Move from explicit sub-packets to implicit ones
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
24                               const unsigned char *sess_id, int sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS1_FINISH_MAC_LENGTH,
37     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
38     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
39     tls1_alert_code,
40     tls1_export_keying_material,
41     0,
42     SSL3_HM_HEADER_LENGTH,
43     ssl3_set_handshake_header,
44     ssl3_set_handshake_header2,
45     tls_close_construct_packet,
46     ssl3_handshake_write
47 };
48
49 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
50     tls1_enc,
51     tls1_mac,
52     tls1_setup_key_block,
53     tls1_generate_master_secret,
54     tls1_change_cipher_state,
55     tls1_final_finish_mac,
56     TLS1_FINISH_MAC_LENGTH,
57     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
58     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
59     tls1_alert_code,
60     tls1_export_keying_material,
61     SSL_ENC_FLAG_EXPLICIT_IV,
62     SSL3_HM_HEADER_LENGTH,
63     ssl3_set_handshake_header,
64     ssl3_set_handshake_header2,
65     tls_close_construct_packet,
66     ssl3_handshake_write
67 };
68
69 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
70     tls1_enc,
71     tls1_mac,
72     tls1_setup_key_block,
73     tls1_generate_master_secret,
74     tls1_change_cipher_state,
75     tls1_final_finish_mac,
76     TLS1_FINISH_MAC_LENGTH,
77     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
78     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
79     tls1_alert_code,
80     tls1_export_keying_material,
81     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
82         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
83     SSL3_HM_HEADER_LENGTH,
84     ssl3_set_handshake_header,
85     ssl3_set_handshake_header2,
86     tls_close_construct_packet,
87     ssl3_handshake_write
88 };
89
90 long tls1_default_timeout(void)
91 {
92     /*
93      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
94      * http, the cache would over fill
95      */
96     return (60 * 60 * 2);
97 }
98
99 int tls1_new(SSL *s)
100 {
101     if (!ssl3_new(s))
102         return (0);
103     s->method->ssl_clear(s);
104     return (1);
105 }
106
107 void tls1_free(SSL *s)
108 {
109     OPENSSL_free(s->tlsext_session_ticket);
110     ssl3_free(s);
111 }
112
113 void tls1_clear(SSL *s)
114 {
115     ssl3_clear(s);
116     if (s->method->version == TLS_ANY_VERSION)
117         s->version = TLS_MAX_VERSION;
118     else
119         s->version = s->method->version;
120 }
121
122 #ifndef OPENSSL_NO_EC
123
124 typedef struct {
125     int nid;                    /* Curve NID */
126     int secbits;                /* Bits of security (from SP800-57) */
127     unsigned int flags;         /* Flags: currently just field type */
128 } tls_curve_info;
129
130 /*
131  * Table of curve information.
132  * Do not delete entries or reorder this array! It is used as a lookup
133  * table: the index of each entry is one less than the TLS curve id.
134  */
135 static const tls_curve_info nid_list[] = {
136     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
137     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
138     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
139     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
140     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
141     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
142     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
143     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
144     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
145     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
146     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
147     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
148     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
149     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
150     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
151     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
152     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
153     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
154     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
155     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
156     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
157     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
158     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
159     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
160     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
161     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
162     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
163     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
164     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
165 };
166
167 static const unsigned char ecformats_default[] = {
168     TLSEXT_ECPOINTFORMAT_uncompressed,
169     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
170     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
171 };
172
173 /* The default curves */
174 static const unsigned char eccurves_default[] = {
175     0, 29,                      /* X25519 (29) */
176     0, 23,                      /* secp256r1 (23) */
177     0, 25,                      /* secp521r1 (25) */
178     0, 24,                      /* secp384r1 (24) */
179 };
180
181 static const unsigned char eccurves_all[] = {
182     0, 29,                      /* X25519 (29) */
183     0, 23,                      /* secp256r1 (23) */
184     0, 25,                      /* secp521r1 (25) */
185     0, 24,                      /* secp384r1 (24) */
186     0, 26,                      /* brainpoolP256r1 (26) */
187     0, 27,                      /* brainpoolP384r1 (27) */
188     0, 28,                      /* brainpool512r1 (28) */
189
190     /*
191      * Remaining curves disabled by default but still permitted if set
192      * via an explicit callback or parameters.
193      */
194     0, 22,                      /* secp256k1 (22) */
195     0, 14,                      /* sect571r1 (14) */
196     0, 13,                      /* sect571k1 (13) */
197     0, 11,                      /* sect409k1 (11) */
198     0, 12,                      /* sect409r1 (12) */
199     0, 9,                       /* sect283k1 (9) */
200     0, 10,                      /* sect283r1 (10) */
201     0, 20,                      /* secp224k1 (20) */
202     0, 21,                      /* secp224r1 (21) */
203     0, 18,                      /* secp192k1 (18) */
204     0, 19,                      /* secp192r1 (19) */
205     0, 15,                      /* secp160k1 (15) */
206     0, 16,                      /* secp160r1 (16) */
207     0, 17,                      /* secp160r2 (17) */
208     0, 8,                       /* sect239k1 (8) */
209     0, 6,                       /* sect233k1 (6) */
210     0, 7,                       /* sect233r1 (7) */
211     0, 4,                       /* sect193r1 (4) */
212     0, 5,                       /* sect193r2 (5) */
213     0, 1,                       /* sect163k1 (1) */
214     0, 2,                       /* sect163r1 (2) */
215     0, 3,                       /* sect163r2 (3) */
216 };
217
218 static const unsigned char suiteb_curves[] = {
219     0, TLSEXT_curve_P_256,
220     0, TLSEXT_curve_P_384
221 };
222
223 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
224 {
225     const tls_curve_info *cinfo;
226     /* ECC curves from RFC 4492 and RFC 7027 */
227     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
228         return 0;
229     cinfo = nid_list + curve_id - 1;
230     if (pflags)
231         *pflags = cinfo->flags;
232     return cinfo->nid;
233 }
234
235 int tls1_ec_nid2curve_id(int nid)
236 {
237     size_t i;
238     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
239         if (nid_list[i].nid == nid)
240             return i + 1;
241     }
242     return 0;
243 }
244
245 /*
246  * Get curves list, if "sess" is set return client curves otherwise
247  * preferred list.
248  * Sets |num_curves| to the number of curves in the list, i.e.,
249  * the length of |pcurves| is 2 * num_curves.
250  * Returns 1 on success and 0 if the client curves list has invalid format.
251  * The latter indicates an internal error: we should not be accepting such
252  * lists in the first place.
253  * TODO(emilia): we should really be storing the curves list in explicitly
254  * parsed form instead. (However, this would affect binary compatibility
255  * so cannot happen in the 1.0.x series.)
256  */
257 static int tls1_get_curvelist(SSL *s, int sess,
258                               const unsigned char **pcurves, size_t *num_curves)
259 {
260     size_t pcurveslen = 0;
261     if (sess) {
262         *pcurves = s->session->tlsext_ellipticcurvelist;
263         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
264     } else {
265         /* For Suite B mode only include P-256, P-384 */
266         switch (tls1_suiteb(s)) {
267         case SSL_CERT_FLAG_SUITEB_128_LOS:
268             *pcurves = suiteb_curves;
269             pcurveslen = sizeof(suiteb_curves);
270             break;
271
272         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
273             *pcurves = suiteb_curves;
274             pcurveslen = 2;
275             break;
276
277         case SSL_CERT_FLAG_SUITEB_192_LOS:
278             *pcurves = suiteb_curves + 2;
279             pcurveslen = 2;
280             break;
281         default:
282             *pcurves = s->tlsext_ellipticcurvelist;
283             pcurveslen = s->tlsext_ellipticcurvelist_length;
284         }
285         if (!*pcurves) {
286             *pcurves = eccurves_default;
287             pcurveslen = sizeof(eccurves_default);
288         }
289     }
290
291     /* We do not allow odd length arrays to enter the system. */
292     if (pcurveslen & 1) {
293         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
294         *num_curves = 0;
295         return 0;
296     } else {
297         *num_curves = pcurveslen / 2;
298         return 1;
299     }
300 }
301
302 /* See if curve is allowed by security callback */
303 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
304 {
305     const tls_curve_info *cinfo;
306     if (curve[0])
307         return 1;
308     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
309         return 0;
310     cinfo = &nid_list[curve[1] - 1];
311 # ifdef OPENSSL_NO_EC2M
312     if (cinfo->flags & TLS_CURVE_CHAR2)
313         return 0;
314 # endif
315     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
316 }
317
318 /* Check a curve is one of our preferences */
319 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
320 {
321     const unsigned char *curves;
322     size_t num_curves, i;
323     unsigned int suiteb_flags = tls1_suiteb(s);
324     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
325         return 0;
326     /* Check curve matches Suite B preferences */
327     if (suiteb_flags) {
328         unsigned long cid = s->s3->tmp.new_cipher->id;
329         if (p[1])
330             return 0;
331         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
332             if (p[2] != TLSEXT_curve_P_256)
333                 return 0;
334         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
335             if (p[2] != TLSEXT_curve_P_384)
336                 return 0;
337         } else                  /* Should never happen */
338             return 0;
339     }
340     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
341         return 0;
342     for (i = 0; i < num_curves; i++, curves += 2) {
343         if (p[1] == curves[0] && p[2] == curves[1])
344             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
345     }
346     return 0;
347 }
348
349 /*-
350  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
351  * if there is no match.
352  * For nmatch == -1, return number of matches
353  * For nmatch == -2, return the NID of the curve to use for
354  * an EC tmp key, or NID_undef if there is no match.
355  */
356 int tls1_shared_curve(SSL *s, int nmatch)
357 {
358     const unsigned char *pref, *supp;
359     size_t num_pref, num_supp, i, j;
360     int k;
361     /* Can't do anything on client side */
362     if (s->server == 0)
363         return -1;
364     if (nmatch == -2) {
365         if (tls1_suiteb(s)) {
366             /*
367              * For Suite B ciphersuite determines curve: we already know
368              * these are acceptable due to previous checks.
369              */
370             unsigned long cid = s->s3->tmp.new_cipher->id;
371             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
372                 return NID_X9_62_prime256v1; /* P-256 */
373             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
374                 return NID_secp384r1; /* P-384 */
375             /* Should never happen */
376             return NID_undef;
377         }
378         /* If not Suite B just return first preference shared curve */
379         nmatch = 0;
380     }
381     /*
382      * Avoid truncation. tls1_get_curvelist takes an int
383      * but s->options is a long...
384      */
385     if (!tls1_get_curvelist
386         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
387          &num_supp))
388         /* In practice, NID_undef == 0 but let's be precise. */
389         return nmatch == -1 ? 0 : NID_undef;
390     if (!tls1_get_curvelist
391         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
392         return nmatch == -1 ? 0 : NID_undef;
393
394     /*
395      * If the client didn't send the elliptic_curves extension all of them
396      * are allowed.
397      */
398     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
399         supp = eccurves_all;
400         num_supp = sizeof(eccurves_all) / 2;
401     } else if (num_pref == 0 &&
402                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
403         pref = eccurves_all;
404         num_pref = sizeof(eccurves_all) / 2;
405     }
406
407     k = 0;
408     for (i = 0; i < num_pref; i++, pref += 2) {
409         const unsigned char *tsupp = supp;
410         for (j = 0; j < num_supp; j++, tsupp += 2) {
411             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
412                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
413                     continue;
414                 if (nmatch == k) {
415                     int id = (pref[0] << 8) | pref[1];
416                     return tls1_ec_curve_id2nid(id, NULL);
417                 }
418                 k++;
419             }
420         }
421     }
422     if (nmatch == -1)
423         return k;
424     /* Out of range (nmatch > k). */
425     return NID_undef;
426 }
427
428 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
429                     int *curves, size_t ncurves)
430 {
431     unsigned char *clist, *p;
432     size_t i;
433     /*
434      * Bitmap of curves included to detect duplicates: only works while curve
435      * ids < 32
436      */
437     unsigned long dup_list = 0;
438     clist = OPENSSL_malloc(ncurves * 2);
439     if (clist == NULL)
440         return 0;
441     for (i = 0, p = clist; i < ncurves; i++) {
442         unsigned long idmask;
443         int id;
444         id = tls1_ec_nid2curve_id(curves[i]);
445         idmask = 1L << id;
446         if (!id || (dup_list & idmask)) {
447             OPENSSL_free(clist);
448             return 0;
449         }
450         dup_list |= idmask;
451         s2n(id, p);
452     }
453     OPENSSL_free(*pext);
454     *pext = clist;
455     *pextlen = ncurves * 2;
456     return 1;
457 }
458
459 # define MAX_CURVELIST   28
460
461 typedef struct {
462     size_t nidcnt;
463     int nid_arr[MAX_CURVELIST];
464 } nid_cb_st;
465
466 static int nid_cb(const char *elem, int len, void *arg)
467 {
468     nid_cb_st *narg = arg;
469     size_t i;
470     int nid;
471     char etmp[20];
472     if (elem == NULL)
473         return 0;
474     if (narg->nidcnt == MAX_CURVELIST)
475         return 0;
476     if (len > (int)(sizeof(etmp) - 1))
477         return 0;
478     memcpy(etmp, elem, len);
479     etmp[len] = 0;
480     nid = EC_curve_nist2nid(etmp);
481     if (nid == NID_undef)
482         nid = OBJ_sn2nid(etmp);
483     if (nid == NID_undef)
484         nid = OBJ_ln2nid(etmp);
485     if (nid == NID_undef)
486         return 0;
487     for (i = 0; i < narg->nidcnt; i++)
488         if (narg->nid_arr[i] == nid)
489             return 0;
490     narg->nid_arr[narg->nidcnt++] = nid;
491     return 1;
492 }
493
494 /* Set curves based on a colon separate list */
495 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen, const char *str)
496 {
497     nid_cb_st ncb;
498     ncb.nidcnt = 0;
499     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
500         return 0;
501     if (pext == NULL)
502         return 1;
503     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
504 }
505
506 /* For an EC key set TLS id and required compression based on parameters */
507 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
508                           EC_KEY *ec)
509 {
510     int id;
511     const EC_GROUP *grp;
512     if (!ec)
513         return 0;
514     /* Determine if it is a prime field */
515     grp = EC_KEY_get0_group(ec);
516     if (!grp)
517         return 0;
518     /* Determine curve ID */
519     id = EC_GROUP_get_curve_name(grp);
520     id = tls1_ec_nid2curve_id(id);
521     /* If no id return error: we don't support arbitrary explicit curves */
522     if (id == 0)
523         return 0;
524     curve_id[0] = 0;
525     curve_id[1] = (unsigned char)id;
526     if (comp_id) {
527         if (EC_KEY_get0_public_key(ec) == NULL)
528             return 0;
529         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
530             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
531         } else {
532             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
533                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
534             else
535                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
536         }
537     }
538     return 1;
539 }
540
541 /* Check an EC key is compatible with extensions */
542 static int tls1_check_ec_key(SSL *s,
543                              unsigned char *curve_id, unsigned char *comp_id)
544 {
545     const unsigned char *pformats, *pcurves;
546     size_t num_formats, num_curves, i;
547     int j;
548     /*
549      * If point formats extension present check it, otherwise everything is
550      * supported (see RFC4492).
