Update a comment
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, size_t ticklen,
24                               const unsigned char *sess_id, size_t sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
37     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
38     tls1_alert_code,
39     tls1_export_keying_material,
40     0,
41     ssl3_set_handshake_header,
42     tls_close_construct_packet,
43     ssl3_handshake_write
44 };
45
46 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
47     tls1_enc,
48     tls1_mac,
49     tls1_setup_key_block,
50     tls1_generate_master_secret,
51     tls1_change_cipher_state,
52     tls1_final_finish_mac,
53     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
54     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
55     tls1_alert_code,
56     tls1_export_keying_material,
57     SSL_ENC_FLAG_EXPLICIT_IV,
58     ssl3_set_handshake_header,
59     tls_close_construct_packet,
60     ssl3_handshake_write
61 };
62
63 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
64     tls1_enc,
65     tls1_mac,
66     tls1_setup_key_block,
67     tls1_generate_master_secret,
68     tls1_change_cipher_state,
69     tls1_final_finish_mac,
70     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
71     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
72     tls1_alert_code,
73     tls1_export_keying_material,
74     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
75         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
76     ssl3_set_handshake_header,
77     tls_close_construct_packet,
78     ssl3_handshake_write
79 };
80
81 SSL3_ENC_METHOD const TLSv1_3_enc_data = {
82     tls1_enc,
83     tls1_mac,
84     tls1_setup_key_block,
85     tls1_generate_master_secret,
86     tls1_change_cipher_state,
87     tls1_final_finish_mac,
88     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
89     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
90     tls1_alert_code,
91     tls1_export_keying_material,
92     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
93         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
94     ssl3_set_handshake_header,
95     tls_close_construct_packet,
96     ssl3_handshake_write
97 };
98
99 long tls1_default_timeout(void)
100 {
101     /*
102      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
103      * http, the cache would over fill
104      */
105     return (60 * 60 * 2);
106 }
107
108 int tls1_new(SSL *s)
109 {
110     if (!ssl3_new(s))
111         return (0);
112     s->method->ssl_clear(s);
113     return (1);
114 }
115
116 void tls1_free(SSL *s)
117 {
118     OPENSSL_free(s->tlsext_session_ticket);
119     ssl3_free(s);
120 }
121
122 void tls1_clear(SSL *s)
123 {
124     ssl3_clear(s);
125     if (s->method->version == TLS_ANY_VERSION)
126         s->version = TLS_MAX_VERSION;
127     else
128         s->version = s->method->version;
129 }
130
131 #ifndef OPENSSL_NO_EC
132
133 typedef struct {
134     int nid;                    /* Curve NID */
135     int secbits;                /* Bits of security (from SP800-57) */
136     unsigned int flags;         /* Flags: currently just field type */
137 } tls_curve_info;
138
139 /*
140  * Table of curve information.
141  * Do not delete entries or reorder this array! It is used as a lookup
142  * table: the index of each entry is one less than the TLS curve id.
143  */
144 static const tls_curve_info nid_list[] = {
145     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
146     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
147     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
148     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
149     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
150     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
151     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
152     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
153     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
154     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
155     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
156     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
157     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
158     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
159     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
160     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
161     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
162     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
163     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
164     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
165     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
166     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
167     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
168     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
169     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
170     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
171     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
172     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
173     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
174 };
175
176 static const unsigned char ecformats_default[] = {
177     TLSEXT_ECPOINTFORMAT_uncompressed,
178     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
179     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
180 };
181
182 /* The default curves */
183 static const unsigned char eccurves_default[] = {
184     0, 29,                      /* X25519 (29) */
185     0, 23,                      /* secp256r1 (23) */
186     0, 25,                      /* secp521r1 (25) */
187     0, 24,                      /* secp384r1 (24) */
188 };
189
190 static const unsigned char eccurves_all[] = {
191     0, 29,                      /* X25519 (29) */
192     0, 23,                      /* secp256r1 (23) */
193     0, 25,                      /* secp521r1 (25) */
194     0, 24,                      /* secp384r1 (24) */
195     0, 26,                      /* brainpoolP256r1 (26) */
196     0, 27,                      /* brainpoolP384r1 (27) */
197     0, 28,                      /* brainpool512r1 (28) */
198
199     /*
200      * Remaining curves disabled by default but still permitted if set
201      * via an explicit callback or parameters.
202      */
203     0, 22,                      /* secp256k1 (22) */
204     0, 14,                      /* sect571r1 (14) */
205     0, 13,                      /* sect571k1 (13) */
206     0, 11,                      /* sect409k1 (11) */
207     0, 12,                      /* sect409r1 (12) */
208     0, 9,                       /* sect283k1 (9) */
209     0, 10,                      /* sect283r1 (10) */
210     0, 20,                      /* secp224k1 (20) */
211     0, 21,                      /* secp224r1 (21) */
212     0, 18,                      /* secp192k1 (18) */
213     0, 19,                      /* secp192r1 (19) */
214     0, 15,                      /* secp160k1 (15) */
215     0, 16,                      /* secp160r1 (16) */
216     0, 17,                      /* secp160r2 (17) */
217     0, 8,                       /* sect239k1 (8) */
218     0, 6,                       /* sect233k1 (6) */
219     0, 7,                       /* sect233r1 (7) */
220     0, 4,                       /* sect193r1 (4) */
221     0, 5,                       /* sect193r2 (5) */
222     0, 1,                       /* sect163k1 (1) */
223     0, 2,                       /* sect163r1 (2) */
224     0, 3,                       /* sect163r2 (3) */
225 };
226
227 static const unsigned char suiteb_curves[] = {
228     0, TLSEXT_curve_P_256,
229     0, TLSEXT_curve_P_384
230 };
231
232 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
233 {
234     const tls_curve_info *cinfo;
235     /* ECC curves from RFC 4492 and RFC 7027 */
236     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
237         return 0;
238     cinfo = nid_list + curve_id - 1;
239     if (pflags)
240         *pflags = cinfo->flags;
241     return cinfo->nid;
242 }
243
244 int tls1_ec_nid2curve_id(int nid)
245 {
246     size_t i;
247     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
248         if (nid_list[i].nid == nid)
249             return (int)(i + 1);
250     }
251     return 0;
252 }
253
254 /*
255  * Get curves list, if "sess" is set return client curves otherwise
256  * preferred list.
257  * Sets |num_curves| to the number of curves in the list, i.e.,
258  * the length of |pcurves| is 2 * num_curves.
259  * Returns 1 on success and 0 if the client curves list has invalid format.
260  * The latter indicates an internal error: we should not be accepting such
261  * lists in the first place.
262  * TODO(emilia): we should really be storing the curves list in explicitly
263  * parsed form instead. (However, this would affect binary compatibility
264  * so cannot happen in the 1.0.x series.)
265  */
266 static int tls1_get_curvelist(SSL *s, int sess,
267                               const unsigned char **pcurves, size_t *num_curves)
268 {
269     size_t pcurveslen = 0;
270     if (sess) {
271         *pcurves = s->session->tlsext_ellipticcurvelist;
272         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
273     } else {
274         /* For Suite B mode only include P-256, P-384 */
275         switch (tls1_suiteb(s)) {
276         case SSL_CERT_FLAG_SUITEB_128_LOS:
277             *pcurves = suiteb_curves;
278             pcurveslen = sizeof(suiteb_curves);
279             break;
280
281         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
282             *pcurves = suiteb_curves;
283             pcurveslen = 2;
284             break;
285
286         case SSL_CERT_FLAG_SUITEB_192_LOS:
287             *pcurves = suiteb_curves + 2;
288             pcurveslen = 2;
289             break;
290         default:
291             *pcurves = s->tlsext_ellipticcurvelist;
292             pcurveslen = s->tlsext_ellipticcurvelist_length;
293         }
294         if (!*pcurves) {
295             *pcurves = eccurves_default;
296             pcurveslen = sizeof(eccurves_default);
297         }
298     }
299
300     /* We do not allow odd length arrays to enter the system. */
301     if (pcurveslen & 1) {
302         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
303         *num_curves = 0;
304         return 0;
305     } else {
306         *num_curves = pcurveslen / 2;
307         return 1;
308     }
309 }
310
311 /* See if curve is allowed by security callback */
312 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
313 {
314     const tls_curve_info *cinfo;
315     if (curve[0])
316         return 1;
317     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
318         return 0;
319     cinfo = &nid_list[curve[1] - 1];
320 # ifdef OPENSSL_NO_EC2M
321     if (cinfo->flags & TLS_CURVE_CHAR2)
322         return 0;
323 # endif
324     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
325 }
326
327 /* Check a curve is one of our preferences */
328 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
329 {
330     const unsigned char *curves;
331     size_t num_curves, i;
332     unsigned int suiteb_flags = tls1_suiteb(s);
333     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
334         return 0;
335     /* Check curve matches Suite B preferences */
336     if (suiteb_flags) {
337         unsigned long cid = s->s3->tmp.new_cipher->id;
338         if (p[1])
339             return 0;
340         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
341             if (p[2] != TLSEXT_curve_P_256)
342                 return 0;
343         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
344             if (p[2] != TLSEXT_curve_P_384)
345                 return 0;
346         } else                  /* Should never happen */
347             return 0;
348     }
349     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
350         return 0;
351     for (i = 0; i < num_curves; i++, curves += 2) {
352         if (p[1] == curves[0] && p[2] == curves[1])
353             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
354     }
355     return 0;
356 }
357
358 /*-
359  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
360  * if there is no match.
361  * For nmatch == -1, return number of matches
362  * For nmatch == -2, return the NID of the curve to use for
363  * an EC tmp key, or NID_undef if there is no match.
364  */
365 int tls1_shared_curve(SSL *s, int nmatch)
366 {
367     const unsigned char *pref, *supp;
368     size_t num_pref, num_supp, i, j;
369     int k;
370     /* Can't do anything on client side */
371     if (s->server == 0)
372         return -1;
373     if (nmatch == -2) {
374         if (tls1_suiteb(s)) {
375             /*
376              * For Suite B ciphersuite determines curve: we already know
377              * these are acceptable due to previous checks.
378              */
379             unsigned long cid = s->s3->tmp.new_cipher->id;
380             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
381                 return NID_X9_62_prime256v1; /* P-256 */
382             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
383                 return NID_secp384r1; /* P-384 */
384             /* Should never happen */
385             return NID_undef;
386         }
387         /* If not Suite B just return first preference shared curve */
388         nmatch = 0;
389     }
390     /*
391      * Avoid truncation. tls1_get_curvelist takes an int
392      * but s->options is a long...
393      */
394     if (!tls1_get_curvelist
395         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
396          &num_supp))
397         /* In practice, NID_undef == 0 but let's be precise. */
398         return nmatch == -1 ? 0 : NID_undef;
399     if (!tls1_get_curvelist
400         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
401         return nmatch == -1 ? 0 : NID_undef;
402
403     /*
404      * If the client didn't send the elliptic_curves extension all of them
405      * are allowed.
406      */
407     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
408         supp = eccurves_all;
409         num_supp = sizeof(eccurves_all) / 2;
410     } else if (num_pref == 0 &&
411                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
412         pref = eccurves_all;
413         num_pref = sizeof(eccurves_all) / 2;
414     }
415
416     k = 0;
417     for (i = 0; i < num_pref; i++, pref += 2) {
418         const unsigned char *tsupp = supp;
419         for (j = 0; j < num_supp; j++, tsupp += 2) {
420             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
421                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
422                     continue;
423                 if (nmatch == k) {
424                     int id = (pref[0] << 8) | pref[1];
425                     return tls1_ec_curve_id2nid(id, NULL);
426                 }
427                 k++;
428             }
429         }
430     }
431     if (nmatch == -1)
432         return k;
433     /* Out of range (nmatch > k). */
434     return NID_undef;
435 }
436
437 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
438                     int *curves, size_t ncurves)
439 {
440     unsigned char *clist, *p;
441     size_t i;
442     /*
443      * Bitmap of curves included to detect duplicates: only works while curve
444      * ids < 32
445      */
446     unsigned long dup_list = 0;
447     clist = OPENSSL_malloc(ncurves * 2);
448     if (clist == NULL)
449         return 0;
450     for (i = 0, p = clist; i < ncurves; i++) {
451         unsigned long idmask;
452         int id;
453         id = tls1_ec_nid2curve_id(curves[i]);
454         idmask = 1L << id;
455         if (!id || (dup_list & idmask)) {
456             OPENSSL_free(clist);
457             return 0;
458         }
459         dup_list |= idmask;
460         s2n(id, p);
461     }
462     OPENSSL_free(*pext);
463     *pext = clist;
464     *pextlen = ncurves * 2;
465     return 1;
466 }
467
468 # define MAX_CURVELIST   28
469
470 typedef struct {
471     size_t nidcnt;
472     int nid_arr[MAX_CURVELIST];
473 } nid_cb_st;
474
475 static int nid_cb(const char *elem, int len, void *arg)
476 {
477     nid_cb_st *narg = arg;
478     size_t i;
479     int nid;
480     char etmp[20];
481     if (elem == NULL)
482         return 0;
483     if (narg->nidcnt == MAX_CURVELIST)
484         return 0;
485     if (len > (int)(sizeof(etmp) - 1))
486         return 0;
487     memcpy(etmp, elem, len);
488     etmp[len] = 0;
489     nid = EC_curve_nist2nid(etmp);
490     if (nid == NID_undef)
491         nid = OBJ_sn2nid(etmp);
492     if (nid == NID_undef)
493         nid = OBJ_ln2nid(etmp);
494     if (nid == NID_undef)
495         return 0;
496     for (i = 0; i < narg->nidcnt; i++)
497         if (narg->nid_arr[i] == nid)
498             return 0;
499     narg->nid_arr[narg->nidcnt++] = nid;
500     return 1;
501 }
502
503 /* Set curves based on a colon separate list */
504 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
505 {
506     nid_cb_st ncb;
507     ncb.nidcnt = 0;
508     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
509         return 0;
510     if (pext == NULL)
511         return 1;
512     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
513 }
514
515 /* For an EC key set TLS id and required compression based on parameters */
516 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
517                           EC_KEY *ec)
518 {
519     int id;
520     const EC_GROUP *grp;
521     if (!ec)
522         return 0;
523     /* Determine if it is a prime field */
524     grp = EC_KEY_get0_group(ec);
525     if (!grp)
526         return 0;
527     /* Determine curve ID */
528     id = EC_GROUP_get_curve_name(grp);
529     id = tls1_ec_nid2curve_id(id);
530     /* If no id return error: we don't support arbitrary explicit curves */
531     if (id == 0)
532         return 0;
533     curve_id[0] = 0;
534     curve_id[1] = (unsigned char)id;
535     if (comp_id) {
536         if (EC_KEY_get0_public_key(ec) == NULL)
537             return 0;
538         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
539             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
540         } else {
541             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
542                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
543             else
544                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
545         }
546     }
547     return 1;
548 }
549
550 /* Check an EC key is compatible with extensions */
551 static int tls1_check_ec_key(SSL *s,
552                              unsigned char *curve_id, unsigned char *comp_id)
553 {
554     const unsigned char *pformats, *pcurves;
555     size_t num_formats, num_curves, i;
556     int j;
557     /*
558      * If point formats extension present check it, otherwise everything is
559      * supported (see RFC4492).
