Split out the PSK preamble from tls_process_key_exchange()
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, int ticklen,
24                               const unsigned char *sess_id, int sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS1_FINISH_MAC_LENGTH,
37     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
38     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
39     tls1_alert_code,
40     tls1_export_keying_material,
41     0,
42     SSL3_HM_HEADER_LENGTH,
43     ssl3_set_handshake_header,
44     ssl3_handshake_write
45 };
46
47 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
48     tls1_enc,
49     tls1_mac,
50     tls1_setup_key_block,
51     tls1_generate_master_secret,
52     tls1_change_cipher_state,
53     tls1_final_finish_mac,
54     TLS1_FINISH_MAC_LENGTH,
55     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
56     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
57     tls1_alert_code,
58     tls1_export_keying_material,
59     SSL_ENC_FLAG_EXPLICIT_IV,
60     SSL3_HM_HEADER_LENGTH,
61     ssl3_set_handshake_header,
62     ssl3_handshake_write
63 };
64
65 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
66     tls1_enc,
67     tls1_mac,
68     tls1_setup_key_block,
69     tls1_generate_master_secret,
70     tls1_change_cipher_state,
71     tls1_final_finish_mac,
72     TLS1_FINISH_MAC_LENGTH,
73     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
74     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
75     tls1_alert_code,
76     tls1_export_keying_material,
77     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
78         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
79     SSL3_HM_HEADER_LENGTH,
80     ssl3_set_handshake_header,
81     ssl3_handshake_write
82 };
83
84 long tls1_default_timeout(void)
85 {
86     /*
87      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
88      * http, the cache would over fill
89      */
90     return (60 * 60 * 2);
91 }
92
93 int tls1_new(SSL *s)
94 {
95     if (!ssl3_new(s))
96         return (0);
97     s->method->ssl_clear(s);
98     return (1);
99 }
100
101 void tls1_free(SSL *s)
102 {
103     OPENSSL_free(s->tlsext_session_ticket);
104     ssl3_free(s);
105 }
106
107 void tls1_clear(SSL *s)
108 {
109     ssl3_clear(s);
110     if (s->method->version == TLS_ANY_VERSION)
111         s->version = TLS_MAX_VERSION;
112     else
113         s->version = s->method->version;
114 }
115
116 #ifndef OPENSSL_NO_EC
117
118 typedef struct {
119     int nid;                    /* Curve NID */
120     int secbits;                /* Bits of security (from SP800-57) */
121     unsigned int flags;         /* Flags: currently just field type */
122 } tls_curve_info;
123
124 /* Mask for curve type */
125 # define TLS_CURVE_TYPE          0x3
126 # define TLS_CURVE_PRIME         0x0
127 # define TLS_CURVE_CHAR2         0x1
128 # define TLS_CURVE_CUSTOM        0x2
129
130 /*
131  * Table of curve information.
132  * Do not delete entries or reorder this array! It is used as a lookup
133  * table: the index of each entry is one less than the TLS curve id.
134  */
135 static const tls_curve_info nid_list[] = {
136     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
137     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
138     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
139     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
140     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
141     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
142     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
143     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
144     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
145     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
146     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
147     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
148     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
149     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
150     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
151     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
152     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
153     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
154     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
155     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
156     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
157     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
158     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
159     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
160     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
161     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
162     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
163     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
164     /* X25519 (29) */
165     {NID_X25519, 128, TLS_CURVE_CUSTOM},
166 };
167
168 static const unsigned char ecformats_default[] = {
169     TLSEXT_ECPOINTFORMAT_uncompressed,
170     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
171     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
172 };
173
174 /* The default curves */
175 static const unsigned char eccurves_default[] = {
176     0, 29,                      /* X25519 (29) */
177     0, 23,                      /* secp256r1 (23) */
178     0, 25,                      /* secp521r1 (25) */
179     0, 24,                      /* secp384r1 (24) */
180 };
181
182 static const unsigned char eccurves_all[] = {
183     0, 29,                      /* X25519 (29) */
184     0, 23,                      /* secp256r1 (23) */
185     0, 25,                      /* secp521r1 (25) */
186     0, 24,                      /* secp384r1 (24) */
187     0, 26,                      /* brainpoolP256r1 (26) */
188     0, 27,                      /* brainpoolP384r1 (27) */
189     0, 28,                      /* brainpool512r1 (28) */
190
191     /*
192      * Remaining curves disabled by default but still permitted if set
193      * via an explicit callback or parameters.
194      */
195     0, 22,                      /* secp256k1 (22) */
196     0, 14,                      /* sect571r1 (14) */
197     0, 13,                      /* sect571k1 (13) */
198     0, 11,                      /* sect409k1 (11) */
199     0, 12,                      /* sect409r1 (12) */
200     0, 9,                       /* sect283k1 (9) */
201     0, 10,                      /* sect283r1 (10) */
202     0, 20,                      /* secp224k1 (20) */
203     0, 21,                      /* secp224r1 (21) */
204     0, 18,                      /* secp192k1 (18) */
205     0, 19,                      /* secp192r1 (19) */
206     0, 15,                      /* secp160k1 (15) */
207     0, 16,                      /* secp160r1 (16) */
208     0, 17,                      /* secp160r2 (17) */
209     0, 8,                       /* sect239k1 (8) */
210     0, 6,                       /* sect233k1 (6) */
211     0, 7,                       /* sect233r1 (7) */
212     0, 4,                       /* sect193r1 (4) */
213     0, 5,                       /* sect193r2 (5) */
214     0, 1,                       /* sect163k1 (1) */
215     0, 2,                       /* sect163r1 (2) */
216     0, 3,                       /* sect163r2 (3) */
217 };
218
219
220 static const unsigned char suiteb_curves[] = {
221     0, TLSEXT_curve_P_256,
222     0, TLSEXT_curve_P_384
223 };
224
225 int tls1_ec_curve_id2nid(int curve_id)
226 {
227     /* ECC curves from RFC 4492 and RFC 7027 */
228     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
229         return 0;
230     return nid_list[curve_id - 1].nid;
231 }
232
233 int tls1_ec_nid2curve_id(int nid)
234 {
235     size_t i;
236     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
237         if (nid_list[i].nid == nid)
238             return i + 1;
239     }
240     return 0;
241 }
242
243 /*
244  * Get curves list, if "sess" is set return client curves otherwise
245  * preferred list.
246  * Sets |num_curves| to the number of curves in the list, i.e.,
247  * the length of |pcurves| is 2 * num_curves.
248  * Returns 1 on success and 0 if the client curves list has invalid format.
249  * The latter indicates an internal error: we should not be accepting such
250  * lists in the first place.
251  * TODO(emilia): we should really be storing the curves list in explicitly
252  * parsed form instead. (However, this would affect binary compatibility
253  * so cannot happen in the 1.0.x series.)
254  */
255 static int tls1_get_curvelist(SSL *s, int sess,
256                               const unsigned char **pcurves,
257                               size_t *num_curves)
258 {
259     size_t pcurveslen = 0;
260     if (sess) {
261         *pcurves = s->session->tlsext_ellipticcurvelist;
262         pcurveslen = s->session->tlsext_ellipticcurvelist_length;
263     } else {
264         /* For Suite B mode only include P-256, P-384 */
265         switch (tls1_suiteb(s)) {
266         case SSL_CERT_FLAG_SUITEB_128_LOS:
267             *pcurves = suiteb_curves;
268             pcurveslen = sizeof(suiteb_curves);
269             break;
270
271         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
272             *pcurves = suiteb_curves;
273             pcurveslen = 2;
274             break;
275
276         case SSL_CERT_FLAG_SUITEB_192_LOS:
277             *pcurves = suiteb_curves + 2;
278             pcurveslen = 2;
279             break;
280         default:
281             *pcurves = s->tlsext_ellipticcurvelist;
282             pcurveslen = s->tlsext_ellipticcurvelist_length;
283         }
284         if (!*pcurves) {
285             *pcurves = eccurves_default;
286             pcurveslen = sizeof(eccurves_default);
287         }
288     }
289
290     /* We do not allow odd length arrays to enter the system. */
291     if (pcurveslen & 1) {
292         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
293         *num_curves = 0;
294         return 0;
295     } else {
296         *num_curves = pcurveslen / 2;
297         return 1;
298     }
299 }
300
301 /* See if curve is allowed by security callback */
302 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
303 {
304     const tls_curve_info *cinfo;
305     if (curve[0])
306         return 1;
307     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
308         return 0;
309     cinfo = &nid_list[curve[1] - 1];
310 # ifdef OPENSSL_NO_EC2M
311     if (cinfo->flags & TLS_CURVE_CHAR2)
312         return 0;
313 # endif
314     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
315 }
316
317 /* Check a curve is one of our preferences */
318 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
319 {
320     const unsigned char *curves;
321     size_t num_curves, i;
322     unsigned int suiteb_flags = tls1_suiteb(s);
323     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
324         return 0;
325     /* Check curve matches Suite B preferences */
326     if (suiteb_flags) {
327         unsigned long cid = s->s3->tmp.new_cipher->id;
328         if (p[1])
329             return 0;
330         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
331             if (p[2] != TLSEXT_curve_P_256)
332                 return 0;
333         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
334             if (p[2] != TLSEXT_curve_P_384)
335                 return 0;
336         } else                  /* Should never happen */
337             return 0;
338     }
339     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
340         return 0;
341     for (i = 0; i < num_curves; i++, curves += 2) {
342         if (p[1] == curves[0] && p[2] == curves[1])
343             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
344     }
345     return 0;
346 }
347
348 /*-
349  * For nmatch >= 0, return the NID of the |nmatch|th shared curve or NID_undef
350  * if there is no match.
351  * For nmatch == -1, return number of matches
352  * For nmatch == -2, return the NID of the curve to use for
353  * an EC tmp key, or NID_undef if there is no match.
354  */
355 int tls1_shared_curve(SSL *s, int nmatch)
356 {
357     const unsigned char *pref, *supp;
358     size_t num_pref, num_supp, i, j;
359     int k;
360     /* Can't do anything on client side */
361     if (s->server == 0)
362         return -1;
363     if (nmatch == -2) {
364         if (tls1_suiteb(s)) {
365             /*
366              * For Suite B ciphersuite determines curve: we already know
367              * these are acceptable due to previous checks.
368              */
369             unsigned long cid = s->s3->tmp.new_cipher->id;
370             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
371                 return NID_X9_62_prime256v1; /* P-256 */
372             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
373                 return NID_secp384r1; /* P-384 */
374             /* Should never happen */
375             return NID_undef;
376         }
377         /* If not Suite B just return first preference shared curve */
378         nmatch = 0;
379     }
380     /*
381      * Avoid truncation. tls1_get_curvelist takes an int
382      * but s->options is a long...
383      */
384     if (!tls1_get_curvelist
385         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
386          &num_supp))
387         /* In practice, NID_undef == 0 but let's be precise. */
388         return nmatch == -1 ? 0 : NID_undef;
389     if (!tls1_get_curvelist
390         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref,
391          &num_pref))
392         return nmatch == -1 ? 0 : NID_undef;
393
394     /*
395      * If the client didn't send the elliptic_curves extension all of them
396      * are allowed.
397      */
398     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
399         supp = eccurves_all;
400         num_supp = sizeof(eccurves_all) / 2;
401     } else if (num_pref == 0 &&
402         (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
403         pref = eccurves_all;
404         num_pref = sizeof(eccurves_all) / 2;
405     }
406
407     k = 0;
408     for (i = 0; i < num_pref; i++, pref += 2) {
409         const unsigned char *tsupp = supp;
410         for (j = 0; j < num_supp; j++, tsupp += 2) {
411             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
412                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
413                     continue;
414                 if (nmatch == k) {
415                     int id = (pref[0] << 8) | pref[1];
416                     return tls1_ec_curve_id2nid(id);
417                 }
418                 k++;
419             }
420         }
421     }
422     if (nmatch == -1)
423         return k;
424     /* Out of range (nmatch > k). */
425     return NID_undef;
426 }
427
428 int tls1_set_curves(unsigned char **pext, size_t *pextlen,
429                     int *curves, size_t ncurves)
430 {
431     unsigned char *clist, *p;
432     size_t i;
433     /*
434      * Bitmap of curves included to detect duplicates: only works while curve
435      * ids < 32
436      */
437     unsigned long dup_list = 0;
438     clist = OPENSSL_malloc(ncurves * 2);
439     if (clist == NULL)
440         return 0;
441     for (i = 0, p = clist; i < ncurves; i++) {
442         unsigned long idmask;
443         int id;
444         id = tls1_ec_nid2curve_id(curves[i]);
445         idmask = 1L << id;
446         if (!id || (dup_list & idmask)) {
447             OPENSSL_free(clist);
448             return 0;
449         }
450         dup_list |= idmask;
451         s2n(id, p);
452     }
453     OPENSSL_free(*pext);
454     *pext = clist;
455     *pextlen = ncurves * 2;
456     return 1;
457 }
458
459 # define MAX_CURVELIST   28
460
461 typedef struct {
462     size_t nidcnt;
463     int nid_arr[MAX_CURVELIST];
464 } nid_cb_st;
465
466 static int nid_cb(const char *elem, int len, void *arg)
467 {
468     nid_cb_st *narg = arg;
469     size_t i;
470     int nid;
471     char etmp[20];
472     if (elem == NULL)
473         return 0;
474     if (narg->nidcnt == MAX_CURVELIST)
475         return 0;
476     if (len > (int)(sizeof(etmp) - 1))
477         return 0;
478     memcpy(etmp, elem, len);
479     etmp[len] = 0;
480     nid = EC_curve_nist2nid(etmp);
481     if (nid == NID_undef)
482         nid = OBJ_sn2nid(etmp);
483     if (nid == NID_undef)
484         nid = OBJ_ln2nid(etmp);
485     if (nid == NID_undef)
486         return 0;
487     for (i = 0; i < narg->nidcnt; i++)
488         if (narg->nid_arr[i] == nid)
489             return 0;
490     narg->nid_arr[narg->nidcnt++] = nid;
491     return 1;
492 }
493
494 /* Set curves based on a colon separate list */
495 int tls1_set_curves_list(unsigned char **pext, size_t *pextlen,
496                          const char *str)
497 {
498     nid_cb_st ncb;
499     ncb.nidcnt = 0;
500     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
501         return 0;
502     if (pext == NULL)
503         return 1;
504     return tls1_set_curves(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
505 }
506
507 /* For an EC key set TLS id and required compression based on parameters */
508 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
509                           EC_KEY *ec)
510 {
511     int id;
512     const EC_GROUP *grp;
513     if (!ec)
514         return 0;
515     /* Determine if it is a prime field */
516     grp = EC_KEY_get0_group(ec);
517     if (!grp)
518         return 0;
519     /* Determine curve ID */
520     id = EC_GROUP_get_curve_name(grp);
521     id = tls1_ec_nid2curve_id(id);
522     /* If no id return error: we don't support arbitrary explicit curves */
523     if (id == 0)
524         return 0;
525     curve_id[0] = 0;
526     curve_id[1] = (unsigned char)id;
527     if (comp_id) {
528         if (EC_KEY_get0_public_key(ec) == NULL)
529             return 0;
530         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
531             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
532         } else {
533             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
534                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
535             else
536                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
537         }
538     }
539     return 1;
540 }
541
542 /* Check an EC key is compatible with extensions */
543 static int tls1_check_ec_key(SSL *s,
544                              unsigned char *curve_id, unsigned char *comp_id)
545 {
546     const unsigned char *pformats, *pcurves;
547     size_t num_formats, num_curves, i;
548     int j;
549     /*
550      * If point formats extension present check it, otherwise everything is
551      * supported (see RFC4492).
