0ea80d9a10d86e95bfcc971c6d7f166b2e774fed
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
24                               const unsigned char *sess_id, int sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS1_FINISH_MAC_LENGTH,
37     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
38     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
39     tls1_alert_code,
40     tls1_export_keying_material,
41     0,
42     SSL3_HM_HEADER_LENGTH,
43     ssl3_set_handshake_header,
44     ssl3_set_handshake_header2,
45     tls_close_construct_packet,
46     ssl3_handshake_write
47 };
48
49 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
50     tls1_enc,
51     tls1_mac,
52     tls1_setup_key_block,
53     tls1_generate_master_secret,
54     tls1_change_cipher_state,
55     tls1_final_finish_mac,
56     TLS1_FINISH_MAC_LENGTH,
57     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
58     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
59     tls1_alert_code,
60     tls1_export_keying_material,
61     SSL_ENC_FLAG_EXPLICIT_IV,
62     SSL3_HM_HEADER_LENGTH,
63     ssl3_set_handshake_header,
64     ssl3_set_handshake_header2,
65     tls_close_construct_packet,
66     ssl3_handshake_write
67 };
68
69 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
70     tls1_enc,
71     tls1_mac,
72     tls1_setup_key_block,
73     tls1_generate_master_secret,
74     tls1_change_cipher_state,
75     tls1_final_finish_mac,
76     TLS1_FINISH_MAC_LENGTH,
77     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
78     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
79     tls1_alert_code,
80     tls1_export_keying_material,
81     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
82         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
83     SSL3_HM_HEADER_LENGTH,
84     ssl3_set_handshake_header,
85     ssl3_set_handshake_header2,
86     tls_close_construct_packet,
87     ssl3_handshake_write
88 };
89
90 long tls1_default_timeout(void)
91 {
92     /*
93      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
94      * http, the cache would over fill
95      */
96     return (60 * 60 * 2);
97 }
98
99 int tls1_new(SSL *s)
100 {
101     if (!ssl3_new(s))
102         return (0);
103     s->method->ssl_clear(s);
104     return (1);
105 }
106
107 void tls1_free(SSL *s)
108 {
109     OPENSSL_free(s->tlsext_session_ticket);
110     ssl3_free(s);
111 }
112
113 void tls1_clear(SSL *s)
114 {
115     ssl3_clear(s);
116     if (s->method->version == TLS_ANY_VERSION)
117         s->version = TLS_MAX_VERSION;
118     else
119         s->version = s->method->version;
120 }
121
122 #ifndef OPENSSL_NO_EC
123
124 typedef struct {
125     int nid;                    /* Curve NID */
126     int secbits;                /* Bits of security (from SP800-57) */
127     unsigned int flags;         /* Flags: currently just field type */
128 } tls_curve_info;
129
130 /*
131  * Table of curve information.
132  * Do not delete entries or reorder this array! It is used as a lookup
133  * table: the index of each entry is one less than the TLS curve id.
134  */
135 static const tls_curve_info nid_list[] = {
136     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
137     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
138     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
139     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
140     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
141     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
142     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
143     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
144     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
145     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
146     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
147     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
148     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
149     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
150     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
151     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
152     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
153     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
154     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
155     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
156     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
157     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
158     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
159     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
160     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
161     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
162     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
163     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
164     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
165 };
166
167 static const unsigned char ecformats_default[] = {
168     TLSEXT_ECPOINTFORMAT_uncompressed,
169     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
170     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
171 };
172
173 /* The default curves */
174 static const unsigned char eccurves_default[] = {
175     0, 29,                      /* X25519 (29) */
176     0, 23,                      /* secp256r1 (23) */
177     0, 25,                      /* secp521r1 (25) */
178     0, 24,                      /* secp384r1 (24) */
179 };
180
181 static const unsigned char eccurves_all[] = {
182     0, 29,                      /* X25519 (29) */
183     0, 23,                      /* secp256r1 (23) */
184     0, 25,                      /* secp521r1 (25) */
185     0, 24,                      /* secp384r1 (24) */
186     0, 26,                      /* brainpoolP256r1 (26) */
187     0, 27,                      /* brainpoolP384r1 (27) */
188     0, 28,                      /* brainpool512r1 (28) */
189
190     /*
191      * Remaining curves disabled by default but still permitted if set
192      * via an explicit callback or parameters.
193      */
194     0, 22,                      /* secp256k1 (22) */
195     0, 14,                      /* sect571r1 (14) */
196     0, 13,                      /* sect571k1 (13) */
197     0, 11,                      /* sect409k1 (11) */
198     0, 12,                      /* sect409r1 (12) */
199     0, 9,                       /* sect283k1 (9) */
200     0, 10,                      /* sect283r1 (10) */
201     0, 20,                      /* secp224k1 (20) */
202     0, 21,                      /* secp224r1 (21) */
203     0, 18,                      /* secp192k1 (18) */
204     0, 19,                      /* secp192r1 (19) */
205     0, 15,                      /* secp160k1 (15) */
206     0, 16,                      /* secp160r1 (16) */
207     0, 17,                      /* secp160r2 (17) */
208     0, 8,                       /* sect239k1 (8) */
209     0, 6,                       /* sect233k1 (6) */
210     0, 7,                       /* sect233r1 (7) */
211     0, 4,                       /* sect193r1 (4) */
212     0, 5,                       /* sect193r2 (5) */
213     0, 1,                       /* sect163k1 (1) */
214     0, 2,                       /* sect163r1 (2) */
215     0, 3,                       /* sect163r2 (3) */
216 };
217
218 static const unsigned char suiteb_curves[] = {
219     0, TLSEXT_curve_P_256,
220     0, TLSEXT_curve_P_384
221 };
222
223 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
224 {
225     const tls_curve_info *cinfo;
226     /* ECC curves from RFC 4492 and RFC 7027 */
227     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
228         return 0;
229     cinfo = nid_list + curve_id - 1;
230     if (pflags)
231         *pflags = cinfo->flags;
232     return cinfo->nid;
233 }
234
235 int tls1_ec_nid2curve_id(int nid)
236 {
237     size_t i;
238     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
239         if (nid_list[i].nid == nid)
240             return i + 1;
241     }
242     return 0;
243 }
244
245 /*
246  * Get curves list, if "sess" is set return client curves otherwise
247  * preferred list.
248  * Sets |num_curves| to the number of curves in the list, i.e.,
249  * the length of |pcurves| is 2 * num_curves.
250  * Returns 1 on success and 0 if the client curves list has invalid format.
251  * The latter indicates an internal error: we should not be accepting such
252  * lists in the first place.
253  * TODO(emilia): we should really be storing the curves list in explicitly
254  * parsed form instead. (However, this would affect binary compatibility
255  * so cannot happen in the 1.0.x series.)
256  */
257 static int tls1_get_curvelist(SSL *s, int sess,
258                               const unsigned char **pcurves, size_t *num_curves)
259 {
260     size_t pcurveslen = 0;
261     if (sess) {
262         *pcurves = s->session->tlsext_ellipticcurvelist;
263         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
264     } else {
265         /* For Suite B mode only include P-256, P-384 */
266         switch (tls1_suiteb(s)) {
267         case SSL_CERT_FLAG_SUITEB_128_LOS:
268             *pcurves = suiteb_curves;
269             pcurveslen = sizeof(suiteb_curves);
270             break;
271
272         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
273             *pcurves = suiteb_curves;
274             pcurveslen = 2;
275             break;
276
277         case SSL_CERT_FLAG_SUITEB_192_LOS:
278             *pcurves = suiteb_curves + 2;
279             pcurveslen = 2;
280             break;
281         default:
282             *pcurves = s->tlsext_ellipticcurvelist;
283             pcurveslen = s->tlsext_ellipticcurvelist_length;
284         }
285         if (!*pcurves) {
286             *pcurves = eccurves_default;
287             pcurveslen = sizeof(eccurves_default);
288         }
289     }
290
291     /* We do not allow odd length arrays to enter the system. */
292     if (pcurveslen & 1) {
293         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
294         *num_curves = 0;
295         return 0;
296     } else {
297         *num_curves = pcurveslen / 2;
298         return 1;
299     }
300 }
301
302 /* See if curve is allowed by security callback */
303 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
304 {
305     const tls_curve_info *cinfo;
306     if (curve[0])
307         return 1;
308     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
309         return 0;
310     cinfo = &nid_list[curve[1] - 1];
311 # ifdef OPENSSL_NO_EC2M
312     if (cinfo->flags & TLS_CURVE_CHAR2)
313         return 0;
314 # endif
315     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
316 }
317
318 /* Check a curve is one of our preferences */
319 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
320 {
321     const unsigned char *curves;
322     size_t num_curves, i;
323     unsigned int suiteb_flags = tls1_suiteb(s);
324     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
325         return 0;
326     /* Check curve matches Suite B preferences */
327     if (suiteb_flags) {
328         unsigned long cid = s->s3->tmp.new_cipher->id;
329         if (p[1])
330             return 0;
331         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
332             if (p[2] != TLSEXT_curve_P_256)
333                 return 0;
334         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
335             if (p[2] != TLSEXT_curve_P_384)
336                 return 0;
337         } else                  /* Should never happen */
338             return 0;
339     }
340     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
341         return 0;
342     for (i = 0; i < num_curves; i++, curves += 2) {
343         if (p[1] == curves[0] && p[2] == curves[1])
344             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
345     }
346     return 0;
347 }
348
349 /*-
350  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
351  * if there is no match.
352  * For nmatch == -1, return number of matches
353  * For nmatch == -2, return the NID of the curve to use for
354  * an EC tmp key, or NID_undef if there is no match.
355  */
356 int tls1_shared_curve(SSL *s, int nmatch)
357 {
358     const unsigned char *pref, *supp;
359     size_t num_pref, num_supp, i, j;
360     int k;
361     /* Can't do anything on client side */
362     if (s->server == 0)
363         return -1;
364     if (nmatch == -2) {
365         if (tls1_suiteb(s)) {
366             /*
367              * For Suite B ciphersuite determines curve: we already know
368              * these are acceptable due to previous checks.
369              */
370             unsigned long cid = s->s3->tmp.new_cipher->id;
371             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
372                 return NID_X9_62_prime256v1; /* P-256 */
373             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
374                 return NID_secp384r1; /* P-384 */
375             /* Should never happen */
376             return NID_undef;
377         }
378         /* If not Suite B just return first preference shared curve */
379         nmatch = 0;
380     }
381     /*
382      * Avoid truncation. tls1_get_curvelist takes an int
383      * but s->options is a long...
384      */
385     if (!tls1_get_curvelist
386         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
387          &num_supp))
388         /* In practice, NID_undef == 0 but let's be precise. */
389         return nmatch == -1 ? 0 : NID_undef;
390     if (!tls1_get_curvelist
391         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
392         return nmatch == -1 ? 0 : NID_undef;
393
394     /*
395      * If the client didn't send the elliptic_curves extension all of them
396      * are allowed.
397      */
398     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
399         supp = eccurves_all;
400         num_supp = sizeof(eccurves_all) / 2;
401     } else if (num_pref == 0 &&
402                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
403         pref = eccurves_all;
404         num_pref = sizeof(eccurves_all) / 2;
405     }
406
407     k = 0;
408     for (i = 0; i < num_pref; i++, pref += 2) {
409         const unsigned char *tsupp = supp;
410         for (j = 0; j < num_supp; j++, tsupp += 2) {
411             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
412                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
413                     continue;
414                 if (nmatch == k) {
415                     int id = (pref[0] << 8) | pref[1];
416                     return tls1_ec_curve_id2nid(id, NULL);
417                 }
418                 k++;
419             }
420         }
421     }
422     if (nmatch == -1)
423         return k;
424     /* Out of range (nmatch > k). */
425     return NID_undef;
426 }
427
428 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
429                     int *curves, size_t ncurves)
430 {
431     unsigned char *clist, *p;
432     size_t i;
433     /*
434      * Bitmap of curves included to detect duplicates: only works while curve
435      * ids < 32
436      */
437     unsigned long dup_list = 0;
438     clist = OPENSSL_malloc(ncurves * 2);
439     if (clist == NULL)
440         return 0;
441     for (i = 0, p = clist; i < ncurves; i++) {
442         unsigned long idmask;
443         int id;
444         id = tls1_ec_nid2curve_id(curves[i]);
445         idmask = 1L << id;
446         if (!id || (dup_list & idmask)) {
447             OPENSSL_free(clist);
448             return 0;
449         }
450         dup_list |= idmask;
451         s2n(id, p);
452     }
453     OPENSSL_free(*pext);
454     *pext = clist;
455     *pextlen = ncurves * 2;
456     return 1;
457 }
458
459 # define MAX_CURVELIST   28
460
461 typedef struct {
462     size_t nidcnt;
463     int nid_arr[MAX_CURVELIST];
464 } nid_cb_st;
465
466 static int nid_cb(const char *elem, int len, void *arg)
467 {
468     nid_cb_st *narg = arg;
469     size_t i;
470     int nid;
471     char etmp[20];
472     if (elem == NULL)
473         return 0;
474     if (narg->nidcnt == MAX_CURVELIST)
475         return 0;
476     if (len > (int)(sizeof(etmp) - 1))
477         return 0;
478     memcpy(etmp, elem, len);
479     etmp[len] = 0;
480     nid = EC_curve_nist2nid(etmp);
481     if (nid == NID_undef)
482         nid = OBJ_sn2nid(etmp);
483     if (nid == NID_undef)
484         nid = OBJ_ln2nid(etmp);
485     if (nid == NID_undef)
486         return 0;
487     for (i = 0; i < narg->nidcnt; i++)
488         if (narg->nid_arr[i] == nid)
489             return 0;
490     narg->nid_arr[narg->nidcnt++] = nid;
491     return 1;
492 }
493
494 /* Set curves based on a colon separate list */
495 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
496 {
497     nid_cb_st ncb;
498     ncb.nidcnt = 0;
499     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
500         return 0;
501     if (pext == NULL)
502         return 1;
503     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
504 }
505
506 /* For an EC key set TLS id and required compression based on parameters */
507 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
508                           EC_KEY *ec)
509 {
510     int id;
511     const EC_GROUP *grp;
512     if (!ec)
513         return 0;
514     /* Determine if it is a prime field */
515     grp = EC_KEY_get0_group(ec);
516     if (!grp)
517         return 0;
518     /* Determine curve ID */
519     id = EC_GROUP_get_curve_name(grp);
520     id = tls1_ec_nid2curve_id(id);
521     /* If no id return error: we don't support arbitrary explicit curves */
522     if (id == 0)
523         return 0;
524     curve_id[0] = 0;
525     curve_id[1] = (unsigned char)id;
526     if (comp_id) {
527         if (EC_KEY_get0_public_key(ec) == NULL)
528             return 0;
529         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
530             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
531         } else {
532             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
533                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
534             else
535                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
536         }
537     }
538     return 1;
539 }
540
541 /* Check an EC key is compatible with extensions */
542 static int tls1_check_ec_key(SSL *s,
543                              unsigned char *curve_id, unsigned char *comp_id)
544 {
545     const unsigned char *pformats, *pcurves;
546     size_t num_formats, num_curves, i;
547     int j;
548     /*
549      * If point formats extension present check it, otherwise everything is
550      * supported (see RFC4492).
551      */
552     if (comp_id && s->session->tlsext_ecpointformatlist) {
553         pformats = s->session->tlsext_ecpointformatlist;
554         num_formats = s->session->tlsext_ecpointformatlist_length;
555         for (i = 0; i < num_formats; i++, pformats++) {
556             if (*comp_id == *pformats)
557                 break;
558         }
559         if (i == num_formats)
560             return 0;
561     }
562     if (!curve_id)
563         return 1;
564     /* Check curve is consistent with client and server preferences */
565     for (j = 0; j <= 1; j++) {
566         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
567             return 0;
568         if (j == 1 && num_curves == 0) {
569             /*
570              * If we've not received any curves then skip this check.
571              * RFC 4492 does not require the supported elliptic curves extension
572              * so if it is not sent we can just choose any curve.
573              * It is invalid to send an empty list in the elliptic curves
574              * extension, so num_curves == 0 always means no extension.