560      */
561     if (comp_id && s->session->tlsext_ecpointformatlist) {
562         pformats = s->session->tlsext_ecpointformatlist;
563         num_formats = s->session->tlsext_ecpointformatlist_length;
564         for (i = 0; i < num_formats; i++, pformats++) {
565             if (*comp_id == *pformats)
566                 break;
567         }
568         if (i == num_formats)
569             return 0;
570     }
571     if (!curve_id)
572         return 1;
573     /* Check curve is consistent with client and server preferences */
574     for (j = 0; j <= 1; j++) {
575         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
576             return 0;
577         if (j == 1 && num_curves == 0) {
578             /*
579              * If we've not received any curves then skip this check.
580              * RFC 4492 does not require the supported elliptic curves extension
581              * so if it is not sent we can just choose any curve.
582              * It is invalid to send an empty list in the elliptic curves
583              * extension, so num_curves == 0 always means no extension.
584              */
585             break;
586         }
587         for (i = 0; i < num_curves; i++, pcurves += 2) {
588             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
589                 break;
590         }
591         if (i == num_curves)
592             return 0;
593         /* For clients can only check sent curve list */
594         if (!s->server)
595             break;
596     }
597     return 1;
598 }
599
600 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
601                                 size_t *num_formats)
602 {
603     /*
604      * If we have a custom point format list use it otherwise use default
605      */
606     if (s->tlsext_ecpointformatlist) {
607         *pformats = s->tlsext_ecpointformatlist;
608         *num_formats = s->tlsext_ecpointformatlist_length;
609     } else {
610         *pformats = ecformats_default;
611         /* For Suite B we don't support char2 fields */
612         if (tls1_suiteb(s))
613             *num_formats = sizeof(ecformats_default) - 1;
614         else
615             *num_formats = sizeof(ecformats_default);
616     }
617 }
618
619 /*
620  * Check cert parameters compatible with extensions: currently just checks EC
621  * certificates have compatible curves and compression.
622  */
623 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
624 {
625     unsigned char comp_id, curve_id[2];
626     EVP_PKEY *pkey;
627     int rv;
628     pkey = X509_get0_pubkey(x);
629     if (!pkey)
630         return 0;
631     /* If not EC nothing to do */
632     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
633         return 1;
634     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
635     if (!rv)
636         return 0;
637     /*
638      * Can't check curve_id for client certs as we don't have a supported
639      * curves extension.
640      */
641     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
642     if (!rv)
643         return 0;
644     /*
645      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
646      * SHA384+P-384, adjust digest if necessary.
647      */
648     if (set_ee_md && tls1_suiteb(s)) {
649         int check_md;
650         size_t i;
651         CERT *c = s->cert;
652         if (curve_id[0])
653             return 0;
654         /* Check to see we have necessary signing algorithm */
655         if (curve_id[1] == TLSEXT_curve_P_256)
656             check_md = NID_ecdsa_with_SHA256;
657         else if (curve_id[1] == TLSEXT_curve_P_384)
658             check_md = NID_ecdsa_with_SHA384;
659         else
660             return 0;           /* Should never happen */
661         for (i = 0; i < c->shared_sigalgslen; i++)
662             if (check_md == c->shared_sigalgs[i].signandhash_nid)
663                 break;
664         if (i == c->shared_sigalgslen)
665             return 0;
666         if (set_ee_md == 2) {
667             if (check_md == NID_ecdsa_with_SHA256)
668                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
669             else
670                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
671         }
672     }
673     return rv;
674 }
675
676 # ifndef OPENSSL_NO_EC
677 /*
678  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
679  * @s: SSL connection
680  * @cid: Cipher ID we're considering using
681  *
682  * Checks that the kECDHE cipher suite we're considering using
683  * is compatible with the client extensions.
684  *
685  * Returns 0 when the cipher can't be used or 1 when it can.
686  */
687 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
688 {
689     /*
690      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
691      * curves permitted.
692      */
693     if (tls1_suiteb(s)) {
694         unsigned char curve_id[2];
695         /* Curve to check determined by ciphersuite */
696         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
697             curve_id[1] = TLSEXT_curve_P_256;
698         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
699             curve_id[1] = TLSEXT_curve_P_384;
700         else
701             return 0;
702         curve_id[0] = 0;
703         /* Check this curve is acceptable */
704         if (!tls1_check_ec_key(s, curve_id, NULL))
705             return 0;
706         return 1;
707     }
708     /* Need a shared curve */
709     if (tls1_shared_curve(s, 0))
710         return 1;
711     return 0;
712 }
713 # endif                         /* OPENSSL_NO_EC */
714
715 #else
716
717 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
718 {
719     return 1;
720 }
721
722 #endif                          /* OPENSSL_NO_EC */
723
724 /*
725  * List of supported signature algorithms and hashes. Should make this
726  * customisable at some point, for now include everything we support.
727  */
728
729 #ifdef OPENSSL_NO_RSA
730 # define tlsext_sigalg_rsa(md)  /* */
731 #else
732 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
733 #endif
734
735 #ifdef OPENSSL_NO_DSA
736 # define tlsext_sigalg_dsa(md)  /* */
737 #else
738 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
739 #endif
740
741 #ifdef OPENSSL_NO_EC
742 # define tlsext_sigalg_ecdsa(md)/* */
743 #else
744 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
745 #endif
746
747 #define tlsext_sigalg(md) \
748                 tlsext_sigalg_rsa(md) \
749                 tlsext_sigalg_dsa(md) \
750                 tlsext_sigalg_ecdsa(md)
751
752 static const unsigned char tls12_sigalgs[] = {
753     tlsext_sigalg(TLSEXT_hash_sha512)
754         tlsext_sigalg(TLSEXT_hash_sha384)
755         tlsext_sigalg(TLSEXT_hash_sha256)
756         tlsext_sigalg(TLSEXT_hash_sha224)
757         tlsext_sigalg(TLSEXT_hash_sha1)
758 #ifndef OPENSSL_NO_GOST
759         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
760     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
761     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
762 #endif
763 };
764
765 #ifndef OPENSSL_NO_EC
766 static const unsigned char suiteb_sigalgs[] = {
767     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
768         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
769 };
770 #endif
771 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
772 {
773     /*
774      * If Suite B mode use Suite B sigalgs only, ignore any other
775      * preferences.
776      */
777 #ifndef OPENSSL_NO_EC
778     switch (tls1_suiteb(s)) {
779     case SSL_CERT_FLAG_SUITEB_128_LOS:
780         *psigs = suiteb_sigalgs;
781         return sizeof(suiteb_sigalgs);
782
783     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
784         *psigs = suiteb_sigalgs;
785         return 2;
786
787     case SSL_CERT_FLAG_SUITEB_192_LOS:
788         *psigs = suiteb_sigalgs + 2;
789         return 2;
790     }
791 #endif
792     /* If server use client authentication sigalgs if not NULL */
793     if (s->server && s->cert->client_sigalgs) {
794         *psigs = s->cert->client_sigalgs;
795         return s->cert->client_sigalgslen;
796     } else if (s->cert->conf_sigalgs) {
797         *psigs = s->cert->conf_sigalgs;
798         return s->cert->conf_sigalgslen;
799     } else {
800         *psigs = tls12_sigalgs;
801         return sizeof(tls12_sigalgs);
802     }
803 }
804
805 /*
806  * Check signature algorithm is consistent with sent supported signature
807  * algorithms and if so return relevant digest.
808  */
809 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
810                             const unsigned char *sig, EVP_PKEY *pkey)
811 {
812     const unsigned char *sent_sigs;
813     size_t sent_sigslen, i;
814     int sigalg = tls12_get_sigid(pkey);
815     /* Should never happen */
816     if (sigalg == -1)
817         return -1;
818     /* Check key type is consistent with signature */
819     if (sigalg != (int)sig[1]) {
820         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
821         return 0;
822     }
823 #ifndef OPENSSL_NO_EC
824     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
825         unsigned char curve_id[2], comp_id;
826         /* Check compression and curve matches extensions */
827         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
828             return 0;
829         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
830             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
831             return 0;
832         }
833         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
834         if (tls1_suiteb(s)) {
835             if (curve_id[0])
836                 return 0;
837             if (curve_id[1] == TLSEXT_curve_P_256) {
838                 if (sig[0] != TLSEXT_hash_sha256) {
839                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
840                            SSL_R_ILLEGAL_SUITEB_DIGEST);
841                     return 0;
842                 }
843             } else if (curve_id[1] == TLSEXT_curve_P_384) {
844                 if (sig[0] != TLSEXT_hash_sha384) {
845                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
846                            SSL_R_ILLEGAL_SUITEB_DIGEST);
847                     return 0;
848                 }
849             } else
850                 return 0;
851         }
852     } else if (tls1_suiteb(s))
853         return 0;
854 #endif
855
856     /* Check signature matches a type we sent */
857     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
858     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
859         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
860             break;
861     }
862     /* Allow fallback to SHA1 if not strict mode */
863     if (i == sent_sigslen
864         && (sig[0] != TLSEXT_hash_sha1
865             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
866         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
867         return 0;
868     }
869     *pmd = tls12_get_hash(sig[0]);
870     if (*pmd == NULL) {
871         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
872         return 0;
873     }
874     /* Make sure security callback allows algorithm */
875     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
876                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
877         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
878         return 0;
879     }
880     /*
881      * Store the digest used so applications can retrieve it if they wish.
882      */
883     s->s3->tmp.peer_md = *pmd;
884     return 1;
885 }
886
887 /*
888  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
889  * supported, doesn't appear in supported signature algorithms, isn't supported
890  * by the enabled protocol versions or by the security level.
891  *
892  * This function should only be used for checking which ciphers are supported
893  * by the client.
894  *
895  * Call ssl_cipher_disabled() to check that it's enabled or not.
896  */
897 void ssl_set_client_disabled(SSL *s)
898 {
899     s->s3->tmp.mask_a = 0;
900     s->s3->tmp.mask_k = 0;
901     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
902     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
903 #ifndef OPENSSL_NO_PSK
904     /* with PSK there must be client callback set */
905     if (!s->psk_client_callback) {
906         s->s3->tmp.mask_a |= SSL_aPSK;
907         s->s3->tmp.mask_k |= SSL_PSK;
908     }
909 #endif                          /* OPENSSL_NO_PSK */
910 #ifndef OPENSSL_NO_SRP
911     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
912         s->s3->tmp.mask_a |= SSL_aSRP;
913         s->s3->tmp.mask_k |= SSL_kSRP;
914     }
915 #endif
916 }
917
918 /*
919  * ssl_cipher_disabled - check that a cipher is disabled or not
920  * @s: SSL connection that you want to use the cipher on
921  * @c: cipher to check
922  * @op: Security check that you want to do
923  *
924  * Returns 1 when it's disabled, 0 when enabled.
925  */
926 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
927 {
928     if (c->algorithm_mkey & s->s3->tmp.mask_k
929         || c->algorithm_auth & s->s3->tmp.mask_a)
930         return 1;
931     if (s->s3->tmp.max_ver == 0)
932         return 1;
933     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
934                             || (c->max_tls < s->s3->tmp.min_ver)))
935         return 1;
936     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
937                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
938         return 1;
939
940     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
941 }
942
943 static int tls_use_ticket(SSL *s)
944 {
945     if (s->options & SSL_OP_NO_TICKET)
946         return 0;
947     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
948 }
949
950 static int compare_uint(const void *p1, const void *p2)
951 {
952     unsigned int u1 = *((const unsigned int *)p1);
953     unsigned int u2 = *((const unsigned int *)p2);
954     if (u1 < u2)
955         return -1;
956     else if (u1 > u2)
957         return 1;
958     else
959         return 0;
960 }
961
962 /*
963  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
964  * more than one extension of the same type in a ClientHello or ServerHello.
965  * This function does an initial scan over the extensions block to filter those
966  * out. It returns 1 if all extensions are unique, and 0 if the extensions
967  * contain duplicates, could not be successfully parsed, or an internal error
968  * occurred.