551      */
552     if (comp_id && s->session->tlsext_ecpointformatlist) {
553         pformats = s->session->tlsext_ecpointformatlist;
554         num_formats = s->session->tlsext_ecpointformatlist_length;
555         for (i = 0; i < num_formats; i++, pformats++) {
556             if (*comp_id == *pformats)
557                 break;
558         }
559         if (i == num_formats)
560             return 0;
561     }
562     if (!curve_id)
563         return 1;
564     /* Check curve is consistent with client and server preferences */
565     for (j = 0; j <= 1; j++) {
566         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
567             return 0;
568         if (j == 1 && num_curves == 0) {
569             /*
570              * If we've not received any curves then skip this check.
571              * RFC 4492 does not require the supported elliptic curves extension
572              * so if it is not sent we can just choose any curve.
573              * It is invalid to send an empty list in the elliptic curves
574              * extension, so num_curves == 0 always means no extension.
575              */
576             break;
577         }
578         for (i = 0; i < num_curves; i++, pcurves += 2) {
579             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
580                 break;
581         }
582         if (i == num_curves)
583             return 0;
584         /* For clients can only check sent curve list */
585         if (!s->server)
586             break;
587     }
588     return 1;
589 }
590
591 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
592                                 size_t *num_formats)
593 {
594     /*
595      * If we have a custom point format list use it otherwise use default
596      */
597     if (s->tlsext_ecpointformatlist) {
598         *pformats = s->tlsext_ecpointformatlist;
599         *num_formats = s->tlsext_ecpointformatlist_length;
600     } else {
601         *pformats = ecformats_default;
602         /* For Suite B we don't support char2 fields */
603         if (tls1_suiteb(s))
604             *num_formats = sizeof(ecformats_default) - 1;
605         else
606             *num_formats = sizeof(ecformats_default);
607     }
608 }
609
610 /*
611  * Check cert parameters compatible with extensions: currently just checks EC
612  * certificates have compatible curves and compression.
613  */
614 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
615 {
616     unsigned char comp_id, curve_id[2];
617     EVP_PKEY *pkey;
618     int rv;
619     pkey = X509_get0_pubkey(x);
620     if (!pkey)
621         return 0;
622     /* If not EC nothing to do */
623     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
624         return 1;
625     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
626     if (!rv)
627         return 0;
628     /*
629      * Can't check curve_id for client certs as we don't have a supported
630      * curves extension.
631      */
632     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
633     if (!rv)
634         return 0;
635     /*
636      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
637      * SHA384+P-384, adjust digest if necessary.
638      */
639     if (set_ee_md && tls1_suiteb(s)) {
640         int check_md;
641         size_t i;
642         CERT *c = s->cert;
643         if (curve_id[0])
644             return 0;
645         /* Check to see we have necessary signing algorithm */
646         if (curve_id[1] == TLSEXT_curve_P_256)
647             check_md = NID_ecdsa_with_SHA256;
648         else if (curve_id[1] == TLSEXT_curve_P_384)
649             check_md = NID_ecdsa_with_SHA384;
650         else
651             return 0;           /* Should never happen */
652         for (i = 0; i < c->shared_sigalgslen; i++)
653             if (check_md == c->shared_sigalgs[i].signandhash_nid)
654                 break;
655         if (i == c->shared_sigalgslen)
656             return 0;
657         if (set_ee_md == 2) {
658             if (check_md == NID_ecdsa_with_SHA256)
659                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
660             else
661                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
662         }
663     }
664     return rv;
665 }
666
667 # ifndef OPENSSL_NO_EC
668 /*
669  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
670  * @s: SSL connection
671  * @cid: Cipher ID we're considering using
672  *
673  * Checks that the kECDHE cipher suite we're considering using
674  * is compatible with the client extensions.
675  *
676  * Returns 0 when the cipher can't be used or 1 when it can.
677  */
678 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
679 {
680     /*
681      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
682      * curves permitted.
683      */
684     if (tls1_suiteb(s)) {
685         unsigned char curve_id[2];
686         /* Curve to check determined by ciphersuite */
687         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
688             curve_id[1] = TLSEXT_curve_P_256;
689         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
690             curve_id[1] = TLSEXT_curve_P_384;
691         else
692             return 0;
693         curve_id[0] = 0;
694         /* Check this curve is acceptable */
695         if (!tls1_check_ec_key(s, curve_id, NULL))
696             return 0;
697         return 1;
698     }
699     /* Need a shared curve */
700     if (tls1_shared_curve(s, 0))
701         return 1;
702     return 0;
703 }
704 # endif                         /* OPENSSL_NO_EC */
705
706 #else
707
708 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
709 {
710     return 1;
711 }
712
713 #endif                          /* OPENSSL_NO_EC */
714
715 /*
716  * List of supported signature algorithms and hashes. Should make this
717  * customisable at some point, for now include everything we support.
718  */
719
720 #ifdef OPENSSL_NO_RSA
721 # define tlsext_sigalg_rsa(md)  /* */
722 #else
723 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
724 #endif
725
726 #ifdef OPENSSL_NO_DSA
727 # define tlsext_sigalg_dsa(md)  /* */
728 #else
729 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
730 #endif
731
732 #ifdef OPENSSL_NO_EC
733 # define tlsext_sigalg_ecdsa(md)/* */
734 #else
735 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
736 #endif
737
738 #define tlsext_sigalg(md) \
739                 tlsext_sigalg_rsa(md) \
740                 tlsext_sigalg_dsa(md) \
741                 tlsext_sigalg_ecdsa(md)
742
743 static const unsigned char tls12_sigalgs[] = {
744     tlsext_sigalg(TLSEXT_hash_sha512)
745         tlsext_sigalg(TLSEXT_hash_sha384)
746         tlsext_sigalg(TLSEXT_hash_sha256)
747         tlsext_sigalg(TLSEXT_hash_sha224)
748         tlsext_sigalg(TLSEXT_hash_sha1)
749 #ifndef OPENSSL_NO_GOST
750         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
751     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
752     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
753 #endif
754 };
755
756 #ifndef OPENSSL_NO_EC
757 static const unsigned char suiteb_sigalgs[] = {
758     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
759         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
760 };
761 #endif
762 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
763 {
764     /*
765      * If Suite B mode use Suite B sigalgs only, ignore any other
766      * preferences.
767      */
768 #ifndef OPENSSL_NO_EC
769     switch (tls1_suiteb(s)) {
770     case SSL_CERT_FLAG_SUITEB_128_LOS:
771         *psigs = suiteb_sigalgs;
772         return sizeof(suiteb_sigalgs);
773
774     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
775         *psigs = suiteb_sigalgs;
776         return 2;
777
778     case SSL_CERT_FLAG_SUITEB_192_LOS:
779         *psigs = suiteb_sigalgs + 2;
780         return 2;
781     }
782 #endif
783     /* If server use client authentication sigalgs if not NULL */
784     if (s->server && s->cert->client_sigalgs) {
785         *psigs = s->cert->client_sigalgs;
786         return s->cert->client_sigalgslen;
787     } else if (s->cert->conf_sigalgs) {
788         *psigs = s->cert->conf_sigalgs;
789         return s->cert->conf_sigalgslen;
790     } else {
791         *psigs = tls12_sigalgs;
792         return sizeof(tls12_sigalgs);
793     }
794 }
795
796 /*
797  * Check signature algorithm is consistent with sent supported signature
798  * algorithms and if so return relevant digest.
799  */
800 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
801                             const unsigned char *sig, EVP_PKEY *pkey)
802 {
803     const unsigned char *sent_sigs;
804     size_t sent_sigslen, i;
805     int sigalg = tls12_get_sigid(pkey);
806     /* Should never happen */
807     if (sigalg == -1)
808         return -1;
809     /* Check key type is consistent with signature */
810     if (sigalg != (int)sig[1]) {
811         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
812         return 0;
813     }
814 #ifndef OPENSSL_NO_EC
815     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
816         unsigned char curve_id[2], comp_id;
817         /* Check compression and curve matches extensions */
818         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
819             return 0;
820         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
821             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
822             return 0;
823         }
824         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
825         if (tls1_suiteb(s)) {
826             if (curve_id[0])
827                 return 0;
828             if (curve_id[1] == TLSEXT_curve_P_256) {
829                 if (sig[0] != TLSEXT_hash_sha256) {
830                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
831                            SSL_R_ILLEGAL_SUITEB_DIGEST);
832                     return 0;
833                 }
834             } else if (curve_id[1] == TLSEXT_curve_P_384) {
835                 if (sig[0] != TLSEXT_hash_sha384) {
836                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
837                            SSL_R_ILLEGAL_SUITEB_DIGEST);
838                     return 0;
839                 }
840             } else
841                 return 0;
842         }
843     } else if (tls1_suiteb(s))
844         return 0;
845 #endif
846
847     /* Check signature matches a type we sent */
848     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
849     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
850         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
851             break;
852     }
853     /* Allow fallback to SHA1 if not strict mode */
854     if (i == sent_sigslen
855         && (sig[0] != TLSEXT_hash_sha1
856             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
857         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
858         return 0;
859     }
860     *pmd = tls12_get_hash(sig[0]);
861     if (*pmd == NULL) {
862         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
863         return 0;
864     }
865     /* Make sure security callback allows algorithm */
866     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
867                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
868         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
869         return 0;
870     }
871     /*
872      * Store the digest used so applications can retrieve it if they wish.
873      */
874     s->s3->tmp.peer_md = *pmd;
875     return 1;
876 }
877
878 /*
879  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
880  * supported, doesn't appear in supported signature algorithms, isn't supported
881  * by the enabled protocol versions or by the security level.
882  *
883  * This function should only be used for checking which ciphers are supported
884  * by the client.
885  *
886  * Call ssl_cipher_disabled() to check that it's enabled or not.
887  */
888 void ssl_set_client_disabled(SSL *s)
889 {
890     s->s3->tmp.mask_a = 0;
891     s->s3->tmp.mask_k = 0;
892     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
893     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
894 #ifndef OPENSSL_NO_PSK
895     /* with PSK there must be client callback set */
896     if (!s->psk_client_callback) {
897         s->s3->tmp.mask_a |= SSL_aPSK;
898         s->s3->tmp.mask_k |= SSL_PSK;
899     }
900 #endif                          /* OPENSSL_NO_PSK */
901 #ifndef OPENSSL_NO_SRP
902     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
903         s->s3->tmp.mask_a |= SSL_aSRP;
904         s->s3->tmp.mask_k |= SSL_kSRP;
905     }
906 #endif
907 }
908
909 /*
910  * ssl_cipher_disabled - check that a cipher is disabled or not
911  * @s: SSL connection that you want to use the cipher on
912  * @c: cipher to check
913  * @op: Security check that you want to do
914  *
915  * Returns 1 when it's disabled, 0 when enabled.
916  */
917 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
918 {
919     if (c->algorithm_mkey & s->s3->tmp.mask_k
920         || c->algorithm_auth & s->s3->tmp.mask_a)
921         return 1;
922     if (s->s3->tmp.max_ver == 0)
923         return 1;
924     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
925                             || (c->max_tls < s->s3->tmp.min_ver)))
926         return 1;
927     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
928                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
929         return 1;
930
931     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
932 }
933
934 static int tls_use_ticket(SSL *s)
935 {
936     if (s->options & SSL_OP_NO_TICKET)
937         return 0;
938     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
939 }
940
941 static int compare_uint(const void *p1, const void *p2)
942 {
943     unsigned int u1 = *((const unsigned int *)p1);
944     unsigned int u2 = *((const unsigned int *)p2);
945     if (u1 < u2)
946         return -1;
947     else if (u1 > u2)
948         return 1;
949     else
950         return 0;
951 }
952
953 /*
954  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
955  * more than one extension of the same type in a ClientHello or ServerHello.
956  * This function does an initial scan over the extensions block to filter those
957  * out. It returns 1 if all extensions are unique, and 0 if the extensions
958  * contain duplicates, could not be successfully parsed, or an internal error
959  * occurred.