552      */
553     if (comp_id && s->session->tlsext_ecpointformatlist) {
554         pformats = s->session->tlsext_ecpointformatlist;
555         num_formats = s->session->tlsext_ecpointformatlist_length;
556         for (i = 0; i < num_formats; i++, pformats++) {
557             if (*comp_id == *pformats)
558                 break;
559         }
560         if (i == num_formats)
561             return 0;
562     }
563     if (!curve_id)
564         return 1;
565     /* Check curve is consistent with client and server preferences */
566     for (j = 0; j <= 1; j++) {
567         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
568             return 0;
569         if (j == 1 && num_curves == 0) {
570             /*
571              * If we've not received any curves then skip this check.
572              * RFC 4492 does not require the supported elliptic curves extension
573              * so if it is not sent we can just choose any curve.
574              * It is invalid to send an empty list in the elliptic curves
575              * extension, so num_curves == 0 always means no extension.
576              */
577             break;
578         }
579         for (i = 0; i < num_curves; i++, pcurves += 2) {
580             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
581                 break;
582         }
583         if (i == num_curves)
584             return 0;
585         /* For clients can only check sent curve list */
586         if (!s->server)
587             break;
588     }
589     return 1;
590 }
591
592 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
593                                 size_t *num_formats)
594 {
595     /*
596      * If we have a custom point format list use it otherwise use default
597      */
598     if (s->tlsext_ecpointformatlist) {
599         *pformats = s->tlsext_ecpointformatlist;
600         *num_formats = s->tlsext_ecpointformatlist_length;
601     } else {
602         *pformats = ecformats_default;
603         /* For Suite B we don't support char2 fields */
604         if (tls1_suiteb(s))
605             *num_formats = sizeof(ecformats_default) - 1;
606         else
607             *num_formats = sizeof(ecformats_default);
608     }
609 }
610
611 /*
612  * Check cert parameters compatible with extensions: currently just checks EC
613  * certificates have compatible curves and compression.
614  */
615 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
616 {
617     unsigned char comp_id, curve_id[2];
618     EVP_PKEY *pkey;
619     int rv;
620     pkey = X509_get0_pubkey(x);
621     if (!pkey)
622         return 0;
623     /* If not EC nothing to do */
624     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
625         return 1;
626     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
627     if (!rv)
628         return 0;
629     /*
630      * Can't check curve_id for client certs as we don't have a supported
631      * curves extension.
632      */
633     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
634     if (!rv)
635         return 0;
636     /*
637      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
638      * SHA384+P-384, adjust digest if necessary.
639      */
640     if (set_ee_md && tls1_suiteb(s)) {
641         int check_md;
642         size_t i;
643         CERT *c = s->cert;
644         if (curve_id[0])
645             return 0;
646         /* Check to see we have necessary signing algorithm */
647         if (curve_id[1] == TLSEXT_curve_P_256)
648             check_md = NID_ecdsa_with_SHA256;
649         else if (curve_id[1] == TLSEXT_curve_P_384)
650             check_md = NID_ecdsa_with_SHA384;
651         else
652             return 0;           /* Should never happen */
653         for (i = 0; i < c->shared_sigalgslen; i++)
654             if (check_md == c->shared_sigalgs[i].signandhash_nid)
655                 break;
656         if (i == c->shared_sigalgslen)
657             return 0;
658         if (set_ee_md == 2) {
659             if (check_md == NID_ecdsa_with_SHA256)
660                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
661             else
662                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
663         }
664     }
665     return rv;
666 }
667
668 # ifndef OPENSSL_NO_EC
669 /*
670  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
671  * @s: SSL connection
672  * @cid: Cipher ID we're considering using
673  *
674  * Checks that the kECDHE cipher suite we're considering using
675  * is compatible with the client extensions.
676  *
677  * Returns 0 when the cipher can't be used or 1 when it can.
678  */
679 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
680 {
681     /*
682      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
683      * curves permitted.
684      */
685     if (tls1_suiteb(s)) {
686         unsigned char curve_id[2];
687         /* Curve to check determined by ciphersuite */
688         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
689             curve_id[1] = TLSEXT_curve_P_256;
690         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
691             curve_id[1] = TLSEXT_curve_P_384;
692         else
693             return 0;
694         curve_id[0] = 0;
695         /* Check this curve is acceptable */
696         if (!tls1_check_ec_key(s, curve_id, NULL))
697             return 0;
698         return 1;
699     }
700     /* Need a shared curve */
701     if (tls1_shared_curve(s, 0))
702         return 1;
703     return 0;
704 }
705 # endif                         /* OPENSSL_NO_EC */
706
707 #else
708
709 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
710 {
711     return 1;
712 }
713
714 #endif                          /* OPENSSL_NO_EC */
715
716 /*
717  * List of supported signature algorithms and hashes. Should make this
718  * customisable at some point, for now include everything we support.
719  */
720
721 #ifdef OPENSSL_NO_RSA
722 # define tlsext_sigalg_rsa(md) /* */
723 #else
724 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
725 #endif
726
727 #ifdef OPENSSL_NO_DSA
728 # define tlsext_sigalg_dsa(md) /* */
729 #else
730 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
731 #endif
732
733 #ifdef OPENSSL_NO_EC
734 # define tlsext_sigalg_ecdsa(md) /* */
735 #else
736 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
737 #endif
738
739 #define tlsext_sigalg(md) \
740                 tlsext_sigalg_rsa(md) \
741                 tlsext_sigalg_dsa(md) \
742                 tlsext_sigalg_ecdsa(md)
743
744 static const unsigned char tls12_sigalgs[] = {
745     tlsext_sigalg(TLSEXT_hash_sha512)
746         tlsext_sigalg(TLSEXT_hash_sha384)
747         tlsext_sigalg(TLSEXT_hash_sha256)
748         tlsext_sigalg(TLSEXT_hash_sha224)
749         tlsext_sigalg(TLSEXT_hash_sha1)
750 #ifndef OPENSSL_NO_GOST
751         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
752         TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
753         TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
754 #endif
755 };
756
757 #ifndef OPENSSL_NO_EC
758 static const unsigned char suiteb_sigalgs[] = {
759     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
760         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
761 };
762 #endif
763 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
764 {
765     /*
766      * If Suite B mode use Suite B sigalgs only, ignore any other
767      * preferences.
768      */
769 #ifndef OPENSSL_NO_EC
770     switch (tls1_suiteb(s)) {
771     case SSL_CERT_FLAG_SUITEB_128_LOS:
772         *psigs = suiteb_sigalgs;
773         return sizeof(suiteb_sigalgs);
774
775     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
776         *psigs = suiteb_sigalgs;
777         return 2;
778
779     case SSL_CERT_FLAG_SUITEB_192_LOS:
780         *psigs = suiteb_sigalgs + 2;
781         return 2;
782     }
783 #endif
784     /* If server use client authentication sigalgs if not NULL */
785     if (s->server && s->cert->client_sigalgs) {
786         *psigs = s->cert->client_sigalgs;
787         return s->cert->client_sigalgslen;
788     } else if (s->cert->conf_sigalgs) {
789         *psigs = s->cert->conf_sigalgs;
790         return s->cert->conf_sigalgslen;
791     } else {
792         *psigs = tls12_sigalgs;
793         return sizeof(tls12_sigalgs);
794     }
795 }
796
797 /*
798  * Check signature algorithm is consistent with sent supported signature
799  * algorithms and if so return relevant digest.
800  */
801 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
802                             const unsigned char *sig, EVP_PKEY *pkey)
803 {
804     const unsigned char *sent_sigs;
805     size_t sent_sigslen, i;
806     int sigalg = tls12_get_sigid(pkey);
807     /* Should never happen */
808     if (sigalg == -1)
809         return -1;
810     /* Check key type is consistent with signature */
811     if (sigalg != (int)sig[1]) {
812         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
813         return 0;
814     }
815 #ifndef OPENSSL_NO_EC
816     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
817         unsigned char curve_id[2], comp_id;
818         /* Check compression and curve matches extensions */
819         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
820             return 0;
821         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
822             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
823             return 0;
824         }
825         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
826         if (tls1_suiteb(s)) {
827             if (curve_id[0])
828                 return 0;
829             if (curve_id[1] == TLSEXT_curve_P_256) {
830                 if (sig[0] != TLSEXT_hash_sha256) {
831                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
832                            SSL_R_ILLEGAL_SUITEB_DIGEST);
833                     return 0;
834                 }
835             } else if (curve_id[1] == TLSEXT_curve_P_384) {
836                 if (sig[0] != TLSEXT_hash_sha384) {
837                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
838                            SSL_R_ILLEGAL_SUITEB_DIGEST);
839                     return 0;
840                 }
841             } else
842                 return 0;
843         }
844     } else if (tls1_suiteb(s))
845         return 0;
846 #endif
847
848     /* Check signature matches a type we sent */
849     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
850     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
851         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
852             break;
853     }
854     /* Allow fallback to SHA1 if not strict mode */
855     if (i == sent_sigslen
856         && (sig[0] != TLSEXT_hash_sha1
857             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
858         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
859         return 0;
860     }
861     *pmd = tls12_get_hash(sig[0]);
862     if (*pmd == NULL) {
863         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
864         return 0;
865     }
866     /* Make sure security callback allows algorithm */
867     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
868                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd),
869                       (void *)sig)) {
870         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
871         return 0;
872     }
873     /*
874      * Store the digest used so applications can retrieve it if they wish.
875      */
876     s->s3->tmp.peer_md = *pmd;
877     return 1;
878 }
879
880 /*
881  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
882  * supported, doesn't appear in supported signature algorithms, isn't supported
883  * by the enabled protocol versions or by the security level.
884  *
885  * This function should only be used for checking which ciphers are supported
886  * by the client.
887  *
888  * Call ssl_cipher_disabled() to check that it's enabled or not.
889  */
890 void ssl_set_client_disabled(SSL *s)
891 {
892     s->s3->tmp.mask_a = 0;
893     s->s3->tmp.mask_k = 0;
894     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
895     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
896 # ifndef OPENSSL_NO_PSK
897     /* with PSK there must be client callback set */
898     if (!s->psk_client_callback) {
899         s->s3->tmp.mask_a |= SSL_aPSK;
900         s->s3->tmp.mask_k |= SSL_PSK;
901     }
902 #endif                         /* OPENSSL_NO_PSK */
903 #ifndef OPENSSL_NO_SRP
904     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
905         s->s3->tmp.mask_a |= SSL_aSRP;
906         s->s3->tmp.mask_k |= SSL_kSRP;
907     }
908 #endif
909 }
910
911 /*
912  * ssl_cipher_disabled - check that a cipher is disabled or not
913  * @s: SSL connection that you want to use the cipher on
914  * @c: cipher to check
915  * @op: Security check that you want to do
916  *
917  * Returns 1 when it's disabled, 0 when enabled.
918  */
919 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
920 {
921     if (c->algorithm_mkey & s->s3->tmp.mask_k
922         || c->algorithm_auth & s->s3->tmp.mask_a)
923         return 1;
924     if (s->s3->tmp.max_ver == 0)
925         return 1;
926     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
927             || (c->max_tls < s->s3->tmp.min_ver)))
928         return 1;
929     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
930             || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
931         return 1;
932
933     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
934 }
935
936 static int tls_use_ticket(SSL *s)
937 {
938     if (s->options & SSL_OP_NO_TICKET)
939         return 0;
940     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
941 }
942
943 static int compare_uint(const void *p1, const void *p2) {
944     unsigned int u1 = *((const unsigned int *)p1);
945     unsigned int u2 = *((const unsigned int *)p2);
946     if (u1 < u2)
947         return -1;
948     else if (u1 > u2)
949         return 1;
950     else
951         return 0;
952 }
953
954 /*
955  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
956  * more than one extension of the same type in a ClientHello or ServerHello.
957  * This function does an initial scan over the extensions block to filter those
958  * out. It returns 1 if all extensions are unique, and 0 if the extensions
959  * contain duplicates, could not be successfully parsed, or an internal error
960  * occurred.