969  */
970 static int tls1_check_duplicate_extensions(const PACKET *packet)
971 {
972     PACKET extensions = *packet;
973     size_t num_extensions = 0, i = 0;
974     unsigned int *extension_types = NULL;
975     int ret = 0;
976
977     /* First pass: count the extensions. */
978     while (PACKET_remaining(&extensions) > 0) {
979         unsigned int type;
980         PACKET extension;
981         if (!PACKET_get_net_2(&extensions, &type) ||
982             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
983             goto done;
984         }
985         num_extensions++;
986     }
987
988     if (num_extensions <= 1)
989         return 1;
990
991     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
992     if (extension_types == NULL) {
993         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
994         goto done;
995     }
996
997     /* Second pass: gather the extension types. */
998     extensions = *packet;
999     for (i = 0; i < num_extensions; i++) {
1000         PACKET extension;
1001         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
1002             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1003             /* This should not happen. */
1004             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1005             goto done;
1006         }
1007     }
1008
1009     if (PACKET_remaining(&extensions) != 0) {
1010         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1011         goto done;
1012     }
1013     /* Sort the extensions and make sure there are no duplicates. */
1014     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1015     for (i = 1; i < num_extensions; i++) {
1016         if (extension_types[i - 1] == extension_types[i])
1017             goto done;
1018     }
1019     ret = 1;
1020  done:
1021     OPENSSL_free(extension_types);
1022     return ret;
1023 }
1024
1025 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1026 {
1027 #ifndef OPENSSL_NO_EC
1028     /* See if we support any ECC ciphersuites */
1029     int using_ecc = 0;
1030     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1031         int i;
1032         unsigned long alg_k, alg_a;
1033         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1034
1035         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1036             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1037
1038             alg_k = c->algorithm_mkey;
1039             alg_a = c->algorithm_auth;
1040             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1041                 || (alg_a & SSL_aECDSA)) {
1042                 using_ecc = 1;
1043                 break;
1044             }
1045         }
1046     }
1047 #endif
1048
1049     /* Add RI if renegotiating */
1050     if (s->renegotiate) {
1051         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_renegotiate)
1052                 || !WPACKET_start_sub_packet_u16(pkt)
1053                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->previous_client_finished,
1054                                    s->s3->previous_client_finished_len)
1055                 || !WPACKET_close(pkt)) {
1056             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1057             return 0;
1058         }
1059     }
1060     /* Only add RI for SSLv3 */
1061     if (s->client_version == SSL3_VERSION)
1062         goto done;
1063
1064     if (s->tlsext_hostname != NULL) {
1065         /* Add TLS extension servername to the Client Hello message */
1066         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1067                    /* Sub-packet for server_name extension */
1068                 || !WPACKET_start_sub_packet_u16(pkt)
1069                    /* Sub-packet for servername list (always 1 hostname)*/
1070                 || !WPACKET_start_sub_packet_u16(pkt)
1071                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_NAMETYPE_host_name)
1072                 || !WPACKET_sub_memcpy_u16(pkt, s->tlsext_hostname,
1073                                            strlen(s->tlsext_hostname))
1074                 || !WPACKET_close(pkt)
1075                 || !WPACKET_close(pkt)) {
1076             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1077             return 0;
1078         }
1079     }
1080 #ifndef OPENSSL_NO_SRP
1081     /* Add SRP username if there is one */
1082     if (s->srp_ctx.login != NULL) {
1083         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_srp)
1084                    /* Sub-packet for SRP extension */
1085                 || !WPACKET_start_sub_packet_u16(pkt)
1086                 || !WPACKET_start_sub_packet_u8(pkt)
1087                    /* login must not be zero...internal error if so */
1088                 || !WPACKET_set_flags(pkt, WPACKET_FLAGS_NON_ZERO_LENGTH)
1089                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1090                                    strlen(s->srp_ctx.login))
1091                 || !WPACKET_close(pkt)
1092                 || !WPACKET_close(pkt)) {
1093             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1094             return 0;
1095         }
1096     }
1097 #endif
1098
1099 #ifndef OPENSSL_NO_EC
1100     if (using_ecc) {
1101         /*
1102          * Add TLS extension ECPointFormats to the ClientHello message
1103          */
1104         const unsigned char *pcurves, *pformats;
1105         size_t num_curves, num_formats;
1106         size_t i;
1107
1108         tls1_get_formatlist(s, &pformats, &num_formats);
1109
1110         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1111                    /* Sub-packet for formats extension */
1112                 || !WPACKET_start_sub_packet_u16(pkt)
1113                 || !WPACKET_sub_memcpy_u8(pkt, pformats, num_formats)
1114                 || !WPACKET_close(pkt)) {
1115             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1116             return 0;
1117         }
1118
1119         /*
1120          * Add TLS extension EllipticCurves to the ClientHello message
1121          */
1122         pcurves = s->tlsext_ellipticcurvelist;
1123         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1124             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1125             return 0;
1126         }
1127
1128         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_elliptic_curves)
1129                    /* Sub-packet for curves extension */
1130                 || !WPACKET_start_sub_packet_u16(pkt)
1131                 || !WPACKET_start_sub_packet_u16(pkt)) {
1132             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1133             return 0;
1134         }
1135         /* Copy curve ID if supported */
1136         for (i = 0; i < num_curves; i++, pcurves += 2) {
1137             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1138                 if (!WPACKET_put_bytes_u8(pkt, pcurves[0])
1139                     || !WPACKET_put_bytes_u8(pkt, pcurves[1])) {
1140                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1141                                ERR_R_INTERNAL_ERROR);
1142                         return 0;
1143                     }
1144             }
1145         }
1146         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1147             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1148             return 0;
1149         }
1150     }
1151 #endif                          /* OPENSSL_NO_EC */
1152
1153     if (tls_use_ticket(s)) {
1154         size_t ticklen;
1155         if (!s->new_session && s->session && s->session->tlsext_tick)
1156             ticklen = s->session->tlsext_ticklen;
1157         else if (s->session && s->tlsext_session_ticket &&
1158                  s->tlsext_session_ticket->data) {
1159             ticklen = s->tlsext_session_ticket->length;
1160             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1161             if (s->session->tlsext_tick == NULL) {
1162                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1163                 return 0;
1164             }
1165             memcpy(s->session->tlsext_tick,
1166                    s->tlsext_session_ticket->data, ticklen);
1167             s->session->tlsext_ticklen = ticklen;
1168         } else
1169             ticklen = 0;
1170         if (ticklen == 0 && s->tlsext_session_ticket &&
1171             s->tlsext_session_ticket->data == NULL)
1172             goto skip_ext;
1173
1174         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1175                 || !WPACKET_sub_memcpy_u16(pkt, s->session->tlsext_tick,
1176                                            ticklen)) {
1177             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1178             return 0;
1179         }
1180     }
1181  skip_ext:
1182
1183     if (SSL_CLIENT_USE_SIGALGS(s)) {
1184         size_t salglen;
1185         const unsigned char *salg;
1186
1187         salglen = tls12_get_psigalgs(s, &salg);
1188
1189         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signature_algorithms)
1190                    /* Sub-packet for sig-algs extension */
1191                 || !WPACKET_start_sub_packet_u16(pkt)
1192                    /* Sub-packet for the actual list */
1193                 || !WPACKET_start_sub_packet_u16(pkt)
1194                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1195                 || !WPACKET_close(pkt)
1196                 || !WPACKET_close(pkt)) {
1197             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1198             return 0;
1199         }
1200     }
1201 #ifndef OPENSSL_NO_OCSP
1202     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1203         int i;
1204
1205         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1206                    /* Sub-packet for status request extension */
1207                 || !WPACKET_start_sub_packet_u16(pkt)
1208                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_STATUSTYPE_ocsp)
1209                    /* Sub-packet for the ids */
1210                 || !WPACKET_start_sub_packet_u16(pkt)) {
1211             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1212             return 0;
1213         }
1214         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1215             unsigned char *idbytes;
1216             int idlen;
1217             OCSP_RESPID *id;
1218
1219             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1220             idlen = i2d_OCSP_RESPID(id, NULL);
1221             if (idlen <= 0
1222                        /* Sub-packet for an individual id */
1223                     || !WPACKET_sub_allocate_bytes_u16(pkt, idlen, &idbytes)
1224                     || i2d_OCSP_RESPID(id, &idbytes) != idlen) {
1225                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1226                 return 0;
1227             }
1228         }
1229         if (!WPACKET_close(pkt)
1230                 || !WPACKET_start_sub_packet_u16(pkt)) {
1231             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1232             return 0;
1233         }
1234         if (s->tlsext_ocsp_exts) {
1235             unsigned char *extbytes;
1236             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1237
1238             if (extlen < 0) {
1239                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1240                 return 0;
1241             }
1242             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1243                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1244                        != extlen) {
1245                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1246                 return 0;
1247            }
1248         }
1249         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1250             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1251             return 0;
1252         }
1253     }
1254 #endif
1255 #ifndef OPENSSL_NO_HEARTBEATS
1256     if (SSL_IS_DTLS(s)) {
1257         unsigned int mode;
1258
1259         /*-
1260          * Set mode:
1261          * 1: peer may send requests
1262          * 2: peer not allowed to send requests
1263          */
1264         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1265             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1266         else
1267             mode = SSL_DTLSEXT_HB_ENABLED;
1268
1269         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1270                    /* Sub-packet for Hearbeat extension */
1271                 || !WPACKET_start_sub_packet_u16(pkt)
1272                 || !WPACKET_put_bytes_u8(pkt, mode)
1273                 || !WPACKET_close(pkt)) {
1274             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1275             return 0;
1276         }
1277     }
1278 #endif
1279
1280 #ifndef OPENSSL_NO_NEXTPROTONEG
1281     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1282         /*
1283          * The client advertises an empty extension to indicate its support
1284          * for Next Protocol Negotiation
1285          */
1286         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1287                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1288             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1289             return 0;
1290         }
1291     }
1292 #endif
1293
1294     /*
1295      * finish_md_len is non-zero during a renegotiation, so
1296      * this avoids sending ALPN during the renegotiation
1297      * (see longer comment below)
1298      */
1299     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1300         if (!WPACKET_put_bytes_u16(pkt,
1301                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1302                    /* Sub-packet ALPN extension */
1303                 || !WPACKET_start_sub_packet_u16(pkt)
1304                 || !WPACKET_sub_memcpy_u16(pkt, s->alpn_client_proto_list,
1305                                            s->alpn_client_proto_list_len)
1306                 || !WPACKET_close(pkt)) {
1307             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1308             return 0;
1309         }
1310         s->s3->alpn_sent = 1;
1311     }
1312 #ifndef OPENSSL_NO_SRTP
1313     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1314         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = SSL_get_srtp_profiles(s);
1315         SRTP_PROTECTION_PROFILE *prof;
1316         int i, ct;
1317
1318         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1319                    /* Sub-packet for SRTP extension */
1320                 || !WPACKET_start_sub_packet_u16(pkt)
1321                    /* Sub-packet for the protection profile list */
1322                 || !WPACKET_start_sub_packet_u16(pkt)) {
1323             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1324             return 0;
1325         }
1326         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1327         for (i = 0; i < ct; i++) {
1328             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1329             if (prof == NULL || !WPACKET_put_bytes_u16(pkt, prof->id)) {
1330                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1331                 return 0;
1332             }
1333         }
1334         if (!WPACKET_close(pkt)
1335                    /* Add an empty use_mki value */
1336                 || !WPACKET_put_bytes_u8(pkt, 0)
1337                 || !WPACKET_close(pkt)) {
1338             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1339             return 0;
1340         }
1341     }
1342 #endif
1343     custom_ext_init(&s->cert->cli_ext);
1344     /* Add custom TLS Extensions to ClientHello */
1345     if (!custom_ext_add(s, 0, pkt, al)) {
1346         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1347         return 0;
1348     }
1349
1350     if (!(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC)) {
1351         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1352             || !WPACKET_put_bytes_u16(pkt, 0)) {
1353             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1354             return 0;
1355         }
1356     }
1357
1358 #ifndef OPENSSL_NO_CT
1359     if (s->ct_validation_callback != NULL) {
1360         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signed_certificate_timestamp)
1361                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1362             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1363             return 0;
1364         }
1365     }
1366 #endif
1367
1368     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1369             || !WPACKET_put_bytes_u16(pkt, 0)) {
1370         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1371         return 0;
1372     }
1373
1374     /*
1375      * Add padding to workaround bugs in F5 terminators. See
1376      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1377      * code works out the length of all existing extensions it MUST always
1378      * appear last.