575              */
576             break;
577         }
578         for (i = 0; i < num_curves; i++, pcurves += 2) {
579             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
580                 break;
581         }
582         if (i == num_curves)
583             return 0;
584         /* For clients can only check sent curve list */
585         if (!s->server)
586             break;
587     }
588     return 1;
589 }
590
591 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
592                                 size_t *num_formats)
593 {
594     /*
595      * If we have a custom point format list use it otherwise use default
596      */
597     if (s->tlsext_ecpointformatlist) {
598         *pformats = s->tlsext_ecpointformatlist;
599         *num_formats = s->tlsext_ecpointformatlist_length;
600     } else {
601         *pformats = ecformats_default;
602         /* For Suite B we don't support char2 fields */
603         if (tls1_suiteb(s))
604             *num_formats = sizeof(ecformats_default) - 1;
605         else
606             *num_formats = sizeof(ecformats_default);
607     }
608 }
609
610 /*
611  * Check cert parameters compatible with extensions: currently just checks EC
612  * certificates have compatible curves and compression.
613  */
614 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
615 {
616     unsigned char comp_id, curve_id[2];
617     EVP_PKEY *pkey;
618     int rv;
619     pkey = X509_get0_pubkey(x);
620     if (!pkey)
621         return 0;
622     /* If not EC nothing to do */
623     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
624         return 1;
625     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
626     if (!rv)
627         return 0;
628     /*
629      * Can't check curve_id for client certs as we don't have a supported
630      * curves extension.
631      */
632     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
633     if (!rv)
634         return 0;
635     /*
636      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
637      * SHA384+P-384, adjust digest if necessary.
638      */
639     if (set_ee_md && tls1_suiteb(s)) {
640         int check_md;
641         size_t i;
642         CERT *c = s->cert;
643         if (curve_id[0])
644             return 0;
645         /* Check to see we have necessary signing algorithm */
646         if (curve_id[1] == TLSEXT_curve_P_256)
647             check_md = NID_ecdsa_with_SHA256;
648         else if (curve_id[1] == TLSEXT_curve_P_384)
649             check_md = NID_ecdsa_with_SHA384;
650         else
651             return 0;           /* Should never happen */
652         for (i = 0; i < c->shared_sigalgslen; i++)
653             if (check_md == c->shared_sigalgs[i].signandhash_nid)
654                 break;
655         if (i == c->shared_sigalgslen)
656             return 0;
657         if (set_ee_md == 2) {
658             if (check_md == NID_ecdsa_with_SHA256)
659                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
660             else
661                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
662         }
663     }
664     return rv;
665 }
666
667 # ifndef OPENSSL_NO_EC
668 /*
669  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
670  * @s: SSL connection
671  * @cid: Cipher ID we're considering using
672  *
673  * Checks that the kECDHE cipher suite we're considering using
674  * is compatible with the client extensions.
675  *
676  * Returns 0 when the cipher can't be used or 1 when it can.
677  */
678 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
679 {
680     /*
681      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
682      * curves permitted.
683      */
684     if (tls1_suiteb(s)) {
685         unsigned char curve_id[2];
686         /* Curve to check determined by ciphersuite */
687         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
688             curve_id[1] = TLSEXT_curve_P_256;
689         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
690             curve_id[1] = TLSEXT_curve_P_384;
691         else
692             return 0;
693         curve_id[0] = 0;
694         /* Check this curve is acceptable */
695         if (!tls1_check_ec_key(s, curve_id, NULL))
696             return 0;
697         return 1;
698     }
699     /* Need a shared curve */
700     if (tls1_shared_curve(s, 0))
701         return 1;
702     return 0;
703 }
704 # endif                         /* OPENSSL_NO_EC */
705
706 #else
707
708 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
709 {
710     return 1;
711 }
712
713 #endif                          /* OPENSSL_NO_EC */
714
715 /*
716  * List of supported signature algorithms and hashes. Should make this
717  * customisable at some point, for now include everything we support.
718  */
719
720 #ifdef OPENSSL_NO_RSA
721 # define tlsext_sigalg_rsa(md)  /* */
722 #else
723 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
724 #endif
725
726 #ifdef OPENSSL_NO_DSA
727 # define tlsext_sigalg_dsa(md)  /* */
728 #else
729 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
730 #endif
731
732 #ifdef OPENSSL_NO_EC
733 # define tlsext_sigalg_ecdsa(md)/* */
734 #else
735 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
736 #endif
737
738 #define tlsext_sigalg(md) \
739                 tlsext_sigalg_rsa(md) \
740                 tlsext_sigalg_dsa(md) \
741                 tlsext_sigalg_ecdsa(md)
742
743 static const unsigned char tls12_sigalgs[] = {
744     tlsext_sigalg(TLSEXT_hash_sha512)
745         tlsext_sigalg(TLSEXT_hash_sha384)
746         tlsext_sigalg(TLSEXT_hash_sha256)
747         tlsext_sigalg(TLSEXT_hash_sha224)
748         tlsext_sigalg(TLSEXT_hash_sha1)
749 #ifndef OPENSSL_NO_GOST
750         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
751     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
752     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
753 #endif
754 };
755
756 #ifndef OPENSSL_NO_EC
757 static const unsigned char suiteb_sigalgs[] = {
758     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
759         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
760 };
761 #endif
762 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
763 {
764     /*
765      * If Suite B mode use Suite B sigalgs only, ignore any other
766      * preferences.
767      */
768 #ifndef OPENSSL_NO_EC
769     switch (tls1_suiteb(s)) {
770     case SSL_CERT_FLAG_SUITEB_128_LOS:
771         *psigs = suiteb_sigalgs;
772         return sizeof(suiteb_sigalgs);
773
774     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
775         *psigs = suiteb_sigalgs;
776         return 2;
777
778     case SSL_CERT_FLAG_SUITEB_192_LOS:
779         *psigs = suiteb_sigalgs + 2;
780         return 2;
781     }
782 #endif
783     /* If server use client authentication sigalgs if not NULL */
784     if (s->server && s->cert->client_sigalgs) {
785         *psigs = s->cert->client_sigalgs;
786         return s->cert->client_sigalgslen;
787     } else if (s->cert->conf_sigalgs) {
788         *psigs = s->cert->conf_sigalgs;
789         return s->cert->conf_sigalgslen;
790     } else {
791         *psigs = tls12_sigalgs;
792         return sizeof(tls12_sigalgs);
793     }
794 }
795
796 /*
797  * Check signature algorithm is consistent with sent supported signature
798  * algorithms and if so return relevant digest.
799  */
800 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
801                             const unsigned char *sig, EVP_PKEY *pkey)
802 {
803     const unsigned char *sent_sigs;
804     size_t sent_sigslen, i;
805     int sigalg = tls12_get_sigid(pkey);
806     /* Should never happen */
807     if (sigalg == -1)
808         return -1;
809     /* Check key type is consistent with signature */
810     if (sigalg != (int)sig[1]) {
811         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
812         return 0;
813     }
814 #ifndef OPENSSL_NO_EC
815     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
816         unsigned char curve_id[2], comp_id;
817         /* Check compression and curve matches extensions */
818         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
819             return 0;
820         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
821             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
822             return 0;
823         }
824         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
825         if (tls1_suiteb(s)) {
826             if (curve_id[0])
827                 return 0;
828             if (curve_id[1] == TLSEXT_curve_P_256) {
829                 if (sig[0] != TLSEXT_hash_sha256) {
830                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
831                            SSL_R_ILLEGAL_SUITEB_DIGEST);
832                     return 0;
833                 }
834             } else if (curve_id[1] == TLSEXT_curve_P_384) {
835                 if (sig[0] != TLSEXT_hash_sha384) {
836                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
837                            SSL_R_ILLEGAL_SUITEB_DIGEST);
838                     return 0;
839                 }
840             } else
841                 return 0;
842         }
843     } else if (tls1_suiteb(s))
844         return 0;
845 #endif
846
847     /* Check signature matches a type we sent */
848     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
849     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
850         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
851             break;
852     }
853     /* Allow fallback to SHA1 if not strict mode */
854     if (i == sent_sigslen
855         && (sig[0] != TLSEXT_hash_sha1
856             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
857         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
858         return 0;
859     }
860     *pmd = tls12_get_hash(sig[0]);
861     if (*pmd == NULL) {
862         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
863         return 0;
864     }
865     /* Make sure security callback allows algorithm */
866     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
867                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
868         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
869         return 0;
870     }
871     /*
872      * Store the digest used so applications can retrieve it if they wish.
873      */
874     s->s3->tmp.peer_md = *pmd;
875     return 1;
876 }
877
878 /*
879  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
880  * supported, doesn't appear in supported signature algorithms, isn't supported
881  * by the enabled protocol versions or by the security level.
882  *
883  * This function should only be used for checking which ciphers are supported
884  * by the client.
885  *
886  * Call ssl_cipher_disabled() to check that it's enabled or not.
887  */
888 void ssl_set_client_disabled(SSL *s)
889 {
890     s->s3->tmp.mask_a = 0;
891     s->s3->tmp.mask_k = 0;
892     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
893     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
894 #ifndef OPENSSL_NO_PSK
895     /* with PSK there must be client callback set */
896     if (!s->psk_client_callback) {
897         s->s3->tmp.mask_a |= SSL_aPSK;
898         s->s3->tmp.mask_k |= SSL_PSK;
899     }
900 #endif                          /* OPENSSL_NO_PSK */
901 #ifndef OPENSSL_NO_SRP
902     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
903         s->s3->tmp.mask_a |= SSL_aSRP;
904         s->s3->tmp.mask_k |= SSL_kSRP;
905     }
906 #endif
907 }
908
909 /*
910  * ssl_cipher_disabled - check that a cipher is disabled or not
911  * @s: SSL connection that you want to use the cipher on
912  * @c: cipher to check
913  * @op: Security check that you want to do
914  *
915  * Returns 1 when it's disabled, 0 when enabled.
916  */
917 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
918 {
919     if (c->algorithm_mkey & s->s3->tmp.mask_k
920         || c->algorithm_auth & s->s3->tmp.mask_a)
921         return 1;
922     if (s->s3->tmp.max_ver == 0)
923         return 1;
924     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
925                             || (c->max_tls < s->s3->tmp.min_ver)))
926         return 1;
927     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
928                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
929         return 1;
930
931     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
932 }
933
934 static int tls_use_ticket(SSL *s)
935 {
936     if (s->options & SSL_OP_NO_TICKET)
937         return 0;
938     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
939 }
940
941 static int compare_uint(const void *p1, const void *p2)
942 {
943     unsigned int u1 = *((const unsigned int *)p1);
944     unsigned int u2 = *((const unsigned int *)p2);
945     if (u1 < u2)
946         return -1;
947     else if (u1 > u2)
948         return 1;
949     else
950         return 0;
951 }
952
953 /*
954  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
955  * more than one extension of the same type in a ClientHello or ServerHello.
956  * This function does an initial scan over the extensions block to filter those
957  * out. It returns 1 if all extensions are unique, and 0 if the extensions
958  * contain duplicates, could not be successfully parsed, or an internal error
959  * occurred.
960  */
961 static int tls1_check_duplicate_extensions(const PACKET *packet)
962 {
963     PACKET extensions = *packet;
964     size_t num_extensions = 0, i = 0;
965     unsigned int *extension_types = NULL;
966     int ret = 0;
967
968     /* First pass: count the extensions. */
969     while (PACKET_remaining(&extensions) > 0) {
970         unsigned int type;
971         PACKET extension;
972         if (!PACKET_get_net_2(&extensions, &type) ||
973             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
974             goto done;
975         }
976         num_extensions++;
977     }
978
979     if (num_extensions <= 1)
980         return 1;
981
982     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
983     if (extension_types == NULL) {
984         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
985         goto done;
986     }
987
988     /* Second pass: gather the extension types. */
989     extensions = *packet;
990     for (i = 0; i < num_extensions; i++) {
991         PACKET extension;
992         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
993             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
994             /* This should not happen. */
995             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
996             goto done;
997         }
998     }
999
1000     if (PACKET_remaining(&extensions) != 0) {
1001         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1002         goto done;
1003     }
1004     /* Sort the extensions and make sure there are no duplicates. */
1005     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1006     for (i = 1; i < num_extensions; i++) {
1007         if (extension_types[i - 1] == extension_types[i])
1008             goto done;
1009     }
1010     ret = 1;
1011  done:
1012     OPENSSL_free(extension_types);
1013     return ret;
1014 }
1015
1016 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1017 {
1018     WPACKET spkt;
1019 #ifndef OPENSSL_NO_EC
1020     /* See if we support any ECC ciphersuites */
1021     int using_ecc = 0;
1022     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1023         int i;
1024         unsigned long alg_k, alg_a;
1025         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1026
1027         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1028             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1029
1030             alg_k = c->algorithm_mkey;
1031             alg_a = c->algorithm_auth;
1032             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1033                 || (alg_a & SSL_aECDSA)) {
1034                 using_ecc = 1;
1035                 break;
1036             }
1037         }
1038     }
1039 #endif
1040
1041     /* Add RI if renegotiating */
1042     if (s->renegotiate) {
1043         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_renegotiate, 2)
1044                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1045                 || !WPACKET_memcpy(&spkt, s->s3->previous_client_finished,
1046                                    s->s3->previous_client_finished_len)
1047                 || !WPACKET_close(&spkt)) {
1048             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1049             return 0;
1050         }
1051     }
1052     /* Only add RI for SSLv3 */
1053     if (s->client_version == SSL3_VERSION)
1054         goto done;
1055
1056     if (s->tlsext_hostname != NULL) {
1057         /* Add TLS extension servername to the Client Hello message */
1058         WPACKET slistpkt, hostpkt;
1059
1060         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_server_name, 2)
1061                    /* Sub-packet for server_name extension */
1062                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1063                    /* Sub-packet for servername list (always 1 hostname)*/
1064                 || !WPACKET_get_sub_packet_len(&spkt, &slistpkt, 2)
1065                 || !WPACKET_put_bytes(&slistpkt, TLSEXT_NAMETYPE_host_name, 1)
1066                    /* Sub-packet for a single hostname host name */
1067                 || !WPACKET_get_sub_packet_len(&slistpkt, &hostpkt, 2)
1068                 || !WPACKET_memcpy(&hostpkt, s->tlsext_hostname,
1069                                    strlen(s->tlsext_hostname))
1070                 || !WPACKET_close(&hostpkt)
1071                 || !WPACKET_close(&slistpkt)
1072                 || !WPACKET_close(&spkt)) {
1073             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1074             return 0;
1075         }
1076     }
1077 #ifndef OPENSSL_NO_SRP
1078     /* Add SRP username if there is one */
1079     if (s->srp_ctx.login != NULL) {
1080         WPACKET loginpkt;
1081
1082         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_srp, 2)
1083                    /* Sub-packet for SRP extension */
1084                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1085                 || !WPACKET_get_sub_packet_len(&spkt, &loginpkt, 1)
1086                    /* login must not be zero...internal error if so */
1087                 || !WPACKET_set_flags(&loginpkt,
1088                                       OPENSSL_WPACKET_FLAGS_NON_ZERO_LENGTH)
1089                 || !WPACKET_memcpy(&loginpkt, s->srp_ctx.login,
1090                                    strlen(s->srp_ctx.login))
1091                 || !WPACKET_close(&loginpkt)
1092                 || !WPACKET_close(&spkt)) {
1093             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1094             return 0;
1095         }
1096     }
1097 #endif
1098
1099 #ifndef OPENSSL_NO_EC
1100     if (using_ecc) {
1101         WPACKET formatspkt, curveslistpkt;
1102
1103         /*
1104          * Add TLS extension ECPointFormats to the ClientHello message
1105          */
1106         const unsigned char *pcurves, *pformats;
1107         size_t num_curves, num_formats;
1108         size_t i;
1109
1110         tls1_get_formatlist(s, &pformats, &num_formats);
1111
1112         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_ec_point_formats, 2)
1113                    /* Sub-packet for formats extension */
1114                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1115                 || !WPACKET_get_sub_packet_len(&spkt, &formatspkt, 1)
1116                 || !WPACKET_memcpy(&formatspkt, pformats, num_formats)
1117                 || !WPACKET_close(&formatspkt)
1118                 || !WPACKET_close(&spkt)) {
1119             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1120             return 0;
1121         }
1122
1123         /*
1124          * Add TLS extension EllipticCurves to the ClientHello message
1125          */
1126         pcurves = s->tlsext_ellipticcurvelist;
1127         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1128             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1129             return 0;
1130         }
1131
1132         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_elliptic_curves, 2)
1133                    /* Sub-packet for curves extension */
1134                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1135                 || !WPACKET_get_sub_packet_len(&spkt, &curveslistpkt, 2)) {