961  */
962 static int tls1_check_duplicate_extensions(const PACKET *packet) {
963     PACKET extensions = *packet;
964     size_t num_extensions = 0, i = 0;
965     unsigned int *extension_types = NULL;
966     int ret = 0;
967
968     /* First pass: count the extensions. */
969     while (PACKET_remaining(&extensions) > 0) {
970         unsigned int type;
971         PACKET extension;
972         if (!PACKET_get_net_2(&extensions, &type) ||
973             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
974             goto done;
975         }
976         num_extensions++;
977     }
978
979     if (num_extensions <= 1)
980         return 1;
981
982     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
983     if (extension_types == NULL) {
984         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
985         goto done;
986     }
987
988     /* Second pass: gather the extension types. */
989     extensions = *packet;
990     for (i = 0; i < num_extensions; i++) {
991         PACKET extension;
992         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
993             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
994             /* This should not happen. */
995             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
996             goto done;
997         }
998     }
999
1000     if (PACKET_remaining(&extensions) != 0) {
1001         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1002         goto done;
1003     }
1004     /* Sort the extensions and make sure there are no duplicates. */
1005     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1006     for (i = 1; i < num_extensions; i++) {
1007         if (extension_types[i - 1] == extension_types[i])
1008             goto done;
1009     }
1010     ret = 1;
1011  done:
1012     OPENSSL_free(extension_types);
1013     return ret;
1014 }
1015
1016 unsigned char *ssl_add_clienthello_tlsext(SSL *s, unsigned char *buf,
1017                                           unsigned char *limit, int *al)
1018 {
1019     int extdatalen = 0;
1020     unsigned char *orig = buf;
1021     unsigned char *ret = buf;
1022 #ifndef OPENSSL_NO_EC
1023     /* See if we support any ECC ciphersuites */
1024     int using_ecc = 0;
1025     if (s->version >= TLS1_VERSION || SSL_IS_DTLS(s)) {
1026         int i;
1027         unsigned long alg_k, alg_a;
1028         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1029
1030         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1031             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1032
1033             alg_k = c->algorithm_mkey;
1034             alg_a = c->algorithm_auth;
1035             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1036                  || (alg_a & SSL_aECDSA)) {
1037                 using_ecc = 1;
1038                 break;
1039             }
1040         }
1041     }
1042 #endif
1043
1044     ret += 2;
1045
1046     if (ret >= limit)
1047         return NULL;            /* this really never occurs, but ... */
1048
1049     /* Add RI if renegotiating */
1050     if (s->renegotiate) {
1051         int el;
1052
1053         if (!ssl_add_clienthello_renegotiate_ext(s, 0, &el, 0)) {
1054             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1055             return NULL;
1056         }
1057
1058         if ((limit - ret - 4 - el) < 0)
1059             return NULL;
1060
1061         s2n(TLSEXT_TYPE_renegotiate, ret);
1062         s2n(el, ret);
1063
1064         if (!ssl_add_clienthello_renegotiate_ext(s, ret, &el, el)) {
1065             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1066             return NULL;
1067         }
1068
1069         ret += el;
1070     }
1071     /* Only add RI for SSLv3 */
1072     if (s->client_version == SSL3_VERSION)
1073         goto done;
1074
1075     if (s->tlsext_hostname != NULL) {
1076         /* Add TLS extension servername to the Client Hello message */
1077         unsigned long size_str;
1078         long lenmax;
1079
1080         /*-
1081          * check for enough space.
1082          * 4 for the servername type and extension length
1083          * 2 for servernamelist length
1084          * 1 for the hostname type
1085          * 2 for hostname length
1086          * + hostname length
1087          */
1088
1089         if ((lenmax = limit - ret - 9) < 0
1090             || (size_str =
1091                 strlen(s->tlsext_hostname)) > (unsigned long)lenmax)
1092             return NULL;
1093
1094         /* extension type and length */
1095         s2n(TLSEXT_TYPE_server_name, ret);
1096         s2n(size_str + 5, ret);
1097
1098         /* length of servername list */
1099         s2n(size_str + 3, ret);
1100
1101         /* hostname type, length and hostname */
1102         *(ret++) = (unsigned char)TLSEXT_NAMETYPE_host_name;
1103         s2n(size_str, ret);
1104         memcpy(ret, s->tlsext_hostname, size_str);
1105         ret += size_str;
1106     }
1107 #ifndef OPENSSL_NO_SRP
1108     /* Add SRP username if there is one */
1109     if (s->srp_ctx.login != NULL) { /* Add TLS extension SRP username to the
1110                                      * Client Hello message */
1111
1112         int login_len = strlen(s->srp_ctx.login);
1113         if (login_len > 255 || login_len == 0) {
1114             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1115             return NULL;
1116         }
1117
1118         /*-
1119          * check for enough space.
1120          * 4 for the srp type type and extension length
1121          * 1 for the srp user identity
1122          * + srp user identity length
1123          */
1124         if ((limit - ret - 5 - login_len) < 0)
1125             return NULL;
1126
1127         /* fill in the extension */
1128         s2n(TLSEXT_TYPE_srp, ret);
1129         s2n(login_len + 1, ret);
1130         (*ret++) = (unsigned char)login_len;
1131         memcpy(ret, s->srp_ctx.login, login_len);
1132         ret += login_len;
1133     }
1134 #endif
1135
1136 #ifndef OPENSSL_NO_EC
1137     if (using_ecc) {
1138         /*
1139          * Add TLS extension ECPointFormats to the ClientHello message
1140          */
1141         long lenmax;
1142         const unsigned char *pcurves, *pformats;
1143         size_t num_curves, num_formats, curves_list_len;
1144         size_t i;
1145         unsigned char *etmp;
1146
1147         tls1_get_formatlist(s, &pformats, &num_formats);
1148
1149         if ((lenmax = limit - ret - 5) < 0)
1150             return NULL;
1151         if (num_formats > (size_t)lenmax)
1152             return NULL;
1153         if (num_formats > 255) {
1154             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1155             return NULL;
1156         }
1157
1158         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1159         /* The point format list has 1-byte length. */
1160         s2n(num_formats + 1, ret);
1161         *(ret++) = (unsigned char)num_formats;
1162         memcpy(ret, pformats, num_formats);
1163         ret += num_formats;
1164
1165         /*
1166          * Add TLS extension EllipticCurves to the ClientHello message
1167          */
1168         pcurves = s->tlsext_ellipticcurvelist;
1169         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves))
1170             return NULL;
1171
1172         if ((lenmax = limit - ret - 6) < 0)
1173             return NULL;
1174         if (num_curves > (size_t)lenmax / 2)
1175             return NULL;
1176         if (num_curves > 65532 / 2) {
1177             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1178             return NULL;
1179         }
1180
1181         s2n(TLSEXT_TYPE_elliptic_curves, ret);
1182         etmp = ret + 4;
1183         /* Copy curve ID if supported */
1184         for (i = 0; i < num_curves; i++, pcurves += 2) {
1185             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1186                 *etmp++ = pcurves[0];
1187                 *etmp++ = pcurves[1];
1188             }
1189         }
1190
1191         curves_list_len = etmp - ret - 4;
1192
1193         s2n(curves_list_len + 2, ret);
1194         s2n(curves_list_len, ret);
1195         ret += curves_list_len;
1196     }
1197 #endif                         /* OPENSSL_NO_EC */
1198
1199     if (tls_use_ticket(s)) {
1200         int ticklen;
1201         if (!s->new_session && s->session && s->session->tlsext_tick)
1202             ticklen = s->session->tlsext_ticklen;
1203         else if (s->session && s->tlsext_session_ticket &&
1204                  s->tlsext_session_ticket->data) {
1205             ticklen = s->tlsext_session_ticket->length;
1206             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1207             if (s->session->tlsext_tick == NULL)
1208                 return NULL;
1209             memcpy(s->session->tlsext_tick,
1210                    s->tlsext_session_ticket->data, ticklen);
1211             s->session->tlsext_ticklen = ticklen;
1212         } else
1213             ticklen = 0;
1214         if (ticklen == 0 && s->tlsext_session_ticket &&
1215             s->tlsext_session_ticket->data == NULL)
1216             goto skip_ext;
1217         /*
1218          * Check for enough room 2 for extension type, 2 for len rest for
1219          * ticket
1220          */
1221         if ((long)(limit - ret - 4 - ticklen) < 0)
1222             return NULL;
1223         s2n(TLSEXT_TYPE_session_ticket, ret);
1224         s2n(ticklen, ret);
1225         if (ticklen) {
1226             memcpy(ret, s->session->tlsext_tick, ticklen);
1227             ret += ticklen;
1228         }
1229     }
1230  skip_ext:
1231
1232     if (SSL_CLIENT_USE_SIGALGS(s)) {
1233         size_t salglen;
1234         const unsigned char *salg;
1235         unsigned char *etmp;
1236         salglen = tls12_get_psigalgs(s, &salg);
1237         if ((size_t)(limit - ret) < salglen + 6)
1238             return NULL;
1239         s2n(TLSEXT_TYPE_signature_algorithms, ret);
1240         etmp = ret;
1241         /* Skip over lengths for now */
1242         ret += 4;
1243         salglen = tls12_copy_sigalgs(s, ret, salg, salglen);
1244         /* Fill in lengths */
1245         s2n(salglen + 2, etmp);
1246         s2n(salglen, etmp);
1247         ret += salglen;
1248     }
1249
1250 #ifndef OPENSSL_NO_OCSP
1251     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1252         int i;
1253         long extlen, idlen, itmp;
1254         OCSP_RESPID *id;
1255
1256         idlen = 0;
1257         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1258             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1259             itmp = i2d_OCSP_RESPID(id, NULL);
1260             if (itmp <= 0)
1261                 return NULL;
1262             idlen += itmp + 2;
1263         }
1264
1265         if (s->tlsext_ocsp_exts) {
1266             extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1267             if (extlen < 0)
1268                 return NULL;
1269         } else
1270             extlen = 0;
1271
1272         if ((long)(limit - ret - 7 - extlen - idlen) < 0)
1273             return NULL;
1274         s2n(TLSEXT_TYPE_status_request, ret);
1275         if (extlen + idlen > 0xFFF0)
1276             return NULL;
1277         s2n(extlen + idlen + 5, ret);
1278         *(ret++) = TLSEXT_STATUSTYPE_ocsp;
1279         s2n(idlen, ret);
1280         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1281             /* save position of id len */
1282             unsigned char *q = ret;
1283             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1284             /* skip over id len */
1285             ret += 2;
1286             itmp = i2d_OCSP_RESPID(id, &ret);
1287             /* write id len */
1288             s2n(itmp, q);
1289         }
1290         s2n(extlen, ret);
1291         if (extlen > 0)
1292             i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &ret);
1293     }
1294 #endif
1295 #ifndef OPENSSL_NO_HEARTBEATS
1296     if (SSL_IS_DTLS(s)) {
1297         /* Add Heartbeat extension */
1298         if ((limit - ret - 4 - 1) < 0)
1299             return NULL;
1300         s2n(TLSEXT_TYPE_heartbeat, ret);
1301         s2n(1, ret);
1302         /*-
1303          * Set mode:
1304          * 1: peer may send requests
1305          * 2: peer not allowed to send requests
1306          */
1307         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1308             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1309         else
1310             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1311     }
1312 #endif
1313
1314 #ifndef OPENSSL_NO_NEXTPROTONEG
1315     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1316         /*
1317          * The client advertises an empty extension to indicate its support
1318          * for Next Protocol Negotiation
1319          */
1320         if (limit - ret - 4 < 0)
1321             return NULL;
1322         s2n(TLSEXT_TYPE_next_proto_neg, ret);
1323         s2n(0, ret);
1324     }
1325 #endif
1326
1327     /*
1328      * finish_md_len is non-zero during a renegotiation, so
1329      * this avoids sending ALPN during the renegotiation
1330      * (see longer comment below)
1331      */
1332     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1333         if ((size_t)(limit - ret) < 6 + s->alpn_client_proto_list_len)
1334             return NULL;
1335         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1336         s2n(2 + s->alpn_client_proto_list_len, ret);
1337         s2n(s->alpn_client_proto_list_len, ret);
1338         memcpy(ret, s->alpn_client_proto_list, s->alpn_client_proto_list_len);
1339         ret += s->alpn_client_proto_list_len;
1340         s->s3->alpn_sent = 1;
1341     }
1342 #ifndef OPENSSL_NO_SRTP
1343     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1344         int el;
1345
1346         /* Returns 0 on success!! */
1347         if (ssl_add_clienthello_use_srtp_ext(s, 0, &el, 0)) {
1348             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1349             return NULL;
1350         }
1351
1352         if ((limit - ret - 4 - el) < 0)
1353             return NULL;
1354
1355         s2n(TLSEXT_TYPE_use_srtp, ret);
1356         s2n(el, ret);
1357
1358         if (ssl_add_clienthello_use_srtp_ext(s, ret, &el, el)) {
1359             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1360             return NULL;
1361         }
1362         ret += el;
1363     }
1364 #endif
1365     custom_ext_init(&s->cert->cli_ext);
1366     /* Add custom TLS Extensions to ClientHello */
1367     if (!custom_ext_add(s, 0, &ret, limit, al))
1368         return NULL;
1369     s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1370     s2n(0, ret);
1371 #ifndef OPENSSL_NO_CT
1372     if (s->ct_validation_callback != NULL) {
1373         s2n(TLSEXT_TYPE_signed_certificate_timestamp, ret);
1374         s2n(0, ret);
1375     }
1376 #endif
1377     s2n(TLSEXT_TYPE_extended_master_secret, ret);
1378     s2n(0, ret);
1379
1380     /*
1381      * Add padding to workaround bugs in F5 terminators. See
1382      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1383      * code works out the length of all existing extensions it MUST always
1384      * appear last.