1379      */
1380     if (s->options & SSL_OP_TLSEXT_PADDING) {
1381         unsigned char *padbytes;
1382         size_t hlen;
1383
1384         if (!WPACKET_get_total_written(pkt, &hlen)) {
1385             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1386             return 0;
1387         }
1388
1389         if (hlen > 0xff && hlen < 0x200) {
1390             hlen = 0x200 - hlen;
1391             if (hlen >= 4)
1392                 hlen -= 4;
1393             else
1394                 hlen = 0;
1395
1396             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_padding)
1397                     || !WPACKET_sub_allocate_bytes_u16(pkt, hlen, &padbytes)) {
1398                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1399                 return 0;
1400             }
1401             memset(padbytes, 0, hlen);
1402         }
1403     }
1404
1405  done:
1406     return 1;
1407 }
1408
1409 int ssl_add_serverhello_tlsext(SSL *s, WPACKET *pkt, int *al)
1410 {
1411 #ifndef OPENSSL_NO_NEXTPROTONEG
1412     int next_proto_neg_seen;
1413 #endif
1414 #ifndef OPENSSL_NO_EC
1415     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1416     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1417     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1418     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1419 #endif
1420
1421     if (!WPACKET_start_sub_packet_u16(pkt)
1422             || !WPACKET_set_flags(pkt, WPACKET_FLAGS_ABANDON_ON_ZERO_LENGTH)) {
1423         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1424         return 0;
1425     }
1426
1427     if (s->s3->send_connection_binding &&
1428             !ssl_add_serverhello_renegotiate_ext(s, pkt)) {
1429         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1430         return 0;
1431     }
1432
1433     /* Only add RI for SSLv3 */
1434     if (s->version == SSL3_VERSION)
1435         goto done;
1436
1437     if (!s->hit && s->servername_done == 1
1438             && s->session->tlsext_hostname != NULL) {
1439         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1440                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1441             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1442             return 0;
1443         }
1444     }
1445 #ifndef OPENSSL_NO_EC
1446     if (using_ecc) {
1447         const unsigned char *plist;
1448         size_t plistlen;
1449         /*
1450          * Add TLS extension ECPointFormats to the ServerHello message
1451          */
1452         tls1_get_formatlist(s, &plist, &plistlen);
1453
1454         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1455                 || !WPACKET_start_sub_packet_u16(pkt)
1456                 || !WPACKET_sub_memcpy_u8(pkt, plist, plistlen)
1457                 || !WPACKET_close(pkt)) {
1458             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1459             return 0;
1460         }
1461     }
1462     /*
1463      * Currently the server should not respond with a SupportedCurves
1464      * extension
1465      */
1466 #endif                          /* OPENSSL_NO_EC */
1467
1468     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1469         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1470                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1471             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1472             return 0;
1473         }
1474     } else {
1475         /*
1476          * if we don't add the above TLSEXT, we can't add a session ticket
1477          * later
1478          */
1479         s->tlsext_ticket_expected = 0;
1480     }
1481
1482     if (s->tlsext_status_expected) {
1483         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1484                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1485             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1486             return 0;
1487         }
1488     }
1489 #ifndef OPENSSL_NO_SRTP
1490     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1491         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1492                 || !WPACKET_start_sub_packet_u16(pkt)
1493                 || !WPACKET_put_bytes_u16(pkt, 2)
1494                 || !WPACKET_put_bytes_u16(pkt, s->srtp_profile->id)
1495                 || !WPACKET_put_bytes_u8(pkt, 0)
1496                 || !WPACKET_close(pkt)) {
1497             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1498             return 0;
1499         }
1500     }
1501 #endif
1502
1503     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1504          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1505         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1506         const unsigned char cryptopro_ext[36] = {
1507             0xfd, 0xe8,         /* 65000 */
1508             0x00, 0x20,         /* 32 bytes length */
1509             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1510             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1511             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1512             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1513         };
1514         if (!WPACKET_memcpy(pkt, cryptopro_ext, sizeof(cryptopro_ext))) {
1515             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1516             return 0;
1517         }
1518     }
1519 #ifndef OPENSSL_NO_HEARTBEATS
1520     /* Add Heartbeat extension if we've received one */
1521     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1522         unsigned int mode;
1523         /*-
1524          * Set mode:
1525          * 1: peer may send requests
1526          * 2: peer not allowed to send requests
1527          */
1528         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1529             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1530         else
1531             mode = SSL_DTLSEXT_HB_ENABLED;
1532
1533         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_heartbeat)
1534                 || !WPACKET_start_sub_packet_u16(pkt)
1535                 || !WPACKET_put_bytes_u8(pkt, mode)
1536                 || !WPACKET_close(pkt)) {
1537             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1538             return 0;
1539         }
1540
1541     }
1542 #endif
1543
1544 #ifndef OPENSSL_NO_NEXTPROTONEG
1545     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1546     s->s3->next_proto_neg_seen = 0;
1547     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1548         const unsigned char *npa;
1549         unsigned int npalen;
1550         int r;
1551
1552         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1553                                               s->
1554                                               ctx->next_protos_advertised_cb_arg);
1555         if (r == SSL_TLSEXT_ERR_OK) {
1556             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1557                     || !WPACKET_sub_memcpy_u16(pkt, npa, npalen)) {
1558                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1559                 return 0;
1560             }
1561             s->s3->next_proto_neg_seen = 1;
1562         }
1563     }
1564 #endif
1565     if (!custom_ext_add(s, 1, pkt, al)) {
1566         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1567         return 0;
1568     }
1569
1570     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1571         /*
1572          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1573          * for other cases too.
1574          */
1575         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1576             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1577             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1578             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1579             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1580         else {
1581             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1582                     || !WPACKET_put_bytes_u16(pkt, 0)) {
1583                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1584                 return 0;
1585             }
1586         }
1587     }
1588     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1589         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1590                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1591             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1592             return 0;
1593         }
1594     }
1595
1596     if (s->s3->alpn_selected != NULL) {
1597         if (!WPACKET_put_bytes_u16(pkt,
1598                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1599                 || !WPACKET_start_sub_packet_u16(pkt)
1600                 || !WPACKET_start_sub_packet_u16(pkt)
1601                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->alpn_selected,
1602                                           s->s3->alpn_selected_len)
1603                 || !WPACKET_close(pkt)
1604                 || !WPACKET_close(pkt)) {
1605             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1606             return 0;
1607         }
1608     }
1609
1610  done:
1611     if (!WPACKET_close(pkt)) {
1612         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1613         return 0;
1614     }
1615     return 1;
1616 }
1617
1618 /*
1619  * Save the ALPN extension in a ClientHello.
1620  * pkt: the contents of the ALPN extension, not including type and length.
1621  * al: a pointer to the  alert value to send in the event of a failure.
1622  * returns: 1 on success, 0 on error.
1623  */
1624 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1625 {
1626     PACKET protocol_list, save_protocol_list, protocol;
1627
1628     *al = SSL_AD_DECODE_ERROR;
1629
1630     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1631         || PACKET_remaining(&protocol_list) < 2) {
1632         return 0;
1633     }
1634
1635     save_protocol_list = protocol_list;
1636     do {
1637         /* Protocol names can't be empty. */
1638         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1639             || PACKET_remaining(&protocol) == 0) {
1640             return 0;
1641         }
1642     } while (PACKET_remaining(&protocol_list) != 0);
1643
1644     if (!PACKET_memdup(&save_protocol_list,
1645                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1646         *al = TLS1_AD_INTERNAL_ERROR;
1647         return 0;
1648     }
1649
1650     return 1;
1651 }
1652
1653 /*
1654  * Process the ALPN extension in a ClientHello.
1655  * al: a pointer to the alert value to send in the event of a failure.
1656  * returns 1 on success, 0 on error.
1657  */
1658 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1659 {
1660     const unsigned char *selected = NULL;
1661     unsigned char selected_len = 0;
1662
1663     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1664         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1665                                        s->s3->alpn_proposed,
1666                                        (unsigned int)s->s3->alpn_proposed_len,
1667                                        s->ctx->alpn_select_cb_arg);
1668
1669         if (r == SSL_TLSEXT_ERR_OK) {
1670             OPENSSL_free(s->s3->alpn_selected);
1671             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1672             if (s->s3->alpn_selected == NULL) {
1673                 *al = SSL_AD_INTERNAL_ERROR;
1674                 return 0;
1675             }
1676             s->s3->alpn_selected_len = selected_len;
1677 #ifndef OPENSSL_NO_NEXTPROTONEG
1678             /* ALPN takes precedence over NPN. */
1679             s->s3->next_proto_neg_seen = 0;
1680 #endif
1681         } else {
1682             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1683             return 0;
1684         }
1685     }
1686
1687     return 1;
1688 }
1689
1690 #ifndef OPENSSL_NO_EC
1691 /*-
1692  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1693  * SecureTransport using the TLS extension block in |hello|.
1694  * Safari, since 10.6, sends exactly these extensions, in this order:
1695  *   SNI,
1696  *   elliptic_curves
1697  *   ec_point_formats
1698  *
1699  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1700  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1701  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1702  * 10.8..10.8.3 (which don't work).
1703  */
1704 static void ssl_check_for_safari(SSL *s, CLIENTHELLO_MSG *hello)
1705 {
1706     unsigned int type;
1707     PACKET sni, tmppkt;
1708     size_t ext_len;
1709
1710     static const unsigned char kSafariExtensionsBlock[] = {
1711         0x00, 0x0a,             /* elliptic_curves extension */
1712         0x00, 0x08,             /* 8 bytes */
1713         0x00, 0x06,             /* 6 bytes of curve ids */
1714         0x00, 0x17,             /* P-256 */
1715         0x00, 0x18,             /* P-384 */
1716         0x00, 0x19,             /* P-521 */
1717
1718         0x00, 0x0b,             /* ec_point_formats */
1719         0x00, 0x02,             /* 2 bytes */
1720         0x01,                   /* 1 point format */
1721         0x00,                   /* uncompressed */
1722         /* The following is only present in TLS 1.2 */
1723         0x00, 0x0d,             /* signature_algorithms */
1724         0x00, 0x0c,             /* 12 bytes */
1725         0x00, 0x0a,             /* 10 bytes */
1726         0x05, 0x01,             /* SHA-384/RSA */
1727         0x04, 0x01,             /* SHA-256/RSA */
1728         0x02, 0x01,             /* SHA-1/RSA */
1729         0x04, 0x03,             /* SHA-256/ECDSA */
1730         0x02, 0x03,             /* SHA-1/ECDSA */
1731     };
1732
1733     /* Length of the common prefix (first two extensions). */
1734     static const size_t kSafariCommonExtensionsLength = 18;
1735
1736     tmppkt = hello->extensions;
1737
1738     if (!PACKET_forward(&tmppkt, 2)
1739         || !PACKET_get_net_2(&tmppkt, &type)
1740         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1741         return;
1742     }
1743
1744     if (type != TLSEXT_TYPE_server_name)
1745         return;
1746
1747     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1748         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1749
1750     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1751                                              ext_len);
1752 }
1753 #endif                          /* !OPENSSL_NO_EC */
1754
1755 /*
1756  * Loop through all remaining ClientHello extensions that we collected earlier
1757  * and haven't already processed. For each one parse it and update the SSL
1758  * object as required.
1759  *
1760  * Behaviour upon resumption is extension-specific. If the extension has no
1761  * effect during resumption, it is parsed (to verify its format) but otherwise
1762  * ignored.
1763  *
1764  * Returns 1 on success and 0 on failure.
1765  * Upon failure, sets |al| to the appropriate alert.
1766  */
1767 static int ssl_scan_clienthello_tlsext(SSL *s, CLIENTHELLO_MSG *hello, int *al)
1768 {
1769     size_t loop;
1770     int renegotiate_seen = 0;
1771
1772     *al = SSL_AD_DECODE_ERROR;
1773     s->servername_done = 0;
1774     s->tlsext_status_type = -1;
1775 #ifndef OPENSSL_NO_NEXTPROTONEG
1776     s->s3->next_proto_neg_seen = 0;
1777 #endif
1778
1779     OPENSSL_free(s->s3->alpn_selected);
1780     s->s3->alpn_selected = NULL;
1781     s->s3->alpn_selected_len = 0;
1782     OPENSSL_free(s->s3->alpn_proposed);
1783     s->s3->alpn_proposed = NULL;
1784     s->s3->alpn_proposed_len = 0;
1785 #ifndef OPENSSL_NO_HEARTBEATS
1786     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1787                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1788 #endif
1789
1790 #ifndef OPENSSL_NO_EC
1791     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1792         ssl_check_for_safari(s, hello);
1793 #endif                          /* !OPENSSL_NO_EC */
1794
1795     /* Clear any signature algorithms extension received */
1796     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1797     s->s3->tmp.peer_sigalgs = NULL;
1798     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1799
1800 #ifndef OPENSSL_NO_SRP
1801     OPENSSL_free(s->srp_ctx.login);
1802     s->srp_ctx.login = NULL;
1803 #endif
1804
1805     s->srtp_profile = NULL;
1806
1807     /*
1808      * We parse all extensions to ensure the ClientHello is well-formed but,
1809      * unless an extension specifies otherwise, we ignore extensions upon
1810      * resumption.
1811      */
1812     for (loop = 0; loop < hello->num_extensions; loop++) {
1813         RAW_EXTENSION *currext = &hello->pre_proc_exts[loop];
1814
1815         if (s->tlsext_debug_cb)
1816             s->tlsext_debug_cb(s, 0, currext->type,
1817                                PACKET_data(&currext->data),
1818                                PACKET_remaining(&currext->data),
1819                                s->tlsext_debug_arg);
1820
1821         if (currext->type == TLSEXT_TYPE_renegotiate) {
1822             if (!ssl_parse_clienthello_renegotiate_ext(s,
1823                     &currext->data, al))
1824                 return 0;
1825             renegotiate_seen = 1;
1826         } else if (s->version == SSL3_VERSION) {
1827         }
1828 /*-
1829  * The servername extension is treated as follows:
1830  *
1831  * - Only the hostname type is supported with a maximum length of 255.
1832  * - The servername is rejected if too long or if it contains zeros,
1833  *   in which case an fatal alert is generated.
1834  * - The servername field is maintained together with the session cache.
1835  * - When a session is resumed, the servername call back invoked in order
1836  *   to allow the application to position itself to the right context.
1837  * - The servername is acknowledged if it is new for a session or when
1838  *   it is identical to a previously used for the same session.
1839  *   Applications can control the behaviour.  They can at any time
1840  *   set a 'desirable' servername for a new SSL object. This can be the
1841  *   case for example with HTTPS when a Host: header field is received and
1842  *   a renegotiation is requested. In this case, a possible servername
1843  *   presented in the new client hello is only acknowledged if it matches
1844  *   the value of the Host: field.
1845  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1846  *   if they provide for changing an explicit servername context for the
1847  *   session, i.e. when the session has been established with a servername
1848  *   extension.
1849  * - On session reconnect, the servername extension may be absent.
1850  *
1851  */
1852
1853         else if (currext->type == TLSEXT_TYPE_server_name) {
1854             unsigned int servname_type;
1855             PACKET sni, hostname;
1856
1857             if (!PACKET_as_length_prefixed_2(&currext->data, &sni)
1858                 /* ServerNameList must be at least 1 byte long. */
1859                 || PACKET_remaining(&sni) == 0) {
1860                 return 0;
1861             }
1862
1863             /*
1864              * Although the server_name extension was intended to be
1865              * extensible to new name types, RFC 4366 defined the
1866              * syntax inextensibility and OpenSSL 1.0.x parses it as
1867              * such.