960  */
961 static int tls1_check_duplicate_extensions(const PACKET *packet)
962 {
963     PACKET extensions = *packet;
964     size_t num_extensions = 0, i = 0;
965     unsigned int *extension_types = NULL;
966     int ret = 0;
967
968     /* First pass: count the extensions. */
969     while (PACKET_remaining(&extensions) > 0) {
970         unsigned int type;
971         PACKET extension;
972         if (!PACKET_get_net_2(&extensions, &type) ||
973             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
974             goto done;
975         }
976         num_extensions++;
977     }
978
979     if (num_extensions <= 1)
980         return 1;
981
982     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
983     if (extension_types == NULL) {
984         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
985         goto done;
986     }
987
988     /* Second pass: gather the extension types. */
989     extensions = *packet;
990     for (i = 0; i < num_extensions; i++) {
991         PACKET extension;
992         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
993             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
994             /* This should not happen. */
995             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
996             goto done;
997         }
998     }
999
1000     if (PACKET_remaining(&extensions) != 0) {
1001         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1002         goto done;
1003     }
1004     /* Sort the extensions and make sure there are no duplicates. */
1005     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1006     for (i = 1; i < num_extensions; i++) {
1007         if (extension_types[i - 1] == extension_types[i])
1008             goto done;
1009     }
1010     ret = 1;
1011  done:
1012     OPENSSL_free(extension_types);
1013     return ret;
1014 }
1015
1016 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1017 {
1018 #ifndef OPENSSL_NO_EC
1019     /* See if we support any ECC ciphersuites */
1020     int using_ecc = 0;
1021     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1022         int i;
1023         unsigned long alg_k, alg_a;
1024         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1025
1026         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1027             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1028
1029             alg_k = c->algorithm_mkey;
1030             alg_a = c->algorithm_auth;
1031             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1032                 || (alg_a & SSL_aECDSA)) {
1033                 using_ecc = 1;
1034                 break;
1035             }
1036         }
1037     }
1038 #endif
1039
1040     /* Add RI if renegotiating */
1041     if (s->renegotiate) {
1042         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_renegotiate, 2)
1043                 || !WPACKET_start_sub_packet_len(pkt, 2)
1044                 || !WPACKET_memcpy(pkt, s->s3->previous_client_finished,
1045                                    s->s3->previous_client_finished_len)
1046                 || !WPACKET_close(pkt)) {
1047             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1048             return 0;
1049         }
1050     }
1051     /* Only add RI for SSLv3 */
1052     if (s->client_version == SSL3_VERSION)
1053         goto done;
1054
1055     if (s->tlsext_hostname != NULL) {
1056         /* Add TLS extension servername to the Client Hello message */
1057         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_server_name, 2)
1058                    /* Sub-packet for server_name extension */
1059                 || !WPACKET_start_sub_packet_len(pkt, 2)
1060                    /* Sub-packet for servername list (always 1 hostname)*/
1061                 || !WPACKET_start_sub_packet_len(pkt, 2)
1062                 || !WPACKET_put_bytes(pkt, TLSEXT_NAMETYPE_host_name, 1)
1063                    /* Sub-packet for a single hostname host name */
1064                 || !WPACKET_start_sub_packet_len(pkt, 2)
1065                 || !WPACKET_memcpy(pkt, s->tlsext_hostname,
1066                                    strlen(s->tlsext_hostname))
1067                 || !WPACKET_close(pkt)
1068                 || !WPACKET_close(pkt)
1069                 || !WPACKET_close(pkt)) {
1070             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1071             return 0;
1072         }
1073     }
1074 #ifndef OPENSSL_NO_SRP
1075     /* Add SRP username if there is one */
1076     if (s->srp_ctx.login != NULL) {
1077         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_srp, 2)
1078                    /* Sub-packet for SRP extension */
1079                 || !WPACKET_start_sub_packet_len(pkt, 2)
1080                 || !WPACKET_start_sub_packet_len(pkt, 1)
1081                    /* login must not be zero...internal error if so */
1082                 || !WPACKET_set_flags(pkt,
1083                                       OPENSSL_WPACKET_FLAGS_NON_ZERO_LENGTH)
1084                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1085                                    strlen(s->srp_ctx.login))
1086                 || !WPACKET_close(pkt)
1087                 || !WPACKET_close(pkt)) {
1088             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1089             return 0;
1090         }
1091     }
1092 #endif
1093
1094 #ifndef OPENSSL_NO_EC
1095     if (using_ecc) {
1096         /*
1097          * Add TLS extension ECPointFormats to the ClientHello message
1098          */
1099         const unsigned char *pcurves, *pformats;
1100         size_t num_curves, num_formats;
1101         size_t i;
1102
1103         tls1_get_formatlist(s, &pformats, &num_formats);
1104
1105         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_ec_point_formats, 2)
1106                    /* Sub-packet for formats extension */
1107                 || !WPACKET_start_sub_packet_len(pkt, 2)
1108                 || !WPACKET_start_sub_packet_len(pkt, 1)
1109                 || !WPACKET_memcpy(pkt, pformats, num_formats)
1110                 || !WPACKET_close(pkt)
1111                 || !WPACKET_close(pkt)) {
1112             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1113             return 0;
1114         }
1115
1116         /*
1117          * Add TLS extension EllipticCurves to the ClientHello message
1118          */
1119         pcurves = s->tlsext_ellipticcurvelist;
1120         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1121             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1122             return 0;
1123         }
1124
1125         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_elliptic_curves, 2)
1126                    /* Sub-packet for curves extension */
1127                 || !WPACKET_start_sub_packet_len(pkt, 2)
1128                 || !WPACKET_start_sub_packet_len(pkt, 2)) {
1129             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1130             return 0;
1131         }
1132         /* Copy curve ID if supported */
1133         for (i = 0; i < num_curves; i++, pcurves += 2) {
1134             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1135                 if (!WPACKET_put_bytes(pkt, pcurves[0], 1)
1136                     || !WPACKET_put_bytes(pkt, pcurves[1], 1)) {
1137                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1138                                ERR_R_INTERNAL_ERROR);
1139                         return 0;
1140                     }
1141             }
1142         }
1143         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1144             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1145             return 0;
1146         }
1147     }
1148 #endif                          /* OPENSSL_NO_EC */
1149
1150     if (tls_use_ticket(s)) {
1151         int ticklen;
1152         if (!s->new_session && s->session && s->session->tlsext_tick)
1153             ticklen = s->session->tlsext_ticklen;
1154         else if (s->session && s->tlsext_session_ticket &&
1155                  s->tlsext_session_ticket->data) {
1156             ticklen = s->tlsext_session_ticket->length;
1157             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1158             if (s->session->tlsext_tick == NULL) {
1159                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1160                 return 0;
1161             }
1162             memcpy(s->session->tlsext_tick,
1163                    s->tlsext_session_ticket->data, ticklen);
1164             s->session->tlsext_ticklen = ticklen;
1165         } else
1166             ticklen = 0;
1167         if (ticklen == 0 && s->tlsext_session_ticket &&
1168             s->tlsext_session_ticket->data == NULL)
1169             goto skip_ext;
1170
1171         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_session_ticket, 2)
1172                    /* Sub-packet for ticket extension */
1173                 || !WPACKET_start_sub_packet_len(pkt, 2)
1174                 || !WPACKET_memcpy(pkt, s->session->tlsext_tick, ticklen)
1175                 || !WPACKET_close(pkt)) {
1176             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1177             return 0;
1178         }
1179     }
1180  skip_ext:
1181
1182     if (SSL_CLIENT_USE_SIGALGS(s)) {
1183         size_t salglen;
1184         const unsigned char *salg;
1185
1186         salglen = tls12_get_psigalgs(s, &salg);
1187
1188         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_signature_algorithms, 2)
1189                    /* Sub-packet for sig-algs extension */
1190                 || !WPACKET_start_sub_packet_len(pkt, 2)
1191                    /* Sub-packet for the actual list */
1192                 || !WPACKET_start_sub_packet_len(pkt, 2)
1193                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1194                 || !WPACKET_close(pkt)
1195                 || !WPACKET_close(pkt)) {
1196             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1197             return 0;
1198         }
1199     }
1200 #ifndef OPENSSL_NO_OCSP
1201     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1202         int i;
1203
1204         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_status_request, 2)
1205                    /* Sub-packet for status request extension */
1206                 || !WPACKET_start_sub_packet_len(pkt, 2)
1207                 || !WPACKET_put_bytes(pkt, TLSEXT_STATUSTYPE_ocsp, 1)
1208                    /* Sub-packet for the ids */
1209                 || !WPACKET_start_sub_packet_len(pkt, 2)) {
1210             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1211             return 0;
1212         }
1213         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1214             unsigned char *idbytes;
1215             int idlen;
1216             OCSP_RESPID *id;
1217
1218             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1219             idlen = i2d_OCSP_RESPID(id, NULL);
1220             if (idlen <= 0
1221                        /* Sub-packet for an individual id */
1222                     || !WPACKET_start_sub_packet_len(pkt, 1)
1223                     || !WPACKET_allocate_bytes(pkt, idlen, &idbytes)
1224                     || i2d_OCSP_RESPID(id, &idbytes) != idlen
1225                     || !WPACKET_close(pkt)) {
1226                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1227                 return 0;
1228             }
1229         }
1230         if (!WPACKET_close(pkt)
1231                 || !WPACKET_start_sub_packet_len(pkt, 2)) {
1232             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1233             return 0;
1234         }
1235         if (s->tlsext_ocsp_exts) {
1236             unsigned char *extbytes;
1237             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1238
1239             if (extlen < 0) {
1240                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1241                 return 0;
1242             }
1243             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1244                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1245                        != extlen) {
1246                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1247                 return 0;
1248            }
1249         }
1250         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1251             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1252             return 0;
1253         }
1254     }
1255 #endif
1256 #ifndef OPENSSL_NO_HEARTBEATS
1257     if (SSL_IS_DTLS(s)) {
1258         unsigned int mode;
1259
1260         /*-
1261          * Set mode:
1262          * 1: peer may send requests
1263          * 2: peer not allowed to send requests
1264          */
1265         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1266             mode = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1267         else
1268             mode = SSL_DTLSEXT_HB_ENABLED;
1269
1270         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_heartbeat, 2)
1271                    /* Sub-packet for Hearbeat extension */
1272                 || !WPACKET_start_sub_packet_len(pkt, 2)
1273                 || !WPACKET_put_bytes(pkt, mode, 1)
1274                 || !WPACKET_close(pkt)) {
1275             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1276             return 0;
1277         }
1278     }
1279 #endif
1280
1281 #ifndef OPENSSL_NO_NEXTPROTONEG
1282     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1283         /*
1284          * The client advertises an empty extension to indicate its support
1285          * for Next Protocol Negotiation
1286          */
1287         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_next_proto_neg, 2)
1288                 || !WPACKET_put_bytes(pkt, 0, 2)) {
1289             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1290             return 0;
1291         }
1292     }
1293 #endif
1294
1295     /*
1296      * finish_md_len is non-zero during a renegotiation, so
1297      * this avoids sending ALPN during the renegotiation
1298      * (see longer comment below)
1299      */
1300     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1301         if (!WPACKET_put_bytes(pkt,
1302                     TLSEXT_TYPE_application_layer_protocol_negotiation, 2)
1303                    /* Sub-packet ALPN extension */
1304                 || !WPACKET_start_sub_packet_len(pkt, 2)
1305                    /* Sub-packet for ALPN proto list */
1306                 || !WPACKET_start_sub_packet_len(pkt, 2)
1307                 || !WPACKET_memcpy(pkt, s->alpn_client_proto_list,
1308                                     s->alpn_client_proto_list_len)
1309                 || !WPACKET_close(pkt)
1310                 || !WPACKET_close(pkt)) {
1311             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1312             return 0;
1313         }
1314         s->s3->alpn_sent = 1;
1315     }
1316 #ifndef OPENSSL_NO_SRTP
1317     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1318         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = 0;
1319         SRTP_PROTECTION_PROFILE *prof;
1320         int i, ct;
1321
1322         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_use_srtp, 2)
1323                    /* Sub-packet for SRTP extension */
1324                 || !WPACKET_start_sub_packet_len(pkt, 2)
1325                    /* Sub-packet for the protection profile list */
1326                 || !WPACKET_start_sub_packet_len(pkt, 2)) {
1327             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1328             return 0;
1329         }
1330         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1331         for (i = 0; i < ct; i++) {
1332             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1333             if (prof == NULL || !WPACKET_put_bytes(pkt, prof->id, 2)) {
1334                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1335                 return 0;
1336             }
1337         }
1338         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1339             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1340             return 0;
1341         }
1342     }
1343 #endif
1344     custom_ext_init(&s->cert->cli_ext);
1345     /* Add custom TLS Extensions to ClientHello */
1346     if (!custom_ext_add(s, 0, pkt, al)) {
1347         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1348         return 0;
1349     }
1350
1351     if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_encrypt_then_mac, 2)
1352             || !WPACKET_put_bytes(pkt, 0, 2)) {
1353         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1354         return 0;
1355     }
1356
1357 #ifndef OPENSSL_NO_CT
1358     if (s->ct_validation_callback != NULL) {
1359         if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_signed_certificate_timestamp, 2)
1360                 || !WPACKET_put_bytes(pkt, 0, 2)) {
1361             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1362             return 0;
1363         }
1364     }
1365 #endif
1366
1367     if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_extended_master_secret, 2)
1368             || !WPACKET_put_bytes(pkt, 0, 2)) {
1369         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1370         return 0;
1371     }
1372
1373     /*
1374      * Add padding to workaround bugs in F5 terminators. See
1375      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1376      * code works out the length of all existing extensions it MUST always
1377      * appear last.