1136             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1137             return 0;
1138         }
1139         /* Copy curve ID if supported */
1140         for (i = 0; i < num_curves; i++, pcurves += 2) {
1141             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1142                 if (!WPACKET_put_bytes(&curveslistpkt, pcurves[0], 1)
1143                     || !WPACKET_put_bytes(&curveslistpkt, pcurves[1], 1)) {
1144                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1145                                ERR_R_INTERNAL_ERROR);
1146                         return 0;
1147                     }
1148             }
1149         }
1150         if (!WPACKET_close(&curveslistpkt) || !WPACKET_close(&spkt)) {
1151             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1152             return 0;
1153         }
1154     }
1155 #endif                          /* OPENSSL_NO_EC */
1156
1157     if (tls_use_ticket(s)) {
1158         int ticklen;
1159         if (!s->new_session && s->session && s->session->tlsext_tick)
1160             ticklen = s->session->tlsext_ticklen;
1161         else if (s->session && s->tlsext_session_ticket &&
1162                  s->tlsext_session_ticket->data) {
1163             ticklen = s->tlsext_session_ticket->length;
1164             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1165             if (s->session->tlsext_tick == NULL) {
1166                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1167                 return 0;
1168             }
1169             memcpy(s->session->tlsext_tick,
1170                    s->tlsext_session_ticket->data, ticklen);
1171             s->session->tlsext_ticklen = ticklen;
1172         } else
1173             ticklen = 0;
1174         if (ticklen == 0 && s->tlsext_session_ticket &&
1175             s->tlsext_session_ticket->data == NULL)
1176             goto skip_ext;
1177
1178         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_session_ticket, 2)
1179                    /* Sub-packet for ticket extension */
1180                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1181                 || !WPACKET_memcpy(&spkt, s->session->tlsext_tick, ticklen)
1182                 || !WPACKET_close(&spkt)) {
1183             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1184             return 0;
1185         }
1186     }
1187  skip_ext:
1188
1189     if (SSL_CLIENT_USE_SIGALGS(s)) {
1190         size_t salglen;
1191         const unsigned char *salg;
1192         WPACKET salgslistpkt;
1193
1194         salglen = tls12_get_psigalgs(s, &salg);
1195
1196         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_signature_algorithms, 2)
1197                    /* Sub-packet for sig-algs extension */
1198                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1199                    /* Sub-packet for the actual list */
1200                 || !WPACKET_get_sub_packet_len(&spkt, &salgslistpkt, 2)
1201                 || !tls12_copy_sigalgs(s, &salgslistpkt, salg, salglen)
1202                 || !WPACKET_close(&salgslistpkt)
1203                 || !WPACKET_close(&spkt)) {
1204             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1205             return 0;
1206         }
1207     }
1208 #ifndef OPENSSL_NO_OCSP
1209     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1210         WPACKET idspkt, extpkt;
1211         int i;
1212
1213         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_status_request, 2)
1214                    /* Sub-packet for status request extension */
1215                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1216                 || !WPACKET_put_bytes(&spkt, TLSEXT_STATUSTYPE_ocsp, 1)
1217                    /* Sub-packet for the ids */
1218                 || !WPACKET_get_sub_packet_len(&spkt, &idspkt, 2)) {
1219             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1220             return 0;
1221         }
1222         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1223             unsigned char *idbytes;
1224             int idlen;
1225             OCSP_RESPID *id;
1226             WPACKET idpkt;
1227
1228             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1229             idlen = i2d_OCSP_RESPID(id, NULL);
1230             if (idlen <= 0
1231                        /* Sub-packet for an individual id */
1232                     || !WPACKET_get_sub_packet_len(&idspkt, &idpkt, 1)
1233                     || !WPACKET_allocate_bytes(&idpkt, idlen, &idbytes)
1234                     || i2d_OCSP_RESPID(id, &idbytes) != idlen
1235                     || !WPACKET_close(&idpkt)) {
1236                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1237                 return 0;
1238             }
1239         }
1240         if (!WPACKET_close(&idspkt)
1241                 || !WPACKET_get_sub_packet_len(&spkt, &extpkt, 2)) {
1242             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1243             return 0;
1244         }
1245         if (s->tlsext_ocsp_exts) {
1246             unsigned char *extbytes;
1247             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1248
1249             if (extlen < 0) {
1250                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1251                 return 0;
1252             }
1253             if (!WPACKET_allocate_bytes(&extpkt, extlen, &extbytes)
1254                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1255                        != extlen) {
1256                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1257                 return 0;
1258            }
1259         }
1260         if (!WPACKET_close(&extpkt) || !WPACKET_close(&spkt)) {
1261             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1262             return 0;
1263         }
1264     }
1265 #endif
1266 #ifndef OPENSSL_NO_HEARTBEATS
1267     if (SSL_IS_DTLS(s)) {
1268         unsigned int mode;
1269
1270         /*-
1271          * Set mode:
1272          * 1: peer may send requests
1273          * 2: peer not allowed to send requests
1274          */
1275         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1276             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1277         else
1278             mode = SSL_DTLSEXT_HB_ENABLED;
1279
1280         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_heartbeat, 2)
1281                    /* Sub-packet for Hearbeat extension */
1282                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1283                 || !WPACKET_put_bytes(&spkt, mode, 1)
1284                 || !WPACKET_close(&spkt)) {
1285             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1286             return 0;
1287         }
1288     }
1289 #endif
1290
1291 #ifndef OPENSSL_NO_NEXTPROTONEG
1292     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1293         /*
1294          * The client advertises an empty extension to indicate its support
1295          * for Next Protocol Negotiation
1296          */
1297         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_next_proto_neg, 2)
1298                 || !WPACKET_put_bytes(pkt, 0, 2)) {
1299             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1300             return 0;
1301         }
1302     }
1303 #endif
1304
1305     /*
1306      * finish_md_len is non-zero during a renegotiation, so
1307      * this avoids sending ALPN during the renegotiation
1308      * (see longer comment below)
1309      */
1310     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1311         WPACKET plistpkt;
1312
1313         if (!WPACKET_put_bytes(pkt,
1314                     TLSEXT_TYPE_application_layer_protocol_negotiation, 2)
1315                    /* Sub-packet ALPN extension */
1316                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1317                    /* Sub-packet for ALPN proto list */
1318                 || !WPACKET_get_sub_packet_len(&spkt, &plistpkt, 2)
1319                 || !WPACKET_memcpy(&plistpkt, s->alpn_client_proto_list,
1320                                     s->alpn_client_proto_list_len)
1321                 || !WPACKET_close(&plistpkt)
1322                 || !WPACKET_close(&spkt)) {
1323             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1324             return 0;
1325         }
1326         s->s3->alpn_sent = 1;
1327     }
1328 #ifndef OPENSSL_NO_SRTP
1329     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1330         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = 0;
1331         SRTP_PROTECTION_PROFILE *prof;
1332         int i, ct;
1333         WPACKET plistpkt;
1334
1335         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_use_srtp, 2)
1336                    /* Sub-packet for SRTP extension */
1337                 || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1338                    /* Sub-packet for the protection profile list */
1339                 || !WPACKET_get_sub_packet_len(&spkt, &plistpkt, 2)) {
1340             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1341             return 0;
1342         }
1343         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1344         for (i = 0; i < ct; i++) {
1345             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1346             if (prof == NULL || !WPACKET_put_bytes(&plistpkt, prof->id, 2)) {
1347                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1348                 return 0;
1349             }
1350         }
1351         if (!WPACKET_close(&plistpkt) || !WPACKET_close(&spkt)) {
1352             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1353             return 0;
1354         }
1355     }
1356 #endif
1357     custom_ext_init(&s->cert->cli_ext);
1358     /* Add custom TLS Extensions to ClientHello */
1359     if (!custom_ext_add(s, 0, pkt, al)) {
1360         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1361         return 0;
1362     }
1363
1364     if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_encrypt_then_mac, 2)
1365             || !WPACKET_put_bytes(pkt, 0, 2)) {
1366         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1367         return 0;
1368     }
1369
1370 #ifndef OPENSSL_NO_CT
1371     if (s->ct_validation_callback != NULL) {
1372         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_signed_certificate_timestamp, 2)
1373                 || !WPACKET_put_bytes(pkt, 0, 2)) {
1374             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1375             return 0;
1376         }
1377     }
1378 #endif
1379
1380     if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_extended_master_secret, 2)
1381             || !WPACKET_put_bytes(pkt, 0, 2)) {
1382         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1383         return 0;
1384     }
1385
1386     /*
1387      * Add padding to workaround bugs in F5 terminators. See
1388      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1389      * code works out the length of all existing extensions it MUST always
1390      * appear last.
1391      */
1392     if (s->options & SSL_OP_TLSEXT_PADDING) {
1393         unsigned char *padbytes;
1394         size_t hlen;
1395
1396         if (!WPACKET_get_total_written(pkt, &hlen)) {
1397             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1398             return 0;
1399         }
1400
1401         if (hlen > 0xff && hlen < 0x200) {
1402             hlen = 0x200 - hlen;
1403             if (hlen >= 4)
1404                 hlen -= 4;
1405             else
1406                 hlen = 0;
1407
1408             if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_padding, 2)
1409                     || !WPACKET_get_sub_packet_len(pkt, &spkt, 2)
1410                     || !WPACKET_allocate_bytes(&spkt, hlen, &padbytes)) {
1411                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1412                 return 0;
1413             }
1414             memset(padbytes, 0, hlen);
1415             if (!WPACKET_close(&spkt)) {
1416                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1417                 return 0;
1418             }
1419         }
1420     }
1421
1422  done:
1423     return 1;
1424 }
1425
1426 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1427                                           unsigned char *limit, int *al)
1428 {
1429     int extdatalen = 0;
1430     unsigned char *orig = buf;
1431     unsigned char *ret = buf;
1432 #ifndef OPENSSL_NO_NEXTPROTONEG
1433     int next_proto_neg_seen;
1434 #endif
1435 #ifndef OPENSSL_NO_EC
1436     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1437     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1438     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1439     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1440 #endif
1441
1442     ret += 2;
1443     if (ret >= limit)
1444         return NULL;            /* this really never occurs, but ... */
1445
1446     if (s->s3->send_connection_binding) {
1447         int el;
1448
1449         if (!ssl_add_serverhello_renegotiate_ext(s, 0, &el, 0)) {
1450             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1451             return NULL;
1452         }
1453
1454         if ((limit - ret - 4 - el) < 0)
1455             return NULL;
1456
1457         s2n(TLSEXT_TYPE_renegotiate, ret);
1458         s2n(el, ret);
1459
1460         if (!ssl_add_serverhello_renegotiate_ext(s, ret, &el, el)) {
1461             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1462             return NULL;
1463         }
1464
1465         ret += el;
1466     }
1467
1468     /* Only add RI for SSLv3 */
1469     if (s->version == SSL3_VERSION)
1470         goto done;
1471
1472     if (!s->hit && s->servername_done == 1
1473         && s->session->tlsext_hostname != NULL) {
1474         if ((long)(limit - ret - 4) < 0)
1475             return NULL;
1476
1477         s2n(TLSEXT_TYPE_server_name, ret);
1478         s2n(0, ret);
1479     }
1480 #ifndef OPENSSL_NO_EC
1481     if (using_ecc) {
1482         const unsigned char *plist;
1483         size_t plistlen;
1484         /*
1485          * Add TLS extension ECPointFormats to the ServerHello message
1486          */
1487         long lenmax;
1488
1489         tls1_get_formatlist(s, &plist, &plistlen);
1490
1491         if ((lenmax = limit - ret - 5) < 0)
1492             return NULL;
1493         if (plistlen > (size_t)lenmax)
1494             return NULL;
1495         if (plistlen > 255) {
1496             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1497             return NULL;
1498         }
1499
1500         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1501         s2n(plistlen + 1, ret);
1502         *(ret++) = (unsigned char)plistlen;
1503         memcpy(ret, plist, plistlen);
1504         ret += plistlen;
1505
1506     }
1507     /*
1508      * Currently the server should not respond with a SupportedCurves
1509      * extension
1510      */
1511 #endif                          /* OPENSSL_NO_EC */
1512
1513     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1514         if ((long)(limit - ret - 4) < 0)
1515             return NULL;
1516         s2n(TLSEXT_TYPE_session_ticket, ret);
1517         s2n(0, ret);
1518     } else {
1519         /*
1520          * if we don't add the above TLSEXT, we can't add a session ticket
1521          * later
1522          */
1523         s->tlsext_ticket_expected = 0;
1524     }
1525
1526     if (s->tlsext_status_expected) {
1527         if ((long)(limit - ret - 4) < 0)
1528             return NULL;
1529         s2n(TLSEXT_TYPE_status_request, ret);
1530         s2n(0, ret);
1531     }
1532 #ifndef OPENSSL_NO_SRTP
1533     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1534         int el;
1535
1536         /* Returns 0 on success!! */
1537         if (ssl_add_serverhello_use_srtp_ext(s, 0, &el, 0)) {
1538             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1539             return NULL;
1540         }
1541         if ((limit - ret - 4 - el) < 0)
1542             return NULL;
1543
1544         s2n(TLSEXT_TYPE_use_srtp, ret);
1545         s2n(el, ret);
1546
1547         if (ssl_add_serverhello_use_srtp_ext(s, ret, &el, el)) {
1548             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1549             return NULL;
1550         }
1551         ret += el;
1552     }
1553 #endif
1554
1555     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1556          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1557         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1558         const unsigned char cryptopro_ext[36] = {
1559             0xfd, 0xe8,         /* 65000 */
1560             0x00, 0x20,         /* 32 bytes length */
1561             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1562             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1563             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1564             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1565         };
1566         if (limit - ret < 36)
1567             return NULL;
1568         memcpy(ret, cryptopro_ext, 36);
1569         ret += 36;
1570
1571     }
1572 #ifndef OPENSSL_NO_HEARTBEATS
1573     /* Add Heartbeat extension if we've received one */
1574     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1575         if ((limit - ret - 4 - 1) < 0)
1576             return NULL;
1577         s2n(TLSEXT_TYPE_heartbeat, ret);
1578         s2n(1, ret);
1579         /*-
1580          * Set mode:
1581          * 1: peer may send requests
1582          * 2: peer not allowed to send requests
1583          */
1584         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1585             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1586         else
1587             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1588
1589     }
1590 #endif
1591
1592 #ifndef OPENSSL_NO_NEXTPROTONEG
1593     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1594     s->s3->next_proto_neg_seen = 0;
1595     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1596         const unsigned char *npa;
1597         unsigned int npalen;
1598         int r;
1599
1600         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1601                                               s->
1602                                               ctx->next_protos_advertised_cb_arg);
1603         if (r == SSL_TLSEXT_ERR_OK) {
1604             if ((long)(limit - ret - 4 - npalen) < 0)
1605                 return NULL;
1606             s2n(TLSEXT_TYPE_next_proto_neg, ret);
1607             s2n(npalen, ret);
1608             memcpy(ret, npa, npalen);
1609             ret += npalen;
1610             s->s3->next_proto_neg_seen = 1;
1611         }
1612     }
1613 #endif
1614     if (!custom_ext_add_old(s, 1, &ret, limit, al))
1615         return NULL;
1616     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1617         /*
1618          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1619          * for other cases too.
1620          */
1621         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1622             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1623             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1624             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1625             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1626         else {
1627             s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1628             s2n(0, ret);
1629         }
1630     }
1631     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1632         s2n(TLSEXT_TYPE_extended_master_secret, ret);
1633         s2n(0, ret);
1634     }
1635
1636     if (s->s3->alpn_selected != NULL) {
1637         const unsigned char *selected = s->s3->alpn_selected;
1638         unsigned int len = s->s3->alpn_selected_len;
1639
1640         if ((long)(limit - ret - 4 - 2 - 1 - len) < 0)
1641             return NULL;
1642         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1643         s2n(3 + len, ret);
1644         s2n(1 + len, ret);
1645         *ret++ = len;
1646         memcpy(ret, selected, len);
1647         ret += len;
1648     }
1649
1650  done:
1651
1652     if ((extdatalen = ret - orig - 2) == 0)
1653         return orig;
1654
1655     s2n(extdatalen, orig);
1656     return ret;
1657 }
1658
1659 /*
1660  * Save the ALPN extension in a ClientHello.