1868              * RFC 6066 corrected the mistake but adding new name types
1869              * is nevertheless no longer feasible, so act as if no other
1870              * SNI types can exist, to simplify parsing.
1871              *
1872              * Also note that the RFC permits only one SNI value per type,
1873              * i.e., we can only have a single hostname.
1874              */
1875             if (!PACKET_get_1(&sni, &servname_type)
1876                 || servname_type != TLSEXT_NAMETYPE_host_name
1877                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1878                 return 0;
1879             }
1880
1881             if (!s->hit) {
1882                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1883                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1884                     return 0;
1885                 }
1886
1887                 if (PACKET_contains_zero_byte(&hostname)) {
1888                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1889                     return 0;
1890                 }
1891
1892                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1893                     *al = TLS1_AD_INTERNAL_ERROR;
1894                     return 0;
1895                 }
1896
1897                 s->servername_done = 1;
1898             } else {
1899                 /*
1900                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1901                  * fall back to a full handshake.
1902                  */
1903                 s->servername_done = s->session->tlsext_hostname
1904                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1905                                     strlen(s->session->tlsext_hostname));
1906             }
1907         }
1908 #ifndef OPENSSL_NO_SRP
1909         else if (currext->type == TLSEXT_TYPE_srp) {
1910             PACKET srp_I;
1911
1912             if (!PACKET_as_length_prefixed_1(&currext->data, &srp_I))
1913                 return 0;
1914
1915             if (PACKET_contains_zero_byte(&srp_I))
1916                 return 0;
1917
1918             /*
1919              * TODO(openssl-team): currently, we re-authenticate the user
1920              * upon resumption. Instead, we MUST ignore the login.
1921              */
1922             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1923                 *al = TLS1_AD_INTERNAL_ERROR;
1924                 return 0;
1925             }
1926         }
1927 #endif
1928
1929 #ifndef OPENSSL_NO_EC
1930         else if (currext->type == TLSEXT_TYPE_ec_point_formats) {
1931             PACKET ec_point_format_list;
1932
1933             if (!PACKET_as_length_prefixed_1(&currext->data,
1934                                              &ec_point_format_list)
1935                 || PACKET_remaining(&ec_point_format_list) == 0) {
1936                 return 0;
1937             }
1938
1939             if (!s->hit) {
1940                 if (!PACKET_memdup(&ec_point_format_list,
1941                                    &s->session->tlsext_ecpointformatlist,
1942                                    &s->
1943                                    session->tlsext_ecpointformatlist_length)) {
1944                     *al = TLS1_AD_INTERNAL_ERROR;
1945                     return 0;
1946                 }
1947             }
1948         } else if (currext->type == TLSEXT_TYPE_elliptic_curves) {
1949             PACKET elliptic_curve_list;
1950
1951             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1952             if (!PACKET_as_length_prefixed_2(&currext->data,
1953                                              &elliptic_curve_list)
1954                 || PACKET_remaining(&elliptic_curve_list) == 0
1955                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1956                 return 0;
1957             }
1958
1959             if (!s->hit) {
1960                 if (!PACKET_memdup(&elliptic_curve_list,
1961                                    &s->session->tlsext_ellipticcurvelist,
1962                                    &s->
1963                                    session->tlsext_ellipticcurvelist_length)) {
1964                     *al = TLS1_AD_INTERNAL_ERROR;
1965                     return 0;
1966                 }
1967             }
1968         }
1969 #endif                          /* OPENSSL_NO_EC */
1970         else if (currext->type == TLSEXT_TYPE_session_ticket) {
1971             if (s->tls_session_ticket_ext_cb &&
1972                 !s->tls_session_ticket_ext_cb(s,
1973                     PACKET_data(&currext->data),
1974                     PACKET_remaining(&currext->data),
1975                     s->tls_session_ticket_ext_cb_arg)) {
1976                 *al = TLS1_AD_INTERNAL_ERROR;
1977                 return 0;
1978             }
1979         } else if (currext->type == TLSEXT_TYPE_signature_algorithms) {
1980             PACKET supported_sig_algs;
1981
1982             if (!PACKET_as_length_prefixed_2(&currext->data,
1983                                              &supported_sig_algs)
1984                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
1985                 || PACKET_remaining(&supported_sig_algs) == 0) {
1986                 return 0;
1987             }
1988
1989             if (!s->hit) {
1990                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
1991                                        PACKET_remaining(&supported_sig_algs))) {
1992                     return 0;
1993                 }
1994             }
1995         } else if (currext->type == TLSEXT_TYPE_status_request) {
1996             if (!PACKET_get_1(&currext->data,
1997                               (unsigned int *)&s->tlsext_status_type)) {
1998                 return 0;
1999             }
2000 #ifndef OPENSSL_NO_OCSP
2001             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2002                 const unsigned char *ext_data;
2003                 PACKET responder_id_list, exts;
2004                 if (!PACKET_get_length_prefixed_2
2005                     (&currext->data, &responder_id_list))
2006                     return 0;
2007
2008                 /*
2009                  * We remove any OCSP_RESPIDs from a previous handshake
2010                  * to prevent unbounded memory growth - CVE-2016-6304
2011                  */
2012                 sk_OCSP_RESPID_pop_free(s->tlsext_ocsp_ids,
2013                                         OCSP_RESPID_free);
2014                 if (PACKET_remaining(&responder_id_list) > 0) {
2015                     s->tlsext_ocsp_ids = sk_OCSP_RESPID_new_null();
2016                     if (s->tlsext_ocsp_ids == NULL) {
2017                         *al = SSL_AD_INTERNAL_ERROR;
2018                         return 0;
2019                     }
2020                 } else {
2021                     s->tlsext_ocsp_ids = NULL;
2022                 }
2023
2024                 while (PACKET_remaining(&responder_id_list) > 0) {
2025                     OCSP_RESPID *id;
2026                     PACKET responder_id;
2027                     const unsigned char *id_data;
2028
2029                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2030                                                       &responder_id)
2031                         || PACKET_remaining(&responder_id) == 0) {
2032                         return 0;
2033                     }
2034
2035                     id_data = PACKET_data(&responder_id);
2036                     /* TODO(size_t): Convert d2i_* to size_t */
2037                     id = d2i_OCSP_RESPID(NULL, &id_data,
2038                                          (int)PACKET_remaining(&responder_id));
2039                     if (id == NULL)
2040                         return 0;
2041
2042                     if (id_data != PACKET_end(&responder_id)) {
2043                         OCSP_RESPID_free(id);
2044                         return 0;
2045                     }
2046
2047                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2048                         OCSP_RESPID_free(id);
2049                         *al = SSL_AD_INTERNAL_ERROR;
2050                         return 0;
2051                     }
2052                 }
2053
2054                 /* Read in request_extensions */
2055                 if (!PACKET_as_length_prefixed_2(
2056                         &currext->data, &exts))
2057                     return 0;
2058
2059                 if (PACKET_remaining(&exts) > 0) {
2060                     ext_data = PACKET_data(&exts);
2061                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2062                                                X509_EXTENSION_free);
2063                     s->tlsext_ocsp_exts =
2064                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2065                                             (int)PACKET_remaining(&exts));
2066                     if (s->tlsext_ocsp_exts == NULL
2067                         || ext_data != PACKET_end(&exts)) {
2068                         return 0;
2069                     }
2070                 }
2071             } else
2072 #endif
2073             {
2074                 /*
2075                  * We don't know what to do with any other type so ignore it.
2076                  */
2077                 s->tlsext_status_type = -1;
2078             }
2079         }
2080 #ifndef OPENSSL_NO_HEARTBEATS
2081         else if (SSL_IS_DTLS(s) && currext->type == TLSEXT_TYPE_heartbeat) {
2082             unsigned int hbtype;
2083
2084             if (!PACKET_get_1(&currext->data, &hbtype)
2085                 || PACKET_remaining(&currext->data)) {
2086                 *al = SSL_AD_DECODE_ERROR;
2087                 return 0;
2088             }
2089             switch (hbtype) {
2090             case 0x01:         /* Client allows us to send HB requests */
2091                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2092                 break;
2093             case 0x02:         /* Client doesn't accept HB requests */
2094                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2095                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2096                 break;
2097             default:
2098                 *al = SSL_AD_ILLEGAL_PARAMETER;
2099                 return 0;
2100             }
2101         }
2102 #endif
2103 #ifndef OPENSSL_NO_NEXTPROTONEG
2104         else if (currext->type == TLSEXT_TYPE_next_proto_neg
2105                  && s->s3->tmp.finish_md_len == 0) {
2106             /*-
2107              * We shouldn't accept this extension on a
2108              * renegotiation.
2109              *
2110              * s->new_session will be set on renegotiation, but we
2111              * probably shouldn't rely that it couldn't be set on
2112              * the initial renegotiation too in certain cases (when
2113              * there's some other reason to disallow resuming an
2114              * earlier session -- the current code won't be doing
2115              * anything like that, but this might change).
2116              *
2117              * A valid sign that there's been a previous handshake
2118              * in this connection is if s->s3->tmp.finish_md_len >
2119              * 0.  (We are talking about a check that will happen
2120              * in the Hello protocol round, well before a new
2121              * Finished message could have been computed.)
2122              */
2123             s->s3->next_proto_neg_seen = 1;
2124         }
2125 #endif
2126
2127         else if (currext->type
2128                      == TLSEXT_TYPE_application_layer_protocol_negotiation
2129                  && s->s3->tmp.finish_md_len == 0) {
2130             if (!tls1_alpn_handle_client_hello(s,
2131                     &currext->data, al))
2132                 return 0;
2133         }
2134
2135         /* session ticket processed earlier */
2136 #ifndef OPENSSL_NO_SRTP
2137         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2138                  && currext->type == TLSEXT_TYPE_use_srtp) {
2139             if (ssl_parse_clienthello_use_srtp_ext(s,
2140                     &currext->data, al))
2141                 return 0;
2142         }
2143 #endif
2144         else if (currext->type == TLSEXT_TYPE_encrypt_then_mac
2145                  && !(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC))
2146             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2147         /*
2148          * Note: extended master secret extension handled in
2149          * tls_check_client_ems_support()
2150          */
2151
2152         /*
2153          * If this ClientHello extension was unhandled and this is a
2154          * nonresumed connection, check whether the extension is a custom
2155          * TLS Extension (has a custom_srv_ext_record), and if so call the
2156          * callback and record the extension number so that an appropriate
2157          * ServerHello may be later returned.
2158          */
2159         else if (!s->hit) {
2160             if (custom_ext_parse(s, 1, currext->type,
2161                     PACKET_data(&currext->data),
2162                     PACKET_remaining(&currext->data), al) <= 0)
2163                 return 0;
2164         }
2165     }
2166
2167     /* Need RI if renegotiating */
2168
2169     if (!renegotiate_seen && s->renegotiate &&
2170         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2171         *al = SSL_AD_HANDSHAKE_FAILURE;
2172         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2173                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2174         return 0;
2175     }
2176
2177     /*
2178      * This function currently has no state to clean up, so it returns directly.
2179      * If parsing fails at any point, the function returns early.
2180      * The SSL object may be left with partial data from extensions, but it must
2181      * then no longer be used, and clearing it up will free the leftovers.
2182      */
2183     return 1;
2184 }
2185
2186 int ssl_parse_clienthello_tlsext(SSL *s, CLIENTHELLO_MSG *hello)
2187 {
2188     int al = -1;
2189     custom_ext_init(&s->cert->srv_ext);
2190     if (ssl_scan_clienthello_tlsext(s, hello, &al) <= 0) {
2191         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2192         return 0;
2193     }
2194     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2195         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2196         return 0;
2197     }
2198     return 1;
2199 }
2200
2201 #ifndef OPENSSL_NO_NEXTPROTONEG
2202 /*
2203  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2204  * elements of zero length are allowed and the set of elements must exactly
2205  * fill the length of the block.