1378      */
1379     if (s->options & SSL_OP_TLSEXT_PADDING) {
1380         unsigned char *padbytes;
1381         size_t hlen;
1382
1383         if (!WPACKET_get_total_written(pkt, &hlen)) {
1384             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1385             return 0;
1386         }
1387
1388         if (hlen > 0xff && hlen < 0x200) {
1389             hlen = 0x200 - hlen;
1390             if (hlen >= 4)
1391                 hlen -= 4;
1392             else
1393                 hlen = 0;
1394
1395             if (!WPACKET_put_bytes(pkt, TLSEXT_TYPE_padding, 2)
1396                     || !WPACKET_start_sub_packet_len(pkt, 2)
1397                     || !WPACKET_allocate_bytes(pkt, hlen, &padbytes)) {
1398                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1399                 return 0;
1400             }
1401             memset(padbytes, 0, hlen);
1402             if (!WPACKET_close(pkt)) {
1403                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1404                 return 0;
1405             }
1406         }
1407     }
1408
1409  done:
1410     return 1;
1411 }
1412
1413 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1414                                           unsigned char *limit, int *al)
1415 {
1416     int extdatalen = 0;
1417     unsigned char *orig = buf;
1418     unsigned char *ret = buf;
1419 #ifndef OPENSSL_NO_NEXTPROTONEG
1420     int next_proto_neg_seen;
1421 #endif
1422 #ifndef OPENSSL_NO_EC
1423     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1424     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1425     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1426     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1427 #endif
1428
1429     ret += 2;
1430     if (ret >= limit)
1431         return NULL;            /* this really never occurs, but ... */
1432
1433     if (s->s3->send_connection_binding) {
1434         int el;
1435
1436         if (!ssl_add_serverhello_renegotiate_ext(s, 0, &el, 0)) {
1437             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1438             return NULL;
1439         }
1440
1441         if ((limit - ret - 4 - el) < 0)
1442             return NULL;
1443
1444         s2n(TLSEXT_TYPE_renegotiate, ret);
1445         s2n(el, ret);
1446
1447         if (!ssl_add_serverhello_renegotiate_ext(s, ret, &el, el)) {
1448             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1449             return NULL;
1450         }
1451
1452         ret += el;
1453     }
1454
1455     /* Only add RI for SSLv3 */
1456     if (s->version == SSL3_VERSION)
1457         goto done;
1458
1459     if (!s->hit && s->servername_done == 1
1460         && s->session->tlsext_hostname != NULL) {
1461         if ((long)(limit - ret - 4) < 0)
1462             return NULL;
1463
1464         s2n(TLSEXT_TYPE_server_name, ret);
1465         s2n(0, ret);
1466     }
1467 #ifndef OPENSSL_NO_EC
1468     if (using_ecc) {
1469         const unsigned char *plist;
1470         size_t plistlen;
1471         /*
1472          * Add TLS extension ECPointFormats to the ServerHello message
1473          */
1474         long lenmax;
1475
1476         tls1_get_formatlist(s, &plist, &plistlen);
1477
1478         if ((lenmax = limit - ret - 5) < 0)
1479             return NULL;
1480         if (plistlen > (size_t)lenmax)
1481             return NULL;
1482         if (plistlen > 255) {
1483             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1484             return NULL;
1485         }
1486
1487         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1488         s2n(plistlen + 1, ret);
1489         *(ret++) = (unsigned char)plistlen;
1490         memcpy(ret, plist, plistlen);
1491         ret += plistlen;
1492
1493     }
1494     /*
1495      * Currently the server should not respond with a SupportedCurves
1496      * extension
1497      */
1498 #endif                          /* OPENSSL_NO_EC */
1499
1500     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1501         if ((long)(limit - ret - 4) < 0)
1502             return NULL;
1503         s2n(TLSEXT_TYPE_session_ticket, ret);
1504         s2n(0, ret);
1505     } else {
1506         /*
1507          * if we don't add the above TLSEXT, we can't add a session ticket
1508          * later
1509          */
1510         s->tlsext_ticket_expected = 0;
1511     }
1512
1513     if (s->tlsext_status_expected) {
1514         if ((long)(limit - ret - 4) < 0)
1515             return NULL;
1516         s2n(TLSEXT_TYPE_status_request, ret);
1517         s2n(0, ret);
1518     }
1519 #ifndef OPENSSL_NO_SRTP
1520     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1521         int el;
1522
1523         /* Returns 0 on success!! */
1524         if (ssl_add_serverhello_use_srtp_ext(s, 0, &el, 0)) {
1525             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1526             return NULL;
1527         }
1528         if ((limit - ret - 4 - el) < 0)
1529             return NULL;
1530
1531         s2n(TLSEXT_TYPE_use_srtp, ret);
1532         s2n(el, ret);
1533
1534         if (ssl_add_serverhello_use_srtp_ext(s, ret, &el, el)) {
1535             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1536             return NULL;
1537         }
1538         ret += el;
1539     }
1540 #endif
1541
1542     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1543          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1544         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1545         const unsigned char cryptopro_ext[36] = {
1546             0xfd, 0xe8,         /* 65000 */
1547             0x00, 0x20,         /* 32 bytes length */
1548             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1549             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1550             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1551             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1552         };
1553         if (limit - ret < 36)
1554             return NULL;
1555         memcpy(ret, cryptopro_ext, 36);
1556         ret += 36;
1557
1558     }
1559 #ifndef OPENSSL_NO_HEARTBEATS
1560     /* Add Heartbeat extension if we've received one */
1561     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1562         if ((limit - ret - 4 - 1) < 0)
1563             return NULL;
1564         s2n(TLSEXT_TYPE_heartbeat, ret);
1565         s2n(1, ret);
1566         /*-
1567          * Set mode:
1568          * 1: peer may send requests
1569          * 2: peer not allowed to send requests
1570          */
1571         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1572             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1573         else
1574             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1575
1576     }
1577 #endif
1578
1579 #ifndef OPENSSL_NO_NEXTPROTONEG
1580     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1581     s->s3->next_proto_neg_seen = 0;
1582     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1583         const unsigned char *npa;
1584         unsigned int npalen;
1585         int r;
1586
1587         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1588                                               s->
1589                                               ctx->next_protos_advertised_cb_arg);
1590         if (r == SSL_TLSEXT_ERR_OK) {
1591             if ((long)(limit - ret - 4 - npalen) < 0)
1592                 return NULL;
1593             s2n(TLSEXT_TYPE_next_proto_neg, ret);
1594             s2n(npalen, ret);
1595             memcpy(ret, npa, npalen);
1596             ret += npalen;
1597             s->s3->next_proto_neg_seen = 1;
1598         }
1599     }
1600 #endif
1601     if (!custom_ext_add_old(s, 1, &ret, limit, al))
1602         return NULL;
1603     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1604         /*
1605          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1606          * for other cases too.
1607          */
1608         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1609             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1610             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1611             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1612             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1613         else {
1614             s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1615             s2n(0, ret);
1616         }
1617     }
1618     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1619         s2n(TLSEXT_TYPE_extended_master_secret, ret);
1620         s2n(0, ret);
1621     }
1622
1623     if (s->s3->alpn_selected != NULL) {
1624         const unsigned char *selected = s->s3->alpn_selected;
1625         unsigned int len = s->s3->alpn_selected_len;
1626
1627         if ((long)(limit - ret - 4 - 2 - 1 - len) < 0)
1628             return NULL;
1629         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1630         s2n(3 + len, ret);
1631         s2n(1 + len, ret);
1632         *ret++ = len;
1633         memcpy(ret, selected, len);
1634         ret += len;
1635     }
1636
1637  done:
1638
1639     if ((extdatalen = ret - orig - 2) == 0)
1640         return orig;
1641
1642     s2n(extdatalen, orig);
1643     return ret;
1644 }
1645
1646 /*
1647  * Save the ALPN extension in a ClientHello.
1648  * pkt: the contents of the ALPN extension, not including type and length.
1649  * al: a pointer to the  alert value to send in the event of a failure.
1650  * returns: 1 on success, 0 on error.
1651  */
1652 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1653 {
1654     PACKET protocol_list, save_protocol_list, protocol;
1655
1656     *al = SSL_AD_DECODE_ERROR;
1657
1658     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1659         || PACKET_remaining(&protocol_list) < 2) {
1660         return 0;
1661     }
1662
1663     save_protocol_list = protocol_list;
1664     do {
1665         /* Protocol names can't be empty. */
1666         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1667             || PACKET_remaining(&protocol) == 0) {
1668             return 0;
1669         }
1670     } while (PACKET_remaining(&protocol_list) != 0);
1671
1672     if (!PACKET_memdup(&save_protocol_list,
1673                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1674         *al = TLS1_AD_INTERNAL_ERROR;
1675         return 0;
1676     }
1677
1678     return 1;
1679 }
1680
1681 /*
1682  * Process the ALPN extension in a ClientHello.
1683  * al: a pointer to the alert value to send in the event of a failure.
1684  * returns 1 on success, 0 on error.
1685  */
1686 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1687 {
1688     const unsigned char *selected = NULL;
1689     unsigned char selected_len = 0;
1690
1691     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1692         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1693                                        s->s3->alpn_proposed,
1694                                        s->s3->alpn_proposed_len,
1695                                        s->ctx->alpn_select_cb_arg);
1696
1697         if (r == SSL_TLSEXT_ERR_OK) {
1698             OPENSSL_free(s->s3->alpn_selected);
1699             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1700             if (s->s3->alpn_selected == NULL) {
1701                 *al = SSL_AD_INTERNAL_ERROR;
1702                 return 0;
1703             }
1704             s->s3->alpn_selected_len = selected_len;
1705 #ifndef OPENSSL_NO_NEXTPROTONEG
1706             /* ALPN takes precedence over NPN. */
1707             s->s3->next_proto_neg_seen = 0;
1708 #endif
1709         } else {
1710             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1711             return 0;
1712         }
1713     }
1714
1715     return 1;
1716 }
1717
1718 #ifndef OPENSSL_NO_EC
1719 /*-
1720  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1721  * SecureTransport using the TLS extension block in |pkt|.
1722  * Safari, since 10.6, sends exactly these extensions, in this order:
1723  *   SNI,
1724  *   elliptic_curves
1725  *   ec_point_formats
1726  *
1727  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1728  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1729  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1730  * 10.8..10.8.3 (which don't work).
1731  */
1732 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1733 {
1734     unsigned int type;
1735     PACKET sni, tmppkt;
1736     size_t ext_len;
1737
1738     static const unsigned char kSafariExtensionsBlock[] = {
1739         0x00, 0x0a,             /* elliptic_curves extension */
1740         0x00, 0x08,             /* 8 bytes */
1741         0x00, 0x06,             /* 6 bytes of curve ids */
1742         0x00, 0x17,             /* P-256 */
1743         0x00, 0x18,             /* P-384 */
1744         0x00, 0x19,             /* P-521 */
1745
1746         0x00, 0x0b,             /* ec_point_formats */
1747         0x00, 0x02,             /* 2 bytes */
1748         0x01,                   /* 1 point format */
1749         0x00,                   /* uncompressed */
1750         /* The following is only present in TLS 1.2 */
1751         0x00, 0x0d,             /* signature_algorithms */
1752         0x00, 0x0c,             /* 12 bytes */
1753         0x00, 0x0a,             /* 10 bytes */
1754         0x05, 0x01,             /* SHA-384/RSA */
1755         0x04, 0x01,             /* SHA-256/RSA */
1756         0x02, 0x01,             /* SHA-1/RSA */
1757         0x04, 0x03,             /* SHA-256/ECDSA */
1758         0x02, 0x03,             /* SHA-1/ECDSA */
1759     };
1760
1761     /* Length of the common prefix (first two extensions). */
1762     static const size_t kSafariCommonExtensionsLength = 18;
1763
1764     tmppkt = *pkt;
1765
1766     if (!PACKET_forward(&tmppkt, 2)
1767         || !PACKET_get_net_2(&tmppkt, &type)
1768         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1769         return;
1770     }
1771
1772     if (type != TLSEXT_TYPE_server_name)
1773         return;
1774
1775     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1776         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1777
1778     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1779                                              ext_len);
1780 }
1781 #endif                          /* !OPENSSL_NO_EC */
1782
1783 /*
1784  * Parse ClientHello extensions and stash extension info in various parts of
1785  * the SSL object. Verify that there are no duplicate extensions.
1786  *
1787  * Behaviour upon resumption is extension-specific. If the extension has no
1788  * effect during resumption, it is parsed (to verify its format) but otherwise
1789  * ignored.
1790  *
1791  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1792  * Upon failure, sets |al| to the appropriate alert.
1793  */
1794 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1795 {
1796     unsigned int type;
1797     int renegotiate_seen = 0;
1798     PACKET extensions;
1799
1800     *al = SSL_AD_DECODE_ERROR;
1801     s->servername_done = 0;
1802     s->tlsext_status_type = -1;
1803 #ifndef OPENSSL_NO_NEXTPROTONEG
1804     s->s3->next_proto_neg_seen = 0;
1805 #endif
1806
1807     OPENSSL_free(s->s3->alpn_selected);
1808     s->s3->alpn_selected = NULL;
1809     s->s3->alpn_selected_len = 0;
1810     OPENSSL_free(s->s3->alpn_proposed);
1811     s->s3->alpn_proposed = NULL;
1812     s->s3->alpn_proposed_len = 0;
1813 #ifndef OPENSSL_NO_HEARTBEATS
1814     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1815                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1816 #endif
1817
1818 #ifndef OPENSSL_NO_EC
1819     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1820         ssl_check_for_safari(s, pkt);
1821 #endif                          /* !OPENSSL_NO_EC */
1822
1823     /* Clear any signature algorithms extension received */
1824     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1825     s->s3->tmp.peer_sigalgs = NULL;
1826     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1827
1828 #ifndef OPENSSL_NO_SRP
1829     OPENSSL_free(s->srp_ctx.login);
1830     s->srp_ctx.login = NULL;
1831 #endif
1832
1833     s->srtp_profile = NULL;
1834
1835     if (PACKET_remaining(pkt) == 0)
1836         goto ri_check;
1837
1838     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1839         return 0;
1840
1841     if (!tls1_check_duplicate_extensions(&extensions))
1842         return 0;
1843
1844     /*
1845      * We parse all extensions to ensure the ClientHello is well-formed but,
1846      * unless an extension specifies otherwise, we ignore extensions upon
1847      * resumption.