1661  * pkt: the contents of the ALPN extension, not including type and length.
1662  * al: a pointer to the  alert value to send in the event of a failure.
1663  * returns: 1 on success, 0 on error.
1664  */
1665 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1666 {
1667     PACKET protocol_list, save_protocol_list, protocol;
1668
1669     *al = SSL_AD_DECODE_ERROR;
1670
1671     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1672         || PACKET_remaining(&protocol_list) < 2) {
1673         return 0;
1674     }
1675
1676     save_protocol_list = protocol_list;
1677     do {
1678         /* Protocol names can't be empty. */
1679         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1680             || PACKET_remaining(&protocol) == 0) {
1681             return 0;
1682         }
1683     } while (PACKET_remaining(&protocol_list) != 0);
1684
1685     if (!PACKET_memdup(&save_protocol_list,
1686                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1687         *al = TLS1_AD_INTERNAL_ERROR;
1688         return 0;
1689     }
1690
1691     return 1;
1692 }
1693
1694 /*
1695  * Process the ALPN extension in a ClientHello.
1696  * al: a pointer to the alert value to send in the event of a failure.
1697  * returns 1 on success, 0 on error.
1698  */
1699 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1700 {
1701     const unsigned char *selected = NULL;
1702     unsigned char selected_len = 0;
1703
1704     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1705         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1706                                        s->s3->alpn_proposed,
1707                                        s->s3->alpn_proposed_len,
1708                                        s->ctx->alpn_select_cb_arg);
1709
1710         if (r == SSL_TLSEXT_ERR_OK) {
1711             OPENSSL_free(s->s3->alpn_selected);
1712             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1713             if (s->s3->alpn_selected == NULL) {
1714                 *al = SSL_AD_INTERNAL_ERROR;
1715                 return 0;
1716             }
1717             s->s3->alpn_selected_len = selected_len;
1718 #ifndef OPENSSL_NO_NEXTPROTONEG
1719             /* ALPN takes precedence over NPN. */
1720             s->s3->next_proto_neg_seen = 0;
1721 #endif
1722         } else {
1723             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1724             return 0;
1725         }
1726     }
1727
1728     return 1;
1729 }
1730
1731 #ifndef OPENSSL_NO_EC
1732 /*-
1733  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1734  * SecureTransport using the TLS extension block in |pkt|.
1735  * Safari, since 10.6, sends exactly these extensions, in this order:
1736  *   SNI,
1737  *   elliptic_curves
1738  *   ec_point_formats
1739  *
1740  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1741  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1742  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1743  * 10.8..10.8.3 (which don't work).
1744  */
1745 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1746 {
1747     unsigned int type;
1748     PACKET sni, tmppkt;
1749     size_t ext_len;
1750
1751     static const unsigned char kSafariExtensionsBlock[] = {
1752         0x00, 0x0a,             /* elliptic_curves extension */
1753         0x00, 0x08,             /* 8 bytes */
1754         0x00, 0x06,             /* 6 bytes of curve ids */
1755         0x00, 0x17,             /* P-256 */
1756         0x00, 0x18,             /* P-384 */
1757         0x00, 0x19,             /* P-521 */
1758
1759         0x00, 0x0b,             /* ec_point_formats */
1760         0x00, 0x02,             /* 2 bytes */
1761         0x01,                   /* 1 point format */
1762         0x00,                   /* uncompressed */
1763         /* The following is only present in TLS 1.2 */
1764         0x00, 0x0d,             /* signature_algorithms */
1765         0x00, 0x0c,             /* 12 bytes */
1766         0x00, 0x0a,             /* 10 bytes */
1767         0x05, 0x01,             /* SHA-384/RSA */
1768         0x04, 0x01,             /* SHA-256/RSA */
1769         0x02, 0x01,             /* SHA-1/RSA */
1770         0x04, 0x03,             /* SHA-256/ECDSA */
1771         0x02, 0x03,             /* SHA-1/ECDSA */
1772     };
1773
1774     /* Length of the common prefix (first two extensions). */
1775     static const size_t kSafariCommonExtensionsLength = 18;
1776
1777     tmppkt = *pkt;
1778
1779     if (!PACKET_forward(&tmppkt, 2)
1780         || !PACKET_get_net_2(&tmppkt, &type)
1781         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1782         return;
1783     }
1784
1785     if (type != TLSEXT_TYPE_server_name)
1786         return;
1787
1788     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1789         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1790
1791     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1792                                              ext_len);
1793 }
1794 #endif                          /* !OPENSSL_NO_EC */
1795
1796 /*
1797  * Parse ClientHello extensions and stash extension info in various parts of
1798  * the SSL object. Verify that there are no duplicate extensions.
1799  *
1800  * Behaviour upon resumption is extension-specific. If the extension has no
1801  * effect during resumption, it is parsed (to verify its format) but otherwise
1802  * ignored.
1803  *
1804  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1805  * Upon failure, sets |al| to the appropriate alert.
1806  */
1807 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1808 {
1809     unsigned int type;
1810     int renegotiate_seen = 0;
1811     PACKET extensions;
1812
1813     *al = SSL_AD_DECODE_ERROR;
1814     s->servername_done = 0;
1815     s->tlsext_status_type = -1;
1816 #ifndef OPENSSL_NO_NEXTPROTONEG
1817     s->s3->next_proto_neg_seen = 0;
1818 #endif
1819
1820     OPENSSL_free(s->s3->alpn_selected);
1821     s->s3->alpn_selected = NULL;
1822     s->s3->alpn_selected_len = 0;
1823     OPENSSL_free(s->s3->alpn_proposed);
1824     s->s3->alpn_proposed = NULL;
1825     s->s3->alpn_proposed_len = 0;
1826 #ifndef OPENSSL_NO_HEARTBEATS
1827     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1828                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1829 #endif
1830
1831 #ifndef OPENSSL_NO_EC
1832     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1833         ssl_check_for_safari(s, pkt);
1834 #endif                          /* !OPENSSL_NO_EC */
1835
1836     /* Clear any signature algorithms extension received */
1837     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1838     s->s3->tmp.peer_sigalgs = NULL;
1839     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1840
1841 #ifndef OPENSSL_NO_SRP
1842     OPENSSL_free(s->srp_ctx.login);
1843     s->srp_ctx.login = NULL;
1844 #endif
1845
1846     s->srtp_profile = NULL;
1847
1848     if (PACKET_remaining(pkt) == 0)
1849         goto ri_check;
1850
1851     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1852         return 0;
1853
1854     if (!tls1_check_duplicate_extensions(&extensions))
1855         return 0;
1856
1857     /*
1858      * We parse all extensions to ensure the ClientHello is well-formed but,
1859      * unless an extension specifies otherwise, we ignore extensions upon
1860      * resumption.
1861      */
1862     while (PACKET_get_net_2(&extensions, &type)) {
1863         PACKET extension;
1864         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1865             return 0;
1866
1867         if (s->tlsext_debug_cb)
1868             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1869                                PACKET_remaining(&extension),
1870                                s->tlsext_debug_arg);
1871
1872         if (type == TLSEXT_TYPE_renegotiate) {
1873             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1874                 return 0;
1875             renegotiate_seen = 1;
1876         } else if (s->version == SSL3_VERSION) {
1877         }
1878 /*-
1879  * The servername extension is treated as follows:
1880  *
1881  * - Only the hostname type is supported with a maximum length of 255.
1882  * - The servername is rejected if too long or if it contains zeros,
1883  *   in which case an fatal alert is generated.
1884  * - The servername field is maintained together with the session cache.
1885  * - When a session is resumed, the servername call back invoked in order
1886  *   to allow the application to position itself to the right context.
1887  * - The servername is acknowledged if it is new for a session or when
1888  *   it is identical to a previously used for the same session.
1889  *   Applications can control the behaviour.  They can at any time
1890  *   set a 'desirable' servername for a new SSL object. This can be the
1891  *   case for example with HTTPS when a Host: header field is received and
1892  *   a renegotiation is requested. In this case, a possible servername
1893  *   presented in the new client hello is only acknowledged if it matches
1894  *   the value of the Host: field.
1895  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1896  *   if they provide for changing an explicit servername context for the
1897  *   session, i.e. when the session has been established with a servername
1898  *   extension.
1899  * - On session reconnect, the servername extension may be absent.
1900  *
1901  */
1902
1903         else if (type == TLSEXT_TYPE_server_name) {
1904             unsigned int servname_type;
1905             PACKET sni, hostname;
1906
1907             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1908                 /* ServerNameList must be at least 1 byte long. */
1909                 || PACKET_remaining(&sni) == 0) {
1910                 return 0;
1911             }
1912
1913             /*
1914              * Although the server_name extension was intended to be
1915              * extensible to new name types, RFC 4366 defined the
1916              * syntax inextensibility and OpenSSL 1.0.x parses it as
1917              * such.
1918              * RFC 6066 corrected the mistake but adding new name types
1919              * is nevertheless no longer feasible, so act as if no other
1920              * SNI types can exist, to simplify parsing.
1921              *
1922              * Also note that the RFC permits only one SNI value per type,
1923              * i.e., we can only have a single hostname.
1924              */
1925             if (!PACKET_get_1(&sni, &servname_type)
1926                 || servname_type != TLSEXT_NAMETYPE_host_name
1927                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1928                 return 0;
1929             }
1930
1931             if (!s->hit) {
1932                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1933                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1934                     return 0;
1935                 }
1936
1937                 if (PACKET_contains_zero_byte(&hostname)) {
1938                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1939                     return 0;
1940                 }
1941
1942                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1943                     *al = TLS1_AD_INTERNAL_ERROR;
1944                     return 0;
1945                 }
1946
1947                 s->servername_done = 1;
1948             } else {
1949                 /*
1950                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1951                  * fall back to a full handshake.
1952                  */
1953                 s->servername_done = s->session->tlsext_hostname
1954                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1955                                     strlen(s->session->tlsext_hostname));
1956             }
1957         }
1958 #ifndef OPENSSL_NO_SRP
1959         else if (type == TLSEXT_TYPE_srp) {
1960             PACKET srp_I;
1961
1962             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1963                 return 0;
1964
1965             if (PACKET_contains_zero_byte(&srp_I))
1966                 return 0;
1967
1968             /*
1969              * TODO(openssl-team): currently, we re-authenticate the user
1970              * upon resumption. Instead, we MUST ignore the login.
1971              */
1972             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1973                 *al = TLS1_AD_INTERNAL_ERROR;
1974                 return 0;
1975             }
1976         }
1977 #endif
1978
1979 #ifndef OPENSSL_NO_EC
1980         else if (type == TLSEXT_TYPE_ec_point_formats) {
1981             PACKET ec_point_format_list;
1982
1983             if (!PACKET_as_length_prefixed_1(&extension, &ec_point_format_list)
1984                 || PACKET_remaining(&ec_point_format_list) == 0) {
1985                 return 0;
1986             }
1987
1988             if (!s->hit) {
1989                 if (!PACKET_memdup(&ec_point_format_list,
1990                                    &s->session->tlsext_ecpointformatlist,
1991                                    &s->
1992                                    session->tlsext_ecpointformatlist_length)) {
1993                     *al = TLS1_AD_INTERNAL_ERROR;
1994                     return 0;
1995                 }
1996             }
1997         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1998             PACKET elliptic_curve_list;
1999
2000             /* Each NamedCurve is 2 bytes and we must have at least 1. */
2001             if (!PACKET_as_length_prefixed_2(&extension, &elliptic_curve_list)
2002                 || PACKET_remaining(&elliptic_curve_list) == 0
2003                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
2004                 return 0;
2005             }
2006
2007             if (!s->hit) {
2008                 if (!PACKET_memdup(&elliptic_curve_list,
2009                                    &s->session->tlsext_ellipticcurvelist,
2010                                    &s->
2011                                    session->tlsext_ellipticcurvelist_length)) {
2012                     *al = TLS1_AD_INTERNAL_ERROR;
2013                     return 0;
2014                 }
2015             }
2016         }
2017 #endif                          /* OPENSSL_NO_EC */
2018         else if (type == TLSEXT_TYPE_session_ticket) {
2019             if (s->tls_session_ticket_ext_cb &&
2020                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
2021                                               PACKET_remaining(&extension),
2022                                               s->tls_session_ticket_ext_cb_arg))
2023             {
2024                 *al = TLS1_AD_INTERNAL_ERROR;
2025                 return 0;
2026             }
2027         } else if (type == TLSEXT_TYPE_signature_algorithms) {
2028             PACKET supported_sig_algs;
2029
2030             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
2031                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
2032                 || PACKET_remaining(&supported_sig_algs) == 0) {
2033                 return 0;
2034             }
2035
2036             if (!s->hit) {
2037                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2038                                        PACKET_remaining(&supported_sig_algs))) {
2039                     return 0;
2040                 }
2041             }
2042         } else if (type == TLSEXT_TYPE_status_request) {
2043             if (!PACKET_get_1(&extension,
2044                               (unsigned int *)&s->tlsext_status_type)) {
2045                 return 0;
2046             }
2047 #ifndef OPENSSL_NO_OCSP
2048             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2049                 const unsigned char *ext_data;
2050                 PACKET responder_id_list, exts;
2051                 if (!PACKET_get_length_prefixed_2
2052                     (&extension, &responder_id_list))
2053                     return 0;
2054
2055                 while (PACKET_remaining(&responder_id_list) > 0) {
2056                     OCSP_RESPID *id;
2057                     PACKET responder_id;
2058                     const unsigned char *id_data;
2059
2060                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2061                                                       &responder_id)
2062                         || PACKET_remaining(&responder_id) == 0) {
2063                         return 0;
2064                     }
2065
2066                     if (s->tlsext_ocsp_ids == NULL
2067                         && (s->tlsext_ocsp_ids =
2068                             sk_OCSP_RESPID_new_null()) == NULL) {
2069                         *al = SSL_AD_INTERNAL_ERROR;
2070                         return 0;
2071                     }
2072
2073                     id_data = PACKET_data(&responder_id);
2074                     id = d2i_OCSP_RESPID(NULL, &id_data,
2075                                          PACKET_remaining(&responder_id));
2076                     if (id == NULL)
2077                         return 0;
2078
2079                     if (id_data != PACKET_end(&responder_id)) {
2080                         OCSP_RESPID_free(id);
2081                         return 0;
2082                     }
2083
2084                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2085                         OCSP_RESPID_free(id);
2086                         *al = SSL_AD_INTERNAL_ERROR;
2087                         return 0;
2088                     }
2089                 }
2090
2091                 /* Read in request_extensions */
2092                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2093                     return 0;
2094
2095                 if (PACKET_remaining(&exts) > 0) {
2096                     ext_data = PACKET_data(&exts);
2097                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2098                                                X509_EXTENSION_free);
2099                     s->tlsext_ocsp_exts =
2100                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2101                                             PACKET_remaining(&exts));
2102                     if (s->tlsext_ocsp_exts == NULL
2103                         || ext_data != PACKET_end(&exts)) {
2104                         return 0;
2105                     }
2106                 }
2107             } else
2108 #endif
2109             {
2110                 /*
2111                  * We don't know what to do with any other type so ignore it.
2112                  */
2113                 s->tlsext_status_type = -1;
2114             }
2115         }
2116 #ifndef OPENSSL_NO_HEARTBEATS
2117         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2118             unsigned int hbtype;
2119
2120             if (!PACKET_get_1(&extension, &hbtype)
2121                 || PACKET_remaining(&extension)) {
2122                 *al = SSL_AD_DECODE_ERROR;
2123                 return 0;
2124             }
2125             switch (hbtype) {
2126             case 0x01:         /* Client allows us to send HB requests */
2127                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2128                 break;
2129             case 0x02:         /* Client doesn't accept HB requests */
2130                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2131                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2132                 break;
2133             default:
2134                 *al = SSL_AD_ILLEGAL_PARAMETER;
2135                 return 0;
2136             }
2137         }
2138 #endif
2139 #ifndef OPENSSL_NO_NEXTPROTONEG
2140         else if (type == TLSEXT_TYPE_next_proto_neg &&
2141                  s->s3->tmp.finish_md_len == 0) {
2142             /*-
2143              * We shouldn't accept this extension on a
2144              * renegotiation.