2206  */
2207 static char ssl_next_proto_validate(PACKET *pkt)
2208 {
2209     PACKET tmp_protocol;
2210
2211     while (PACKET_remaining(pkt)) {
2212         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2213             || PACKET_remaining(&tmp_protocol) == 0)
2214             return 0;
2215     }
2216
2217     return 1;
2218 }
2219 #endif
2220
2221 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2222 {
2223     unsigned int length, type, size;
2224     int tlsext_servername = 0;
2225     int renegotiate_seen = 0;
2226
2227 #ifndef OPENSSL_NO_NEXTPROTONEG
2228     s->s3->next_proto_neg_seen = 0;
2229 #endif
2230     s->tlsext_ticket_expected = 0;
2231
2232     OPENSSL_free(s->s3->alpn_selected);
2233     s->s3->alpn_selected = NULL;
2234 #ifndef OPENSSL_NO_HEARTBEATS
2235     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2236                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2237 #endif
2238
2239     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2240
2241     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2242
2243     if (!PACKET_get_net_2(pkt, &length))
2244         goto ri_check;
2245
2246     if (PACKET_remaining(pkt) != length) {
2247         *al = SSL_AD_DECODE_ERROR;
2248         return 0;
2249     }
2250
2251     if (!tls1_check_duplicate_extensions(pkt)) {
2252         *al = SSL_AD_DECODE_ERROR;
2253         return 0;
2254     }
2255
2256     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2257         const unsigned char *data;
2258         PACKET spkt;
2259
2260         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2261             || !PACKET_peek_bytes(&spkt, &data, size))
2262             goto ri_check;
2263
2264         if (s->tlsext_debug_cb)
2265             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2266
2267         if (type == TLSEXT_TYPE_renegotiate) {
2268             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2269                 return 0;
2270             renegotiate_seen = 1;
2271         } else if (s->version == SSL3_VERSION) {
2272         } else if (type == TLSEXT_TYPE_server_name) {
2273             if (s->tlsext_hostname == NULL || size > 0) {
2274                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2275                 return 0;
2276             }
2277             tlsext_servername = 1;
2278         }
2279 #ifndef OPENSSL_NO_EC
2280         else if (type == TLSEXT_TYPE_ec_point_formats) {
2281             unsigned int ecpointformatlist_length;
2282             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2283                 || ecpointformatlist_length != size - 1) {
2284                 *al = TLS1_AD_DECODE_ERROR;
2285                 return 0;
2286             }
2287             if (!s->hit) {
2288                 s->session->tlsext_ecpointformatlist_length = 0;
2289                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2290                 if ((s->session->tlsext_ecpointformatlist =
2291                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2292                     *al = TLS1_AD_INTERNAL_ERROR;
2293                     return 0;
2294                 }
2295                 s->session->tlsext_ecpointformatlist_length =
2296                     ecpointformatlist_length;
2297                 if (!PACKET_copy_bytes(&spkt,
2298                                        s->session->tlsext_ecpointformatlist,
2299                                        ecpointformatlist_length)) {
2300                     *al = TLS1_AD_DECODE_ERROR;
2301                     return 0;
2302                 }
2303
2304             }
2305         }
2306 #endif                          /* OPENSSL_NO_EC */
2307
2308         else if (type == TLSEXT_TYPE_session_ticket) {
2309             if (s->tls_session_ticket_ext_cb &&
2310                 !s->tls_session_ticket_ext_cb(s, data, size,
2311                                               s->tls_session_ticket_ext_cb_arg))
2312             {
2313                 *al = TLS1_AD_INTERNAL_ERROR;
2314                 return 0;
2315             }
2316             if (!tls_use_ticket(s) || (size > 0)) {
2317                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2318                 return 0;
2319             }
2320             s->tlsext_ticket_expected = 1;
2321         } else if (type == TLSEXT_TYPE_status_request) {
2322             /*
2323              * MUST be empty and only sent if we've requested a status
2324              * request message.
2325              */
2326             if ((s->tlsext_status_type == -1) || (size > 0)) {
2327                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2328                 return 0;
2329             }
2330             /* Set flag to expect CertificateStatus message */
2331             s->tlsext_status_expected = 1;
2332         }
2333 #ifndef OPENSSL_NO_CT
2334         /*
2335          * Only take it if we asked for it - i.e if there is no CT validation
2336          * callback set, then a custom extension MAY be processing it, so we
2337          * need to let control continue to flow to that.
2338          */
2339         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2340                  s->ct_validation_callback != NULL) {
2341             /* Simply copy it off for later processing */
2342             if (s->tlsext_scts != NULL) {
2343                 OPENSSL_free(s->tlsext_scts);
2344                 s->tlsext_scts = NULL;
2345             }
2346             s->tlsext_scts_len = size;
2347             if (size > 0) {
2348                 s->tlsext_scts = OPENSSL_malloc(size);
2349                 if (s->tlsext_scts == NULL) {
2350                     *al = TLS1_AD_INTERNAL_ERROR;
2351                     return 0;
2352                 }
2353                 memcpy(s->tlsext_scts, data, size);
2354             }
2355         }
2356 #endif
2357 #ifndef OPENSSL_NO_NEXTPROTONEG
2358         else if (type == TLSEXT_TYPE_next_proto_neg &&
2359                  s->s3->tmp.finish_md_len == 0) {
2360             unsigned char *selected;
2361             unsigned char selected_len;
2362             /* We must have requested it. */
2363             if (s->ctx->next_proto_select_cb == NULL) {
2364                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2365                 return 0;
2366             }
2367             /* The data must be valid */
2368             if (!ssl_next_proto_validate(&spkt)) {
2369                 *al = TLS1_AD_DECODE_ERROR;
2370                 return 0;
2371             }
2372             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2373                                              size,
2374                                              s->
2375                                              ctx->next_proto_select_cb_arg) !=
2376                 SSL_TLSEXT_ERR_OK) {
2377                 *al = TLS1_AD_INTERNAL_ERROR;
2378                 return 0;
2379             }
2380             /*
2381              * Could be non-NULL if server has sent multiple NPN extensions in
2382              * a single Serverhello
2383              */
2384             OPENSSL_free(s->next_proto_negotiated);
2385             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2386             if (s->next_proto_negotiated == NULL) {
2387                 *al = TLS1_AD_INTERNAL_ERROR;
2388                 return 0;
2389             }
2390             memcpy(s->next_proto_negotiated, selected, selected_len);
2391             s->next_proto_negotiated_len = selected_len;
2392             s->s3->next_proto_neg_seen = 1;
2393         }
2394 #endif
2395
2396         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2397             unsigned len;
2398             /* We must have requested it. */
2399             if (!s->s3->alpn_sent) {
2400                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2401                 return 0;
2402             }
2403             /*-
2404              * The extension data consists of:
2405              *   uint16 list_length
2406              *   uint8 proto_length;
2407              *   uint8 proto[proto_length];
2408              */
2409             if (!PACKET_get_net_2(&spkt, &len)
2410                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2411                 || PACKET_remaining(&spkt) != len) {
2412                 *al = TLS1_AD_DECODE_ERROR;
2413                 return 0;
2414             }
2415             OPENSSL_free(s->s3->alpn_selected);
2416             s->s3->alpn_selected = OPENSSL_malloc(len);
2417             if (s->s3->alpn_selected == NULL) {
2418                 *al = TLS1_AD_INTERNAL_ERROR;
2419                 return 0;
2420             }
2421             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2422                 *al = TLS1_AD_DECODE_ERROR;
2423                 return 0;
2424             }
2425             s->s3->alpn_selected_len = len;
2426         }
2427 #ifndef OPENSSL_NO_HEARTBEATS
2428         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2429             unsigned int hbtype;
2430             if (!PACKET_get_1(&spkt, &hbtype)) {
2431                 *al = SSL_AD_DECODE_ERROR;
2432                 return 0;
2433             }
2434             switch (hbtype) {
2435             case 0x01:         /* Server allows us to send HB requests */
2436                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2437                 break;
2438             case 0x02:         /* Server doesn't accept HB requests */
2439                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2440                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2441                 break;
2442             default:
2443                 *al = SSL_AD_ILLEGAL_PARAMETER;
2444                 return 0;
2445             }
2446         }
2447 #endif
2448 #ifndef OPENSSL_NO_SRTP
2449         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2450             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2451                 return 0;
2452         }
2453 #endif
2454         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2455             /* Ignore if inappropriate ciphersuite */
2456             if (!(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC) &&
2457                 s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2458                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2459                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2460         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2461             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2462             if (!s->hit)
2463                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2464         }
2465         /*
2466          * If this extension type was not otherwise handled, but matches a
2467          * custom_cli_ext_record, then send it to the c callback
2468          */
2469         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2470             return 0;
2471     }
2472
2473     if (PACKET_remaining(pkt) != 0) {
2474         *al = SSL_AD_DECODE_ERROR;
2475         return 0;
2476     }
2477
2478     if (!s->hit && tlsext_servername == 1) {
2479         if (s->tlsext_hostname) {
2480             if (s->session->tlsext_hostname == NULL) {
2481                 s->session->tlsext_hostname =
2482                     OPENSSL_strdup(s->tlsext_hostname);
2483                 if (!s->session->tlsext_hostname) {
2484                     *al = SSL_AD_UNRECOGNIZED_NAME;
2485                     return 0;
2486                 }
2487             } else {
2488                 *al = SSL_AD_DECODE_ERROR;
2489                 return 0;
2490             }
2491         }
2492     }
2493
2494  ri_check:
2495
2496     /*
2497      * Determine if we need to see RI. Strictly speaking if we want to avoid
2498      * an attack we should *always* see RI even on initial server hello
2499      * because the client doesn't see any renegotiation during an attack.
2500      * However this would mean we could not connect to any server which
2501      * doesn't support RI so for the immediate future tolerate RI absence
2502      */
2503     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2504         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2505         *al = SSL_AD_HANDSHAKE_FAILURE;
2506         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2507                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2508         return 0;
2509     }
2510
2511     if (s->hit) {
2512         /*
2513          * Check extended master secret extension is consistent with
2514          * original session.
2515          */
2516         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2517             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2518             *al = SSL_AD_HANDSHAKE_FAILURE;
2519             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2520             return 0;
2521         }
2522     }
2523
2524     return 1;
2525 }
2526
2527 int ssl_prepare_clienthello_tlsext(SSL *s)
2528 {
2529     s->s3->alpn_sent = 0;
2530     return 1;
2531 }
2532
2533 int ssl_prepare_serverhello_tlsext(SSL *s)
2534 {
2535     return 1;
2536 }
2537
2538 static int ssl_check_clienthello_tlsext_early(SSL *s)
2539 {
2540     int ret = SSL_TLSEXT_ERR_NOACK;
2541     int al = SSL_AD_UNRECOGNIZED_NAME;
2542
2543 #ifndef OPENSSL_NO_EC
2544     /*
2545      * The handling of the ECPointFormats extension is done elsewhere, namely
2546      * in ssl3_choose_cipher in s3_lib.c.
2547      */
2548     /*
2549      * The handling of the EllipticCurves extension is done elsewhere, namely
2550      * in ssl3_choose_cipher in s3_lib.c.
2551      */
2552 #endif
2553
2554     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2555         ret =
2556             s->ctx->tlsext_servername_callback(s, &al,
2557                                                s->ctx->tlsext_servername_arg);
2558     else if (s->initial_ctx != NULL
2559              && s->initial_ctx->tlsext_servername_callback != 0)
2560         ret =
2561             s->initial_ctx->tlsext_servername_callback(s, &al,
2562                                                        s->
2563                                                        initial_ctx->tlsext_servername_arg);
2564
2565     switch (ret) {
2566     case SSL_TLSEXT_ERR_ALERT_FATAL:
2567         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2568         return -1;
2569
2570     case SSL_TLSEXT_ERR_ALERT_WARNING:
2571         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2572         return 1;
2573
2574     case SSL_TLSEXT_ERR_NOACK:
2575         s->servername_done = 0;
2576     default:
2577         return 1;
2578     }
2579 }
2580
2581 /* Initialise digests to default values */
2582 void ssl_set_default_md(SSL *s)
2583 {
2584     const EVP_MD **pmd = s->s3->tmp.md;
2585 #ifndef OPENSSL_NO_DSA
2586     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2587 #endif
2588 #ifndef OPENSSL_NO_RSA
2589     if (SSL_USE_SIGALGS(s))
2590         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2591     else
2592         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2593     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2594 #endif
2595 #ifndef OPENSSL_NO_EC
2596     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2597 #endif
2598 #ifndef OPENSSL_NO_GOST
2599     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2600     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2601     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2602 #endif
2603 }
2604
2605 int tls1_set_server_sigalgs(SSL *s)
2606 {
2607     int al;
2608     size_t i;
2609
2610     /* Clear any shared signature algorithms */
2611     OPENSSL_free(s->cert->shared_sigalgs);
2612     s->cert->shared_sigalgs = NULL;
2613     s->cert->shared_sigalgslen = 0;
2614     /* Clear certificate digests and validity flags */
2615     for (i = 0; i < SSL_PKEY_NUM; i++) {
2616         s->s3->tmp.md[i] = NULL;
2617         s->s3->tmp.valid_flags[i] = 0;
2618     }
2619
2620     /* If sigalgs received process it. */
2621     if (s->s3->tmp.peer_sigalgs) {
2622         if (!tls1_process_sigalgs(s)) {
2623             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2624             al = SSL_AD_INTERNAL_ERROR;
2625             goto err;
2626         }
2627         /* Fatal error is no shared signature algorithms */
2628         if (!s->cert->shared_sigalgs) {
2629             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2630                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2631             al = SSL_AD_ILLEGAL_PARAMETER;
2632             goto err;
2633         }
2634     } else {
2635         ssl_set_default_md(s);
2636     }
2637     return 1;
2638  err:
2639     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2640     return 0;
2641 }
2642
2643 /*
2644  * Upon success, returns 1.
2645  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2646  */
2647 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2648 {
2649     s->tlsext_status_expected = 0;
2650
2651     /*
2652      * If status request then ask callback what to do. Note: this must be
2653      * called after servername callbacks in case the certificate has changed,
2654      * and must be called after the cipher has been chosen because this may
2655      * influence which certificate is sent
2656      */
2657     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2658         int ret;
2659         CERT_PKEY *certpkey;
2660         certpkey = ssl_get_server_send_pkey(s);
2661         /* If no certificate can't return certificate status */
2662         if (certpkey != NULL) {
2663             /*
2664              * Set current certificate to one we will use so SSL_get_certificate
2665              * et al can pick it up.
2666              */
2667             s->cert->key = certpkey;
2668             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2669             switch (ret) {
2670                 /* We don't want to send a status request response */
2671             case SSL_TLSEXT_ERR_NOACK:
2672                 s->tlsext_status_expected = 0;
2673                 break;
2674                 /* status request response should be sent */
2675             case SSL_TLSEXT_ERR_OK:
2676                 if (s->tlsext_ocsp_resp)
2677                     s->tlsext_status_expected = 1;
2678                 break;
2679                 /* something bad happened */
2680             case SSL_TLSEXT_ERR_ALERT_FATAL:
2681             default:
2682                 *al = SSL_AD_INTERNAL_ERROR;
2683                 return 0;
2684             }
2685         }
2686     }
2687
2688     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2689         return 0;
2690     }
2691
2692     return 1;
2693 }
2694
2695 int ssl_check_serverhello_tlsext(SSL *s)
2696 {
2697     int ret = SSL_TLSEXT_ERR_NOACK;
2698     int al = SSL_AD_UNRECOGNIZED_NAME;
2699
2700 #ifndef OPENSSL_NO_EC
2701     /*
2702      * If we are client and using an elliptic curve cryptography cipher
2703      * suite, then if server returns an EC point formats lists extension it
2704      * must contain uncompressed.
