Use the TLSv1.3 nonce construction
[openssl.git] / ssl / t1_lib.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <stdlib.h>
12 #include <openssl/objects.h>
13 #include <openssl/evp.h>
14 #include <openssl/hmac.h>
15 #include <openssl/ocsp.h>
16 #include <openssl/conf.h>
17 #include <openssl/x509v3.h>
18 #include <openssl/dh.h>
19 #include <openssl/bn.h>
20 #include "ssl_locl.h"
21 #include <openssl/ct.h>
22
23 static int tls_decrypt_ticket(SSL *s, const unsigned char *tick, size_t ticklen,
24                               const unsigned char *sess_id, size_t sesslen,
25                               SSL_SESSION **psess);
26 static int ssl_check_clienthello_tlsext_early(SSL *s);
27 static int ssl_check_serverhello_tlsext(SSL *s);
28
29 SSL3_ENC_METHOD const TLSv1_enc_data = {
30     tls1_enc,
31     tls1_mac,
32     tls1_setup_key_block,
33     tls1_generate_master_secret,
34     tls1_change_cipher_state,
35     tls1_final_finish_mac,
36     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
37     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
38     tls1_alert_code,
39     tls1_export_keying_material,
40     0,
41     ssl3_set_handshake_header,
42     tls_close_construct_packet,
43     ssl3_handshake_write
44 };
45
46 SSL3_ENC_METHOD const TLSv1_1_enc_data = {
47     tls1_enc,
48     tls1_mac,
49     tls1_setup_key_block,
50     tls1_generate_master_secret,
51     tls1_change_cipher_state,
52     tls1_final_finish_mac,
53     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
54     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
55     tls1_alert_code,
56     tls1_export_keying_material,
57     SSL_ENC_FLAG_EXPLICIT_IV,
58     ssl3_set_handshake_header,
59     tls_close_construct_packet,
60     ssl3_handshake_write
61 };
62
63 SSL3_ENC_METHOD const TLSv1_2_enc_data = {
64     tls1_enc,
65     tls1_mac,
66     tls1_setup_key_block,
67     tls1_generate_master_secret,
68     tls1_change_cipher_state,
69     tls1_final_finish_mac,
70     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
71     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
72     tls1_alert_code,
73     tls1_export_keying_material,
74     SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF
75         | SSL_ENC_FLAG_TLS1_2_CIPHERS,
76     ssl3_set_handshake_header,
77     tls_close_construct_packet,
78     ssl3_handshake_write
79 };
80
81 SSL3_ENC_METHOD const TLSv1_3_enc_data = {
82     tls13_enc,
83     tls1_mac,
84     tls13_setup_key_block,
85     tls13_generate_master_secret,
86     tls13_change_cipher_state,
87     tls13_final_finish_mac,
88     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
89     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
90     tls1_alert_code,
91     tls1_export_keying_material,
92     SSL_ENC_FLAG_SIGALGS | SSL_ENC_FLAG_SHA256_PRF,
93     ssl3_set_handshake_header,
94     tls_close_construct_packet,
95     ssl3_handshake_write
96 };
97
98 long tls1_default_timeout(void)
99 {
100     /*
101      * 2 hours, the 24 hours mentioned in the TLSv1 spec is way too long for
102      * http, the cache would over fill
103      */
104     return (60 * 60 * 2);
105 }
106
107 int tls1_new(SSL *s)
108 {
109     if (!ssl3_new(s))
110         return (0);
111     s->method->ssl_clear(s);
112     return (1);
113 }
114
115 void tls1_free(SSL *s)
116 {
117     OPENSSL_free(s->tlsext_session_ticket);
118     ssl3_free(s);
119 }
120
121 void tls1_clear(SSL *s)
122 {
123     ssl3_clear(s);
124     if (s->method->version == TLS_ANY_VERSION)
125         s->version = TLS_MAX_VERSION;
126     else
127         s->version = s->method->version;
128 }
129
130 #ifndef OPENSSL_NO_EC
131
132 typedef struct {
133     int nid;                    /* Curve NID */
134     int secbits;                /* Bits of security (from SP800-57) */
135     unsigned int flags;         /* Flags: currently just field type */
136 } tls_curve_info;
137
138 /*
139  * Table of curve information.