2145              *
2146              * s->new_session will be set on renegotiation, but we
2147              * probably shouldn't rely that it couldn't be set on
2148              * the initial renegotiation too in certain cases (when
2149              * there's some other reason to disallow resuming an
2150              * earlier session -- the current code won't be doing
2151              * anything like that, but this might change).
2152              *
2153              * A valid sign that there's been a previous handshake
2154              * in this connection is if s->s3->tmp.finish_md_len >
2155              * 0.  (We are talking about a check that will happen
2156              * in the Hello protocol round, well before a new
2157              * Finished message could have been computed.)
2158              */
2159             s->s3->next_proto_neg_seen = 1;
2160         }
2161 #endif
2162
2163         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2164                  s->s3->tmp.finish_md_len == 0) {
2165             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2166                 return 0;
2167         }
2168
2169         /* session ticket processed earlier */
2170 #ifndef OPENSSL_NO_SRTP
2171         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2172                  && type == TLSEXT_TYPE_use_srtp) {
2173             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2174                 return 0;
2175         }
2176 #endif
2177         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2178             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2179         /*
2180          * Note: extended master secret extension handled in
2181          * tls_check_serverhello_tlsext_early()
2182          */
2183
2184         /*
2185          * If this ClientHello extension was unhandled and this is a
2186          * nonresumed connection, check whether the extension is a custom
2187          * TLS Extension (has a custom_srv_ext_record), and if so call the
2188          * callback and record the extension number so that an appropriate
2189          * ServerHello may be later returned.
2190          */
2191         else if (!s->hit) {
2192             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2193                                  PACKET_remaining(&extension), al) <= 0)
2194                 return 0;
2195         }
2196     }
2197
2198     if (PACKET_remaining(pkt) != 0) {
2199         /*
2200          * tls1_check_duplicate_extensions should ensure this never happens.
2201          */
2202         *al = SSL_AD_INTERNAL_ERROR;
2203         return 0;
2204     }
2205
2206  ri_check:
2207
2208     /* Need RI if renegotiating */
2209
2210     if (!renegotiate_seen && s->renegotiate &&
2211         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2212         *al = SSL_AD_HANDSHAKE_FAILURE;
2213         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2214                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2215         return 0;
2216     }
2217
2218     /*
2219      * This function currently has no state to clean up, so it returns directly.
2220      * If parsing fails at any point, the function returns early.
2221      * The SSL object may be left with partial data from extensions, but it must
2222      * then no longer be used, and clearing it up will free the leftovers.
2223      */
2224     return 1;
2225 }
2226
2227 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2228 {
2229     int al = -1;
2230     custom_ext_init(&s->cert->srv_ext);
2231     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2232         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2233         return 0;
2234     }
2235     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2236         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2237         return 0;
2238     }
2239     return 1;
2240 }
2241
2242 #ifndef OPENSSL_NO_NEXTPROTONEG
2243 /*
2244  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2245  * elements of zero length are allowed and the set of elements must exactly
2246  * fill the length of the block.
2247  */
2248 static char ssl_next_proto_validate(PACKET *pkt)
2249 {
2250     PACKET tmp_protocol;
2251
2252     while (PACKET_remaining(pkt)) {
2253         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2254             || PACKET_remaining(&tmp_protocol) == 0)
2255             return 0;
2256     }
2257
2258     return 1;
2259 }
2260 #endif
2261
2262 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2263 {
2264     unsigned int length, type, size;
2265     int tlsext_servername = 0;
2266     int renegotiate_seen = 0;
2267
2268 #ifndef OPENSSL_NO_NEXTPROTONEG
2269     s->s3->next_proto_neg_seen = 0;
2270 #endif
2271     s->tlsext_ticket_expected = 0;
2272
2273     OPENSSL_free(s->s3->alpn_selected);
2274     s->s3->alpn_selected = NULL;
2275 #ifndef OPENSSL_NO_HEARTBEATS
2276     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2277                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2278 #endif
2279
2280     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2281
2282     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2283
2284     if (!PACKET_get_net_2(pkt, &length))
2285         goto ri_check;
2286
2287     if (PACKET_remaining(pkt) != length) {
2288         *al = SSL_AD_DECODE_ERROR;
2289         return 0;
2290     }
2291
2292     if (!tls1_check_duplicate_extensions(pkt)) {
2293         *al = SSL_AD_DECODE_ERROR;
2294         return 0;
2295     }
2296
2297     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2298         const unsigned char *data;
2299         PACKET spkt;
2300
2301         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2302             || !PACKET_peek_bytes(&spkt, &data, size))
2303             goto ri_check;
2304
2305         if (s->tlsext_debug_cb)
2306             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2307
2308         if (type == TLSEXT_TYPE_renegotiate) {
2309             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2310                 return 0;
2311             renegotiate_seen = 1;
2312         } else if (s->version == SSL3_VERSION) {
2313         } else if (type == TLSEXT_TYPE_server_name) {
2314             if (s->tlsext_hostname == NULL || size > 0) {
2315                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2316                 return 0;
2317             }
2318             tlsext_servername = 1;
2319         }
2320 #ifndef OPENSSL_NO_EC
2321         else if (type == TLSEXT_TYPE_ec_point_formats) {
2322             unsigned int ecpointformatlist_length;
2323             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2324                 || ecpointformatlist_length != size - 1) {
2325                 *al = TLS1_AD_DECODE_ERROR;
2326                 return 0;
2327             }
2328             if (!s->hit) {
2329                 s->session->tlsext_ecpointformatlist_length = 0;
2330                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2331                 if ((s->session->tlsext_ecpointformatlist =
2332                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2333                     *al = TLS1_AD_INTERNAL_ERROR;
2334                     return 0;
2335                 }
2336                 s->session->tlsext_ecpointformatlist_length =
2337                     ecpointformatlist_length;
2338                 if (!PACKET_copy_bytes(&spkt,
2339                                        s->session->tlsext_ecpointformatlist,
2340                                        ecpointformatlist_length)) {
2341                     *al = TLS1_AD_DECODE_ERROR;
2342                     return 0;
2343                 }
2344
2345             }
2346         }
2347 #endif                          /* OPENSSL_NO_EC */
2348
2349         else if (type == TLSEXT_TYPE_session_ticket) {
2350             if (s->tls_session_ticket_ext_cb &&
2351                 !s->tls_session_ticket_ext_cb(s, data, size,
2352                                               s->tls_session_ticket_ext_cb_arg))
2353             {
2354                 *al = TLS1_AD_INTERNAL_ERROR;
2355                 return 0;
2356             }
2357             if (!tls_use_ticket(s) || (size > 0)) {
2358                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2359                 return 0;
2360             }
2361             s->tlsext_ticket_expected = 1;
2362         } else if (type == TLSEXT_TYPE_status_request) {
2363             /*
2364              * MUST be empty and only sent if we've requested a status
2365              * request message.
2366              */
2367             if ((s->tlsext_status_type == -1) || (size > 0)) {
2368                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2369                 return 0;
2370             }
2371             /* Set flag to expect CertificateStatus message */
2372             s->tlsext_status_expected = 1;
2373         }
2374 #ifndef OPENSSL_NO_CT
2375         /*
2376          * Only take it if we asked for it - i.e if there is no CT validation
2377          * callback set, then a custom extension MAY be processing it, so we
2378          * need to let control continue to flow to that.
2379          */
2380         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2381                  s->ct_validation_callback != NULL) {
2382             /* Simply copy it off for later processing */
2383             if (s->tlsext_scts != NULL) {
2384                 OPENSSL_free(s->tlsext_scts);
2385                 s->tlsext_scts = NULL;
2386             }
2387             s->tlsext_scts_len = size;
2388             if (size > 0) {
2389                 s->tlsext_scts = OPENSSL_malloc(size);
2390                 if (s->tlsext_scts == NULL) {
2391                     *al = TLS1_AD_INTERNAL_ERROR;
2392                     return 0;
2393                 }
2394                 memcpy(s->tlsext_scts, data, size);
2395             }
2396         }
2397 #endif
2398 #ifndef OPENSSL_NO_NEXTPROTONEG
2399         else if (type == TLSEXT_TYPE_next_proto_neg &&
2400                  s->s3->tmp.finish_md_len == 0) {
2401             unsigned char *selected;
2402             unsigned char selected_len;
2403             /* We must have requested it. */
2404             if (s->ctx->next_proto_select_cb == NULL) {
2405                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2406                 return 0;
2407             }
2408             /* The data must be valid */
2409             if (!ssl_next_proto_validate(&spkt)) {
2410                 *al = TLS1_AD_DECODE_ERROR;
2411                 return 0;
2412             }
2413             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2414                                              size,
2415                                              s->
2416                                              ctx->next_proto_select_cb_arg) !=
2417                 SSL_TLSEXT_ERR_OK) {
2418                 *al = TLS1_AD_INTERNAL_ERROR;
2419                 return 0;
2420             }
2421             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2422             if (s->next_proto_negotiated == NULL) {
2423                 *al = TLS1_AD_INTERNAL_ERROR;
2424                 return 0;
2425             }
2426             memcpy(s->next_proto_negotiated, selected, selected_len);
2427             s->next_proto_negotiated_len = selected_len;
2428             s->s3->next_proto_neg_seen = 1;
2429         }
2430 #endif
2431
2432         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2433             unsigned len;
2434             /* We must have requested it. */
2435             if (!s->s3->alpn_sent) {
2436                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2437                 return 0;
2438             }
2439             /*-
2440              * The extension data consists of:
2441              *   uint16 list_length
2442              *   uint8 proto_length;
2443              *   uint8 proto[proto_length];
2444              */
2445             if (!PACKET_get_net_2(&spkt, &len)
2446                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2447                 || PACKET_remaining(&spkt) != len) {
2448                 *al = TLS1_AD_DECODE_ERROR;
2449                 return 0;
2450             }
2451             OPENSSL_free(s->s3->alpn_selected);
2452             s->s3->alpn_selected = OPENSSL_malloc(len);
2453             if (s->s3->alpn_selected == NULL) {
2454                 *al = TLS1_AD_INTERNAL_ERROR;
2455                 return 0;
2456             }
2457             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2458                 *al = TLS1_AD_DECODE_ERROR;
2459                 return 0;
2460             }
2461             s->s3->alpn_selected_len = len;
2462         }
2463 #ifndef OPENSSL_NO_HEARTBEATS
2464         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2465             unsigned int hbtype;
2466             if (!PACKET_get_1(&spkt, &hbtype)) {
2467                 *al = SSL_AD_DECODE_ERROR;
2468                 return 0;
2469             }
2470             switch (hbtype) {
2471             case 0x01:         /* Server allows us to send HB requests */
2472                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2473                 break;
2474             case 0x02:         /* Server doesn't accept HB requests */
2475                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2476                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2477                 break;
2478             default:
2479                 *al = SSL_AD_ILLEGAL_PARAMETER;
2480                 return 0;
2481             }
2482         }
2483 #endif
2484 #ifndef OPENSSL_NO_SRTP
2485         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2486             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2487                 return 0;
2488         }
2489 #endif
2490         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2491             /* Ignore if inappropriate ciphersuite */
2492             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2493                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2494                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2495         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2496             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2497             if (!s->hit)
2498                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2499         }
2500         /*
2501          * If this extension type was not otherwise handled, but matches a
2502          * custom_cli_ext_record, then send it to the c callback
2503          */
2504         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2505             return 0;
2506     }
2507
2508     if (PACKET_remaining(pkt) != 0) {
2509         *al = SSL_AD_DECODE_ERROR;
2510         return 0;
2511     }
2512
2513     if (!s->hit && tlsext_servername == 1) {
2514         if (s->tlsext_hostname) {
2515             if (s->session->tlsext_hostname == NULL) {
2516                 s->session->tlsext_hostname =
2517                     OPENSSL_strdup(s->tlsext_hostname);
2518                 if (!s->session->tlsext_hostname) {
2519                     *al = SSL_AD_UNRECOGNIZED_NAME;
2520                     return 0;
2521                 }
2522             } else {
2523                 *al = SSL_AD_DECODE_ERROR;
2524                 return 0;
2525             }
2526         }
2527     }
2528
2529  ri_check:
2530
2531     /*
2532      * Determine if we need to see RI. Strictly speaking if we want to avoid
2533      * an attack we should *always* see RI even on initial server hello
2534      * because the client doesn't see any renegotiation during an attack.
2535      * However this would mean we could not connect to any server which
2536      * doesn't support RI so for the immediate future tolerate RI absence
2537      */
2538     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2539         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2540         *al = SSL_AD_HANDSHAKE_FAILURE;
2541         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2542                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2543         return 0;
2544     }
2545
2546     if (s->hit) {
2547         /*
2548          * Check extended master secret extension is consistent with
2549          * original session.
2550          */
2551         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2552             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2553             *al = SSL_AD_HANDSHAKE_FAILURE;
2554             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2555             return 0;
2556         }
2557     }
2558
2559     return 1;
2560 }
2561
2562 int ssl_prepare_clienthello_tlsext(SSL *s)
2563 {
2564     s->s3->alpn_sent = 0;
2565     return 1;
2566 }
2567
2568 int ssl_prepare_serverhello_tlsext(SSL *s)
2569 {
2570     return 1;
2571 }
2572
2573 static int ssl_check_clienthello_tlsext_early(SSL *s)
2574 {
2575     int ret = SSL_TLSEXT_ERR_NOACK;
2576     int al = SSL_AD_UNRECOGNIZED_NAME;
2577
2578 #ifndef OPENSSL_NO_EC
2579     /*
2580      * The handling of the ECPointFormats extension is done elsewhere, namely
2581      * in ssl3_choose_cipher in s3_lib.c.
2582      */
2583     /*
2584      * The handling of the EllipticCurves extension is done elsewhere, namely
2585      * in ssl3_choose_cipher in s3_lib.c.
2586      */
2587 #endif
2588
2589     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2590         ret =
2591             s->ctx->tlsext_servername_callback(s, &al,
2592                                                s->ctx->tlsext_servername_arg);
2593     else if (s->initial_ctx != NULL
2594              && s->initial_ctx->tlsext_servername_callback != 0)
2595         ret =
2596             s->initial_ctx->tlsext_servername_callback(s, &al,
2597                                                        s->
2598                                                        initial_ctx->tlsext_servername_arg);
2599
2600     switch (ret) {
2601     case SSL_TLSEXT_ERR_ALERT_FATAL:
2602         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2603         return -1;
2604
2605     case SSL_TLSEXT_ERR_ALERT_WARNING:
2606         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2607         return 1;
2608
2609     case SSL_TLSEXT_ERR_NOACK:
2610         s->servername_done = 0;
2611     default:
2612         return 1;
2613     }
2614 }
2615
2616 /* Initialise digests to default values */
2617 void ssl_set_default_md(SSL *s)
2618 {
2619     const EVP_MD **pmd = s->s3->tmp.md;
2620 #ifndef OPENSSL_NO_DSA
2621     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2622 #endif
2623 #ifndef OPENSSL_NO_RSA
2624     if (SSL_USE_SIGALGS(s))
2625         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2626     else
2627         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2628     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2629 #endif
2630 #ifndef OPENSSL_NO_EC
2631     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2632 #endif
2633 #ifndef OPENSSL_NO_GOST
2634     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2635     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2636     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2637 #endif
2638 }
2639
2640 int tls1_set_server_sigalgs(SSL *s)
2641 {
2642     int al;
2643     size_t i;
2644
2645     /* Clear any shared signature algorithms */
2646     OPENSSL_free(s->cert->shared_sigalgs);
2647     s->cert->shared_sigalgs = NULL;
2648     s->cert->shared_sigalgslen = 0;
2649     /* Clear certificate digests and validity flags */
2650     for (i = 0; i < SSL_PKEY_NUM; i++) {
2651         s->s3->tmp.md[i] = NULL;
2652         s->s3->tmp.valid_flags[i] = 0;
2653     }
2654
2655     /* If sigalgs received process it. */
2656     if (s->s3->tmp.peer_sigalgs) {
2657         if (!tls1_process_sigalgs(s)) {
2658             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2659             al = SSL_AD_INTERNAL_ERROR;
2660             goto err;
2661         }
2662         /* Fatal error is no shared signature algorithms */
2663         if (!s->cert->shared_sigalgs) {
2664             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2665                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2666             al = SSL_AD_ILLEGAL_PARAMETER;
2667             goto err;
2668         }
2669     } else {
2670         ssl_set_default_md(s);
2671     }
2672     return 1;
2673  err:
2674     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2675     return 0;
2676 }
2677
2678 /*
2679  * Upon success, returns 1.