1385      */
1386     if (s->options & SSL_OP_TLSEXT_PADDING) {
1387         int hlen = ret - (unsigned char *)s->init_buf->data;
1388
1389         if (hlen > 0xff && hlen < 0x200) {
1390             hlen = 0x200 - hlen;
1391             if (hlen >= 4)
1392                 hlen -= 4;
1393             else
1394                 hlen = 0;
1395
1396             s2n(TLSEXT_TYPE_padding, ret);
1397             s2n(hlen, ret);
1398             memset(ret, 0, hlen);
1399             ret += hlen;
1400         }
1401     }
1402
1403  done:
1404
1405     if ((extdatalen = ret - orig - 2) == 0)
1406         return orig;
1407
1408     s2n(extdatalen, orig);
1409     return ret;
1410 }
1411
1412 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1413                                           unsigned char *limit, int *al)
1414 {
1415     int extdatalen = 0;
1416     unsigned char *orig = buf;
1417     unsigned char *ret = buf;
1418 #ifndef OPENSSL_NO_NEXTPROTONEG
1419     int next_proto_neg_seen;
1420 #endif
1421 #ifndef OPENSSL_NO_EC
1422     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1423     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1424     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1425     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1426 #endif
1427
1428     ret += 2;
1429     if (ret >= limit)
1430         return NULL;            /* this really never occurs, but ... */
1431
1432     if (s->s3->send_connection_binding) {
1433         int el;
1434
1435         if (!ssl_add_serverhello_renegotiate_ext(s, 0, &el, 0)) {
1436             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1437             return NULL;
1438         }
1439
1440         if ((limit - ret - 4 - el) < 0)
1441             return NULL;
1442
1443         s2n(TLSEXT_TYPE_renegotiate, ret);
1444         s2n(el, ret);
1445
1446         if (!ssl_add_serverhello_renegotiate_ext(s, ret, &el, el)) {
1447             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1448             return NULL;
1449         }
1450
1451         ret += el;
1452     }
1453
1454     /* Only add RI for SSLv3 */
1455     if (s->version == SSL3_VERSION)
1456         goto done;
1457
1458     if (!s->hit && s->servername_done == 1
1459         && s->session->tlsext_hostname != NULL) {
1460         if ((long)(limit - ret - 4) < 0)
1461             return NULL;
1462
1463         s2n(TLSEXT_TYPE_server_name, ret);
1464         s2n(0, ret);
1465     }
1466 #ifndef OPENSSL_NO_EC
1467     if (using_ecc) {
1468         const unsigned char *plist;
1469         size_t plistlen;
1470         /*
1471          * Add TLS extension ECPointFormats to the ServerHello message
1472          */
1473         long lenmax;
1474
1475         tls1_get_formatlist(s, &plist, &plistlen);
1476
1477         if ((lenmax = limit - ret - 5) < 0)
1478             return NULL;
1479         if (plistlen > (size_t)lenmax)
1480             return NULL;
1481         if (plistlen > 255) {
1482             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1483             return NULL;
1484         }
1485
1486         s2n(TLSEXT_TYPE_ec_point_formats, ret);
1487         s2n(plistlen + 1, ret);
1488         *(ret++) = (unsigned char)plistlen;
1489         memcpy(ret, plist, plistlen);
1490         ret += plistlen;
1491
1492     }
1493     /*
1494      * Currently the server should not respond with a SupportedCurves
1495      * extension
1496      */
1497 #endif                         /* OPENSSL_NO_EC */
1498
1499     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1500         if ((long)(limit - ret - 4) < 0)
1501             return NULL;
1502         s2n(TLSEXT_TYPE_session_ticket, ret);
1503         s2n(0, ret);
1504     } else {
1505         /* if we don't add the above TLSEXT, we can't add a session ticket later */
1506         s->tlsext_ticket_expected = 0;
1507     }
1508
1509     if (s->tlsext_status_expected) {
1510         if ((long)(limit - ret - 4) < 0)
1511             return NULL;
1512         s2n(TLSEXT_TYPE_status_request, ret);
1513         s2n(0, ret);
1514     }
1515
1516 #ifndef OPENSSL_NO_SRTP
1517     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1518         int el;
1519
1520         /* Returns 0 on success!! */
1521         if (ssl_add_serverhello_use_srtp_ext(s, 0, &el, 0)) {
1522             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1523             return NULL;
1524         }
1525         if ((limit - ret - 4 - el) < 0)
1526             return NULL;
1527
1528         s2n(TLSEXT_TYPE_use_srtp, ret);
1529         s2n(el, ret);
1530
1531         if (ssl_add_serverhello_use_srtp_ext(s, ret, &el, el)) {
1532             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1533             return NULL;
1534         }
1535         ret += el;
1536     }
1537 #endif
1538
1539     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1540          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1541         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1542         const unsigned char cryptopro_ext[36] = {
1543             0xfd, 0xe8,         /* 65000 */
1544             0x00, 0x20,         /* 32 bytes length */
1545             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1546             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1547             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1548             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1549         };
1550         if (limit - ret < 36)
1551             return NULL;
1552         memcpy(ret, cryptopro_ext, 36);
1553         ret += 36;
1554
1555     }
1556 #ifndef OPENSSL_NO_HEARTBEATS
1557     /* Add Heartbeat extension if we've received one */
1558     if (SSL_IS_DTLS(s) && (s->tlsext_heartbeat & SSL_DTLSEXT_HB_ENABLED)) {
1559         if ((limit - ret - 4 - 1) < 0)
1560             return NULL;
1561         s2n(TLSEXT_TYPE_heartbeat, ret);
1562         s2n(1, ret);
1563         /*-
1564          * Set mode:
1565          * 1: peer may send requests
1566          * 2: peer not allowed to send requests
1567          */
1568         if (s->tlsext_heartbeat & SSL_DTLSEXT_HB_DONT_RECV_REQUESTS)
1569             *(ret++) = SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
1570         else
1571             *(ret++) = SSL_DTLSEXT_HB_ENABLED;
1572
1573     }
1574 #endif
1575
1576 #ifndef OPENSSL_NO_NEXTPROTONEG
1577     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1578     s->s3->next_proto_neg_seen = 0;
1579     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1580         const unsigned char *npa;
1581         unsigned int npalen;
1582         int r;
1583
1584         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1585                                               s->
1586                                               ctx->next_protos_advertised_cb_arg);
1587         if (r == SSL_TLSEXT_ERR_OK) {
1588             if ((long)(limit - ret - 4 - npalen) < 0)
1589                 return NULL;
1590             s2n(TLSEXT_TYPE_next_proto_neg, ret);
1591             s2n(npalen, ret);
1592             memcpy(ret, npa, npalen);
1593             ret += npalen;
1594             s->s3->next_proto_neg_seen = 1;
1595         }
1596     }
1597 #endif
1598     if (!custom_ext_add(s, 1, &ret, limit, al))
1599         return NULL;
1600     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1601         /*
1602          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1603          * for other cases too.
1604          */
1605         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1606             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1607             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1608             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1609             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1610         else {
1611             s2n(TLSEXT_TYPE_encrypt_then_mac, ret);
1612             s2n(0, ret);
1613         }
1614     }
1615     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1616         s2n(TLSEXT_TYPE_extended_master_secret, ret);
1617         s2n(0, ret);
1618     }
1619
1620     if (s->s3->alpn_selected != NULL) {
1621         const unsigned char *selected = s->s3->alpn_selected;
1622         unsigned int len = s->s3->alpn_selected_len;
1623
1624         if ((long)(limit - ret - 4 - 2 - 1 - len) < 0)
1625             return NULL;
1626         s2n(TLSEXT_TYPE_application_layer_protocol_negotiation, ret);
1627         s2n(3 + len, ret);
1628         s2n(1 + len, ret);
1629         *ret++ = len;
1630         memcpy(ret, selected, len);
1631         ret += len;
1632     }
1633
1634  done:
1635
1636     if ((extdatalen = ret - orig - 2) == 0)
1637         return orig;
1638
1639     s2n(extdatalen, orig);
1640     return ret;
1641 }
1642
1643 /*
1644  * Save the ALPN extension in a ClientHello.
1645  * pkt: the contents of the ALPN extension, not including type and length.
1646  * al: a pointer to the  alert value to send in the event of a failure.
1647  * returns: 1 on success, 0 on error.
1648  */
1649 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1650 {
1651     PACKET protocol_list, save_protocol_list, protocol;
1652
1653     *al = SSL_AD_DECODE_ERROR;
1654
1655     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1656         || PACKET_remaining(&protocol_list) < 2) {
1657         return 0;
1658     }
1659
1660     save_protocol_list = protocol_list;
1661     do {
1662         /* Protocol names can't be empty. */
1663         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1664             || PACKET_remaining(&protocol) == 0) {
1665             return 0;
1666         }
1667     } while (PACKET_remaining(&protocol_list) != 0);
1668
1669     if (!PACKET_memdup(&save_protocol_list,
1670                        &s->s3->alpn_proposed,
1671                        &s->s3->alpn_proposed_len)) {
1672         *al = TLS1_AD_INTERNAL_ERROR;
1673         return 0;
1674     }
1675
1676     return 1;
1677 }
1678
1679 /*
1680  * Process the ALPN extension in a ClientHello.
1681  * ret: a pointer to the TLSEXT return value: SSL_TLSEXT_ERR_*
1682  * al: a pointer to the alert value to send in the event of a failure.
1683  * returns 1 on success, 0
1684  */
1685 static int tls1_alpn_handle_client_hello_late(SSL *s, int *ret, int *al)
1686 {
1687     const unsigned char *selected = NULL;
1688     unsigned char selected_len = 0;
1689
1690     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1691         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1692                                        s->s3->alpn_proposed,
1693                                        s->s3->alpn_proposed_len,
1694                                        s->ctx->alpn_select_cb_arg);
1695
1696         if (r == SSL_TLSEXT_ERR_OK) {
1697             OPENSSL_free(s->s3->alpn_selected);
1698             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1699             if (s->s3->alpn_selected == NULL) {
1700                 *al = SSL_AD_INTERNAL_ERROR;
1701                 *ret = SSL_TLSEXT_ERR_ALERT_FATAL;
1702                 return 0;
1703             }
1704             s->s3->alpn_selected_len = selected_len;
1705 #ifndef OPENSSL_NO_NEXTPROTONEG
1706             /* ALPN takes precedence over NPN. */
1707             s->s3->next_proto_neg_seen = 0;
1708 #endif
1709         } else {
1710             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1711             *ret = SSL_TLSEXT_ERR_ALERT_FATAL;
1712             return 0;
1713         }
1714     }
1715
1716     return 1;
1717 }
1718
1719 #ifndef OPENSSL_NO_EC
1720 /*-
1721  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1722  * SecureTransport using the TLS extension block in |pkt|.
1723  * Safari, since 10.6, sends exactly these extensions, in this order:
1724  *   SNI,
1725  *   elliptic_curves
1726  *   ec_point_formats
1727  *
1728  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1729  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1730  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1731  * 10.8..10.8.3 (which don't work).
1732  */
1733 static void ssl_check_for_safari(SSL *s, const PACKET *pkt)
1734 {
1735     unsigned int type;
1736     PACKET sni, tmppkt;
1737     size_t ext_len;
1738
1739     static const unsigned char kSafariExtensionsBlock[] = {
1740         0x00, 0x0a,             /* elliptic_curves extension */
1741         0x00, 0x08,             /* 8 bytes */
1742         0x00, 0x06,             /* 6 bytes of curve ids */
1743         0x00, 0x17,             /* P-256 */
1744         0x00, 0x18,             /* P-384 */
1745         0x00, 0x19,             /* P-521 */
1746
1747         0x00, 0x0b,             /* ec_point_formats */
1748         0x00, 0x02,             /* 2 bytes */
1749         0x01,                   /* 1 point format */
1750         0x00,                   /* uncompressed */
1751         /* The following is only present in TLS 1.2 */
1752         0x00, 0x0d,             /* signature_algorithms */
1753         0x00, 0x0c,             /* 12 bytes */
1754         0x00, 0x0a,             /* 10 bytes */
1755         0x05, 0x01,             /* SHA-384/RSA */
1756         0x04, 0x01,             /* SHA-256/RSA */
1757         0x02, 0x01,             /* SHA-1/RSA */
1758         0x04, 0x03,             /* SHA-256/ECDSA */
1759         0x02, 0x03,             /* SHA-1/ECDSA */
1760     };
1761
1762     /* Length of the common prefix (first two extensions). */
1763     static const size_t kSafariCommonExtensionsLength = 18;
1764
1765     tmppkt = *pkt;
1766
1767     if (!PACKET_forward(&tmppkt, 2)
1768         || !PACKET_get_net_2(&tmppkt, &type)
1769         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1770         return;
1771     }
1772
1773     if (type != TLSEXT_TYPE_server_name)
1774         return;
1775
1776     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1777         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1778
1779     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1780                                              ext_len);
1781 }
1782 #endif                         /* !OPENSSL_NO_EC */
1783
1784 /*
1785  * Parse ClientHello extensions and stash extension info in various parts of
1786  * the SSL object. Verify that there are no duplicate extensions.
1787  *
1788  * Behaviour upon resumption is extension-specific. If the extension has no
1789  * effect during resumption, it is parsed (to verify its format) but otherwise
1790  * ignored.
1791  *
1792  * Consumes the entire packet in |pkt|. Returns 1 on success and 0 on failure.
1793  * Upon failure, sets |al| to the appropriate alert.
1794  */
1795 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1796 {
1797     unsigned int type;
1798     int renegotiate_seen = 0;
1799     PACKET extensions;
1800
1801     *al = SSL_AD_DECODE_ERROR;
1802     s->servername_done = 0;
1803     s->tlsext_status_type = -1;
1804 #ifndef OPENSSL_NO_NEXTPROTONEG
1805     s->s3->next_proto_neg_seen = 0;
1806 #endif
1807
1808     OPENSSL_free(s->s3->alpn_selected);
1809     s->s3->alpn_selected = NULL;
1810     s->s3->alpn_selected_len = 0;
1811     OPENSSL_free(s->s3->alpn_proposed);
1812     s->s3->alpn_proposed = NULL;
1813     s->s3->alpn_proposed_len = 0;
1814 #ifndef OPENSSL_NO_HEARTBEATS
1815     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
1816                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
1817 #endif
1818
1819 #ifndef OPENSSL_NO_EC
1820     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1821         ssl_check_for_safari(s, pkt);
1822 # endif /* !OPENSSL_NO_EC */
1823
1824     /* Clear any signature algorithms extension received */
1825     OPENSSL_free(s->s3->tmp.peer_sigalgs);
1826     s->s3->tmp.peer_sigalgs = NULL;
1827     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1828
1829 #ifndef OPENSSL_NO_SRP
1830     OPENSSL_free(s->srp_ctx.login);
1831     s->srp_ctx.login = NULL;
1832 #endif
1833
1834     s->srtp_profile = NULL;
1835
1836     if (PACKET_remaining(pkt) == 0)
1837         goto ri_check;
1838
1839     if (!PACKET_as_length_prefixed_2(pkt, &extensions))
1840         return 0;
1841
1842     if (!tls1_check_duplicate_extensions(&extensions))
1843         return 0;
1844
1845     /*
1846      * We parse all extensions to ensure the ClientHello is well-formed but,
1847      * unless an extension specifies otherwise, we ignore extensions upon
1848      * resumption.
1849      */
1850     while (PACKET_get_net_2(&extensions, &type)) {
1851         PACKET extension;
1852         if (!PACKET_get_length_prefixed_2(&extensions, &extension))
1853             return 0;
1854
1855         if (s->tlsext_debug_cb)
1856             s->tlsext_debug_cb(s, 0, type, PACKET_data(&extension),
1857                                PACKET_remaining(&extension),
1858                                s->tlsext_debug_arg);
1859
1860         if (type == TLSEXT_TYPE_renegotiate) {
1861             if (!ssl_parse_clienthello_renegotiate_ext(s, &extension, al))
1862                 return 0;
1863             renegotiate_seen = 1;
1864         } else if (s->version == SSL3_VERSION) {
1865         }
1866 /*-
1867  * The servername extension is treated as follows:
1868  *
1869  * - Only the hostname type is supported with a maximum length of 255.