1848      */
1849     while (PACKET_get_net_2(&extensions, &type)) {
1850         PACKET extension;
1851         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1852             return 0;
1853
1854         if (s->tlsext_debug_cb)
1855             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1856                                PACKET_remaining(&extension),
1857                                s->tlsext_debug_arg);
1858
1859         if (type == TLSEXT_TYPE_renegotiate) {
1860             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1861                 return 0;
1862             renegotiate_seen = 1;
1863         } else if (s->version == SSL3_VERSION) {
1864         }
1865 /*-
1866  * The servername extension is treated as follows:
1867  *
1868  * - Only the hostname type is supported with a maximum length of 255.
1869  * - The servername is rejected if too long or if it contains zeros,
1870  *   in which case an fatal alert is generated.
1871  * - The servername field is maintained together with the session cache.
1872  * - When a session is resumed, the servername call back invoked in order
1873  *   to allow the application to position itself to the right context.
1874  * - The servername is acknowledged if it is new for a session or when
1875  *   it is identical to a previously used for the same session.
1876  *   Applications can control the behaviour.  They can at any time
1877  *   set a 'desirable' servername for a new SSL object. This can be the
1878  *   case for example with HTTPS when a Host: header field is received and
1879  *   a renegotiation is requested. In this case, a possible servername
1880  *   presented in the new client hello is only acknowledged if it matches
1881  *   the value of the Host: field.
1882  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1883  *   if they provide for changing an explicit servername context for the
1884  *   session, i.e. when the session has been established with a servername
1885  *   extension.
1886  * - On session reconnect, the servername extension may be absent.
1887  *
1888  */
1889
1890         else if (type == TLSEXT_TYPE_server_name) {
1891             unsigned int servname_type;
1892             PACKET sni, hostname;
1893
1894             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1895                 /* ServerNameList must be at least 1 byte long. */
1896                 || PACKET_remaining(&sni) == 0) {
1897                 return 0;
1898             }
1899
1900             /*
1901              * Although the server_name extension was intended to be
1902              * extensible to new name types, RFC 4366 defined the
1903              * syntax inextensibility and OpenSSL 1.0.x parses it as
1904              * such.
1905              * RFC 6066 corrected the mistake but adding new name types
1906              * is nevertheless no longer feasible, so act as if no other
1907              * SNI types can exist, to simplify parsing.
1908              *
1909              * Also note that the RFC permits only one SNI value per type,
1910              * i.e., we can only have a single hostname.
1911              */
1912             if (!PACKET_get_1(&sni, &servname_type)
1913                 || servname_type != TLSEXT_NAMETYPE_host_name
1914                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1915                 return 0;
1916             }
1917
1918             if (!s->hit) {
1919                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1920                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1921                     return 0;
1922                 }
1923
1924                 if (PACKET_contains_zero_byte(&hostname)) {
1925                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1926                     return 0;
1927                 }
1928
1929                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1930                     *al = TLS1_AD_INTERNAL_ERROR;
1931                     return 0;
1932                 }
1933
1934                 s->servername_done = 1;
1935             } else {
1936                 /*
1937                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1938                  * fall back to a full handshake.
1939                  */
1940                 s->servername_done = s->session->tlsext_hostname
1941                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1942                                     strlen(s->session->tlsext_hostname));
1943             }
1944         }
1945 #ifndef OPENSSL_NO_SRP
1946         else if (type == TLSEXT_TYPE_srp) {
1947             PACKET srp_I;
1948
1949             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1950                 return 0;
1951
1952             if (PACKET_contains_zero_byte(&srp_I))
1953                 return 0;
1954
1955             /*
1956              * TODO(openssl-team): currently, we re-authenticate the user
1957              * upon resumption. Instead, we MUST ignore the login.
1958              */
1959             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1960                 *al = TLS1_AD_INTERNAL_ERROR;
1961                 return 0;
1962             }
1963         }
1964 #endif
1965
1966 #ifndef OPENSSL_NO_EC
1967         else if (type == TLSEXT_TYPE_ec_point_formats) {
1968             PACKET ec_point_format_list;
1969
1970             if (!PACKET_as_length_prefixed_1(&extension, &ec_point_format_list)
1971                 || PACKET_remaining(&ec_point_format_list) == 0) {
1972                 return 0;
1973             }
1974
1975             if (!s->hit) {
1976                 if (!PACKET_memdup(&ec_point_format_list,
1977                                    &s->session->tlsext_ecpointformatlist,
1978                                    &s->
1979                                    session->tlsext_ecpointformatlist_length)) {
1980                     *al = TLS1_AD_INTERNAL_ERROR;
1981                     return 0;
1982                 }
1983             }
1984         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1985             PACKET elliptic_curve_list;
1986
1987             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1988             if (!PACKET_as_length_prefixed_2(&extension, &elliptic_curve_list)
1989                 || PACKET_remaining(&elliptic_curve_list) == 0
1990                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1991                 return 0;
1992             }
1993
1994             if (!s->hit) {
1995                 if (!PACKET_memdup(&elliptic_curve_list,
1996                                    &s->session->tlsext_ellipticcurvelist,
1997                                    &s->
1998                                    session->tlsext_ellipticcurvelist_length)) {
1999                     *al = TLS1_AD_INTERNAL_ERROR;
2000                     return 0;
2001                 }
2002             }
2003         }
2004 #endif                          /* OPENSSL_NO_EC */
2005         else if (type == TLSEXT_TYPE_session_ticket) {
2006             if (s->tls_session_ticket_ext_cb &&
2007                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
2008                                               PACKET_remaining(&extension),
2009                                               s->tls_session_ticket_ext_cb_arg))
2010             {
2011                 *al = TLS1_AD_INTERNAL_ERROR;
2012                 return 0;
2013             }
2014         } else if (type == TLSEXT_TYPE_signature_algorithms) {
2015             PACKET supported_sig_algs;
2016
2017             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
2018                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
2019                 || PACKET_remaining(&supported_sig_algs) == 0) {
2020                 return 0;
2021             }
2022
2023             if (!s->hit) {
2024                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2025                                        PACKET_remaining(&supported_sig_algs))) {
2026                     return 0;
2027                 }
2028             }
2029         } else if (type == TLSEXT_TYPE_status_request) {
2030             if (!PACKET_get_1(&extension,
2031                               (unsigned int *)&s->tlsext_status_type)) {
2032                 return 0;
2033             }
2034 #ifndef OPENSSL_NO_OCSP
2035             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2036                 const unsigned char *ext_data;
2037                 PACKET responder_id_list, exts;
2038                 if (!PACKET_get_length_prefixed_2
2039                     (&extension, &responder_id_list))
2040                     return 0;
2041
2042                 while (PACKET_remaining(&responder_id_list) > 0) {
2043                     OCSP_RESPID *id;
2044                     PACKET responder_id;
2045                     const unsigned char *id_data;
2046
2047                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2048                                                       &responder_id)
2049                         || PACKET_remaining(&responder_id) == 0) {
2050                         return 0;
2051                     }
2052
2053                     if (s->tlsext_ocsp_ids == NULL
2054                         && (s->tlsext_ocsp_ids =
2055                             sk_OCSP_RESPID_new_null()) == NULL) {
2056                         *al = SSL_AD_INTERNAL_ERROR;
2057                         return 0;
2058                     }
2059
2060                     id_data = PACKET_data(&responder_id);
2061                     id = d2i_OCSP_RESPID(NULL, &id_data,
2062                                          PACKET_remaining(&responder_id));
2063                     if (id == NULL)
2064                         return 0;
2065
2066                     if (id_data != PACKET_end(&responder_id)) {
2067                         OCSP_RESPID_free(id);
2068                         return 0;
2069                     }
2070
2071                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2072                         OCSP_RESPID_free(id);
2073                         *al = SSL_AD_INTERNAL_ERROR;
2074                         return 0;
2075                     }
2076                 }
2077
2078                 /* Read in request_extensions */
2079                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2080                     return 0;
2081
2082                 if (PACKET_remaining(&exts) > 0) {
2083                     ext_data = PACKET_data(&exts);
2084                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2085                                                X509_EXTENSION_free);
2086                     s->tlsext_ocsp_exts =
2087                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2088                                             PACKET_remaining(&exts));
2089                     if (s->tlsext_ocsp_exts == NULL
2090                         || ext_data != PACKET_end(&exts)) {
2091                         return 0;
2092                     }
2093                 }
2094             } else
2095 #endif
2096             {
2097                 /*
2098                  * We don't know what to do with any other type so ignore it.
2099                  */
2100                 s->tlsext_status_type = -1;
2101             }
2102         }
2103 #ifndef OPENSSL_NO_HEARTBEATS
2104         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2105             unsigned int hbtype;
2106
2107             if (!PACKET_get_1(&extension, &hbtype)
2108                 || PACKET_remaining(&extension)) {
2109                 *al = SSL_AD_DECODE_ERROR;
2110                 return 0;
2111             }
2112             switch (hbtype) {
2113             case 0x01:         /* Client allows us to send HB requests */
2114                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2115                 break;
2116             case 0x02:         /* Client doesn't accept HB requests */
2117                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2118                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2119                 break;
2120             default:
2121                 *al = SSL_AD_ILLEGAL_PARAMETER;
2122                 return 0;
2123             }
2124         }
2125 #endif
2126 #ifndef OPENSSL_NO_NEXTPROTONEG
2127         else if (type == TLSEXT_TYPE_next_proto_neg &&
2128                  s->s3->tmp.finish_md_len == 0) {
2129             /*-
2130              * We shouldn't accept this extension on a
2131              * renegotiation.
2132              *
2133              * s->new_session will be set on renegotiation, but we
2134              * probably shouldn't rely that it couldn't be set on
2135              * the initial renegotiation too in certain cases (when
2136              * there's some other reason to disallow resuming an
2137              * earlier session -- the current code won't be doing
2138              * anything like that, but this might change).
2139              *
2140              * A valid sign that there's been a previous handshake
2141              * in this connection is if s->s3->tmp.finish_md_len >
2142              * 0.  (We are talking about a check that will happen
2143              * in the Hello protocol round, well before a new
2144              * Finished message could have been computed.)
2145              */
2146             s->s3->next_proto_neg_seen = 1;
2147         }
2148 #endif
2149
2150         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2151                  s->s3->tmp.finish_md_len == 0) {
2152             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2153                 return 0;
2154         }
2155
2156         /* session ticket processed earlier */
2157 #ifndef OPENSSL_NO_SRTP
2158         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2159                  && type == TLSEXT_TYPE_use_srtp) {
2160             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2161                 return 0;
2162         }
2163 #endif
2164         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2165             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2166         /*
2167          * Note: extended master secret extension handled in
2168          * tls_check_serverhello_tlsext_early()
2169          */
2170
2171         /*
2172          * If this ClientHello extension was unhandled and this is a
2173          * nonresumed connection, check whether the extension is a custom
2174          * TLS Extension (has a custom_srv_ext_record), and if so call the
2175          * callback and record the extension number so that an appropriate
2176          * ServerHello may be later returned.
2177          */
2178         else if (!s->hit) {
2179             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2180                                  PACKET_remaining(&extension), al) <= 0)
2181                 return 0;
2182         }
2183     }
2184
2185     if (PACKET_remaining(pkt) != 0) {
2186         /*
2187          * tls1_check_duplicate_extensions should ensure this never happens.
2188          */
2189         *al = SSL_AD_INTERNAL_ERROR;
2190         return 0;
2191     }
2192
2193  ri_check:
2194
2195     /* Need RI if renegotiating */
2196
2197     if (!renegotiate_seen && s->renegotiate &&
2198         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2199         *al = SSL_AD_HANDSHAKE_FAILURE;
2200         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2201                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2202         return 0;
2203     }
2204
2205     /*
2206      * This function currently has no state to clean up, so it returns directly.
2207      * If parsing fails at any point, the function returns early.
2208      * The SSL object may be left with partial data from extensions, but it must
2209      * then no longer be used, and clearing it up will free the leftovers.
2210      */
2211     return 1;
2212 }
2213
2214 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2215 {
2216     int al = -1;
2217     custom_ext_init(&s->cert->srv_ext);
2218     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2219         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2220         return 0;
2221     }
2222     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2223         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2224         return 0;
2225     }
2226     return 1;
2227 }
2228
2229 #ifndef OPENSSL_NO_NEXTPROTONEG
2230 /*
2231  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2232  * elements of zero length are allowed and the set of elements must exactly
2233  * fill the length of the block.