2680  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2681  */
2682 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2683 {
2684     s->tlsext_status_expected = 0;
2685
2686     /*
2687      * If status request then ask callback what to do. Note: this must be
2688      * called after servername callbacks in case the certificate has changed,
2689      * and must be called after the cipher has been chosen because this may
2690      * influence which certificate is sent
2691      */
2692     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2693         int ret;
2694         CERT_PKEY *certpkey;
2695         certpkey = ssl_get_server_send_pkey(s);
2696         /* If no certificate can't return certificate status */
2697         if (certpkey != NULL) {
2698             /*
2699              * Set current certificate to one we will use so SSL_get_certificate
2700              * et al can pick it up.
2701              */
2702             s->cert->key = certpkey;
2703             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2704             switch (ret) {
2705                 /* We don't want to send a status request response */
2706             case SSL_TLSEXT_ERR_NOACK:
2707                 s->tlsext_status_expected = 0;
2708                 break;
2709                 /* status request response should be sent */
2710             case SSL_TLSEXT_ERR_OK:
2711                 if (s->tlsext_ocsp_resp)
2712                     s->tlsext_status_expected = 1;
2713                 break;
2714                 /* something bad happened */
2715             case SSL_TLSEXT_ERR_ALERT_FATAL:
2716             default:
2717                 *al = SSL_AD_INTERNAL_ERROR;
2718                 return 0;
2719             }
2720         }
2721     }
2722
2723     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2724         return 0;
2725     }
2726
2727     return 1;
2728 }
2729
2730 int ssl_check_serverhello_tlsext(SSL *s)
2731 {
2732     int ret = SSL_TLSEXT_ERR_NOACK;
2733     int al = SSL_AD_UNRECOGNIZED_NAME;
2734
2735 #ifndef OPENSSL_NO_EC
2736     /*
2737      * If we are client and using an elliptic curve cryptography cipher
2738      * suite, then if server returns an EC point formats lists extension it
2739      * must contain uncompressed.
2740      */
2741     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2742     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2743     if ((s->tlsext_ecpointformatlist != NULL)
2744         && (s->tlsext_ecpointformatlist_length > 0)
2745         && (s->session->tlsext_ecpointformatlist != NULL)
2746         && (s->session->tlsext_ecpointformatlist_length > 0)
2747         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2748         /* we are using an ECC cipher */
2749         size_t i;
2750         unsigned char *list;
2751         int found_uncompressed = 0;
2752         list = s->session->tlsext_ecpointformatlist;
2753         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2754             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2755                 found_uncompressed = 1;
2756                 break;
2757             }
2758         }
2759         if (!found_uncompressed) {
2760             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2761                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2762             return -1;
2763         }
2764     }
2765     ret = SSL_TLSEXT_ERR_OK;
2766 #endif                          /* OPENSSL_NO_EC */
2767
2768     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2769         ret =
2770             s->ctx->tlsext_servername_callback(s, &al,
2771                                                s->ctx->tlsext_servername_arg);
2772     else if (s->initial_ctx != NULL
2773              && s->initial_ctx->tlsext_servername_callback != 0)
2774         ret =
2775             s->initial_ctx->tlsext_servername_callback(s, &al,
2776                                                        s->
2777                                                        initial_ctx->tlsext_servername_arg);
2778
2779     /*
2780      * Ensure we get sensible values passed to tlsext_status_cb in the event
2781      * that we don't receive a status message
2782      */
2783     OPENSSL_free(s->tlsext_ocsp_resp);
2784     s->tlsext_ocsp_resp = NULL;
2785     s->tlsext_ocsp_resplen = -1;
2786
2787     switch (ret) {
2788     case SSL_TLSEXT_ERR_ALERT_FATAL:
2789         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2790         return -1;
2791
2792     case SSL_TLSEXT_ERR_ALERT_WARNING:
2793         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2794         return 1;
2795
2796     case SSL_TLSEXT_ERR_NOACK:
2797         s->servername_done = 0;
2798     default:
2799         return 1;
2800     }
2801 }
2802
2803 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2804 {
2805     int al = -1;
2806     if (s->version < SSL3_VERSION)
2807         return 1;
2808     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2809         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2810         return 0;
2811     }
2812
2813     if (ssl_check_serverhello_tlsext(s) <= 0) {
2814         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2815         return 0;
2816     }
2817     return 1;
2818 }
2819
2820 /*-
2821  * Since the server cache lookup is done early on in the processing of the
2822  * ClientHello and other operations depend on the result some extensions
2823  * need to be handled at the same time.
2824  *
2825  * Two extensions are currently handled, session ticket and extended master
2826  * secret.
2827  *
2828  *   session_id: ClientHello session ID.
2829  *   ext: ClientHello extensions (including length prefix)
2830  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2831  *       point to the resulting session.
2832  *
2833  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2834  * ciphersuite, in which case we have no use for session tickets and one will
2835  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2836  *
2837  * Returns:
2838  *   -1: fatal error, either from parsing or decrypting the ticket.
2839  *    0: no ticket was found (or was ignored, based on settings).
2840  *    1: a zero length extension was found, indicating that the client supports
2841  *       session tickets but doesn't currently have one to offer.
2842  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2843  *       couldn't be decrypted because of a non-fatal error.
2844  *    3: a ticket was successfully decrypted and *ret was set.
2845  *
2846  * Side effects:
2847  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2848  *   a new session ticket to the client because the client indicated support
2849  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2850  *   a session ticket or we couldn't use the one it gave us, or if
2851  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2852  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2853  *
2854  *   For extended master secret flag is set if the extension is present.
2855  *
2856  */
2857 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2858                                        const PACKET *session_id,
2859                                        SSL_SESSION **ret)
2860 {
2861     unsigned int i;
2862     PACKET local_ext = *ext;
2863     int retv = -1;
2864
2865     int have_ticket = 0;
2866     int use_ticket = tls_use_ticket(s);
2867
2868     *ret = NULL;
2869     s->tlsext_ticket_expected = 0;
2870     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2871
2872     /*
2873      * If tickets disabled behave as if no ticket present to permit stateful
2874      * resumption.
2875      */
2876     if ((s->version <= SSL3_VERSION))
2877         return 0;
2878
2879     if (!PACKET_get_net_2(&local_ext, &i)) {
2880         retv = 0;
2881         goto end;
2882     }
2883     while (PACKET_remaining(&local_ext) >= 4) {
2884         unsigned int type, size;
2885
2886         if (!PACKET_get_net_2(&local_ext, &type)
2887             || !PACKET_get_net_2(&local_ext, &size)) {
2888             /* Shouldn't ever happen */
2889             retv = -1;
2890             goto end;
2891         }
2892         if (PACKET_remaining(&local_ext) < size) {
2893             retv = 0;
2894             goto end;
2895         }
2896         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2897             int r;
2898             const unsigned char *etick;
2899
2900             /* Duplicate extension */
2901             if (have_ticket != 0) {
2902                 retv = -1;
2903                 goto end;
2904             }
2905             have_ticket = 1;
2906
2907             if (size == 0) {
2908                 /*
2909                  * The client will accept a ticket but doesn't currently have
2910                  * one.
2911                  */
2912                 s->tlsext_ticket_expected = 1;
2913                 retv = 1;
2914                 continue;
2915             }
2916             if (s->tls_session_secret_cb) {
2917                 /*
2918                  * Indicate that the ticket couldn't be decrypted rather than
2919                  * generating the session from ticket now, trigger
2920                  * abbreviated handshake based on external mechanism to
2921                  * calculate the master secret later.
2922                  */
2923                 retv = 2;
2924                 continue;
2925             }
2926             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2927                 /* Shouldn't ever happen */
2928                 retv = -1;
2929                 goto end;
2930             }
2931             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2932                                    PACKET_remaining(session_id), ret);
2933             switch (r) {
2934             case 2:            /* ticket couldn't be decrypted */
2935                 s->tlsext_ticket_expected = 1;
2936                 retv = 2;
2937                 break;
2938             case 3:            /* ticket was decrypted */
2939                 retv = r;
2940                 break;
2941             case 4:            /* ticket decrypted but need to renew */
2942                 s->tlsext_ticket_expected = 1;
2943                 retv = 3;
2944                 break;
2945             default:           /* fatal error */
2946                 retv = -1;
2947                 break;
2948             }
2949             continue;
2950         } else {
2951             if (type == TLSEXT_TYPE_extended_master_secret)
2952                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2953             if (!PACKET_forward(&local_ext, size)) {
2954                 retv = -1;
2955                 goto end;
2956             }
2957         }
2958     }
2959     if (have_ticket == 0)
2960         retv = 0;
2961  end:
2962     return retv;
2963 }
2964
2965 /*-
2966  * tls_decrypt_ticket attempts to decrypt a session ticket.
2967  *
2968  *   etick: points to the body of the session ticket extension.
2969  *   eticklen: the length of the session tickets extension.
2970  *   sess_id: points at the session ID.
2971  *   sesslen: the length of the session ID.
2972  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2973  *       point to the resulting session.
2974  *
2975  * Returns:
2976  *   -2: fatal error, malloc failure.
2977  *   -1: fatal error, either from parsing or decrypting the ticket.
2978  *    2: the ticket couldn't be decrypted.
2979  *    3: a ticket was successfully decrypted and *psess was set.
2980  *    4: same as 3, but the ticket needs to be renewed.
2981  */
2982 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2983                               int eticklen, const unsigned char *sess_id,
2984                               int sesslen, SSL_SESSION **psess)
2985 {
2986     SSL_SESSION *sess;
2987     unsigned char *sdec;
2988     const unsigned char *p;
2989     int slen, mlen, renew_ticket = 0, ret = -1;
2990     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2991     HMAC_CTX *hctx = NULL;
2992     EVP_CIPHER_CTX *ctx;
2993     SSL_CTX *tctx = s->initial_ctx;
2994
2995     /* Initialize session ticket encryption and HMAC contexts */
2996     hctx = HMAC_CTX_new();
2997     if (hctx == NULL)
2998         return -2;
2999     ctx = EVP_CIPHER_CTX_new();
3000     if (ctx == NULL) {
3001         ret = -2;
3002         goto err;
3003     }
3004     if (tctx->tlsext_ticket_key_cb) {
3005         unsigned char *nctick = (unsigned char *)etick;
3006         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
3007                                             ctx, hctx, 0);
3008         if (rv < 0)
3009             goto err;
3010         if (rv == 0) {
3011             ret = 2;
3012             goto err;
3013         }
3014         if (rv == 2)
3015             renew_ticket = 1;
3016     } else {
3017         /* Check key name matches */
3018         if (memcmp(etick, tctx->tlsext_tick_key_name,
3019                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
3020             ret = 2;
3021             goto err;
3022         }
3023         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3024                          sizeof(tctx->tlsext_tick_hmac_key),
3025                          EVP_sha256(), NULL) <= 0
3026             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3027                                   tctx->tlsext_tick_aes_key,
3028                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
3029             0) {
3030             goto err;
3031         }
3032     }
3033     /*
3034      * Attempt to process session ticket, first conduct sanity and integrity
3035      * checks on ticket.
3036      */
3037     mlen = HMAC_size(hctx);
3038     if (mlen < 0) {
3039         goto err;
3040     }
3041     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3042     if (eticklen <=
3043         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3044         ret = 2;
3045         goto err;
3046     }
3047     eticklen -= mlen;
3048     /* Check HMAC of encrypted ticket */
3049     if (HMAC_Update(hctx, etick, eticklen) <= 0
3050         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3051         goto err;
3052     }
3053     HMAC_CTX_free(hctx);
3054     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3055         EVP_CIPHER_CTX_free(ctx);
3056         return 2;
3057     }
3058     /* Attempt to decrypt session data */
3059     /* Move p after IV to start of encrypted ticket, update length */
3060     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3061     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3062     sdec = OPENSSL_malloc(eticklen);
3063     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3064         EVP_CIPHER_CTX_free(ctx);
3065         OPENSSL_free(sdec);
3066         return -1;
3067     }
3068     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3069         EVP_CIPHER_CTX_free(ctx);
3070         OPENSSL_free(sdec);
3071         return 2;
3072     }
3073     slen += mlen;
3074     EVP_CIPHER_CTX_free(ctx);
3075     ctx = NULL;
3076     p = sdec;
3077
3078     sess = d2i_SSL_SESSION(NULL, &p, slen);
3079     OPENSSL_free(sdec);
3080     if (sess) {
3081         /*
3082          * The session ID, if non-empty, is used by some clients to detect
3083          * that the ticket has been accepted. So we copy it to the session
3084          * structure. If it is empty set length to zero as required by
3085          * standard.
3086          */
3087         if (sesslen)
3088             memcpy(sess->session_id, sess_id, sesslen);
3089         sess->session_id_length = sesslen;
3090         *psess = sess;
3091         if (renew_ticket)
3092             return 4;
3093         else
3094             return 3;
3095     }
3096     ERR_clear_error();
3097     /*
3098      * For session parse failure, indicate that we need to send a new ticket.