2705      */
2706     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2707     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2708     if ((s->tlsext_ecpointformatlist != NULL)
2709         && (s->tlsext_ecpointformatlist_length > 0)
2710         && (s->session->tlsext_ecpointformatlist != NULL)
2711         && (s->session->tlsext_ecpointformatlist_length > 0)
2712         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2713         /* we are using an ECC cipher */
2714         size_t i;
2715         unsigned char *list;
2716         int found_uncompressed = 0;
2717         list = s->session->tlsext_ecpointformatlist;
2718         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2719             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2720                 found_uncompressed = 1;
2721                 break;
2722             }
2723         }
2724         if (!found_uncompressed) {
2725             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2726                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2727             return -1;
2728         }
2729     }
2730     ret = SSL_TLSEXT_ERR_OK;
2731 #endif                          /* OPENSSL_NO_EC */
2732
2733     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2734         ret =
2735             s->ctx->tlsext_servername_callback(s, &al,
2736                                                s->ctx->tlsext_servername_arg);
2737     else if (s->initial_ctx != NULL
2738              && s->initial_ctx->tlsext_servername_callback != 0)
2739         ret =
2740             s->initial_ctx->tlsext_servername_callback(s, &al,
2741                                                        s->
2742                                                        initial_ctx->tlsext_servername_arg);
2743
2744     /*
2745      * Ensure we get sensible values passed to tlsext_status_cb in the event
2746      * that we don't receive a status message
2747      */
2748     OPENSSL_free(s->tlsext_ocsp_resp);
2749     s->tlsext_ocsp_resp = NULL;
2750     s->tlsext_ocsp_resplen = 0;
2751
2752     switch (ret) {
2753     case SSL_TLSEXT_ERR_ALERT_FATAL:
2754         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2755         return -1;
2756
2757     case SSL_TLSEXT_ERR_ALERT_WARNING:
2758         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2759         return 1;
2760
2761     case SSL_TLSEXT_ERR_NOACK:
2762         s->servername_done = 0;
2763     default:
2764         return 1;
2765     }
2766 }
2767
2768 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2769 {
2770     int al = -1;
2771     if (s->version < SSL3_VERSION)
2772         return 1;
2773     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2774         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2775         return 0;
2776     }
2777
2778     if (ssl_check_serverhello_tlsext(s) <= 0) {
2779         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2780         return 0;
2781     }
2782     return 1;
2783 }
2784
2785 /*
2786  * Given a list of extensions that we collected earlier, find one of a given
2787  * type and return it.
2788  *
2789  * |exts| is the set of extensions previously collected.
2790  * |numexts| is the number of extensions that we have.
2791  * |type| the type of the extension that we are looking for.
2792  *
2793  * Returns a pointer to the found RAW_EXTENSION data, or NULL if not found.
2794  */
2795 static RAW_EXTENSION *get_extension_by_type(RAW_EXTENSION *exts, size_t numexts,
2796                                             unsigned int type)
2797 {
2798     size_t loop;
2799
2800     for (loop = 0; loop < numexts; loop++) {
2801         if (exts[loop].type == type)
2802             return &exts[loop];
2803     }
2804
2805     return NULL;
2806 }
2807
2808 /*-
2809  * Gets the ticket information supplied by the client if any.
2810  *
2811  *   hello: The parsed ClientHello data
2812  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2813  *       point to the resulting session.
2814  *
2815  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2816  * ciphersuite, in which case we have no use for session tickets and one will
2817  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2818  *
2819  * Returns:
2820  *   -1: fatal error, either from parsing or decrypting the ticket.
2821  *    0: no ticket was found (or was ignored, based on settings).
2822  *    1: a zero length extension was found, indicating that the client supports
2823  *       session tickets but doesn't currently have one to offer.
2824  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2825  *       couldn't be decrypted because of a non-fatal error.
2826  *    3: a ticket was successfully decrypted and *ret was set.
2827  *
2828  * Side effects:
2829  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2830  *   a new session ticket to the client because the client indicated support
2831  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2832  *   a session ticket or we couldn't use the one it gave us, or if
2833  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2834  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2835  */
2836 int tls_get_ticket_from_client(SSL *s, CLIENTHELLO_MSG *hello,
2837                                SSL_SESSION **ret)
2838 {
2839     int retv;
2840     const unsigned char *etick;
2841     size_t size;
2842     RAW_EXTENSION *ticketext;
2843
2844     *ret = NULL;
2845     s->tlsext_ticket_expected = 0;
2846
2847     /*
2848      * If tickets disabled behave as if no ticket present to permit stateful
2849      * resumption.
2850      */
2851     if (s->version <= SSL3_VERSION || !tls_use_ticket(s))
2852         return 0;
2853
2854     ticketext = get_extension_by_type(hello->pre_proc_exts,
2855                                       hello->num_extensions,
2856                                       TLSEXT_TYPE_session_ticket);
2857     if (ticketext == NULL)
2858         return 0;
2859
2860     size = PACKET_remaining(&ticketext->data);
2861     if (size == 0) {
2862         /*
2863          * The client will accept a ticket but doesn't currently have
2864          * one.
2865          */
2866         s->tlsext_ticket_expected = 1;
2867         return 1;
2868     }
2869     if (s->tls_session_secret_cb) {
2870         /*
2871          * Indicate that the ticket couldn't be decrypted rather than
2872          * generating the session from ticket now, trigger
2873          * abbreviated handshake based on external mechanism to
2874          * calculate the master secret later.
2875          */
2876         return 2;
2877     }
2878     if (!PACKET_get_bytes(&ticketext->data, &etick, size)) {
2879         /* Shouldn't ever happen */
2880         return -1;
2881     }
2882     retv = tls_decrypt_ticket(s, etick, size, hello->session_id,
2883                            hello->session_id_len, ret);
2884     switch (retv) {
2885     case 2:            /* ticket couldn't be decrypted */
2886         s->tlsext_ticket_expected = 1;
2887         return 2;
2888
2889     case 3:            /* ticket was decrypted */
2890         return 3;
2891
2892     case 4:            /* ticket decrypted but need to renew */
2893         s->tlsext_ticket_expected = 1;
2894         return 3;
2895
2896     default:           /* fatal error */
2897         return -1;
2898     }
2899 }
2900
2901 /*
2902  * Sets the extended master secret flag if the extension is present in the
2903  * ClientHello
2904  * Returns:
2905  *  1 on success
2906  *  0 on error
2907  */
2908 int tls_check_client_ems_support(SSL *s, CLIENTHELLO_MSG *hello)
2909 {
2910     RAW_EXTENSION *emsext;
2911
2912     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2913
2914     if (s->version <= SSL3_VERSION)
2915         return 1;
2916
2917     emsext = get_extension_by_type(hello->pre_proc_exts, hello->num_extensions,
2918                                    TLSEXT_TYPE_extended_master_secret);
2919
2920     /*
2921      * No extensions is a success - we have successfully discovered that the
2922      * client doesn't support EMS.
2923      */
2924     if (emsext == NULL)
2925         return 1;
2926
2927     /* The extensions must always be empty */
2928     if (PACKET_remaining(&emsext->data) != 0)
2929         return 0;
2930
2931     s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2932
2933     return 1;
2934 }
2935
2936 /*-
2937  * tls_decrypt_ticket attempts to decrypt a session ticket.
2938  *
2939  *   etick: points to the body of the session ticket extension.
2940  *   eticklen: the length of the session tickets extension.
2941  *   sess_id: points at the session ID.
2942  *   sesslen: the length of the session ID.
2943  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2944  *       point to the resulting session.
2945  *
2946  * Returns:
2947  *   -2: fatal error, malloc failure.
2948  *   -1: fatal error, either from parsing or decrypting the ticket.
2949  *    2: the ticket couldn't be decrypted.
2950  *    3: a ticket was successfully decrypted and *psess was set.
2951  *    4: same as 3, but the ticket needs to be renewed.
2952  */
2953 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2954                               size_t eticklen, const unsigned char *sess_id,
2955                               size_t sesslen, SSL_SESSION **psess)
2956 {
2957     SSL_SESSION *sess;
2958     unsigned char *sdec;
2959     const unsigned char *p;
2960     int slen, renew_ticket = 0, ret = -1, declen;
2961     size_t mlen;
2962     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2963     HMAC_CTX *hctx = NULL;
2964     EVP_CIPHER_CTX *ctx;
2965     SSL_CTX *tctx = s->initial_ctx;
2966
2967     /* Initialize session ticket encryption and HMAC contexts */
2968     hctx = HMAC_CTX_new();
2969     if (hctx == NULL)
2970         return -2;
2971     ctx = EVP_CIPHER_CTX_new();
2972     if (ctx == NULL) {
2973         ret = -2;
2974         goto err;
2975     }
2976     if (tctx->tlsext_ticket_key_cb) {
2977         unsigned char *nctick = (unsigned char *)etick;
2978         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
2979                                             ctx, hctx, 0);
2980         if (rv < 0)
2981             goto err;
2982         if (rv == 0) {
2983             ret = 2;
2984             goto err;
2985         }
2986         if (rv == 2)
2987             renew_ticket = 1;
2988     } else {
2989         /* Check key name matches */
2990         if (memcmp(etick, tctx->tlsext_tick_key_name,
2991                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
2992             ret = 2;
2993             goto err;
2994         }
2995         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
2996                          sizeof(tctx->tlsext_tick_hmac_key),
2997                          EVP_sha256(), NULL) <= 0
2998             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
2999                                   tctx->tlsext_tick_aes_key,
3000                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
3001             0) {
3002             goto err;
3003         }
3004     }
3005     /*
3006      * Attempt to process session ticket, first conduct sanity and integrity
3007      * checks on ticket.
3008      */
3009     mlen = HMAC_size(hctx);
3010     if (mlen == 0) {
3011         goto err;
3012     }
3013     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3014     if (eticklen <=
3015         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3016         ret = 2;
3017         goto err;
3018     }
3019     eticklen -= mlen;
3020     /* Check HMAC of encrypted ticket */
3021     if (HMAC_Update(hctx, etick, eticklen) <= 0
3022         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3023         goto err;
3024     }
3025     HMAC_CTX_free(hctx);
3026     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3027         EVP_CIPHER_CTX_free(ctx);
3028         return 2;
3029     }
3030     /* Attempt to decrypt session data */
3031     /* Move p after IV to start of encrypted ticket, update length */
3032     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3033     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3034     sdec = OPENSSL_malloc(eticklen);
3035     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p,
3036                                           (int)eticklen) <= 0) {
3037         EVP_CIPHER_CTX_free(ctx);
3038         OPENSSL_free(sdec);
3039         return -1;
3040     }
3041     if (EVP_DecryptFinal(ctx, sdec + slen, &declen) <= 0) {
3042         EVP_CIPHER_CTX_free(ctx);
3043         OPENSSL_free(sdec);
3044         return 2;
3045     }
3046     slen += declen;
3047     EVP_CIPHER_CTX_free(ctx);
3048     ctx = NULL;
3049     p = sdec;
3050
3051     sess = d2i_SSL_SESSION(NULL, &p, slen);
3052     OPENSSL_free(sdec);
3053     if (sess) {
3054         /*
3055          * The session ID, if non-empty, is used by some clients to detect
3056          * that the ticket has been accepted. So we copy it to the session
3057          * structure. If it is empty set length to zero as required by
3058          * standard.
3059          */
3060         if (sesslen)
3061             memcpy(sess->session_id, sess_id, sesslen);
3062         sess->session_id_length = sesslen;
3063         *psess = sess;
3064         if (renew_ticket)
3065             return 4;
3066         else
3067             return 3;
3068     }
3069     ERR_clear_error();
3070     /*
3071      * For session parse failure, indicate that we need to send a new ticket.