1870  * - The servername is rejected if too long or if it contains zeros,
1871  *   in which case an fatal alert is generated.
1872  * - The servername field is maintained together with the session cache.
1873  * - When a session is resumed, the servername call back invoked in order
1874  *   to allow the application to position itself to the right context.
1875  * - The servername is acknowledged if it is new for a session or when
1876  *   it is identical to a previously used for the same session.
1877  *   Applications can control the behaviour.  They can at any time
1878  *   set a 'desirable' servername for a new SSL object. This can be the
1879  *   case for example with HTTPS when a Host: header field is received and
1880  *   a renegotiation is requested. In this case, a possible servername
1881  *   presented in the new client hello is only acknowledged if it matches
1882  *   the value of the Host: field.
1883  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
1884  *   if they provide for changing an explicit servername context for the
1885  *   session, i.e. when the session has been established with a servername
1886  *   extension.
1887  * - On session reconnect, the servername extension may be absent.
1888  *
1889  */
1890
1891         else if (type == TLSEXT_TYPE_server_name) {
1892             unsigned int servname_type;
1893             PACKET sni, hostname;
1894
1895             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1896                 /* ServerNameList must be at least 1 byte long. */
1897                 || PACKET_remaining(&sni) == 0) {
1898                 return 0;
1899             }
1900
1901             /*
1902              * Although the server_name extension was intended to be
1903              * extensible to new name types, RFC 4366 defined the
1904              * syntax inextensibility and OpenSSL 1.0.x parses it as
1905              * such.
1906              * RFC 6066 corrected the mistake but adding new name types
1907              * is nevertheless no longer feasible, so act as if no other
1908              * SNI types can exist, to simplify parsing.
1909              *
1910              * Also note that the RFC permits only one SNI value per type,
1911              * i.e., we can only have a single hostname.
1912              */
1913             if (!PACKET_get_1(&sni, &servname_type)
1914                 || servname_type != TLSEXT_NAMETYPE_host_name
1915                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
1916                 return 0;
1917             }
1918
1919             if (!s->hit) {
1920                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
1921                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1922                     return 0;
1923                 }
1924
1925                 if (PACKET_contains_zero_byte(&hostname)) {
1926                     *al = TLS1_AD_UNRECOGNIZED_NAME;
1927                     return 0;
1928                 }
1929
1930                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
1931                     *al = TLS1_AD_INTERNAL_ERROR;
1932                     return 0;
1933                 }
1934
1935                 s->servername_done = 1;
1936             } else {
1937                 /*
1938                  * TODO(openssl-team): if the SNI doesn't match, we MUST
1939                  * fall back to a full handshake.
1940                  */
1941                 s->servername_done = s->session->tlsext_hostname
1942                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
1943                                     strlen(s->session->tlsext_hostname));
1944             }
1945         }
1946 #ifndef OPENSSL_NO_SRP
1947         else if (type == TLSEXT_TYPE_srp) {
1948             PACKET srp_I;
1949
1950             if (!PACKET_as_length_prefixed_1(&extension, &srp_I))
1951                 return 0;
1952
1953             if (PACKET_contains_zero_byte(&srp_I))
1954                 return 0;
1955
1956             /*
1957              * TODO(openssl-team): currently, we re-authenticate the user
1958              * upon resumption. Instead, we MUST ignore the login.
1959              */
1960             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
1961                 *al = TLS1_AD_INTERNAL_ERROR;
1962                 return 0;
1963             }
1964         }
1965 #endif
1966
1967 #ifndef OPENSSL_NO_EC
1968         else if (type == TLSEXT_TYPE_ec_point_formats) {
1969             PACKET ec_point_format_list;
1970
1971             if (!PACKET_as_length_prefixed_1(&extension,
1972                                               &ec_point_format_list)
1973                 || PACKET_remaining(&ec_point_format_list) == 0) {
1974                 return 0;
1975             }
1976
1977             if (!s->hit) {
1978                 if (!PACKET_memdup(&ec_point_format_list,
1979                                    &s->session->tlsext_ecpointformatlist,
1980                                    &s->session->tlsext_ecpointformatlist_length)) {
1981                     *al = TLS1_AD_INTERNAL_ERROR;
1982                     return 0;
1983                 }
1984             }
1985         } else if (type == TLSEXT_TYPE_elliptic_curves) {
1986             PACKET elliptic_curve_list;
1987
1988             /* Each NamedCurve is 2 bytes and we must have at least 1. */
1989             if (!PACKET_as_length_prefixed_2(&extension,
1990                                              &elliptic_curve_list)
1991                 || PACKET_remaining(&elliptic_curve_list) == 0
1992                 || (PACKET_remaining(&elliptic_curve_list) % 2) != 0) {
1993                 return 0;
1994             }
1995
1996             if (!s->hit) {
1997                 if (!PACKET_memdup(&elliptic_curve_list,
1998                                    &s->session->tlsext_ellipticcurvelist,
1999                                    &s->session->tlsext_ellipticcurvelist_length)) {
2000                     *al = TLS1_AD_INTERNAL_ERROR;
2001                     return 0;
2002                 }
2003             }
2004         }
2005 #endif                         /* OPENSSL_NO_EC */
2006         else if (type == TLSEXT_TYPE_session_ticket) {
2007             if (s->tls_session_ticket_ext_cb &&
2008                 !s->tls_session_ticket_ext_cb(s, PACKET_data(&extension),
2009                                               PACKET_remaining(&extension),
2010                                               s->tls_session_ticket_ext_cb_arg)) {
2011                 *al = TLS1_AD_INTERNAL_ERROR;
2012                 return 0;
2013             }
2014         } else if (type == TLSEXT_TYPE_signature_algorithms) {
2015             PACKET supported_sig_algs;
2016
2017             if (!PACKET_as_length_prefixed_2(&extension, &supported_sig_algs)
2018                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
2019                 || PACKET_remaining(&supported_sig_algs) == 0) {
2020                 return 0;
2021             }
2022
2023             if  (!s->hit) {
2024                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2025                                        PACKET_remaining(&supported_sig_algs))) {
2026                     return 0;
2027                 }
2028             }
2029         } else if (type == TLSEXT_TYPE_status_request) {
2030             if (!PACKET_get_1(&extension,
2031                               (unsigned int *)&s->tlsext_status_type)) {
2032                 return 0;
2033             }
2034
2035 #ifndef OPENSSL_NO_OCSP
2036             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2037                 const unsigned char *ext_data;
2038                 PACKET responder_id_list, exts;
2039                 if (!PACKET_get_length_prefixed_2(&extension, &responder_id_list))
2040                     return 0;
2041
2042                 while (PACKET_remaining(&responder_id_list) > 0) {
2043                     OCSP_RESPID *id;
2044                     PACKET responder_id;
2045                     const unsigned char *id_data;
2046
2047                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2048                                                       &responder_id)
2049                         || PACKET_remaining(&responder_id) == 0) {
2050                         return 0;
2051                     }
2052
2053                     if (s->tlsext_ocsp_ids == NULL
2054                         && (s->tlsext_ocsp_ids =
2055                             sk_OCSP_RESPID_new_null()) == NULL) {
2056                         *al = SSL_AD_INTERNAL_ERROR;
2057                         return 0;
2058                     }
2059
2060                     id_data = PACKET_data(&responder_id);
2061                     id = d2i_OCSP_RESPID(NULL, &id_data,
2062                                          PACKET_remaining(&responder_id));
2063                     if (id == NULL)
2064                         return 0;
2065
2066                     if (id_data != PACKET_end(&responder_id)) {
2067                         OCSP_RESPID_free(id);
2068                         return 0;
2069                     }
2070
2071                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2072                         OCSP_RESPID_free(id);
2073                         *al = SSL_AD_INTERNAL_ERROR;
2074                         return 0;
2075                     }
2076                 }
2077
2078                 /* Read in request_extensions */
2079                 if (!PACKET_as_length_prefixed_2(&extension, &exts))
2080                     return 0;
2081
2082                 if (PACKET_remaining(&exts) > 0) {
2083                     ext_data = PACKET_data(&exts);
2084                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2085                                                X509_EXTENSION_free);
2086                     s->tlsext_ocsp_exts =
2087                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2088                                             PACKET_remaining(&exts));
2089                     if (s->tlsext_ocsp_exts == NULL
2090                         || ext_data != PACKET_end(&exts)) {
2091                         return 0;
2092                     }
2093                 }
2094             } else
2095 #endif
2096             {
2097                 /*
2098                  * We don't know what to do with any other type so ignore it.
2099                  */
2100                 s->tlsext_status_type = -1;
2101             }
2102         }
2103 #ifndef OPENSSL_NO_HEARTBEATS
2104         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2105             unsigned int hbtype;
2106
2107             if (!PACKET_get_1(&extension, &hbtype)
2108                     || PACKET_remaining(&extension)) {
2109                 *al = SSL_AD_DECODE_ERROR;
2110                 return 0;
2111             }
2112             switch (hbtype) {
2113             case 0x01:         /* Client allows us to send HB requests */
2114                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2115                 break;
2116             case 0x02:         /* Client doesn't accept HB requests */
2117                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2118                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2119                 break;
2120             default:
2121                 *al = SSL_AD_ILLEGAL_PARAMETER;
2122                 return 0;
2123             }
2124         }
2125 #endif
2126 #ifndef OPENSSL_NO_NEXTPROTONEG
2127         else if (type == TLSEXT_TYPE_next_proto_neg &&
2128                  s->s3->tmp.finish_md_len == 0) {
2129             /*-
2130              * We shouldn't accept this extension on a
2131              * renegotiation.
2132              *
2133              * s->new_session will be set on renegotiation, but we
2134              * probably shouldn't rely that it couldn't be set on
2135              * the initial renegotiation too in certain cases (when
2136              * there's some other reason to disallow resuming an
2137              * earlier session -- the current code won't be doing
2138              * anything like that, but this might change).
2139              *
2140              * A valid sign that there's been a previous handshake
2141              * in this connection is if s->s3->tmp.finish_md_len >
2142              * 0.  (We are talking about a check that will happen
2143              * in the Hello protocol round, well before a new
2144              * Finished message could have been computed.)
2145              */
2146             s->s3->next_proto_neg_seen = 1;
2147         }
2148 #endif
2149
2150         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation &&
2151                  s->s3->tmp.finish_md_len == 0) {
2152             if (!tls1_alpn_handle_client_hello(s, &extension, al))
2153                 return 0;
2154         }
2155
2156         /* session ticket processed earlier */
2157 #ifndef OPENSSL_NO_SRTP
2158         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2159                  && type == TLSEXT_TYPE_use_srtp) {
2160             if (ssl_parse_clienthello_use_srtp_ext(s, &extension, al))
2161                 return 0;
2162         }
2163 #endif
2164         else if (type == TLSEXT_TYPE_encrypt_then_mac)
2165             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2166         /*
2167          * Note: extended master secret extension handled in
2168          * tls_check_serverhello_tlsext_early()
2169          */
2170
2171         /*
2172          * If this ClientHello extension was unhandled and this is a
2173          * nonresumed connection, check whether the extension is a custom
2174          * TLS Extension (has a custom_srv_ext_record), and if so call the
2175          * callback and record the extension number so that an appropriate
2176          * ServerHello may be later returned.
2177          */
2178         else if (!s->hit) {
2179             if (custom_ext_parse(s, 1, type, PACKET_data(&extension),
2180                                  PACKET_remaining(&extension), al) <= 0)
2181                 return 0;
2182         }
2183     }
2184
2185     if (PACKET_remaining(pkt) != 0) {
2186         /* tls1_check_duplicate_extensions should ensure this never happens. */
2187         *al = SSL_AD_INTERNAL_ERROR;
2188         return 0;
2189     }
2190
2191  ri_check:
2192
2193     /* Need RI if renegotiating */
2194
2195     if (!renegotiate_seen && s->renegotiate &&
2196         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2197         *al = SSL_AD_HANDSHAKE_FAILURE;
2198         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2199                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2200         return 0;
2201     }
2202
2203     /*
2204      * This function currently has no state to clean up, so it returns directly.
2205      * If parsing fails at any point, the function returns early.
2206      * The SSL object may be left with partial data from extensions, but it must
2207      * then no longer be used, and clearing it up will free the leftovers.
2208      */
2209     return 1;
2210 }
2211
2212 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2213 {
2214     int al = -1;
2215     custom_ext_init(&s->cert->srv_ext);
2216     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2217         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2218         return 0;
2219     }
2220     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2221         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2222         return 0;
2223     }
2224     return 1;
2225 }
2226
2227 #ifndef OPENSSL_NO_NEXTPROTONEG
2228 /*
2229  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2230  * elements of zero length are allowed and the set of elements must exactly
2231  * fill the length of the block.