3099      */
3100     return 2;
3101  err:
3102     EVP_CIPHER_CTX_free(ctx);
3103     HMAC_CTX_free(hctx);
3104     return ret;
3105 }
3106
3107 /* Tables to translate from NIDs to TLS v1.2 ids */
3108
3109 typedef struct {
3110     int nid;
3111     int id;
3112 } tls12_lookup;
3113
3114 static const tls12_lookup tls12_md[] = {
3115     {NID_md5, TLSEXT_hash_md5},
3116     {NID_sha1, TLSEXT_hash_sha1},
3117     {NID_sha224, TLSEXT_hash_sha224},
3118     {NID_sha256, TLSEXT_hash_sha256},
3119     {NID_sha384, TLSEXT_hash_sha384},
3120     {NID_sha512, TLSEXT_hash_sha512},
3121     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3122     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3123     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3124 };
3125
3126 static const tls12_lookup tls12_sig[] = {
3127     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3128     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3129     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3130     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3131     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3132     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3133 };
3134
3135 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3136 {
3137     size_t i;
3138     for (i = 0; i < tlen; i++) {
3139         if (table[i].nid == nid)
3140             return table[i].id;
3141     }
3142     return -1;
3143 }
3144
3145 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3146 {
3147     size_t i;
3148     for (i = 0; i < tlen; i++) {
3149         if ((table[i].id) == id)
3150             return table[i].nid;
3151     }
3152     return NID_undef;
3153 }
3154
3155 int tls12_get_sigandhash(unsigned char *p, const EVP_PKEY *pk, const EVP_MD *md)
3156 {
3157     int sig_id, md_id;
3158     if (!md)
3159         return 0;
3160     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3161     if (md_id == -1)
3162         return 0;
3163     sig_id = tls12_get_sigid(pk);
3164     if (sig_id == -1)
3165         return 0;
3166     p[0] = (unsigned char)md_id;
3167     p[1] = (unsigned char)sig_id;
3168     return 1;
3169 }
3170
3171 int tls12_get_sigid(const EVP_PKEY *pk)
3172 {
3173     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3174 }
3175
3176 typedef struct {
3177     int nid;
3178     int secbits;
3179     int md_idx;
3180     unsigned char tlsext_hash;
3181 } tls12_hash_info;
3182
3183 static const tls12_hash_info tls12_md_info[] = {
3184     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3185     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3186     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3187     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3188     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3189     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3190     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3191     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3192      TLSEXT_hash_gostr34112012_256},
3193     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3194      TLSEXT_hash_gostr34112012_512},
3195 };
3196
3197 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3198 {
3199     unsigned int i;
3200     if (hash_alg == 0)
3201         return NULL;
3202
3203     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3204         if (tls12_md_info[i].tlsext_hash == hash_alg)
3205             return tls12_md_info + i;
3206     }
3207
3208     return NULL;
3209 }
3210
3211 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3212 {
3213     const tls12_hash_info *inf;
3214     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3215         return NULL;
3216     inf = tls12_get_hash_info(hash_alg);
3217     if (!inf)
3218         return NULL;
3219     return ssl_md(inf->md_idx);
3220 }
3221
3222 static int tls12_get_pkey_idx(unsigned char sig_alg)
3223 {
3224     switch (sig_alg) {
3225 #ifndef OPENSSL_NO_RSA
3226     case TLSEXT_signature_rsa:
3227         return SSL_PKEY_RSA_SIGN;
3228 #endif
3229 #ifndef OPENSSL_NO_DSA
3230     case TLSEXT_signature_dsa:
3231         return SSL_PKEY_DSA_SIGN;
3232 #endif
3233 #ifndef OPENSSL_NO_EC
3234     case TLSEXT_signature_ecdsa:
3235         return SSL_PKEY_ECC;
3236 #endif
3237 #ifndef OPENSSL_NO_GOST
3238     case TLSEXT_signature_gostr34102001:
3239         return SSL_PKEY_GOST01;
3240
3241     case TLSEXT_signature_gostr34102012_256:
3242         return SSL_PKEY_GOST12_256;
3243
3244     case TLSEXT_signature_gostr34102012_512:
3245         return SSL_PKEY_GOST12_512;
3246 #endif
3247     }
3248     return -1;
3249 }
3250
3251 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3252 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3253                                int *psignhash_nid, const unsigned char *data)
3254 {
3255     int sign_nid = NID_undef, hash_nid = NID_undef;
3256     if (!phash_nid && !psign_nid && !psignhash_nid)
3257         return;
3258     if (phash_nid || psignhash_nid) {
3259         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3260         if (phash_nid)
3261             *phash_nid = hash_nid;
3262     }
3263     if (psign_nid || psignhash_nid) {
3264         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3265         if (psign_nid)
3266             *psign_nid = sign_nid;
3267     }
3268     if (psignhash_nid) {
3269         if (sign_nid == NID_undef || hash_nid == NID_undef
3270             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3271             *psignhash_nid = NID_undef;
3272     }
3273 }
3274
3275 /* Check to see if a signature algorithm is allowed */
3276 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3277 {
3278     /* See if we have an entry in the hash table and it is enabled */
3279     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3280     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3281         return 0;
3282     /* See if public key algorithm allowed */
3283     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3284         return 0;
3285     /* Finally see if security callback allows it */
3286     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3287 }
3288
3289 /*
3290  * Get a mask of disabled public key algorithms based on supported signature
3291  * algorithms. For example if no signature algorithm supports RSA then RSA is
3292  * disabled.
3293  */
3294
3295 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3296 {
3297     const unsigned char *sigalgs;
3298     size_t i, sigalgslen;
3299     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3300     /*
3301      * Now go through all signature algorithms seeing if we support any for
3302      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3303      * down calls to security callback only check if we have to.
3304      */
3305     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3306     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3307         switch (sigalgs[1]) {
3308 #ifndef OPENSSL_NO_RSA
3309         case TLSEXT_signature_rsa:
3310             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3311                 have_rsa = 1;
3312             break;
3313 #endif
3314 #ifndef OPENSSL_NO_DSA
3315         case TLSEXT_signature_dsa:
3316             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3317                 have_dsa = 1;
3318             break;
3319 #endif
3320 #ifndef OPENSSL_NO_EC
3321         case TLSEXT_signature_ecdsa:
3322             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3323                 have_ecdsa = 1;
3324             break;
3325 #endif
3326         }
3327     }
3328     if (!have_rsa)
3329         *pmask_a |= SSL_aRSA;
3330     if (!have_dsa)
3331         *pmask_a |= SSL_aDSS;
3332     if (!have_ecdsa)
3333         *pmask_a |= SSL_aECDSA;
3334 }
3335
3336 /*
3337  * Old version of the tls12_copy_sigalgs function used by code that has not
3338  * yet been converted to WPACKET yet. It will be deleted once WPACKET conversion
3339  * is complete.
3340  * TODO - DELETE ME
3341  */
3342 size_t tls12_copy_sigalgs_old(SSL *s, unsigned char *out,
3343                           const unsigned char *psig, size_t psiglen)
3344 {
3345     unsigned char *tmpout = out;
3346     size_t i;
3347     for (i = 0; i < psiglen; i += 2, psig += 2) {
3348         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3349             *tmpout++ = psig[0];
3350             *tmpout++ = psig[1];
3351         }
3352     }
3353     return tmpout - out;
3354 }
3355
3356 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3357                        const unsigned char *psig, size_t psiglen)
3358 {
3359     size_t i;
3360     for (i = 0; i < psiglen; i += 2, psig += 2) {
3361         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3362             if (!WPACKET_put_bytes(pkt, psig[0], 1)
3363                     || !WPACKET_put_bytes(pkt, psig[1], 1))
3364                 return 0;
3365         }
3366     }
3367     return 1;
3368 }
3369
3370 /* Given preference and allowed sigalgs set shared sigalgs */
3371 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3372                                 const unsigned char *pref, size_t preflen,
3373                                 const unsigned char *allow, size_t allowlen)
3374 {
3375     const unsigned char *ptmp, *atmp;
3376     size_t i, j, nmatch = 0;
3377     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3378         /* Skip disabled hashes or signature algorithms */
3379         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3380             continue;
3381         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3382             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3383                 nmatch++;
3384                 if (shsig) {
3385                     shsig->rhash = ptmp[0];
3386                     shsig->rsign = ptmp[1];
3387                     tls1_lookup_sigalg(&shsig->hash_nid,
3388                                        &shsig->sign_nid,
3389                                        &shsig->signandhash_nid, ptmp);
3390                     shsig++;
3391                 }
3392                 break;
3393             }
3394         }
3395     }
3396     return nmatch;
3397 }
3398
3399 /* Set shared signature algorithms for SSL structures */
3400 static int tls1_set_shared_sigalgs(SSL *s)
3401 {
3402     const unsigned char *pref, *allow, *conf;
3403     size_t preflen, allowlen, conflen;
3404     size_t nmatch;
3405     TLS_SIGALGS *salgs = NULL;
3406     CERT *c = s->cert;
3407     unsigned int is_suiteb = tls1_suiteb(s);
3408
3409     OPENSSL_free(c->shared_sigalgs);
3410     c->shared_sigalgs = NULL;
3411     c->shared_sigalgslen = 0;
3412     /* If client use client signature algorithms if not NULL */
3413     if (!s->server && c->client_sigalgs && !is_suiteb) {
3414         conf = c->client_sigalgs;
3415         conflen = c->client_sigalgslen;
3416     } else if (c->conf_sigalgs && !is_suiteb) {
3417         conf = c->conf_sigalgs;
3418         conflen = c->conf_sigalgslen;
3419     } else
3420         conflen = tls12_get_psigalgs(s, &conf);
3421     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3422         pref = conf;
3423         preflen = conflen;
3424         allow = s->s3->tmp.peer_sigalgs;
3425         allowlen = s->s3->tmp.peer_sigalgslen;
3426     } else {
3427         allow = conf;
3428         allowlen = conflen;
3429         pref = s->s3->tmp.peer_sigalgs;
3430         preflen = s->s3->tmp.peer_sigalgslen;
3431     }
3432     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3433     if (nmatch) {
3434         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3435         if (salgs == NULL)
3436             return 0;
3437         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3438     } else {
3439         salgs = NULL;
3440     }
3441     c->shared_sigalgs = salgs;
3442     c->shared_sigalgslen = nmatch;
3443     return 1;
3444 }
3445
3446 /* Set preferred digest for each key type */
3447
3448 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3449 {
3450     CERT *c = s->cert;
3451     /* Extension ignored for inappropriate versions */
3452     if (!SSL_USE_SIGALGS(s))
3453         return 1;
3454     /* Should never happen */
3455     if (!c)
3456         return 0;
3457
3458     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3459     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3460     if (s->s3->tmp.peer_sigalgs == NULL)
3461         return 0;
3462     s->s3->tmp.peer_sigalgslen = dsize;
3463     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3464     return 1;
3465 }
3466
3467 int tls1_process_sigalgs(SSL *s)
3468 {
3469     int idx;
3470     size_t i;
3471     const EVP_MD *md;
3472     const EVP_MD **pmd = s->s3->tmp.md;
3473     uint32_t *pvalid = s->s3->tmp.valid_flags;
3474     CERT *c = s->cert;
3475     TLS_SIGALGS *sigptr;
3476     if (!tls1_set_shared_sigalgs(s))
3477         return 0;
3478
3479     for (i = 0, sigptr = c->shared_sigalgs;
3480          i < c->shared_sigalgslen; i++, sigptr++) {
3481         idx = tls12_get_pkey_idx(sigptr->rsign);
3482         if (idx > 0 && pmd[idx] == NULL) {
3483             md = tls12_get_hash(sigptr->rhash);
3484             pmd[idx] = md;
3485             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3486             if (idx == SSL_PKEY_RSA_SIGN) {
3487                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3488                 pmd[SSL_PKEY_RSA_ENC] = md;
3489             }
3490         }
3491
3492     }
3493     /*
3494      * In strict mode leave unset digests as NULL to indicate we can't use
3495      * the certificate for signing.
3496      */
3497     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3498         /*
3499          * Set any remaining keys to default values. NOTE: if alg is not
3500          * supported it stays as NULL.
3501          */
3502 #ifndef OPENSSL_NO_DSA
3503         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3504             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3505 #endif
3506 #ifndef OPENSSL_NO_RSA
3507         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3508             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3509             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3510         }
3511 #endif
3512 #ifndef OPENSSL_NO_EC
3513         if (pmd[SSL_PKEY_ECC] == NULL)
3514             pmd[SSL_PKEY_ECC] = EVP_sha1();
3515 #endif
3516 #ifndef OPENSSL_NO_GOST
3517         if (pmd[SSL_PKEY_GOST01] == NULL)
3518             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3519         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3520             pmd[SSL_PKEY_GOST12_256] =
3521                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3522         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3523             pmd[SSL_PKEY_GOST12_512] =
3524                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3525 #endif
3526     }
3527     return 1;
3528 }
3529
3530 int SSL_get_sigalgs(SSL *s, int idx,
3531                     int *psign, int *phash, int *psignhash,
3532                     unsigned char *rsig, unsigned char *rhash)
3533 {
3534     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3535     if (psig == NULL)
3536         return 0;
3537     if (idx >= 0) {
3538         idx <<= 1;
3539         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3540             return 0;
3541         psig += idx;
3542         if (rhash)
3543             *rhash = psig[0];
3544         if (rsig)
3545             *rsig = psig[1];
3546         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3547     }
3548     return s->s3->tmp.peer_sigalgslen / 2;
3549 }
3550
3551 int SSL_get_shared_sigalgs(SSL *s, int idx,
3552                            int *psign, int *phash, int *psignhash,
3553                            unsigned char *rsig, unsigned char *rhash)
3554 {
3555     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3556     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3557         return 0;
3558     shsigalgs += idx;
3559     if (phash)
3560         *phash = shsigalgs->hash_nid;
3561     if (psign)
3562         *psign = shsigalgs->sign_nid;
3563     if (psignhash)
3564         *psignhash = shsigalgs->signandhash_nid;
3565     if (rsig)
3566         *rsig = shsigalgs->rsign;
3567     if (rhash)
3568         *rhash = shsigalgs->rhash;
3569     return s->cert->shared_sigalgslen;
3570 }
3571
3572 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3573
3574 typedef struct {
3575     size_t sigalgcnt;
3576     int sigalgs[MAX_SIGALGLEN];
3577 } sig_cb_st;
3578
3579 static void get_sigorhash(int *psig, int *phash, const char *str)
3580 {
3581     if (strcmp(str, "RSA") == 0) {
3582         *psig = EVP_PKEY_RSA;
3583     } else if (strcmp(str, "DSA") == 0) {
3584         *psig = EVP_PKEY_DSA;
3585     } else if (strcmp(str, "ECDSA") == 0) {
3586         *psig = EVP_PKEY_EC;
3587     } else {
3588         *phash = OBJ_sn2nid(str);
3589         if (*phash == NID_undef)
3590             *phash = OBJ_ln2nid(str);
3591     }
3592 }
3593
3594 static int sig_cb(const char *elem, int len, void *arg)
3595 {
3596     sig_cb_st *sarg = arg;
3597     size_t i;
3598     char etmp[20], *p;
3599     int sig_alg = NID_undef, hash_alg = NID_undef;
3600     if (elem == NULL)
3601         return 0;
3602     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3603         return 0;
3604     if (len > (int)(sizeof(etmp) - 1))
3605         return 0;
3606     memcpy(etmp, elem, len);
3607     etmp[len] = 0;
3608     p = strchr(etmp, '+');
3609     if (!p)
3610         return 0;
3611     *p = 0;
3612     p++;
3613     if (!*p)
3614         return 0;
3615
3616     get_sigorhash(&sig_alg, &hash_alg, etmp);
3617     get_sigorhash(&sig_alg, &hash_alg, p);
3618
3619     if (sig_alg == NID_undef || hash_alg == NID_undef)
3620         return 0;
3621
3622     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3623         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3624             return 0;
3625     }
3626     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3627     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3628     return 1;
3629 }
3630
3631 /*
3632  * Set supported signature algorithms based on a colon separated list of the
3633  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3634  */
3635 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3636 {
3637     sig_cb_st sig;
3638     sig.sigalgcnt = 0;
3639     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3640         return 0;
3641     if (c == NULL)
3642         return 1;
3643     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3644 }
3645
3646 int tls1_set_sigalgs(CERT *c, const int *psig_nids, size_t salglen, int client)
3647 {
3648     unsigned char *sigalgs, *sptr;
3649     int rhash, rsign;
3650     size_t i;
3651     if (salglen & 1)
3652         return 0;
3653     sigalgs = OPENSSL_malloc(salglen);
3654     if (sigalgs == NULL)
3655         return 0;
3656     for (i = 0, sptr = sigalgs; i < salglen; i += 2) {
3657         rhash = tls12_find_id(*psig_nids++, tls12_md, OSSL_NELEM(tls12_md));
3658         rsign = tls12_find_id(*psig_nids++, tls12_sig, OSSL_NELEM(tls12_sig));
3659
3660         if (rhash == -1 || rsign == -1)
3661             goto err;
3662         *sptr++ = rhash;
3663         *sptr++ = rsign;
3664     }
3665
3666     if (client) {
3667         OPENSSL_free(c->client_sigalgs);
3668         c->client_sigalgs = sigalgs;
3669         c->client_sigalgslen = salglen;
3670     } else {
3671         OPENSSL_free(c->conf_sigalgs);
3672         c->conf_sigalgs = sigalgs;
3673         c->conf_sigalgslen = salglen;
3674     }
3675
3676     return 1;
3677
3678  err:
3679     OPENSSL_free(sigalgs);
3680     return 0;
3681 }
3682
3683 static int tls1_check_sig_alg(CERT *c, X509 *x, int default_nid)
3684 {
3685     int sig_nid;
3686     size_t i;
3687     if (default_nid == -1)
3688         return 1;
3689     sig_nid = X509_get_signature_nid(x);
3690     if (default_nid)
3691         return sig_nid == default_nid ? 1 : 0;
3692     for (i = 0; i < c->shared_sigalgslen; i++)
3693         if (sig_nid == c->shared_sigalgs[i].signandhash_nid)
3694             return 1;
3695     return 0;
3696 }
3697
3698 /* Check to see if a certificate issuer name matches list of CA names */
3699 static int ssl_check_ca_name(STACK_OF(X509_NAME) *names, X509 *x)
3700 {
3701     X509_NAME *nm;
3702     int i;
3703     nm = X509_get_issuer_name(x);
3704     for (i = 0; i < sk_X509_NAME_num(names); i++) {
3705         if (!X509_NAME_cmp(nm, sk_X509_NAME_value(names, i)))
3706             return 1;
3707     }
3708     return 0;
3709 }
3710
3711 /*
3712  * Check certificate chain is consistent with TLS extensions and is usable by
3713  * server. This servers two purposes: it allows users to check chains before
3714  * passing them to the server and it allows the server to check chains before
3715  * attempting to use them.
