg = arg;
3560     size_t i;
3561     char etmp[20], *p;
3562     int sig_alg = NID_undef, hash_alg = NID_undef;
3563     if (elem == NULL)
3564         return 0;
3565     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3566         return 0;
3567     if (len > (int)(sizeof(etmp) - 1))
3568         return 0;
3569     memcpy(etmp, elem, len);
3570     etmp[len] = 0;
3571     p = strchr(etmp, '+');
3572     if (!p)
3573         return 0;
3574     *p = 0;
3575     p++;
3576     if (!*p)
3577         return 0;
3578
3579     get_sigorhash(&sig_alg, &hash_alg, etmp);
3580     get_sigorhash(&sig_alg, &hash_alg, p);
3581
3582     if (sig_alg == NID_undef || hash_alg == NID_undef)
3583         return 0;
3584
3585     for (i = 0;