2232  */
2233 static char ssl_next_proto_validate(PACKET *pkt)
2234 {
2235     PACKET tmp_protocol;
2236
2237     while (PACKET_remaining(pkt)) {
2238         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2239                 || PACKET_remaining(&tmp_protocol) == 0)
2240             return 0;
2241     }
2242
2243     return 1;
2244 }
2245 #endif
2246
2247 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2248 {
2249     unsigned int length, type, size;
2250     int tlsext_servername = 0;
2251     int renegotiate_seen = 0;
2252
2253 #ifndef OPENSSL_NO_NEXTPROTONEG
2254     s->s3->next_proto_neg_seen = 0;
2255 #endif
2256     s->tlsext_ticket_expected = 0;
2257
2258     OPENSSL_free(s->s3->alpn_selected);
2259     s->s3->alpn_selected = NULL;
2260 #ifndef OPENSSL_NO_HEARTBEATS
2261     s->tlsext_heartbeat &= ~(SSL_DTLSEXT_HB_ENABLED |
2262                              SSL_DTLSEXT_HB_DONT_SEND_REQUESTS);
2263 #endif
2264
2265     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2266
2267     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2268
2269     if (!PACKET_get_net_2(pkt, &length))
2270         goto ri_check;
2271
2272     if (PACKET_remaining(pkt) != length) {
2273         *al = SSL_AD_DECODE_ERROR;
2274         return 0;
2275     }
2276
2277     if (!tls1_check_duplicate_extensions(pkt)) {
2278         *al = SSL_AD_DECODE_ERROR;
2279         return 0;
2280     }
2281
2282     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2283         const unsigned char *data;
2284         PACKET spkt;
2285
2286         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2287                 ||  !PACKET_peek_bytes(&spkt, &data, size))
2288             goto ri_check;
2289
2290         if (s->tlsext_debug_cb)
2291             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2292
2293         if (type == TLSEXT_TYPE_renegotiate) {
2294             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2295                 return 0;
2296             renegotiate_seen = 1;
2297         } else if (s->version == SSL3_VERSION) {
2298         } else if (type == TLSEXT_TYPE_server_name) {
2299             if (s->tlsext_hostname == NULL || size > 0) {
2300                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2301                 return 0;
2302             }
2303             tlsext_servername = 1;
2304         }
2305 #ifndef OPENSSL_NO_EC
2306         else if (type == TLSEXT_TYPE_ec_point_formats) {
2307             unsigned int ecpointformatlist_length;
2308             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2309                     || ecpointformatlist_length != size - 1) {
2310                 *al = TLS1_AD_DECODE_ERROR;
2311                 return 0;
2312             }
2313             if (!s->hit) {
2314                 s->session->tlsext_ecpointformatlist_length = 0;
2315                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2316                 if ((s->session->tlsext_ecpointformatlist =
2317                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2318                     *al = TLS1_AD_INTERNAL_ERROR;
2319                     return 0;
2320                 }
2321                 s->session->tlsext_ecpointformatlist_length =
2322                     ecpointformatlist_length;
2323                 if (!PACKET_copy_bytes(&spkt,
2324                                        s->session->tlsext_ecpointformatlist,
2325                                        ecpointformatlist_length)) {
2326                     *al = TLS1_AD_DECODE_ERROR;
2327                     return 0;
2328                 }
2329
2330             }
2331         }
2332 #endif                         /* OPENSSL_NO_EC */
2333
2334         else if (type == TLSEXT_TYPE_session_ticket) {
2335             if (s->tls_session_ticket_ext_cb &&
2336                 !s->tls_session_ticket_ext_cb(s, data, size,
2337                                               s->tls_session_ticket_ext_cb_arg))
2338             {
2339                 *al = TLS1_AD_INTERNAL_ERROR;
2340                 return 0;
2341             }
2342             if (!tls_use_ticket(s) || (size > 0)) {
2343                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2344                 return 0;
2345             }
2346             s->tlsext_ticket_expected = 1;
2347         }
2348         else if (type == TLSEXT_TYPE_status_request) {
2349             /*
2350              * MUST be empty and only sent if we've requested a status
2351              * request message.
2352              */
2353             if ((s->tlsext_status_type == -1) || (size > 0)) {
2354                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2355                 return 0;
2356             }
2357             /* Set flag to expect CertificateStatus message */
2358             s->tlsext_status_expected = 1;
2359         }
2360 #ifndef OPENSSL_NO_CT
2361         /*
2362          * Only take it if we asked for it - i.e if there is no CT validation
2363          * callback set, then a custom extension MAY be processing it, so we
2364          * need to let control continue to flow to that.
2365          */
2366         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2367                  s->ct_validation_callback != NULL) {
2368             /* Simply copy it off for later processing */
2369             if (s->tlsext_scts != NULL) {
2370                 OPENSSL_free(s->tlsext_scts);
2371                 s->tlsext_scts = NULL;
2372             }
2373             s->tlsext_scts_len = size;
2374             if (size > 0) {
2375                 s->tlsext_scts = OPENSSL_malloc(size);
2376                 if (s->tlsext_scts == NULL) {
2377                     *al = TLS1_AD_INTERNAL_ERROR;
2378                     return 0;
2379                 }
2380                 memcpy(s->tlsext_scts, data, size);
2381             }
2382         }
2383 #endif
2384 #ifndef OPENSSL_NO_NEXTPROTONEG
2385         else if (type == TLSEXT_TYPE_next_proto_neg &&
2386                  s->s3->tmp.finish_md_len == 0) {
2387             unsigned char *selected;
2388             unsigned char selected_len;
2389             /* We must have requested it. */
2390             if (s->ctx->next_proto_select_cb == NULL) {
2391                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2392                 return 0;
2393             }
2394             /* The data must be valid */
2395             if (!ssl_next_proto_validate(&spkt)) {
2396                 *al = TLS1_AD_DECODE_ERROR;
2397                 return 0;
2398             }
2399             if (s->
2400                 ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2401                                           size,
2402                                           s->ctx->next_proto_select_cb_arg) !=
2403                 SSL_TLSEXT_ERR_OK) {
2404                 *al = TLS1_AD_INTERNAL_ERROR;
2405                 return 0;
2406             }
2407             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2408             if (s->next_proto_negotiated == NULL) {
2409                 *al = TLS1_AD_INTERNAL_ERROR;
2410                 return 0;
2411             }
2412             memcpy(s->next_proto_negotiated, selected, selected_len);
2413             s->next_proto_negotiated_len = selected_len;
2414             s->s3->next_proto_neg_seen = 1;
2415         }
2416 #endif
2417
2418         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2419             unsigned len;
2420             /* We must have requested it. */
2421             if (!s->s3->alpn_sent) {
2422                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2423                 return 0;
2424             }
2425             /*-
2426              * The extension data consists of:
2427              *   uint16 list_length
2428              *   uint8 proto_length;
2429              *   uint8 proto[proto_length];
2430              */
2431             if (!PACKET_get_net_2(&spkt, &len)
2432                     || PACKET_remaining(&spkt) != len
2433                     || !PACKET_get_1(&spkt, &len)
2434                     || PACKET_remaining(&spkt) != len) {
2435                 *al = TLS1_AD_DECODE_ERROR;
2436                 return 0;
2437             }
2438             OPENSSL_free(s->s3->alpn_selected);
2439             s->s3->alpn_selected = OPENSSL_malloc(len);
2440             if (s->s3->alpn_selected == NULL) {
2441                 *al = TLS1_AD_INTERNAL_ERROR;
2442                 return 0;
2443             }
2444             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2445                 *al = TLS1_AD_DECODE_ERROR;
2446                 return 0;
2447             }
2448             s->s3->alpn_selected_len = len;
2449         }
2450 #ifndef OPENSSL_NO_HEARTBEATS
2451         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_heartbeat) {
2452             unsigned int hbtype;
2453             if (!PACKET_get_1(&spkt, &hbtype)) {
2454                 *al = SSL_AD_DECODE_ERROR;
2455                 return 0;
2456             }
2457             switch (hbtype) {
2458             case 0x01:         /* Server allows us to send HB requests */
2459                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2460                 break;
2461             case 0x02:         /* Server doesn't accept HB requests */
2462                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_ENABLED;
2463                 s->tlsext_heartbeat |= SSL_DTLSEXT_HB_DONT_SEND_REQUESTS;
2464                 break;
2465             default:
2466                 *al = SSL_AD_ILLEGAL_PARAMETER;
2467                 return 0;
2468             }
2469         }
2470 #endif
2471 #ifndef OPENSSL_NO_SRTP
2472         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2473             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2474                 return 0;
2475         }
2476 #endif
2477         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2478             /* Ignore if inappropriate ciphersuite */
2479             if (s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2480                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2481                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2482         }
2483         else if (type == TLSEXT_TYPE_extended_master_secret) {
2484             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2485             if (!s->hit)
2486                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2487         }
2488         /*
2489          * If this extension type was not otherwise handled, but matches a
2490          * custom_cli_ext_record, then send it to the c callback
2491          */
2492         else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2493             return 0;
2494     }
2495
2496     if (PACKET_remaining(pkt) != 0) {
2497         *al = SSL_AD_DECODE_ERROR;
2498         return 0;
2499     }
2500
2501     if (!s->hit && tlsext_servername == 1) {
2502         if (s->tlsext_hostname) {
2503             if (s->session->tlsext_hostname == NULL) {
2504                 s->session->tlsext_hostname = OPENSSL_strdup(s->tlsext_hostname);
2505                 if (!s->session->tlsext_hostname) {
2506                     *al = SSL_AD_UNRECOGNIZED_NAME;
2507                     return 0;
2508                 }
2509             } else {
2510                 *al = SSL_AD_DECODE_ERROR;
2511                 return 0;
2512             }
2513         }
2514     }
2515
2516  ri_check:
2517
2518     /*
2519      * Determine if we need to see RI. Strictly speaking if we want to avoid
2520      * an attack we should *always* see RI even on initial server hello
2521      * because the client doesn't see any renegotiation during an attack.
2522      * However this would mean we could not connect to any server which
2523      * doesn't support RI so for the immediate future tolerate RI absence
2524      */
2525     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2526         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2527         *al = SSL_AD_HANDSHAKE_FAILURE;
2528         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2529                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2530         return 0;
2531     }
2532
2533     if (s->hit) {
2534         /*
2535          * Check extended master secret extension is consistent with
2536          * original session.
2537          */
2538         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2539             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2540             *al = SSL_AD_HANDSHAKE_FAILURE;
2541             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2542             return 0;
2543             }
2544     }
2545
2546     return 1;
2547 }
2548
2549 int ssl_prepare_clienthello_tlsext(SSL *s)
2550 {
2551     s->s3->alpn_sent = 0;
2552     return 1;
2553 }
2554
2555 int ssl_prepare_serverhello_tlsext(SSL *s)
2556 {
2557     return 1;
2558 }
2559
2560 static int ssl_check_clienthello_tlsext_early(SSL *s)
2561 {
2562     int ret = SSL_TLSEXT_ERR_NOACK;
2563     int al = SSL_AD_UNRECOGNIZED_NAME;
2564
2565 #ifndef OPENSSL_NO_EC
2566     /*
2567      * The handling of the ECPointFormats extension is done elsewhere, namely
2568      * in ssl3_choose_cipher in s3_lib.c.
2569      */
2570     /*
2571      * The handling of the EllipticCurves extension is done elsewhere, namely
2572      * in ssl3_choose_cipher in s3_lib.c.
2573      */
2574 #endif
2575
2576     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2577         ret =
2578             s->ctx->tlsext_servername_callback(s, &al,
2579                                                s->ctx->tlsext_servername_arg);
2580     else if (s->initial_ctx != NULL
2581              && s->initial_ctx->tlsext_servername_callback != 0)
2582         ret =
2583             s->initial_ctx->tlsext_servername_callback(s, &al,
2584                                                        s->
2585                                                        initial_ctx->tlsext_servername_arg);
2586
2587     switch (ret) {
2588     case SSL_TLSEXT_ERR_ALERT_FATAL:
2589         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2590         return -1;
2591
2592     case SSL_TLSEXT_ERR_ALERT_WARNING:
2593         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2594         return 1;
2595
2596     case SSL_TLSEXT_ERR_NOACK:
2597         s->servername_done = 0;
2598     default:
2599         return 1;
2600     }
2601 }
2602 /* Initialise digests to default values */
2603 void ssl_set_default_md(SSL *s)
2604 {
2605     const EVP_MD **pmd = s->s3->tmp.md;
2606 #ifndef OPENSSL_NO_DSA
2607     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2608 #endif
2609 #ifndef OPENSSL_NO_RSA
2610     if (SSL_USE_SIGALGS(s))
2611         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2612     else
2613         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2614     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2615 #endif
2616 #ifndef OPENSSL_NO_EC
2617     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2618 #endif
2619 #ifndef OPENSSL_NO_GOST
2620     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2621     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2622     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2623 #endif
2624 }
2625
2626 int tls1_set_server_sigalgs(SSL *s)
2627 {
2628     int al;
2629     size_t i;
2630
2631     /* Clear any shared signature algorithms */
2632     OPENSSL_free(s->cert->shared_sigalgs);
2633     s->cert->shared_sigalgs = NULL;
2634     s->cert->shared_sigalgslen = 0;
2635     /* Clear certificate digests and validity flags */
2636     for (i = 0; i < SSL_PKEY_NUM; i++) {
2637         s->s3->tmp.md[i] = NULL;
2638         s->s3->tmp.valid_flags[i] = 0;
2639     }
2640
2641     /* If sigalgs received process it. */
2642     if (s->s3->tmp.peer_sigalgs) {
2643         if (!tls1_process_sigalgs(s)) {
2644             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2645             al = SSL_AD_INTERNAL_ERROR;
2646             goto err;
2647         }
2648         /* Fatal error is no shared signature algorithms */
2649         if (!s->cert->shared_sigalgs) {
2650             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2651                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2652             al = SSL_AD_ILLEGAL_PARAMETER;
2653             goto err;
2654         }
2655     } else {
2656         ssl_set_default_md(s);
2657     }
2658     return 1;
2659  err:
2660     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2661     return 0;
2662 }
2663
2664 int ssl_check_clienthello_tlsext_late(SSL *s)
2665 {
2666     int ret = SSL_TLSEXT_ERR_OK;
2667     int al = SSL_AD_INTERNAL_ERROR;
2668
2669     /*
2670      * If status request then ask callback what to do. Note: this must be
2671      * called after servername callbacks in case the certificate has changed,
2672      * and must be called after the cipher has been chosen because this may
2673      * influence which certificate is sent
2674      */
2675     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2676         int r;
2677         CERT_PKEY *certpkey;
2678         certpkey = ssl_get_server_send_pkey(s);
2679         /* If no certificate can't return certificate status */
2680         if (certpkey == NULL) {
2681             s->tlsext_status_expected = 0;
2682             return 1;
2683         }
2684         /*
2685          * Set current certificate to one we will use so SSL_get_certificate
2686          * et al can pick it up.
2687          */
2688         s->cert->key = certpkey;
2689         r = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2690         switch (r) {
2691             /* We don't want to send a status request response */
2692         case SSL_TLSEXT_ERR_NOACK:
2693             s->tlsext_status_expected = 0;
2694             break;
2695             /* status request response should be sent */
2696         case SSL_TLSEXT_ERR_OK:
2697             if (s->tlsext_ocsp_resp)
2698                 s->tlsext_status_expected = 1;
2699             else
2700                 s->tlsext_status_expected = 0;
2701             break;
2702             /* something bad happened */
2703         case SSL_TLSEXT_ERR_ALERT_FATAL:
2704             ret = SSL_TLSEXT_ERR_ALERT_FATAL;
2705             al = SSL_AD_INTERNAL_ERROR;
2706             goto err;
2707         }
2708     } else
2709         s->tlsext_status_expected = 0;
2710
2711     if (!tls1_alpn_handle_client_hello_late(s, &ret, &al)) {
2712         goto err;
2713     }
2714
2715  err:
2716     switch (ret) {
2717     case SSL_TLSEXT_ERR_ALERT_FATAL:
2718         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2719         return -1;
2720
2721     case SSL_TLSEXT_ERR_ALERT_WARNING:
2722         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2723         return 1;
2724
2725     default:
2726         return 1;
2727     }
2728 }
2729
2730 int ssl_check_serverhello_tlsext(SSL *s)
2731 {
2732     int ret = SSL_TLSEXT_ERR_NOACK;
2733     int al = SSL_AD_UNRECOGNIZED_NAME;
2734
2735 #ifndef OPENSSL_NO_EC
2736     /*
2737      * If we are client and using an elliptic curve cryptography cipher
2738      * suite, then if server returns an EC point formats lists extension it
2739      * must contain uncompressed.