3716  */
3717
3718 /* Flags which need to be set for a certificate when stict mode not set */
3719
3720 #define CERT_PKEY_VALID_FLAGS \
3721         (CERT_PKEY_EE_SIGNATURE|CERT_PKEY_EE_PARAM)
3722 /* Strict mode flags */
3723 #define CERT_PKEY_STRICT_FLAGS \
3724          (CERT_PKEY_VALID_FLAGS|CERT_PKEY_CA_SIGNATURE|CERT_PKEY_CA_PARAM \
3725          | CERT_PKEY_ISSUER_NAME|CERT_PKEY_CERT_TYPE)
3726
3727 int tls1_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain,
3728                      int idx)
3729 {
3730     int i;
3731     int rv = 0;
3732     int check_flags = 0, strict_mode;
3733     CERT_PKEY *cpk = NULL;
3734     CERT *c = s->cert;
3735     uint32_t *pvalid;
3736     unsigned int suiteb_flags = tls1_suiteb(s);
3737     /* idx == -1 means checking server chains */
3738     if (idx != -1) {
3739         /* idx == -2 means checking client certificate chains */
3740         if (idx == -2) {
3741             cpk = c->key;
3742             idx = cpk - c->pkeys;
3743         } else
3744             cpk = c->pkeys + idx;
3745         pvalid = s->s3->tmp.valid_flags + idx;
3746         x = cpk->x509;
3747         pk = cpk->privatekey;
3748         chain = cpk->chain;
3749         strict_mode = c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT;
3750         /* If no cert or key, forget it */
3751         if (!x || !pk)
3752             goto end;
3753     } else {
3754         if (!x || !pk)
3755             return 0;
3756         idx = ssl_cert_type(x, pk);
3757         if (idx == -1)
3758             return 0;
3759         pvalid = s->s3->tmp.valid_flags + idx;
3760
3761         if (c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)
3762             check_flags = CERT_PKEY_STRICT_FLAGS;
3763         else
3764             check_flags = CERT_PKEY_VALID_FLAGS;
3765         strict_mode = 1;
3766     }
3767
3768     if (suiteb_flags) {
3769         int ok;
3770         if (check_flags)
3771             check_flags |= CERT_PKEY_SUITEB;
3772         ok = X509_chain_check_suiteb(NULL, x, chain, suiteb_flags);
3773         if (ok == X509_V_OK)
3774             rv |= CERT_PKEY_SUITEB;
3775         else if (!check_flags)
3776             goto end;
3777     }
3778
3779     /*
3780      * Check all signature algorithms are consistent with signature
3781      * algorithms extension if TLS 1.2 or later and strict mode.
3782      */
3783     if (TLS1_get_version(s) >= TLS1_2_VERSION && strict_mode) {
3784         int default_nid;
3785         unsigned char rsign = 0;
3786         if (s->s3->tmp.peer_sigalgs)
3787             default_nid = 0;
3788         /* If no sigalgs extension use defaults from RFC5246 */
3789         else {
3790             switch (idx) {
3791             case SSL_PKEY_RSA_ENC:
3792             case SSL_PKEY_RSA_SIGN:
3793                 rsign = TLSEXT_signature_rsa;
3794                 default_nid = NID_sha1WithRSAEncryption;
3795                 break;
3796
3797             case SSL_PKEY_DSA_SIGN:
3798                 rsign = TLSEXT_signature_dsa;
3799                 default_nid = NID_dsaWithSHA1;
3800                 break;
3801
3802             case SSL_PKEY_ECC:
3803                 rsign = TLSEXT_signature_ecdsa;
3804                 default_nid = NID_ecdsa_with_SHA1;
3805                 break;
3806
3807             case SSL_PKEY_GOST01:
3808                 rsign = TLSEXT_signature_gostr34102001;
3809                 default_nid = NID_id_GostR3411_94_with_GostR3410_2001;
3810                 break;
3811
3812             case SSL_PKEY_GOST12_256:
3813                 rsign = TLSEXT_signature_gostr34102012_256;
3814                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_256;
3815                 break;
3816
3817             case SSL_PKEY_GOST12_512:
3818                 rsign = TLSEXT_signature_gostr34102012_512;
3819                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_512;
3820                 break;
3821
3822             default:
3823                 default_nid = -1;
3824                 break;
3825             }
3826         }
3827         /*
3828          * If peer sent no signature algorithms extension and we have set
3829          * preferred signature algorithms check we support sha1.
3830          */
3831         if (default_nid > 0 && c->conf_sigalgs) {
3832             size_t j;
3833             const unsigned char *p = c->conf_sigalgs;
3834             for (j = 0; j < c->conf_sigalgslen; j += 2, p += 2) {
3835                 if (p[0] == TLSEXT_hash_sha1 && p[1] == rsign)
3836                     break;
3837             }
3838             if (j == c->conf_sigalgslen) {
3839                 if (check_flags)
3840                     goto skip_sigs;
3841                 else
3842                     goto end;
3843             }
3844         }
3845         /* Check signature algorithm of each cert in chain */
3846         if (!tls1_check_sig_alg(c, x, default_nid)) {
3847             if (!check_flags)
3848                 goto end;
3849         } else
3850             rv |= CERT_PKEY_EE_SIGNATURE;
3851         rv |= CERT_PKEY_CA_SIGNATURE;
3852         for (i = 0; i < sk_X509_num(chain); i++) {
3853             if (!tls1_check_sig_alg(c, sk_X509_value(chain, i), default_nid)) {
3854                 if (check_flags) {
3855                     rv &= ~CERT_PKEY_CA_SIGNATURE;
3856                     break;
3857                 } else
3858                     goto end;
3859             }
3860         }
3861     }
3862     /* Else not TLS 1.2, so mark EE and CA signing algorithms OK */
3863     else if (check_flags)
3864         rv |= CERT_PKEY_EE_SIGNATURE | CERT_PKEY_CA_SIGNATURE;
3865  skip_sigs:
3866     /* Check cert parameters are consistent */
3867     if (tls1_check_cert_param(s, x, check_flags ? 1 : 2))
3868         rv |= CERT_PKEY_EE_PARAM;
3869     else if (!check_flags)
3870         goto end;
3871     if (!s->server)
3872         rv |= CERT_PKEY_CA_PARAM;
3873     /* In strict mode check rest of chain too */
3874     else if (strict_mode) {
3875         rv |= CERT_PKEY_CA_PARAM;
3876         for (i = 0; i < sk_X509_num(chain); i++) {
3877             X509 *ca = sk_X509_value(chain, i);
3878             if (!tls1_check_cert_param(s, ca, 0)) {
3879                 if (check_flags) {
3880                     rv &= ~CERT_PKEY_CA_PARAM;
3881                     break;
3882                 } else
3883                     goto end;
3884             }
3885         }
3886     }
3887     if (!s->server && strict_mode) {
3888         STACK_OF(X509_NAME) *ca_dn;
3889         int check_type = 0;
3890         switch (EVP_PKEY_id(pk)) {
3891         case EVP_PKEY_RSA:
3892             check_type = TLS_CT_RSA_SIGN;
3893             break;
3894         case EVP_PKEY_DSA:
3895             check_type = TLS_CT_DSS_SIGN;
3896             break;
3897         case EVP_PKEY_EC:
3898             check_type = TLS_CT_ECDSA_SIGN;
3899             break;
3900         }
3901         if (check_type) {
3902             const unsigned char *ctypes;
3903             int ctypelen;
3904             if (c->ctypes) {
3905                 ctypes = c->ctypes;
3906                 ctypelen = (int)c->ctype_num;
3907             } else {
3908                 ctypes = (unsigned char *)s->s3->tmp.ctype;
3909                 ctypelen = s->s3->tmp.ctype_num;
3910             }
3911             for (i = 0; i < ctypelen; i++) {
3912                 if (ctypes[i] == check_type) {
3913                     rv |= CERT_PKEY_CERT_TYPE;
3914                     break;
3915                 }
3916             }
3917             if (!(rv & CERT_PKEY_CERT_TYPE) && !check_flags)
3918                 goto end;
3919         } else
3920             rv |= CERT_PKEY_CERT_TYPE;
3921
3922         ca_dn = s->s3->tmp.ca_names;
3923
3924         if (!sk_X509_NAME_num(ca_dn))
3925             rv |= CERT_PKEY_ISSUER_NAME;
3926
3927         if (!(rv & CERT_PKEY_ISSUER_NAME)) {
3928             if (ssl_check_ca_name(ca_dn, x))
3929                 rv |= CERT_PKEY_ISSUER_NAME;
3930         }
3931         if (!(rv & CERT_PKEY_ISSUER_NAME)) {
3932             for (i = 0; i < sk_X509_num(chain); i++) {
3933                 X509 *xtmp = sk_X509_value(chain, i);
3934                 if (ssl_check_ca_name(ca_dn, xtmp)) {
3935                     rv |= CERT_PKEY_ISSUER_NAME;
3936                     break;
3937                 }
3938             }
3939         }
3940         if (!check_flags && !(rv & CERT_PKEY_ISSUER_NAME))
3941             goto end;
3942     } else
3943         rv |= CERT_PKEY_ISSUER_NAME | CERT_PKEY_CERT_TYPE;
3944
3945     if (!check_flags || (rv & check_flags) == check_flags)
3946         rv |= CERT_PKEY_VALID;
3947
3948  end:
3949
3950     if (TLS1_get_version(s) >= TLS1_2_VERSION) {
3951         if (*pvalid & CERT_PKEY_EXPLICIT_SIGN)
3952             rv |= CERT_PKEY_EXPLICIT_SIGN | CERT_PKEY_SIGN;
3953         else if (s->s3->tmp.md[idx] != NULL)
3954             rv |= CERT_PKEY_SIGN;
3955     } else
3956         rv |= CERT_PKEY_SIGN | CERT_PKEY_EXPLICIT_SIGN;
3957
3958     /*
3959      * When checking a CERT_PKEY structure all flags are irrelevant if the
3960      * chain is invalid.
3961      */
3962     if (!check_flags) {
3963         if (rv & CERT_PKEY_VALID)
3964             *pvalid = rv;
3965         else {
3966             /* Preserve explicit sign flag, clear rest */
3967             *pvalid &= CERT_PKEY_EXPLICIT_SIGN;
3968             return 0;
3969         }
3970     }
3971     return rv;
3972 }
3973
3974 /* Set validity of certificates in an SSL structure */
3975 void tls1_set_cert_validity(SSL *s)
3976 {
3977     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_RSA_ENC);
3978     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_RSA_SIGN);
3979     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_DSA_SIGN);
3980     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_ECC);
3981     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST01);
3982     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST12_256);
3983     tls1_check_chain(s, NULL, NULL, NULL, SSL_PKEY_GOST12_512);
3984 }
3985
3986 /* User level utiity function to check a chain is suitable */
3987 int SSL_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain)
3988 {
3989     return tls1_check_chain(s, x, pk, chain, -1);
3990 }
3991
3992 #ifndef OPENSSL_NO_DH
3993 DH *ssl_get_auto_dh(SSL *s)
3994 {
3995     int dh_secbits = 80;
3996     if (s->cert->dh_tmp_auto == 2)
3997         return DH_get_1024_160();
3998     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aPSK)) {
3999         if (s->s3->tmp.new_cipher->strength_bits == 256)
4000             dh_secbits = 128;
4001         else
4002             dh_secbits = 80;
4003     } else {
4004         CERT_PKEY *cpk = ssl_get_server_send_pkey(s);
4005         dh_secbits = EVP_PKEY_security_bits(cpk->privatekey);
4006     }
4007
4008     if (dh_secbits >= 128) {
4009         DH *dhp = DH_new();
4010         BIGNUM *p, *g;
4011         if (dhp == NULL)
4012             return NULL;
4013         g = BN_new();
4014         if (g != NULL)
4015             BN_set_word(g, 2);
4016         if (dh_secbits >= 192)
4017             p = BN_get_rfc3526_prime_8192(NULL);
4018         else
4019             p = BN_get_rfc3526_prime_3072(NULL);
4020         if (p == NULL || g == NULL || !DH_set0_pqg(dhp, p, NULL, g)) {
4021             DH_free(dhp);
4022             BN_free(p);
4023             BN_free(g);
4024             return NULL;
4025         }
4026         return dhp;
4027     }
4028     if (dh_secbits >= 112)
4029         return DH_get_2048_224();
4030     return DH_get_1024_160();
4031 }
4032 #endif
4033
4034 static int ssl_security_cert_key(SSL *s, SSL_CTX *ctx, X509 *x, int op)
4035 {
4036     int secbits = -1;
4037     EVP_PKEY *pkey = X509_get0_pubkey(x);
4038     if (pkey) {
4039         /*
4040          * If no parameters this will return -1 and fail using the default
4041          * security callback for any non-zero security level. This will
4042          * reject keys which omit parameters but this only affects DSA and
4043          * omission of parameters is never (?) done in practice.
4044          */
4045         secbits = EVP_PKEY_security_bits(pkey);
4046     }
4047     if (s)
4048         return ssl_security(s, op, secbits, 0, x);
4049     else
4050         return ssl_ctx_security(ctx, op, secbits, 0, x);
4051 }
4052
4053 static int ssl_security_cert_sig(SSL *s, SSL_CTX *ctx, X509 *x, int op)
4054 {
4055     /* Lookup signature algorithm digest */
4056     int secbits = -1, md_nid = NID_undef, sig_nid;
4057     /* Don't check signature if self signed */
4058     if ((X509_get_extension_flags(x) & EXFLAG_SS) != 0)
4059         return 1;
4060     sig_nid = X509_get_signature_nid(x);
4061     if (sig_nid && OBJ_find_sigid_algs(sig_nid, &md_nid, NULL)) {
4062         const EVP_MD *md;
4063         if (md_nid && (md = EVP_get_digestbynid(md_nid)))
4064             secbits = EVP_MD_size(md) * 4;
4065     }
4066     if (s)
4067         return ssl_security(s, op, secbits, md_nid, x);
4068     else
4069         return ssl_ctx_security(ctx, op, secbits, md_nid, x);
4070 }
4071
4072 int ssl_security_cert(SSL *s, SSL_CTX *ctx, X509 *x, int vfy, int is_ee)
4073 {
4074     if (vfy)
4075         vfy = SSL_SECOP_PEER;
4076     if (is_ee) {
4077         if (!ssl_security_cert_key(s, ctx, x, SSL_SECOP_EE_KEY | vfy))
4078             return SSL_R_EE_KEY_TOO_SMALL;
4079     } else {
4080         if (!ssl_security_cert_key(s, ctx, x, SSL_SECOP_CA_KEY | vfy))
4081             return SSL_R_CA_KEY_TOO_SMALL;
4082     }
4083     if (!ssl_security_cert_sig(s, ctx, x, SSL_SECOP_CA_MD | vfy))
4084         return SSL_R_CA_MD_TOO_WEAK;
4085     return 1;
4086 }
4087
4088 /*
4089  * Check security of a chain, if sk includes the end entity certificate then
4090  * x is NULL. If vfy is 1 then we are verifying a peer chain and not sending
4091  * one to the peer. Return values: 1 if ok otherwise error code to use
4092  */
4093
4094 int ssl_security_cert_chain(SSL *s, STACK_OF(X509) *sk, X509 *x, int vfy)
4095 {
4096     int rv, start_idx, i;
4097     if (x == NULL) {
4098         x = sk_X509_value(sk, 0);
4099         start_idx = 1;
4100     } else
4101         start_idx = 0;
4102
4103     rv = ssl_security_cert(s, NULL, x, vfy, 1);
4104     if (rv != 1)
4105         return rv;
4106
4107     for (i = start_idx; i < sk_X509_num(sk); i++) {
4108         x = sk_X509_value(sk, i);
4109         rv = ssl_security_cert(s, NULL, x, vfy, 0);
4110         if (rv != 1)
4111             return rv;
4112     }
4113     return 1;
4114 }