2234  */
2235 static char ssl_next_proto_validate(PACKET *pkt)
2236 {
2237     PACKET tmp_protocol;
2238
2239     while (PACKET_remaining(pkt)) {
2240         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2241             || PACKET_remaining(&tmp_protocol) == 0)
2242             return 0;
2243     }
2244
2245     return 1;
2246 }
2247 #endif
2248
2249 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2250 {
2251     unsigned int length, type, size;
2252     int tlsext_servername = 0;
2253     int renegotiate_seen = 0;
2254
2255 #ifndef OPENSSL_NO_NEXTPROTONEG
2256     s->s3->next_proto_neg_seen = 0;
2257 #endif
2258     s->tlsext_ticket_expected = 0;
2259
2260     OPENSSL_free(s->s3->alpn_selected);
2261     s->s3->alpn_selected = NULL;
2262 #ifndef OPENSSL_NO_HEARTBEATS
2263     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2264                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2265 #endif
2266
2267     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2268
2269     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2270
2271     if (!PACKET_get_net_2(pkt, &length))
2272         goto ri_check;
2273
2274     if (PACKET_remaining(pkt) != length) {
2275         *al = SSL_AD_DECODE_ERROR;
2276         return 0;
2277     }
2278
2279     if (!tls1_check_duplicate_extensions(pkt)) {
2280         *al = SSL_AD_DECODE_ERROR;
2281         return 0;
2282     }
2283
2284     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2285         const unsigned char *data;
2286         PACKET spkt;
2287
2288         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2289             || !PACKET_peek_bytes(&spkt, &data, size))
2290             goto ri_check;
2291
2292         if (s->tlsext_debug_cb)
2293             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2294
2295         if (type == TLSEXT_TYPE_renegotiate) {
2296             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2297                 return 0;
2298             renegotiate_seen = 1;
2299         } else if (s->version == SSL3_VERSION) {
2300         } else if (type == TLSEXT_TYPE_server_name) {
2301             if (s->tlsext_hostname == NULL || size > 0) {
2302                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2303                 return 0;
2304             }
2305             tlsext_servername = 1;
2306         }
2307 #ifndef OPENSSL_NO_EC
2308         else if (type == TLSEXT_TYPE_ec_point_formats) {
2309             unsigned int ecpointformatlist_length;
2310             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2311                 || ecpointformatlist_length != size - 1) {
2312                 *al = TLS1_AD_DECODE_ERROR;
2313                 return 0;
2314             }
2315             if (!s->hit) {
2316                 s->session->tlsext_ecpointformatlist_length = 0;
2317                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2318                 if ((s->session->tlsext_ecpointformatlist =
2319                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2320                     *al = TLS1_AD_INTERNAL_ERROR;
2321                     return 0;
2322                 }
2323                 s->session->tlsext_ecpointformatlist_length =
2324                     ecpointformatlist_length;
2325                 if (!PACKET_copy_bytes(&spkt,
2326                                        s->session->tlsext_ecpointformatlist,
2327                                        ecpointformatlist_length)) {
2328                     *al = TLS1_AD_DECODE_ERROR;
2329                     return 0;
2330                 }
2331
2332             }
2333         }
2334 #endif                          /* OPENSSL_NO_EC */
2335
2336         else if (type == TLSEXT_TYPE_session_ticket) {
2337             if (s->tls_session_ticket_ext_cb &&
2338                 !s->tls_session_ticket_ext_cb(s, data, size,
2339                                               s->tls_session_ticket_ext_cb_arg))
2340             {
2341                 *al = TLS1_AD_INTERNAL_ERROR;
2342                 return 0;
2343             }
2344             if (!tls_use_ticket(s) || (size > 0)) {
2345                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2346                 return 0;
2347             }
2348             s->tlsext_ticket_expected = 1;
2349         } else if (type == TLSEXT_TYPE_status_request) {
2350             /*
2351              * MUST be empty and only sent if we've requested a status
2352              * request message.
2353              */
2354             if ((s->tlsext_status_type == -1) || (size > 0)) {
2355                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2356                 return 0;
2357             }
2358             /* Set flag to expect CertificateStatus message */
2359             s->tlsext_status_expected = 1;
2360         }
2361 #ifndef OPENSSL_NO_CT
2362         /*
2363          * Only take it if we asked for it - i.e if there is no CT validation
2364          * callback set, then a custom extension MAY be processing it, so we
2365          * need to let control continue to flow to that.
2366          */
2367         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2368                  s->ct_validation_callback != NULL) {
2369             /* Simply copy it off for later processing */
2370             if (s->tlsext_scts != NULL) {
2371                 OPENSSL_free(s->tlsext_scts);
2372                 s->tlsext_scts = NULL;
2373             }
2374             s->tlsext_scts_len = size;
2375             if (size > 0) {
2376                 s->tlsext_scts = OPENSSL_malloc(size);
2377                 if (s->tlsext_scts == NULL) {
2378                     *al = TLS1_AD_INTERNAL_ERROR;
2379                     return 0;
2380                 }
2381                 memcpy(s->tlsext_scts, data, size);
2382             }
2383         }
2384 #endif
2385 #ifndef OPENSSL_NO_NEXTPROTONEG
2386         else if (type == TLSEXT_TYPE_next_proto_neg &&
2387                  s->s3->tmp.finish_md_len == 0) {
2388             unsigned char *selected;
2389             unsigned char selected_len;
2390             /* We must have requested it. */
2391             if (s->ctx->next_proto_select_cb == NULL) {
2392                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2393                 return 0;
2394             }
2395             /* The data must be valid */
2396             if (!ssl_next_proto_validate(&spkt)) {
2397                 *al = TLS1_AD_DECODE_ERROR;
2398                 return 0;
2399             }
2400             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2401                                              size,
2402                                              s->
2403                                              ctx->next_proto_select_cb_arg) !=
2404                 SSL_TLSEXT_ERR_OK) {
2405                 *al = TLS1_AD_INTERNAL_ERROR;
2406                 return 0;
2407             }
2408             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2409             if (s->next_proto_negotiated == NULL) {
2410                 *al = TLS1_AD_INTERNAL_ERROR;
2411                 return 0;
2412             }
2413             memcpy(s->next_proto_negotiated, selected, selected_len);
2414             s->next_proto_negotiated_len = selected_len;
2415             s->s3->next_proto_neg_seen = 1;
2416         }
2417 #endif
2418
2419         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2420             unsigned len;
2421             /* We must have requested it. */
2422             if (!s->s3->alpn_sent) {
2423                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2424                 return 0;
2425             }
2426             /*-
2427              * The extension data consists of:
2428              *   uint16 list_length
2429              *   uint8 proto_length;
2430              *   uint8 proto[proto_length];
2431              */
2432             if (!PACKET_get_net_2(&spkt, &len)
2433                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2434                 || PACKET_remaining(&spkt) != len) {
2435                 *al = TLS1_AD_DECODE_ERROR;
2436                 return 0;
2437             }
2438             OPENSSL_free(s->s3->alpn_selected);
2439             s->s3->alpn_selected = OPENSSL_malloc(len);
2440             if (s->s3->alpn_selected == NULL) {
2441                 *al = TLS1_AD_INTERNAL_ERROR;
2442                 return 0;
2443             }
2444             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2445                 *al = TLS1_AD_DECODE_ERROR;
2446                 return 0;
2447             }
2448             s->s3->alpn_selected_len = len;
2449         }
2450 #ifndef OPENSSL_NO_HEARTBEATS
2451         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2452             unsigned int hbtype;
2453             if (!PACKET_get_1(&spkt, &hbtype)) {
2454                 *al = SSL_AD_DECODE_ERROR;
2455                 return 0;
2456             }
2457             switch (hbtype) {
2458             case 0x01:         /* Server allows us to send HB requests */
2459                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2460                 break;
2461             case 0x02:         /* Server doesn't accept HB requests */
2462                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2463                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2464                 break;
2465             default:
2466                 *al = SSL_AD_ILLEGAL_PARAMETER;
2467                 return 0;
2468             }
2469         }
2470 #endif
2471 #ifndef OPENSSL_NO_SRTP
2472         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2473             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2474                 return 0;
2475         }
2476 #endif
2477         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2478             /* Ignore if inappropriate ciphersuite */
2479             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2480                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2481                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2482         } else if (type == TLSEXT_TYPE_extended_master_secret) {
2483             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2484             if (!s->hit)
2485                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2486         }
2487         /*
2488          * If this extension type was not otherwise handled, but matches a
2489          * custom_cli_ext_record, then send it to the c callback
2490          */
2491         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2492             return 0;
2493     }
2494
2495     if (PACKET_remaining(pkt) != 0) {
2496         *al = SSL_AD_DECODE_ERROR;
2497         return 0;
2498     }
2499
2500     if (!s->hit && tlsext_servername == 1) {
2501         if (s->tlsext_hostname) {
2502             if (s->session->tlsext_hostname == NULL) {
2503                 s->session->tlsext_hostname =
2504                     OPENSSL_strdup(s->tlsext_hostname);
2505                 if (!s->session->tlsext_hostname) {
2506                     *al = SSL_AD_UNRECOGNIZED_NAME;
2507                     return 0;
2508                 }
2509             } else {
2510                 *al = SSL_AD_DECODE_ERROR;
2511                 return 0;
2512             }
2513         }
2514     }
2515
2516  ri_check:
2517
2518     /*
2519      * Determine if we need to see RI. Strictly speaking if we want to avoid
2520      * an attack we should *always* see RI even on initial server hello
2521      * because the client doesn't see any renegotiation during an attack.
2522      * However this would mean we could not connect to any server which
2523      * doesn't support RI so for the immediate future tolerate RI absence
2524      */
2525     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2526         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2527         *al = SSL_AD_HANDSHAKE_FAILURE;
2528         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2529                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2530         return 0;
2531     }
2532
2533     if (s->hit) {
2534         /*
2535          * Check extended master secret extension is consistent with
2536          * original session.
2537          */
2538         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2539             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2540             *al = SSL_AD_HANDSHAKE_FAILURE;
2541             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2542             return 0;
2543         }
2544     }
2545
2546     return 1;
2547 }
2548
2549 int ssl_prepare_clienthello_tlsext(SSL *s)
2550 {
2551     s->s3->alpn_sent = 0;
2552     return 1;
2553 }
2554
2555 int ssl_prepare_serverhello_tlsext(SSL *s)
2556 {
2557     return 1;
2558 }
2559
2560 static int ssl_check_clienthello_tlsext_early(SSL *s)
2561 {
2562     int ret = SSL_TLSEXT_ERR_NOACK;
2563     int al = SSL_AD_UNRECOGNIZED_NAME;
2564
2565 #ifndef OPENSSL_NO_EC
2566     /*
2567      * The handling of the ECPointFormats extension is done elsewhere, namely
2568      * in ssl3_choose_cipher in s3_lib.c.
2569      */
2570     /*
2571      * The handling of the EllipticCurves extension is done elsewhere, namely
2572      * in ssl3_choose_cipher in s3_lib.c.
2573      */
2574 #endif
2575
2576     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2577         ret =
2578             s->ctx->tlsext_servername_callback(s, &al,
2579                                                s->ctx->tlsext_servername_arg);
2580     else if (s->initial_ctx != NULL
2581              && s->initial_ctx->tlsext_servername_callback != 0)
2582         ret =
2583             s->initial_ctx->tlsext_servername_callback(s, &al,
2584                                                        s->
2585                                                        initial_ctx->tlsext_servername_arg);
2586
2587     switch (ret) {
2588     case SSL_TLSEXT_ERR_ALERT_FATAL:
2589         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2590         return -1;
2591
2592     case SSL_TLSEXT_ERR_ALERT_WARNING:
2593         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2594         return 1;
2595
2596     case SSL_TLSEXT_ERR_NOACK:
2597         s->servername_done = 0;
2598     default:
2599         return 1;
2600     }
2601 }
2602
2603 /* Initialise digests to default values */
2604 void ssl_set_default_md(SSL *s)
2605 {
2606     const EVP_MD **pmd = s->s3->tmp.md;
2607 #ifndef OPENSSL_NO_DSA
2608     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2609 #endif
2610 #ifndef OPENSSL_NO_RSA
2611     if (SSL_USE_SIGALGS(s))
2612         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2613     else
2614         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2615     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2616 #endif
2617 #ifndef OPENSSL_NO_EC
2618     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2619 #endif
2620 #ifndef OPENSSL_NO_GOST
2621     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2622     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2623     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2624 #endif
2625 }
2626
2627 int tls1_set_server_sigalgs(SSL *s)
2628 {
2629     int al;
2630     size_t i;
2631
2632     /* Clear any shared signature algorithms */
2633     OPENSSL_free(s->cert->shared_sigalgs);
2634     s->cert->shared_sigalgs = NULL;
2635     s->cert->shared_sigalgslen = 0;
2636     /* Clear certificate digests and validity flags */
2637     for (i = 0; i < SSL_PKEY_NUM; i++) {
2638         s->s3->tmp.md[i] = NULL;
2639         s->s3->tmp.valid_flags[i] = 0;
2640     }
2641
2642     /* If sigalgs received process it. */
2643     if (s->s3->tmp.peer_sigalgs) {
2644         if (!tls1_process_sigalgs(s)) {
2645             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2646             al = SSL_AD_INTERNAL_ERROR;
2647             goto err;
2648         }
2649         /* Fatal error is no shared signature algorithms */
2650         if (!s->cert->shared_sigalgs) {
2651             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2652                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2653             al = SSL_AD_ILLEGAL_PARAMETER;
2654             goto err;
2655         }
2656     } else {
2657         ssl_set_default_md(s);
2658     }
2659     return 1;
2660  err:
2661     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2662     return 0;
2663 }
2664
2665 /*
2666  * Upon success, returns 1.
2667  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2668  */
2669 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2670 {
2671     s->tlsext_status_expected = 0;
2672
2673     /*
2674      * If status request then ask callback what to do. Note: this must be
2675      * called after servername callbacks in case the certificate has changed,
2676      * and must be called after the cipher has been chosen because this may
2677      * influence which certificate is sent
2678      */
2679     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2680         int ret;
2681         CERT_PKEY *certpkey;
2682         certpkey = ssl_get_server_send_pkey(s);
2683         /* If no certificate can't return certificate status */
2684         if (certpkey != NULL) {
2685             /*
2686              * Set current certificate to one we will use so SSL_get_certificate
2687              * et al can pick it up.