2740      */
2741     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2742     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2743     if ((s->tlsext_ecpointformatlist != NULL)
2744         && (s->tlsext_ecpointformatlist_length > 0)
2745         && (s->session->tlsext_ecpointformatlist != NULL)
2746         && (s->session->tlsext_ecpointformatlist_length > 0)
2747         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
2748         /* we are using an ECC cipher */
2749         size_t i;
2750         unsigned char *list;
2751         int found_uncompressed = 0;
2752         list = s->session->tlsext_ecpointformatlist;
2753         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
2754             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
2755                 found_uncompressed = 1;
2756                 break;
2757             }
2758         }
2759         if (!found_uncompressed) {
2760             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
2761                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
2762             return -1;
2763         }
2764     }
2765     ret = SSL_TLSEXT_ERR_OK;
2766 #endif                         /* OPENSSL_NO_EC */
2767
2768     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2769         ret =
2770             s->ctx->tlsext_servername_callback(s, &al,
2771                                                s->ctx->tlsext_servername_arg);
2772     else if (s->initial_ctx != NULL
2773              && s->initial_ctx->tlsext_servername_callback != 0)
2774         ret =
2775             s->initial_ctx->tlsext_servername_callback(s, &al,
2776                                                        s->
2777                                                        initial_ctx->tlsext_servername_arg);
2778
2779     /*
2780      * Ensure we get sensible values passed to tlsext_status_cb in the event
2781      * that we don't receive a status message
2782      */
2783     OPENSSL_free(s->tlsext_ocsp_resp);
2784     s->tlsext_ocsp_resp = NULL;
2785     s->tlsext_ocsp_resplen = -1;
2786
2787     switch (ret) {
2788     case SSL_TLSEXT_ERR_ALERT_FATAL:
2789         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2790         return -1;
2791
2792     case SSL_TLSEXT_ERR_ALERT_WARNING:
2793         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2794         return 1;
2795
2796     case SSL_TLSEXT_ERR_NOACK:
2797         s->servername_done = 0;
2798     default:
2799         return 1;
2800     }
2801 }
2802
2803 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
2804 {
2805     int al = -1;
2806     if (s->version < SSL3_VERSION)
2807         return 1;
2808     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
2809         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2810         return 0;
2811     }
2812
2813     if (ssl_check_serverhello_tlsext(s) <= 0) {
2814         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
2815         return 0;
2816     }
2817     return 1;
2818 }
2819
2820 /*-
2821  * Since the server cache lookup is done early on in the processing of the
2822  * ClientHello and other operations depend on the result some extensions
2823  * need to be handled at the same time.
2824  *
2825  * Two extensions are currently handled, session ticket and extended master
2826  * secret.
2827  *
2828  *   session_id: ClientHello session ID.
2829  *   ext: ClientHello extensions (including length prefix)
2830  *   ret: (output) on return, if a ticket was decrypted, then this is set to
2831  *       point to the resulting session.
2832  *
2833  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
2834  * ciphersuite, in which case we have no use for session tickets and one will
2835  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
2836  *
2837  * Returns:
2838  *   -1: fatal error, either from parsing or decrypting the ticket.
2839  *    0: no ticket was found (or was ignored, based on settings).
2840  *    1: a zero length extension was found, indicating that the client supports
2841  *       session tickets but doesn't currently have one to offer.
2842  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
2843  *       couldn't be decrypted because of a non-fatal error.
2844  *    3: a ticket was successfully decrypted and *ret was set.
2845  *
2846  * Side effects:
2847  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
2848  *   a new session ticket to the client because the client indicated support
2849  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
2850  *   a session ticket or we couldn't use the one it gave us, or if
2851  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
2852  *   Otherwise, s->tlsext_ticket_expected is set to 0.
2853  *
2854  *   For extended master secret flag is set if the extension is present.
2855  *
2856  */
2857 int tls_check_serverhello_tlsext_early(SSL *s, const PACKET *ext,
2858                                        const PACKET *session_id,
2859                                        SSL_SESSION **ret)
2860 {
2861     unsigned int i;
2862     PACKET local_ext = *ext;
2863     int retv = -1;
2864
2865     int have_ticket = 0;
2866     int use_ticket = tls_use_ticket(s);
2867
2868     *ret = NULL;
2869     s->tlsext_ticket_expected = 0;
2870     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2871
2872     /*
2873      * If tickets disabled behave as if no ticket present to permit stateful
2874      * resumption.
2875      */
2876     if ((s->version <= SSL3_VERSION))
2877         return 0;
2878
2879     if (!PACKET_get_net_2(&local_ext, &i)) {
2880         retv = 0;
2881         goto end;
2882     }
2883     while (PACKET_remaining(&local_ext) >= 4) {
2884         unsigned int type, size;
2885
2886         if (!PACKET_get_net_2(&local_ext, &type)
2887                 || !PACKET_get_net_2(&local_ext, &size)) {
2888             /* Shouldn't ever happen */
2889             retv = -1;
2890             goto end;
2891         }
2892         if (PACKET_remaining(&local_ext) < size) {
2893             retv = 0;
2894             goto end;
2895         }
2896         if (type == TLSEXT_TYPE_session_ticket && use_ticket) {
2897             int r;
2898             const unsigned char *etick;
2899
2900             /* Duplicate extension */
2901             if (have_ticket != 0) {
2902                 retv = -1;
2903                 goto end;
2904             }
2905             have_ticket = 1;
2906
2907             if (size == 0) {
2908                 /*
2909                  * The client will accept a ticket but doesn't currently have
2910                  * one.
2911                  */
2912                 s->tlsext_ticket_expected = 1;
2913                 retv = 1;
2914                 continue;
2915             }
2916             if (s->tls_session_secret_cb) {
2917                 /*
2918                  * Indicate that the ticket couldn't be decrypted rather than
2919                  * generating the session from ticket now, trigger
2920                  * abbreviated handshake based on external mechanism to
2921                  * calculate the master secret later.
2922                  */
2923                 retv = 2;
2924                 continue;
2925             }
2926             if (!PACKET_get_bytes(&local_ext, &etick, size)) {
2927                 /* Shouldn't ever happen */
2928                 retv = -1;
2929                 goto end;
2930             }
2931             r = tls_decrypt_ticket(s, etick, size, PACKET_data(session_id),
2932                                    PACKET_remaining(session_id), ret);
2933             switch (r) {
2934             case 2:            /* ticket couldn't be decrypted */
2935                 s->tlsext_ticket_expected = 1;
2936                 retv = 2;
2937                 break;
2938             case 3:            /* ticket was decrypted */
2939                 retv = r;
2940                 break;
2941             case 4:            /* ticket decrypted but need to renew */
2942                 s->tlsext_ticket_expected = 1;
2943                 retv = 3;
2944                 break;
2945             default:           /* fatal error */
2946                 retv = -1;
2947                 break;
2948             }
2949             continue;
2950         } else {
2951             if (type == TLSEXT_TYPE_extended_master_secret)
2952                 s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2953             if (!PACKET_forward(&local_ext, size)) {
2954                 retv = -1;
2955                 goto end;
2956             }
2957         }
2958     }
2959     if (have_ticket == 0)
2960         retv = 0;
2961 end:
2962     return retv;
2963 }
2964
2965 /*-
2966  * tls_decrypt_ticket attempts to decrypt a session ticket.
2967  *
2968  *   etick: points to the body of the session ticket extension.
2969  *   eticklen: the length of the session tickets extension.
2970  *   sess_id: points at the session ID.
2971  *   sesslen: the length of the session ID.
2972  *   psess: (output) on return, if a ticket was decrypted, then this is set to
2973  *       point to the resulting session.
2974  *
2975  * Returns:
2976  *   -2: fatal error, malloc failure.
2977  *   -1: fatal error, either from parsing or decrypting the ticket.
2978  *    2: the ticket couldn't be decrypted.
2979  *    3: a ticket was successfully decrypted and *psess was set.
2980  *    4: same as 3, but the ticket needs to be renewed.
2981  */
2982 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
2983                               int eticklen, const unsigned char *sess_id,
2984                               int sesslen, SSL_SESSION **psess)
2985 {
2986     SSL_SESSION *sess;
2987     unsigned char *sdec;
2988     const unsigned char *p;
2989     int slen, mlen, renew_ticket = 0, ret = -1;
2990     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
2991     HMAC_CTX *hctx = NULL;
2992     EVP_CIPHER_CTX *ctx;
2993     SSL_CTX *tctx = s->initial_ctx;
2994     /* Need at least keyname + iv + some encrypted data */
2995     if (eticklen < 48)
2996         return 2;
2997     /* Initialize session ticket encryption and HMAC contexts */
2998     hctx = HMAC_CTX_new();
2999     if (hctx == NULL)
3000         return -2;
3001     ctx = EVP_CIPHER_CTX_new();
3002     if (ctx == NULL) {
3003         ret = -2;
3004         goto err;
3005     }
3006     if (tctx->tlsext_ticket_key_cb) {
3007         unsigned char *nctick = (unsigned char *)etick;
3008         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
3009                                             ctx, hctx, 0);
3010         if (rv < 0)
3011             goto err;
3012         if (rv == 0) {
3013             ret = 2;
3014             goto err;
3015         }
3016         if (rv == 2)
3017             renew_ticket = 1;
3018     } else {
3019         /* Check key name matches */
3020         if (memcmp(etick, tctx->tlsext_tick_key_name,
3021                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
3022             ret = 2;
3023             goto err;
3024         }
3025         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3026                          sizeof(tctx->tlsext_tick_hmac_key),
3027                          EVP_sha256(), NULL) <= 0
3028                 || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3029                                       tctx->tlsext_tick_aes_key,
3030                                       etick + sizeof(tctx->tlsext_tick_key_name)) <= 0) {
3031             goto err;
3032        }
3033     }
3034     /*
3035      * Attempt to process session ticket, first conduct sanity and integrity
3036      * checks on ticket.
3037      */
3038     mlen = HMAC_size(hctx);
3039     if (mlen < 0) {
3040         goto err;
3041     }
3042     eticklen -= mlen;
3043     /* Check HMAC of encrypted ticket */
3044     if (HMAC_Update(hctx, etick, eticklen) <= 0
3045             || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3046         goto err;
3047     }
3048     HMAC_CTX_free(hctx);
3049     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3050         EVP_CIPHER_CTX_free(ctx);
3051         return 2;
3052     }
3053     /* Attempt to decrypt session data */
3054     /* Move p after IV to start of encrypted ticket, update length */
3055     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3056     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3057     sdec = OPENSSL_malloc(eticklen);
3058     if (sdec == NULL
3059             || EVP_DecryptUpdate(ctx, sdec, &slen, p, eticklen) <= 0) {
3060         EVP_CIPHER_CTX_free(ctx);
3061         OPENSSL_free(sdec);
3062         return -1;
3063     }
3064     if (EVP_DecryptFinal(ctx, sdec + slen, &mlen) <= 0) {
3065         EVP_CIPHER_CTX_free(ctx);
3066         OPENSSL_free(sdec);
3067         return 2;
3068     }
3069     slen += mlen;
3070     EVP_CIPHER_CTX_free(ctx);
3071     ctx = NULL;
3072     p = sdec;
3073
3074     sess = d2i_SSL_SESSION(NULL, &p, slen);
3075     OPENSSL_free(sdec);
3076     if (sess) {
3077         /*
3078          * The session ID, if non-empty, is used by some clients to detect
3079          * that the ticket has been accepted. So we copy it to the session
3080          * structure. If it is empty set length to zero as required by
3081          * standard.
3082          */
3083         if (sesslen)
3084             memcpy(sess->session_id, sess_id, sesslen);
3085         sess->session_id_length = sesslen;
3086         *psess = sess;
3087         if (renew_ticket)
3088             return 4;
3089         else
3090             return 3;
3091     }
3092     ERR_clear_error();
3093     /*
3094      * For session parse failure, indicate that we need to send a new ticket.