3072      */
3073     return 2;
3074  err:
3075     EVP_CIPHER_CTX_free(ctx);
3076     HMAC_CTX_free(hctx);
3077     return ret;
3078 }
3079
3080 /* Tables to translate from NIDs to TLS v1.2 ids */
3081
3082 typedef struct {
3083     int nid;
3084     int id;
3085 } tls12_lookup;
3086
3087 static const tls12_lookup tls12_md[] = {
3088     {NID_md5, TLSEXT_hash_md5},
3089     {NID_sha1, TLSEXT_hash_sha1},
3090     {NID_sha224, TLSEXT_hash_sha224},
3091     {NID_sha256, TLSEXT_hash_sha256},
3092     {NID_sha384, TLSEXT_hash_sha384},
3093     {NID_sha512, TLSEXT_hash_sha512},
3094     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3095     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3096     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3097 };
3098
3099 static const tls12_lookup tls12_sig[] = {
3100     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3101     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3102     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3103     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3104     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3105     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3106 };
3107
3108 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3109 {
3110     size_t i;
3111     for (i = 0; i < tlen; i++) {
3112         if (table[i].nid == nid)
3113             return table[i].id;
3114     }
3115     return -1;
3116 }
3117
3118 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3119 {
3120     size_t i;
3121     for (i = 0; i < tlen; i++) {
3122         if ((table[i].id) == id)
3123             return table[i].nid;
3124     }
3125     return NID_undef;
3126 }
3127
3128 int tls12_get_sigandhash(WPACKET *pkt, const EVP_PKEY *pk, const EVP_MD *md)
3129 {
3130     int sig_id, md_id;
3131
3132     if (md == NULL)
3133         return 0;
3134     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3135     if (md_id == -1)
3136         return 0;
3137     sig_id = tls12_get_sigid(pk);
3138     if (sig_id == -1)
3139         return 0;
3140     if (!WPACKET_put_bytes_u8(pkt, md_id) || !WPACKET_put_bytes_u8(pkt, sig_id))
3141         return 0;
3142
3143     return 1;
3144 }
3145
3146 int tls12_get_sigid(const EVP_PKEY *pk)
3147 {
3148     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3149 }
3150
3151 typedef struct {
3152     int nid;
3153     int secbits;
3154     int md_idx;
3155     unsigned char tlsext_hash;
3156 } tls12_hash_info;
3157
3158 static const tls12_hash_info tls12_md_info[] = {
3159     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3160     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3161     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3162     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3163     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3164     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3165     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3166     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3167      TLSEXT_hash_gostr34112012_256},
3168     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3169      TLSEXT_hash_gostr34112012_512},
3170 };
3171
3172 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3173 {
3174     unsigned int i;
3175     if (hash_alg == 0)
3176         return NULL;
3177
3178     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3179         if (tls12_md_info[i].tlsext_hash == hash_alg)
3180             return tls12_md_info + i;
3181     }
3182
3183     return NULL;
3184 }
3185
3186 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3187 {
3188     const tls12_hash_info *inf;
3189     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3190         return NULL;
3191     inf = tls12_get_hash_info(hash_alg);
3192     if (!inf)
3193         return NULL;
3194     return ssl_md(inf->md_idx);
3195 }
3196
3197 static int tls12_get_pkey_idx(unsigned char sig_alg)
3198 {
3199     switch (sig_alg) {
3200 #ifndef OPENSSL_NO_RSA
3201     case TLSEXT_signature_rsa:
3202         return SSL_PKEY_RSA_SIGN;
3203 #endif
3204 #ifndef OPENSSL_NO_DSA
3205     case TLSEXT_signature_dsa:
3206         return SSL_PKEY_DSA_SIGN;
3207 #endif
3208 #ifndef OPENSSL_NO_EC
3209     case TLSEXT_signature_ecdsa:
3210         return SSL_PKEY_ECC;
3211 #endif
3212 #ifndef OPENSSL_NO_GOST
3213     case TLSEXT_signature_gostr34102001:
3214         return SSL_PKEY_GOST01;
3215
3216     case TLSEXT_signature_gostr34102012_256:
3217         return SSL_PKEY_GOST12_256;
3218
3219     case TLSEXT_signature_gostr34102012_512:
3220         return SSL_PKEY_GOST12_512;
3221 #endif
3222     }
3223     return -1;
3224 }
3225
3226 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3227 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3228                                int *psignhash_nid, const unsigned char *data)
3229 {
3230     int sign_nid = NID_undef, hash_nid = NID_undef;
3231     if (!phash_nid && !psign_nid && !psignhash_nid)
3232         return;
3233     if (phash_nid || psignhash_nid) {
3234         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3235         if (phash_nid)
3236             *phash_nid = hash_nid;
3237     }
3238     if (psign_nid || psignhash_nid) {
3239         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3240         if (psign_nid)
3241             *psign_nid = sign_nid;
3242     }
3243     if (psignhash_nid) {
3244         if (sign_nid == NID_undef || hash_nid == NID_undef
3245             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3246             *psignhash_nid = NID_undef;
3247     }
3248 }
3249
3250 /* Check to see if a signature algorithm is allowed */
3251 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3252 {
3253     /* See if we have an entry in the hash table and it is enabled */
3254     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3255     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3256         return 0;
3257     /* See if public key algorithm allowed */
3258     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3259         return 0;
3260     /* Finally see if security callback allows it */
3261     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3262 }
3263
3264 /*
3265  * Get a mask of disabled public key algorithms based on supported signature
3266  * algorithms. For example if no signature algorithm supports RSA then RSA is
3267  * disabled.
3268  */
3269
3270 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3271 {
3272     const unsigned char *sigalgs;
3273     size_t i, sigalgslen;
3274     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3275     /*
3276      * Now go through all signature algorithms seeing if we support any for
3277      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3278      * down calls to security callback only check if we have to.
3279      */
3280     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3281     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3282         switch (sigalgs[1]) {
3283 #ifndef OPENSSL_NO_RSA
3284         case TLSEXT_signature_rsa:
3285             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3286                 have_rsa = 1;
3287             break;
3288 #endif
3289 #ifndef OPENSSL_NO_DSA
3290         case TLSEXT_signature_dsa:
3291             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3292                 have_dsa = 1;
3293             break;
3294 #endif
3295 #ifndef OPENSSL_NO_EC
3296         case TLSEXT_signature_ecdsa:
3297             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3298                 have_ecdsa = 1;
3299             break;
3300 #endif
3301         }
3302     }
3303     if (!have_rsa)
3304         *pmask_a |= SSL_aRSA;
3305     if (!have_dsa)
3306         *pmask_a |= SSL_aDSS;
3307     if (!have_ecdsa)
3308         *pmask_a |= SSL_aECDSA;
3309 }
3310
3311 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3312                        const unsigned char *psig, size_t psiglen)
3313 {
3314     size_t i;
3315
3316     for (i = 0; i < psiglen; i += 2, psig += 2) {
3317         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3318             if (!WPACKET_put_bytes_u8(pkt, psig[0])
3319                     || !WPACKET_put_bytes_u8(pkt, psig[1]))
3320                 return 0;
3321         }
3322     }
3323     return 1;
3324 }
3325
3326 /* Given preference and allowed sigalgs set shared sigalgs */
3327 static size_t tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3328                                    const unsigned char *pref, size_t preflen,
3329                                    const unsigned char *allow, size_t allowlen)
3330 {
3331     const unsigned char *ptmp, *atmp;
3332     size_t i, j, nmatch = 0;
3333     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3334         /* Skip disabled hashes or signature algorithms */
3335         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3336             continue;
3337         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3338             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3339                 nmatch++;
3340                 if (shsig) {
3341                     shsig->rhash = ptmp[0];
3342                     shsig->rsign = ptmp[1];
3343                     tls1_lookup_sigalg(&shsig->hash_nid,
3344                                        &shsig->sign_nid,
3345                                        &shsig->signandhash_nid, ptmp);
3346                     shsig++;
3347                 }
3348                 break;
3349             }
3350         }
3351     }
3352     return nmatch;
3353 }
3354
3355 /* Set shared signature algorithms for SSL structures */
3356 static int tls1_set_shared_sigalgs(SSL *s)
3357 {
3358     const unsigned char *pref, *allow, *conf;
3359     size_t preflen, allowlen, conflen;
3360     size_t nmatch;
3361     TLS_SIGALGS *salgs = NULL;
3362     CERT *c = s->cert;
3363     unsigned int is_suiteb = tls1_suiteb(s);
3364
3365     OPENSSL_free(c->shared_sigalgs);
3366     c->shared_sigalgs = NULL;
3367     c->shared_sigalgslen = 0;
3368     /* If client use client signature algorithms if not NULL */
3369     if (!s->server && c->client_sigalgs && !is_suiteb) {
3370         conf = c->client_sigalgs;
3371         conflen = c->client_sigalgslen;
3372     } else if (c->conf_sigalgs && !is_suiteb) {
3373         conf = c->conf_sigalgs;
3374         conflen = c->conf_sigalgslen;
3375     } else
3376         conflen = tls12_get_psigalgs(s, &conf);
3377     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3378         pref = conf;
3379         preflen = conflen;
3380         allow = s->s3->tmp.peer_sigalgs;
3381         allowlen = s->s3->tmp.peer_sigalgslen;
3382     } else {
3383         allow = conf;
3384         allowlen = conflen;
3385         pref = s->s3->tmp.peer_sigalgs;
3386         preflen = s->s3->tmp.peer_sigalgslen;
3387     }
3388     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3389     if (nmatch) {
3390         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3391         if (salgs == NULL)
3392             return 0;
3393         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3394     } else {
3395         salgs = NULL;
3396     }
3397     c->shared_sigalgs = salgs;
3398     c->shared_sigalgslen = nmatch;
3399     return 1;
3400 }
3401
3402 /* Set preferred digest for each key type */
3403
3404 int tls1_save_sigalgs(SSL *s, const unsigned char *data, size_t dsize)
3405 {
3406     CERT *c = s->cert;
3407     /* Extension ignored for inappropriate versions */
3408     if (!SSL_USE_SIGALGS(s))
3409         return 1;
3410     /* Should never happen */
3411     if (!c)
3412         return 0;
3413
3414     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3415     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3416     if (s->s3->tmp.peer_sigalgs == NULL)
3417         return 0;
3418     s->s3->tmp.peer_sigalgslen = dsize;
3419     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3420     return 1;
3421 }
3422
3423 int tls1_process_sigalgs(SSL *s)
3424 {
3425     int idx;
3426     size_t i;
3427     const EVP_MD *md;
3428     const EVP_MD **pmd = s->s3->tmp.md;
3429     uint32_t *pvalid = s->s3->tmp.valid_flags;
3430     CERT *c = s->cert;
3431     TLS_SIGALGS *sigptr;
3432     if (!tls1_set_shared_sigalgs(s))
3433         return 0;
3434
3435     for (i = 0, sigptr = c->shared_sigalgs;
3436          i < c->shared_sigalgslen; i++, sigptr++) {
3437         idx = tls12_get_pkey_idx(sigptr->rsign);
3438         if (idx > 0 && pmd[idx] == NULL) {
3439             md = tls12_get_hash(sigptr->rhash);
3440             pmd[idx] = md;
3441             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3442             if (idx == SSL_PKEY_RSA_SIGN) {
3443                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3444                 pmd[SSL_PKEY_RSA_ENC] = md;
3445             }
3446         }
3447
3448     }
3449     /*
3450      * In strict mode leave unset digests as NULL to indicate we can't use
3451      * the certificate for signing.
3452      */
3453     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3454         /*
3455          * Set any remaining keys to default values. NOTE: if alg is not
3456          * supported it stays as NULL.
3457          */
3458 #ifndef OPENSSL_NO_DSA
3459         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3460             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3461 #endif
3462 #ifndef OPENSSL_NO_RSA
3463         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3464             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3465             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3466         }
3467 #endif
3468 #ifndef OPENSSL_NO_EC
3469         if (pmd[SSL_PKEY_ECC] == NULL)
3470             pmd[SSL_PKEY_ECC] = EVP_sha1();
3471 #endif
3472 #ifndef OPENSSL_NO_GOST
3473         if (pmd[SSL_PKEY_GOST01] == NULL)
3474             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3475         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3476             pmd[SSL_PKEY_GOST12_256] =
3477                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3478         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3479             pmd[SSL_PKEY_GOST12_512] =
3480                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3481 #endif
3482     }
3483     return 1;
3484 }
3485
3486 int SSL_get_sigalgs(SSL *s, int idx,
3487                     int *psign, int *phash, int *psignhash,
3488                     unsigned char *rsig, unsigned char *rhash)
3489 {
3490     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3491     size_t numsigalgs = s->s3->tmp.peer_sigalgslen / 2;
3492     if (psig == NULL || numsigalgs > INT_MAX)
3493         return 0;
3494     if (idx >= 0) {
3495         idx <<= 1;
3496         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3497             return 0;
3498         psig += idx;
3499         if (rhash)
3500             *rhash = psig[0];
3501         if (rsig)
3502             *rsig = psig[1];
3503         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3504     }
3505     return (int)numsigalgs;
3506 }
3507
3508 int SSL_get_shared_sigalgs(SSL *s, int idx,
3509                            int *psign, int *phash, int *psignhash,
3510                            unsigned char *rsig, unsigned char *rhash)
3511 {
3512     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3513     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen
3514             || s->cert->shared_sigalgslen > INT_MAX)
3515         return 0;
3516     shsigalgs += idx;
3517     if (phash)
3518         *phash = shsigalgs->hash_nid;
3519     if (psign)
3520         *psign = shsigalgs->sign_nid;
3521     if (psignhash)
3522         *psignhash = shsigalgs->signandhash_nid;
3523     if (rsig)
3524         *rsig = shsigalgs->rsign;
3525     if (rhash)
3526         *rhash = shsigalgs->rhash;
3527     return (int)s->cert->shared_sigalgslen;
3528 }
3529
3530 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3531
3532 typedef struct {
3533     size_t sigalgcnt;
3534     int sigalgs[MAX_SIGALGLEN];
3535 } sig_cb_st;
3536
3537 static void get_sigorhash(int *psig, int *phash, const char *str)
3538 {
3539     if (strcmp(str, "RSA") == 0) {
3540         *psig = EVP_PKEY_RSA;
3541     } else if (strcmp(str, "DSA") == 0) {
3542         *psig = EVP_PKEY_DSA;
3543     } else if (strcmp(str, "ECDSA") == 0) {
3544         *psig = EVP_PKEY_EC;
3545     } else {
3546         *phash = OBJ_sn2nid(str);
3547         if (*phash == NID_undef)
3548             *phash = OBJ_ln2nid(str);
3549     }
3550 }
3551
3552 static int sig_cb(const char *elem, int len, void *arg)
3553 {
3554     sig_cb_st *sarg = arg;
3555     size_t i;
3556     char etmp[20], *p;
3557     int sig_alg = NID_undef, hash_alg = NID_undef;
3558     if (elem == NULL)
3559         return 0;
3560     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3561         return 0;
3562     if (len > (int)(sizeof(etmp) - 1))
3563         return 0;
3564     memcpy(etmp, elem, len);
3565     etmp[len] = 0;
3566     p = strchr(etmp, '+');
3567     if (!p)
3568         return 0;
3569     *p = 0;
3570     p++;
3571     if (!*p)
3572         return 0;
3573
3574     get_sigorhash(&sig_alg, &hash_alg, etmp);
3575     get_sigorhash(&sig_alg, &hash_alg, p);
3576
3577     if (sig_alg == NID_undef || hash_alg == NID_undef)
3578         return 0;
3579
3580     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3581         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3582             return 0;
3583     }
3584     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3585     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3586     return 1;
3587 }
3588
3589 /*
3590  * Set supported signature algorithms based on a colon separated list of the
3591  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3592  */