2688              */
2689             s->cert->key = certpkey;
2690             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2691             switch (ret) {
2692                 /* We don't want to send a status request response */
2693             case SSL_TLSEXT_ERR_NOACK:
2694                 s->tlsext_status_expected = 0;
2695                 break;
2696                 /* status request response should be sent */
2697             case SSL_TLSEXT_ERR_OK:
2698                 if (s->tlsext_ocsp_resp)
2699                     s->tlsext_status_expected = 1;
2700                 break;
2701                 /* something bad happened */
2702             case SSL_TLSEXT_ERR_ALERT_FATAL:
2703             default:
2704                 *al = SSL_AD_INTERNAL_ERROR;
2705                 return 0;
2706             }
2707         }
2708     }
2709
2710     if (!tls1_alpn_handle_client_hello_late(s, al)) {
2711         return 0;
2712     }
2713
2714     return 1;
2715 }
2716
2717 int ssl_check_serverhello_tlsext(SSL *s)
2718 {
2719     int ret = SSL_TLSEXT_ERR_NOACK;
2720     int al = SSL_AD_UNRECOGNIZED_NAME;
2721
2722 #ifndef OPENSSL_NO_EC
2723     /*
2724      * If we are client and using an elliptic curve cryptography cipher
2725      * suite, then if server returns an EC point formats lists extension it
2726      * must contain uncompressed.
2727      */
2728     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2729     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2730     if ((s->tlsext_ecpointformatlist != NULL)
2731         && (s->tlsext_ecpointformatlist_length > 0)
2732         && (s->session->tlsext_ecpointformatlist != NULL)
2733         && (s->session->tlsext_ecpointformatlist_length > 0)
2734         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2735         /* we are using an ECC cipher */
2736         size_t i;
2737         unsigned char *list;
2738         int found_uncompressed = 0;
2739         list = s->session->tlsext_ecpointformatlist;
2740         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2741             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2742                 found_uncompressed = 1;
2743                 break;
2744             }
2745         }
2746         if (!found_uncompressed) {
2747             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2748                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2749             return -1;
2750         }
2751     }
2752     ret = SSL_TLSEXT_ERR_OK;
2753 #endif                          /* OPENSSL_NO_EC */
2754
2755     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2756         ret =
2757             s->ctx->tlsext_servername_callback(s, &al,
2758                                                s->ctx->tlsext_servername_arg);
2759     else if (s->initial_ctx != NULL
2760              && s->initial_ctx->tlsext_servername_callback != 0)
2761         ret =
2762             s->initial_ctx->tlsext_servername_callback(s, &al,
2763                                                        s->
2764                                                        initial_ctx->tlsext_servername_arg);
2765
2766     /*
2767      * Ensure we get sensible values passed to tlsext_status_cb in the event
2768      * that we don't receive a status message
2769      */
2770     OPENSSL_free(s->tlsext_ocsp_resp);
2771     s->tlsext_ocsp_resp = NULL;
2772     s->tlsext_ocsp_resplen = -1;
2773
2774     switch (ret) {
2775     case SSL_TLSEXT_ERR_ALERT_FATAL:
2776         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2777         return -1;
2778
2779     case SSL_TLSEXT_ERR_ALERT_WARNING:
2780         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2781         return 1;
2782
2783     case SSL_TLSEXT_ERR_NOACK:
2784         s->servername_done = 0;
2785     default:
2786         return 1;
2787     }
2788 }
2789
2790 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2791 {
2792     int al = -1;
2793     if (s->version < SSL3_VERSION)
2794         return 1;
2795     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2796         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2797         return 0;
2798     }
2799
2800     if (ssl_check_serverhello_tlsext(s) <= 0) {
2801         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2802         return 0;
2803     }
2804     return 1;
2805 }
2806
2807 /*-
2808  * Since the server cache lookup is done early on in the processing of the
2809  * ClientHello and other operations depend on the result some extensions
2810  * need to be handled at the same time.
2811  *
2812  * Two extensions are currently handled, session ticket and extended master
2813  * secret.
2814  *
2815  *   session_id: ClientHello session ID.
2816  *   ext: ClientHello extensions (including length prefix)
2817  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2818  *       point to the resulting session.
2819  *
2820  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2821  * ciphersuite, in which case we have no use for session tickets and one will
2822  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2823  *
2824  * Returns:
2825  *   -1: fatal error, either from parsing or decrypting the ticket.
2826  *    0: no ticket was found (or was ignored, based on settings).
2827  *    1: a zero length extension was found, indicating that the client supports
2828  *       session tickets but doesn't currently have one to offer.
2829  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2830  *       couldn't be decrypted because of a non-fatal error.
2831  *    3: a ticket was successfully decrypted and *ret was set.
2832  *
2833  * Side effects:
2834  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2835  *   a new session ticket to the client because the client indicated support
2836  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2837  *   a session ticket or we couldn't use the one it gave us, or if
2838  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2839  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2840  *
2841  *   For extended master secret flag is set if the extension is present.
2842  *
2843  */
2844 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2845                                        const PACKET *session_id,
2846                                        SSL_SESSION **ret)
2847 {
2848     unsigned int i;
2849     PACKET local_ext = *ext;
2850     int retv = -1;
2851
2852     int have_ticket = 0;
2853     int use_ticket = tls_use_ticket(s);
2854
2855     *ret = NULL;
2856     s->tlsext_ticket_expected = 0;
2857     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2858
2859     /*
2860      * If tickets disabled behave as if no ticket present to permit stateful
2861      * resumption.
2862      */
2863     if ((s->version <= SSL3_VERSION))
2864         return 0;
2865
2866     if (!PACKET_get_net_2(&local_ext, &i)) {
2867         retv = 0;
2868         goto end;
2869     }
2870     while (PACKET_remaining(&local_ext) >= 4) {
2871         unsigned int type, size;
2872
2873         if (!PACKET_get_net_2(&local_ext, &type)
2874             || !PACKET_get_net_2(&local_ext, &size)) {
2875             /* Shouldn't ever happen */
2876             retv = -1;
2877             goto end;
2878         }
2879         if (PACKET_remaining(&local_ext) < size) {
2880             retv = 0;
2881             goto end;
2882         }
2883         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2884             int r;
2885             const unsigned char *etick;
2886
2887             /* Duplicate extension */
2888             if (have_ticket != 0) {
2889                 retv = -1;
2890                 goto end;
2891             }
2892             have_ticket = 1;
2893
2894             if (size == 0) {
2895                 /*
2896                  * The client will accept a ticket but doesn't currently have
2897                  * one.
2898                  */
2899                 s->tlsext_ticket_expected = 1;
2900                 retv = 1;
2901                 continue;
2902             }
2903             if (s->tls_session_secret_cb) {
2904                 /*
2905                  * Indicate that the ticket couldn't be decrypted rather than
2906                  * generating the session from ticket now, trigger
2907                  * abbreviated handshake based on external mechanism to
2908                  * calculate the master secret later.
2909                  */
2910                 retv = 2;
2911                 continue;
2912             }
2913             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2914                 /* Shouldn't ever happen */
2915                 retv = -1;
2916                 goto end;
2917             }
2918             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2919                                    PACKET_remaining(session_id), ret);
2920             switch (r) {
2921             case 2:            /* ticket couldn't be decrypted */
2922                 s->tlsext_ticket_expected = 1;
2923                 retv = 2;
2924                 break;
2925             case 3:            /* ticket was decrypted */
2926                 retv = r;
2927                 break;
2928             case 4:            /* ticket decrypted but need to renew */
2929                 s->tlsext_ticket_expected = 1;
2930                 retv = 3;
2931                 break;
2932             default:           /* fatal error */
2933                 retv = -1;
2934                 break;
2935             }
2936             continue;
2937         } else {
2938             if (type == TLSEXT_TYPE_extended_master_secret)
2939                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2940             if (!PACKET_forward(&local_ext, size)) {
2941                 retv = -1;
2942                 goto end;
2943             }
2944         }
2945     }
2946     if (have_ticket == 0)
2947         retv = 0;
2948  end:
2949     return retv;
2950 }
2951
2952 /*-
2953  * tls_decrypt_ticket attempts to decrypt a session ticket.
2954  *
2955  *   etick: points to the body of the session ticket extension.
2956  *   eticklen: the length of the session tickets extension.
2957  *   sess_id: points at the session ID.
2958  *   sesslen: the length of the session ID.
2959  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2960  *       point to the resulting session.
2961  *
2962  * Returns:
2963  *   -2: fatal error, malloc failure.
2964  *   -1: fatal error, either from parsing or decrypting the ticket.
2965  *    2: the ticket couldn't be decrypted.
2966  *    3: a ticket was successfully decrypted and *psess was set.
2967  *    4: same as 3, but the ticket needs to be renewed.
2968  */
2969 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2970                               int eticklen, const unsigned char *sess_id,
2971                               int sesslen, SSL_SESSION **psess)
2972 {
2973     SSL_SESSION *sess;
2974     unsigned char *sdec;
2975     const unsigned char *p;
2976     int slen, mlen, renew_ticket = 0, ret = -1;
2977     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2978     HMAC_CTX *hctx = NULL;
2979     EVP_CIPHER_CTX *ctx;
2980     SSL_CTX *tctx = s->initial_ctx;
2981
2982     /* Initialize session ticket encryption and HMAC contexts */
2983     hctx = HMAC_CTX_new();
2984     if (hctx == NULL)
2985         return -2;
2986     ctx = EVP_CIPHER_CTX_new();
2987     if (ctx == NULL) {
2988         ret = -2;
2989         goto err;
2990     }
2991     if (tctx->tlsext_ticket_key_cb) {
2992         unsigned char *nctick = (unsigned char *)etick;
2993         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
2994                                             ctx, hctx, 0);
2995         if (rv < 0)
2996             goto err;
2997         if (rv == 0) {
2998             ret = 2;
2999             goto err;
3000         }
3001         if (rv == 2)
3002             renew_ticket = 1;
3003     } else {
3004         /* Check key name matches */
3005         if (memcmp(etick, tctx->tlsext_tick_key_name,
3006                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
3007             ret = 2;
3008             goto err;
3009         }
3010         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3011                          sizeof(tctx->tlsext_tick_hmac_key),
3012                          EVP_sha256(), NULL) <= 0
3013             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3014                                   tctx->tlsext_tick_aes_key,
3015                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
3016             0) {
3017             goto err;
3018         }
3019     }
3020     /*
3021      * Attempt to process session ticket, first conduct sanity and integrity
3022      * checks on ticket.
3023      */
3024     mlen = HMAC_size(hctx);
3025     if (mlen < 0) {
3026         goto err;
3027     }
3028     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3029     if (eticklen <=
3030         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3031         ret = 2;
3032         goto err;
3033     }
3034     eticklen -= mlen;
3035     /* Check HMAC of encrypted ticket */
3036     if (HMAC_Update(hctx, etick, eticklen) <= 0
3037         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3038         goto err;
3039     }
3040     HMAC_CTX_free(hctx);
3041     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3042         EVP_CIPHER_CTX_free(ctx);
3043         return 2;
3044     }
3045     /* Attempt to decrypt session data */
3046     /* Move p after IV to start of encrypted ticket, update length */
3047     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3048     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3049     sdec = OPENSSL_malloc(eticklen);
3050     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3051         EVP_CIPHER_CTX_free(ctx);
3052         OPENSSL_free(sdec);
3053         return -1;
3054     }
3055     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3056         EVP_CIPHER_CTX_free(ctx);
3057         OPENSSL_free(sdec);
3058         return 2;
3059     }
3060     slen += mlen;
3061     EVP_CIPHER_CTX_free(ctx);
3062     ctx = NULL;
3063     p = sdec;
3064
3065     sess = d2i_SSL_SESSION(NULL, &p, slen);
3066     OPENSSL_free(sdec);
3067     if (sess) {
3068         /*
3069          * The session ID, if non-empty, is used by some clients to detect
3070          * that the ticket has been accepted. So we copy it to the session
3071          * structure. If it is empty set length to zero as required by
3072          * standard.
3073          */
3074         if (sesslen)
3075             memcpy(sess->session_id, sess_id, sesslen);
3076         sess->session_id_length = sesslen;
3077         *psess = sess;
3078         if (renew_ticket)
3079             return 4;
3080         else
3081             return 3;
3082     }
3083     ERR_clear_error();
3084     /*
3085      * For session parse failure, indicate that we need to send a new ticket.