3095      */
3096     return 2;
3097 err:
3098     EVP_CIPHER_CTX_free(ctx);
3099     HMAC_CTX_free(hctx);
3100     return ret;
3101 }
3102
3103 /* Tables to translate from NIDs to TLS v1.2 ids */
3104
3105 typedef struct {
3106     int nid;
3107     int id;
3108 } tls12_lookup;
3109
3110 static const tls12_lookup tls12_md[] = {
3111     {NID_md5, TLSEXT_hash_md5},
3112     {NID_sha1, TLSEXT_hash_sha1},
3113     {NID_sha224, TLSEXT_hash_sha224},
3114     {NID_sha256, TLSEXT_hash_sha256},
3115     {NID_sha384, TLSEXT_hash_sha384},
3116     {NID_sha512, TLSEXT_hash_sha512},
3117     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3118     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3119     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3120 };
3121
3122 static const tls12_lookup tls12_sig[] = {
3123     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3124     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3125     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3126     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3127     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3128     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3129 };
3130
3131 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3132 {
3133     size_t i;
3134     for (i = 0; i < tlen; i++) {
3135         if (table[i].nid == nid)
3136             return table[i].id;
3137     }
3138     return -1;
3139 }
3140
3141 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3142 {
3143     size_t i;
3144     for (i = 0; i < tlen; i++) {
3145         if ((table[i].id) == id)
3146             return table[i].nid;
3147     }
3148     return NID_undef;
3149 }
3150
3151 int tls12_get_sigandhash(unsigned char *p, const EVP_PKEY *pk,
3152                          const EVP_MD *md)
3153 {
3154     int sig_id, md_id;
3155     if (!md)
3156         return 0;
3157     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3158     if (md_id == -1)
3159         return 0;
3160     sig_id = tls12_get_sigid(pk);
3161     if (sig_id == -1)
3162         return 0;
3163     p[0] = (unsigned char)md_id;
3164     p[1] = (unsigned char)sig_id;
3165     return 1;
3166 }
3167
3168 int tls12_get_sigid(const EVP_PKEY *pk)
3169 {
3170     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3171 }
3172
3173 typedef struct {
3174     int nid;
3175     int secbits;
3176     int md_idx;
3177     unsigned char tlsext_hash;
3178 } tls12_hash_info;
3179
3180 static const tls12_hash_info tls12_md_info[] = {
3181     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3182     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3183     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3184     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3185     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3186     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3187     {NID_id_GostR3411_94,       128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3188     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX, TLSEXT_hash_gostr34112012_256},
3189     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX, TLSEXT_hash_gostr34112012_512},
3190 };
3191
3192 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3193 {
3194     unsigned int i;
3195     if (hash_alg == 0)
3196         return NULL;
3197
3198     for (i=0; i < OSSL_NELEM(tls12_md_info); i++)
3199     {
3200         if (tls12_md_info[i].tlsext_hash == hash_alg)
3201             return tls12_md_info + i;
3202     }
3203
3204     return NULL;
3205 }
3206
3207 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3208 {
3209     const tls12_hash_info *inf;
3210     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3211         return NULL;
3212     inf = tls12_get_hash_info(hash_alg);
3213     if (!inf)
3214         return NULL;
3215     return ssl_md(inf->md_idx);
3216 }
3217
3218 static int tls12_get_pkey_idx(unsigned char sig_alg)
3219 {
3220     switch (sig_alg) {
3221 #ifndef OPENSSL_NO_RSA
3222     case TLSEXT_signature_rsa:
3223         return SSL_PKEY_RSA_SIGN;
3224 #endif
3225 #ifndef OPENSSL_NO_DSA
3226     case TLSEXT_signature_dsa:
3227         return SSL_PKEY_DSA_SIGN;
3228 #endif
3229 #ifndef OPENSSL_NO_EC
3230     case TLSEXT_signature_ecdsa:
3231         return SSL_PKEY_ECC;
3232 #endif
3233 # ifndef OPENSSL_NO_GOST
3234     case TLSEXT_signature_gostr34102001:
3235         return SSL_PKEY_GOST01;
3236
3237     case TLSEXT_signature_gostr34102012_256:
3238         return SSL_PKEY_GOST12_256;
3239
3240     case TLSEXT_signature_gostr34102012_512:
3241         return SSL_PKEY_GOST12_512;
3242 # endif
3243     }
3244     return -1;
3245 }
3246
3247 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3248 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3249                                int *psignhash_nid, const unsigned char *data)
3250 {
3251     int sign_nid = NID_undef, hash_nid = NID_undef;
3252     if (!phash_nid && !psign_nid && !psignhash_nid)
3253         return;
3254     if (phash_nid || psignhash_nid) {
3255         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3256         if (phash_nid)
3257             *phash_nid = hash_nid;
3258     }
3259     if (psign_nid || psignhash_nid) {
3260         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3261         if (psign_nid)
3262             *psign_nid = sign_nid;
3263     }
3264     if (psignhash_nid) {
3265         if (sign_nid == NID_undef || hash_nid == NID_undef
3266                 || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid,
3267                                           sign_nid) <= 0)
3268             *psignhash_nid = NID_undef;
3269     }
3270 }
3271
3272 /* Check to see if a signature algorithm is allowed */
3273 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3274 {
3275     /* See if we have an entry in the hash table and it is enabled */
3276     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3277     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3278         return 0;
3279     /* See if public key algorithm allowed */
3280     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3281         return 0;
3282     /* Finally see if security callback allows it */
3283     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3284 }
3285
3286 /*
3287  * Get a mask of disabled public key algorithms based on supported signature
3288  * algorithms. For example if no signature algorithm supports RSA then RSA is
3289  * disabled.
3290  */
3291
3292 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3293 {
3294     const unsigned char *sigalgs;
3295     size_t i, sigalgslen;
3296     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3297     /*
3298      * Now go through all signature algorithms seeing if we support any for
3299      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3300      * down calls to security callback only check if we have to.
3301      */
3302     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3303     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3304         switch (sigalgs[1]) {
3305 #ifndef OPENSSL_NO_RSA
3306         case TLSEXT_signature_rsa:
3307             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3308                 have_rsa = 1;
3309             break;
3310 #endif
3311 #ifndef OPENSSL_NO_DSA
3312         case TLSEXT_signature_dsa:
3313             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3314                 have_dsa = 1;
3315             break;
3316 #endif
3317 #ifndef OPENSSL_NO_EC
3318         case TLSEXT_signature_ecdsa:
3319             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3320                 have_ecdsa = 1;
3321             break;
3322 #endif
3323         }
3324     }
3325     if (!have_rsa)
3326         *pmask_a |= SSL_aRSA;
3327     if (!have_dsa)
3328         *pmask_a |= SSL_aDSS;
3329     if (!have_ecdsa)
3330         *pmask_a |= SSL_aECDSA;
3331 }
3332
3333 size_t tls12_copy_sigalgs(SSL *s, unsigned char *out,
3334                           const unsigned char *psig, size_t psiglen)
3335 {
3336     unsigned char *tmpout = out;
3337     size_t i;
3338     for (i = 0; i < psiglen; i += 2, psig += 2) {
3339         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3340             *tmpout++ = psig[0];
3341             *tmpout++ = psig[1];
3342         }
3343     }
3344     return tmpout - out;
3345 }
3346
3347 /* Given preference and allowed sigalgs set shared sigalgs */
3348 static int tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3349                                 const unsigned char *pref, size_t preflen,
3350                                 const unsigned char *allow, size_t allowlen)
3351 {
3352     const unsigned char *ptmp, *atmp;
3353     size_t i, j, nmatch = 0;
3354     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3355         /* Skip disabled hashes or signature algorithms */
3356         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3357             continue;
3358         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3359             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3360                 nmatch++;
3361                 if (shsig) {
3362                     shsig->rhash = ptmp[0];
3363                     shsig->rsign = ptmp[1];
3364                     tls1_lookup_sigalg(&shsig->hash_nid,
3365                                        &shsig->sign_nid,
3366                                        &shsig->signandhash_nid, ptmp);
3367                     shsig++;
3368                 }
3369                 break;
3370             }
3371         }
3372     }
3373     return nmatch;
3374 }
3375
3376 /* Set shared signature algorithms for SSL structures */
3377 static int tls1_set_shared_sigalgs(SSL *s)
3378 {
3379     const unsigned char *pref, *allow, *conf;
3380     size_t preflen, allowlen, conflen;
3381     size_t nmatch;
3382     TLS_SIGALGS *salgs = NULL;
3383     CERT *c = s->cert;
3384     unsigned int is_suiteb = tls1_suiteb(s);
3385
3386     OPENSSL_free(c->shared_sigalgs);
3387     c->shared_sigalgs = NULL;
3388     c->shared_sigalgslen = 0;
3389     /* If client use client signature algorithms if not NULL */
3390     if (!s->server && c->client_sigalgs && !is_suiteb) {
3391         conf = c->client_sigalgs;
3392         conflen = c->client_sigalgslen;
3393     } else if (c->conf_sigalgs && !is_suiteb) {
3394         conf = c->conf_sigalgs;
3395         conflen = c->conf_sigalgslen;
3396     } else
3397         conflen = tls12_get_psigalgs(s, &conf);
3398     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3399         pref = conf;
3400         preflen = conflen;
3401         allow = s->s3->tmp.peer_sigalgs;
3402         allowlen = s->s3->tmp.peer_sigalgslen;
3403     } else {
3404         allow = conf;
3405         allowlen = conflen;
3406         pref = s->s3->tmp.peer_sigalgs;
3407         preflen = s->s3->tmp.peer_sigalgslen;
3408     }
3409     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3410     if (nmatch) {
3411         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3412         if (salgs == NULL)
3413             return 0;
3414         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3415     } else {
3416         salgs = NULL;
3417     }
3418     c->shared_sigalgs = salgs;
3419     c->shared_sigalgslen = nmatch;
3420     return 1;
3421 }
3422
3423 /* Set preferred digest for each key type */
3424
3425 int tls1_save_sigalgs(SSL *s, const unsigned char *data, int dsize)
3426 {
3427     CERT *c = s->cert;
3428     /* Extension ignored for inappropriate versions */
3429     if (!SSL_USE_SIGALGS(s))
3430         return 1;
3431     /* Should never happen */
3432     if (!c)
3433         return 0;
3434
3435     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3436     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3437     if (s->s3->tmp.peer_sigalgs == NULL)
3438         return 0;
3439     s->s3->tmp.peer_sigalgslen = dsize;
3440     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3441     return 1;
3442 }
3443
3444 int tls1_process_sigalgs(SSL *s)
3445 {
3446     int idx;
3447     size_t i;
3448     const EVP_MD *md;
3449     const EVP_MD **pmd = s->s3->tmp.md;
3450     uint32_t *pvalid = s->s3->tmp.valid_flags;
3451     CERT *c = s->cert;
3452     TLS_SIGALGS *sigptr;
3453     if (!tls1_set_shared_sigalgs(s))
3454         return 0;
3455
3456     for (i = 0, sigptr = c->shared_sigalgs;
3457          i < c->shared_sigalgslen; i++, sigptr++) {
3458         idx = tls12_get_pkey_idx(sigptr->rsign);
3459         if (idx > 0 && pmd[idx] == NULL) {
3460             md = tls12_get_hash(sigptr->rhash);
3461             pmd[idx] = md;
3462             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3463             if (idx == SSL_PKEY_RSA_SIGN) {
3464                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3465                 pmd[SSL_PKEY_RSA_ENC] = md;
3466             }
3467         }
3468
3469     }
3470     /*
3471      * In strict mode leave unset digests as NULL to indicate we can't use
3472      * the certificate for signing.
3473      */
3474     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3475         /*
3476          * Set any remaining keys to default values. NOTE: if alg is not
3477          * supported it stays as NULL.
3478          */
3479 #ifndef OPENSSL_NO_DSA
3480         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3481             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3482 #endif
3483 #ifndef OPENSSL_NO_RSA
3484         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3485             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3486             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3487         }
3488 #endif
3489 #ifndef OPENSSL_NO_EC
3490         if (pmd[SSL_PKEY_ECC] == NULL)
3491             pmd[SSL_PKEY_ECC] = EVP_sha1();
3492 #endif
3493 # ifndef OPENSSL_NO_GOST
3494         if (pmd[SSL_PKEY_GOST01] == NULL)
3495             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3496         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3497             pmd[SSL_PKEY_GOST12_256] = EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3498         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3499             pmd[SSL_PKEY_GOST12_512] = EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3500 # endif
3501     }
3502     return 1;
3503 }
3504
3505 int SSL_get_sigalgs(SSL *s, int idx,
3506                     int *psign, int *phash, int *psignhash,
3507                     unsigned char *rsig, unsigned char *rhash)
3508 {
3509     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3510     if (psig == NULL)
3511         return 0;
3512     if (idx >= 0) {
3513         idx <<= 1;
3514         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3515             return 0;
3516         psig += idx;
3517         if (rhash)
3518             *rhash = psig[0];
3519         if (rsig)
3520             *rsig = psig[1];
3521         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3522     }
3523     return s->s3->tmp.peer_sigalgslen / 2;
3524 }
3525
3526 int SSL_get_shared_sigalgs(SSL *s, int idx,
3527                            int *psign, int *phash, int *psignhash,
3528                            unsigned char *rsig, unsigned char *rhash)
3529 {
3530     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3531     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen)
3532         return 0;
3533     shsigalgs += idx;
3534     if (phash)
3535         *phash = shsigalgs->hash_nid;
3536     if (psign)
3537         *psign = shsigalgs->sign_nid;
3538     if (psignhash)
3539         *psignhash = shsigalgs->signandhash_nid;
3540     if (rsig)
3541         *rsig = shsigalgs->rsign;
3542     if (rhash)
3543         *rhash = shsigalgs->rhash;
3544     return s->cert->shared_sigalgslen;
3545 }
3546
3547 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3548
3549 typedef struct {
3550     size_t sigalgcnt;
3551     int sigalgs[MAX_SIGALGLEN];
3552 } sig_cb_st;
3553
3554 static void get_sigorhash(int *psig, int *phash, const char *str)
3555 {
3556     if (strcmp(str, "RSA") == 0) {
3557         *psig = EVP_PKEY_RSA;
3558     } else if (strcmp(str, "DSA") == 0) {
3559         *psig = EVP_PKEY_DSA;
3560     } else if (strcmp(str, "ECDSA") == 0) {
3561         *psig = EVP_PKEY_EC;
3562     } else {
3563         *phash = OBJ_sn2nid(str);
3564         if (*phash == NID_undef)
3565             *phash = OBJ_ln2nid(str);
3566     }
3567 }
3568
3569 static int sig_cb(const char *elem, int len, void *arg)
3570 {
3571     sig_cb_st *sarg = arg;
3572     size_t i;
3573     char etmp[20], *p;
3574     int sig_alg = NID_undef, hash_alg = NID_undef;
3575     if (elem == NULL)
3576         return 0;
3577     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3578         return 0;
3579     if (len > (int)(sizeof(etmp) - 1))
3580         return 0;
3581     memcpy(etmp, elem, len);
3582     etmp[len] = 0;
3583     p = strchr(etmp, '+');
3584     if (!p)
3585         return 0;
3586     *p = 0;
3587     p++;
3588     if (!*p)
3589         return 0;
3590
3591     get_sigorhash(&sig_alg, &hash_alg, etmp);
3592     get_sigorhash(&sig_alg, &hash_alg, p);
3593
3594     if (sig_alg == NID_undef || hash_alg == NID_undef)
3595         return 0;
3596
3597     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3598         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3599             return 0;
3600     }
3601     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3602     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3603     return 1;
3604 }
3605
3606 /*
3607  * Set supported signature algorithms based on a colon separated list of the
3608  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3609  */
3610 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3611 {
3612     sig_cb_st sig;
3613     sig.sigalgcnt = 0;
3614     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3615         return 0;
3616     if (c == NULL)
3617         return 1;
3618     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3619 }
3620
3621 int tls1_set_sigalgs(CERT *c, const int&