3086      */
3087     return 2;
3088  err:
3089     EVP_CIPHER_CTX_free(ctx);
3090     HMAC_CTX_free(hctx);
3091     return ret;
3092 }
3093
3094 /* Tables to translate from NIDs to TLS v1.2 ids */
3095
3096 typedef struct {
3097     int nid;
3098     int id;
3099 } tls12_lookup;
3100
3101 static const tls12_lookup tls12_md[] = {
3102     {NID_md5, TLSEXT_hash_md5},
3103     {NID_sha1, TLSEXT_hash_sha1},
3104     {NID_sha224, TLSEXT_hash_sha224},
3105     {NID_sha256, TLSEXT_hash_sha256},
3106     {NID_sha384, TLSEXT_hash_sha384},
3107     {NID_sha512, TLSEXT_hash_sha512},
3108     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3109     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3110     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3111 };
3112
3113 static const tls12_lookup tls12_sig[] = {
3114     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3115     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3116     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3117     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3118     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3119     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3120 };
3121
3122 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3123 {
3124     size_t i;
3125     for (i = 0; i < tlen; i++) {
3126         if (table[i].nid == nid)
3127             return table[i].id;
3128     }
3129     return -1;
3130 }
3131
3132 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3133 {
3134     size_t i;
3135     for (i = 0; i < tlen; i++) {
3136         if ((table[i].id) == id)
3137             return table[i].nid;
3138     }
3139     return NID_undef;
3140 }
3141
3142 int tls12_get_sigandhash(unsigned char *p, const EVP_PKEY *pk, const EVP_MD *md)
3143 {
3144     int sig_id, md_id;
3145     if (!md)
3146         return 0;
3147     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3148     if (md_id == -1)
3149         return 0;
3150     sig_id = tls12_get_sigid(pk);
3151     if (sig_id == -1)
3152         return 0;
3153     p[0] = (unsigned char)md_id;
3154     p[1] = (unsigned char)sig_id;
3155     return 1;
3156 }
3157
3158 int tls12_get_sigid(const EVP_PKEY *pk)
3159 {
3160     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3161 }
3162
3163 typedef struct {
3164     int nid;
3165     int secbits;
3166     int md_idx;
3167     unsigned char tlsext_hash;
3168 } tls12_hash_info;
3169
3170 static const tls12_hash_info tls12_md_info[] = {
3171     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3172     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3173     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3174     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3175     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3176     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3177     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3178     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3179      TLSEXT_hash_gostr34112012_256},
3180     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3181      TLSEXT_hash_gostr34112012_512},
3182 };
3183
3184 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3185 {
3186     unsigned int i;
3187     if (hash_alg == 0)
3188         return NULL;
3189
3190     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3191         if (tls12_md_info[i].tlsext_hash == hash_alg)
3192             return tls12_md_info + i;
3193     }
3194
3195     return NULL;
3196 }
3197
3198 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3199 {
3200     const tls12_hash_info *inf;
3201     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3202         return NULL;
3203     inf = tls12_get_hash_info(hash_alg);
3204     if (!inf)
3205         return NULL;
3206     return ssl_md(inf->md_idx);
3207 }
3208
3209 static int tls12_get_pkey_idx(unsigned char sig_alg)
3210 {
3211     switch (sig_alg) {
3212 #ifndef OPENSSL_NO_RSA
3213     case TLSEXT_signature_rsa:
3214         return SSL_PKEY_RSA_SIGN;
3215 #endif
3216 #ifndef OPENSSL_NO_DSA
3217     case TLSEXT_signature_dsa:
3218         return SSL_PKEY_DSA_SIGN;
3219 #endif
3220 #ifndef OPENSSL_NO_EC
3221     case TLSEXT_signature_ecdsa:
3222         return SSL_PKEY_ECC;
3223 #endif
3224 #ifndef OPENSSL_NO_GOST
3225     case TLSEXT_signature_gostr34102001:
3226         return SSL_PKEY_GOST01;
3227
3228     case TLSEXT_signature_gostr34102012_256:
3229         return SSL_PKEY_GOST12_256;
3230
3231     case TLSEXT_signature_gostr34102012_512:
3232         return SSL_PKEY_GOST12_512;
3233 #endif
3234     }
3235     return -1;
3236 }
3237
3238 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3239 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3240                                int *psignhash_nid, const unsigned char *data)
3241 {
3242     int sign_nid = NID_undef, hash_nid = NID_undef;
3243     if (!phash_nid && !psign_nid && !psignhash_nid)
3244         return;
3245     if (phash_nid || psignhash_nid) {
3246         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3247         if (phash_nid)
3248             *phash_nid = hash_nid;
3249     }
3250     if (psign_nid || psignhash_nid) {
3251         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3252         if (psign_nid)
3253             *psign_nid = sign_nid;
3254     }
3255     if (psignhash_nid) {
3256         if (sign_nid == NID_undef || hash_nid == NID_undef
3257             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3258             *psignhash_nid = NID_undef;
3259     }
3260 }
3261
3262 /* Check to see if a signature algorithm is allowed */
3263 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3264 {
3265     /* See if we have an entry in the hash table and it is enabled */
3266     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3267     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3268         return 0;
3269     /* See if public key algorithm allowed */
3270     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3271         return 0;
3272     /* Finally see if security callback allows it */
3273     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3274 }
3275
3276 /*
3277  * Get a mask of disabled public key algorithms based on supported signature
3278  * algorithms. For example if no signature algorithm supports RSA then RSA is
3279  * disabled.
3280  */
3281
3282 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3283 {
3284     const unsigned char *sigalgs;
3285     size_t i, sigalgslen;
3286     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3287     /*
3288      * Now go through all signature algorithms seeing if we support any for
3289      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3290      * down calls to security callback only check if we have to.
3291      */
3292     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3293     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3294         switch (sigalgs[1]) {
3295 #ifndef OPENSSL_NO_RSA
3296         case TLSEXT_signature_rsa:
3297             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3298                 have_rsa = 1;
3299             break;
3300 #endif
3301 #ifndef OPENSSL_NO_DSA
3302         case TLSEXT_signature_dsa:
3303             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3304                 have_dsa = 1;
3305             break;
3306 #endif
3307 #ifndef OPENSSL_NO_EC
3308         case TLSEXT_signature_ecdsa:
3309             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3310                 have_ecdsa = 1;
3311             break;
3312 #endif
3313         }
3314     }
3315     if (!have_rsa)
3316         *pmask_a |= SSL_aRSA;
3317     if (!have_dsa)
3318         *pmask_a |= SSL_aDSS;
3319     if (!have_ecdsa)
3320         *pmask_a |= SSL_aECDSA;
3321 }
3322
3323 /*
3324  * Old version of the tls12_copy_sigalgs function used by code that has not
3325  * yet been converted to WPACKET yet. It will be deleted once WPACKET conversion
3326  * is complete.
3327  * TODO - DELETE ME
3328  */
3329 size_t tls12_copy_sigalgs_old(SSL *s, unsigned char *out,
3330                           const unsigned char *psig, size_t psiglen)
3331 {
3332     unsigned char *tmpout = out;
3333     size_t i;
3334     for (i = 0; i < psiglen; i += 2, psig += 2) {
3335         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3336             *tmpout++ = psig[0];
3337             *tmpout++ = psig[1];
3338         }
3339     }
3340     return tmpout - out;
3341 }
3342
3343 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3344                        const unsigned char *psig, size_t psiglen)
3345 {
3346     size_t i;
3347     for (i = 0; i < psiglen; i += 2, psig += 2) {
3348         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3349             if (!WPACKET_put_bytes(pkt, psig[0], 1)
3350                     || !WPACKET_put_bytes(pkt, psig[1], 1))
3351                 return 0;
3352         }
3353     }
3354     return 1;
3355 }
3356
3357 /* Given preference and allowed sigalgs set shared sigalgs */
3358 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3359                                 const unsigned char *pref, size_t preflen,
3360                                 const unsigned char *allow, size_t allowlen)
3361 {
3362     const unsigned char *ptmp, *atmp;
3363     size_t i, j, nmatch = 0;
3364     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3365         /* Skip disabled hashes or signature algorithms */
3366         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3367             continue;
3368         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3369             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3370                 nmatch++;
3371                 if (shsig) {
3372                     shsig->rhash = ptmp[0];
3373                     shsig->rsign = ptmp[1];
3374                     tls1_lookup_sigalg(&shsig->hash_nid,
3375                                        &shsig->sign_nid,
3376                                        &shsig->signandhash_nid, ptmp);
3377                     shsig++;
3378                 }
3379                 break;
3380             }
3381         }
3382     }
3383     return nmatch;
3384 }
3385
3386 /* Set shared signature algorithms for SSL structures */
3387 static int tls1_set_shared_sigalgs(SSL *s)
3388 {
3389     const unsigned char *pref, *allow, *conf;
3390     size_t preflen, allowlen, conflen;
3391     size_t nmatch;
3392     TLS_SIGALGS *salgs = NULL;
3393     CERT *c = s->cert;
3394     unsigned int is_suiteb = tls1_suiteb(s);
3395
3396     OPENSSL_free(c->shared_sigalgs);
3397     c->shared_sigalgs = NULL;
3398     c->shared_sigalgslen = 0;
3399     /* If client use client signature algorithms if not NULL */
3400     if (!s->server && c->client_sigalgs && !is_suiteb) {
3401         conf = c->client_sigalgs;
3402         conflen = c->client_sigalgslen;
3403     } else if (c->conf_sigalgs && !is_suiteb) {
3404         conf = c->conf_sigalgs;
3405         conflen = c->conf_sigalgslen;
3406     } else
3407         conflen = tls12_get_psigalgs(s, &conf);
3408     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3409         pref = conf;
3410         preflen = conflen;
3411         allow = s->s3->tmp.peer_sigalgs;
3412         allowlen = s->s3->tmp.peer_sigalgslen;
3413     } else {
3414         allow = conf;
3415         allowlen = conflen;
3416         pref = s->s3->tmp.peer_sigalgs;
3417         preflen = s->s3->tmp.peer_sigalgslen;
3418     }
3419     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3420     if (nmatch) {
3421         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3422         if (salgs == NULL)
3423             return 0;
3424         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3425     } else {
3426         salgs = NULL;
3427     }
3428     c->shared_sigalgs = salgs;
3429     c->shared_sigalgslen = nmatch;
3430     return 1;
3431 }
3432
3433 /* Set preferred digest for each key type */
3434
3435 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3436 {
3437     CERT *c = s->cert;
3438     /* Extension ignored for inappropriate versions */
3439     if (!SSL_USE_SIGALGS(s))
3440         return 1;
3441     /* Should never happen */
3442     if (!c)
3443         return 0;
3444
3445     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3446     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3447     if (s->s3->tmp.peer_sigalgs == NULL)
3448         return 0;
3449     s->s3->tmp.peer_sigalgslen = dsize;
3450     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3451     return 1;
3452 }
3453
3454 int tls1_process_sigalgs(SSL *s)
3455 {
3456     int idx;
3457     size_t i;
3458     const EVP_MD *md;
3459     const EVP_MD **pmd = s->s3->tmp.md;
3460     uint32_t *pvalid = s->s3->tmp.valid_flags;
3461     CERT *c = s->cert;
3462     TLS_SIGALGS *sigptr;
3463     if (!tls1_set_shared_sigalgs(s))
3464         return 0;
3465
3466     for (i = 0, sigptr = c->shared_sigalgs;
3467          i < c->shared_sigalgslen; i++, sigptr++) {
3468         idx = tls12_get_pkey_idx(sigptr->rsign);
3469         if (idx > 0 && pmd[idx] == NULL) {
3470             md = tls12_get_hash(sigptr->rhash);
3471             pmd[idx] = md;
3472             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3473             if (idx == SSL_PKEY_RSA_SIGN) {
3474                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3475                 pmd[SSL_PKEY_RSA_ENC] = md;
3476             }
3477         }
3478
3479     }
3480     /*
3481      * In strict mode leave unset digests as NULL to indicate we can't use
3482      * the certificate for signing.
3483      */
3484     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3485         /*
3486          * Set any remaining keys to default values. NOTE: if alg is not
3487          * supported it stays as NULL.
3488          */
3489 #ifndef OPENSSL_NO_DSA
3490         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3491             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3492 #endif
3493 #ifndef OPENSSL_NO_RSA
3494         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3495             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3496             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3497         }
3498 #endif
3499 #ifndef OPENSSL_NO_EC
3500         if (pmd[SSL_PKEY_ECC] == NULL)
3501             pmd[SSL_PKEY_ECC] = EVP_sha1();
3502 #endif
3503 #ifndef OPENSSL_NO_GOST
3504         if (pmd[SSL_PKEY_GOST01] == NULL)
3505             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3506         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3507             pmd[SSL_PKEY_GOST12_256] =
3508                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3509         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3510             pmd[SSL_PKEY_GOST12_512] =
3511                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3512 #endif
3513     }
3514     return 1;
3515 }
3516
3517 int SSL_get_sigalgs(SSL *s, int idx,
3518                     int *psign, int *phash, int *psignhash,
3519                     unsigned char *rsig, unsigned char *rhash)
3520 {
3521     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3522     if (psig == NULL)
3523         return 0;
3524     if (idx >= 0) {
3525         idx <<= 1;
3526         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3527             return 0;
3528         psig += idx;
3529         if (rhash)
3530             *rhash = psig[0];
3531         if (rsig)
3532             *rsig = psig[1];
3533         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3534     }
3535     return s->s3->tmp.peer_sigalgslen / 2;
3536 }
3537
3538 int SSL_get_shared_sigalgs(SSL *s, int idx,
3539                            int *psign, int *phash, int *psignhash,
3540                            unsigned char *rsig, unsigned char *rhash)
3541 {
3542     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3543     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3544         return 0;
3545     shsigalgs += idx;
3546     if (phash)
3547         *phash = shsigalgs->hash_nid;
3548     if (psign)
3549         *psign = shsigalgs->sign_nid;
3550     if (psignhash)
3551         *psignhash = shsigalgs->signandhash_nid;
3552     if (rsig)
3553         *rsig = shsigalgs->rsign;
3554     if (rhash)
3555         *rhash = shsigalgs->rhash;
3556     return s->cert->shared_sigalgslen;
3557 }
3558
3559 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3560
3561 typedef struct {
3562     size_t sigalgcnt;
3563     int sigalgs[MAX_SIGALGLEN];
3564 } sig_cb_st;
3565
3566 static void get_sigorhash(int *psig, int *phash, const char *str)
3567 {
3568     if (strcmp(str, "RSA") == 0) {
3569         *psig = EVP_PKEY_RSA;
3570     } else if (strcmp(str, "DSA") == 0) {
3571         *psig = EVP_PKEY_DSA;
3572     } else if (strcmp(str, "ECDSA") == 0) {
3573         *psig = EVP_PKEY_EC;
3574     } else {
3575         *phash = OBJ_sn2nid(str);
3576         if (*phash == NID_undef)
3577             *phash = OBJ_ln2nid(str);
3578     }
3579 }
3580
3581 static int sig_cb(const char *elem, int len, void *arg)
3582 {
3583     sig_cb_st *sarg = arg;
3584     size_t i;
3585     char etmp[20], *p;
3586     int sig_alg = NID_undef, hash_alg = NID_undef;
3587     if (elem == NULL)
3588         return 0;
3589     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3590         return 0;
3591     if (len > (int)(sizeof(etmp) - 1))
3592         return 0;