140  * Do not delete entries or reorder this array! It is used as a lookup
141  * table: the index of each entry is one less than the TLS curve id.
142  */
143 static const tls_curve_info nid_list[] = {
144     {NID_sect163k1, 80, TLS_CURVE_CHAR2}, /* sect163k1 (1) */
145     {NID_sect163r1, 80, TLS_CURVE_CHAR2}, /* sect163r1 (2) */
146     {NID_sect163r2, 80, TLS_CURVE_CHAR2}, /* sect163r2 (3) */
147     {NID_sect193r1, 80, TLS_CURVE_CHAR2}, /* sect193r1 (4) */
148     {NID_sect193r2, 80, TLS_CURVE_CHAR2}, /* sect193r2 (5) */
149     {NID_sect233k1, 112, TLS_CURVE_CHAR2}, /* sect233k1 (6) */
150     {NID_sect233r1, 112, TLS_CURVE_CHAR2}, /* sect233r1 (7) */
151     {NID_sect239k1, 112, TLS_CURVE_CHAR2}, /* sect239k1 (8) */
152     {NID_sect283k1, 128, TLS_CURVE_CHAR2}, /* sect283k1 (9) */
153     {NID_sect283r1, 128, TLS_CURVE_CHAR2}, /* sect283r1 (10) */
154     {NID_sect409k1, 192, TLS_CURVE_CHAR2}, /* sect409k1 (11) */
155     {NID_sect409r1, 192, TLS_CURVE_CHAR2}, /* sect409r1 (12) */
156     {NID_sect571k1, 256, TLS_CURVE_CHAR2}, /* sect571k1 (13) */
157     {NID_sect571r1, 256, TLS_CURVE_CHAR2}, /* sect571r1 (14) */
158     {NID_secp160k1, 80, TLS_CURVE_PRIME}, /* secp160k1 (15) */
159     {NID_secp160r1, 80, TLS_CURVE_PRIME}, /* secp160r1 (16) */
160     {NID_secp160r2, 80, TLS_CURVE_PRIME}, /* secp160r2 (17) */
161     {NID_secp192k1, 80, TLS_CURVE_PRIME}, /* secp192k1 (18) */
162     {NID_X9_62_prime192v1, 80, TLS_CURVE_PRIME}, /* secp192r1 (19) */
163     {NID_secp224k1, 112, TLS_CURVE_PRIME}, /* secp224k1 (20) */
164     {NID_secp224r1, 112, TLS_CURVE_PRIME}, /* secp224r1 (21) */
165     {NID_secp256k1, 128, TLS_CURVE_PRIME}, /* secp256k1 (22) */
166     {NID_X9_62_prime256v1, 128, TLS_CURVE_PRIME}, /* secp256r1 (23) */
167     {NID_secp384r1, 192, TLS_CURVE_PRIME}, /* secp384r1 (24) */
168     {NID_secp521r1, 256, TLS_CURVE_PRIME}, /* secp521r1 (25) */
169     {NID_brainpoolP256r1, 128, TLS_CURVE_PRIME}, /* brainpoolP256r1 (26) */
170     {NID_brainpoolP384r1, 192, TLS_CURVE_PRIME}, /* brainpoolP384r1 (27) */
171     {NID_brainpoolP512r1, 256, TLS_CURVE_PRIME}, /* brainpool512r1 (28) */
172     {NID_X25519, 128, TLS_CURVE_CUSTOM}, /* X25519 (29) */
173 };
174
175 static const unsigned char ecformats_default[] = {
176     TLSEXT_ECPOINTFORMAT_uncompressed,
177     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime,
178     TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2
179 };
180
181 /* The default curves */
182 static const unsigned char eccurves_default[] = {
183     0, 29,                      /* X25519 (29) */
184     0, 23,                      /* secp256r1 (23) */
185     0, 25,                      /* secp521r1 (25) */
186     0, 24,                      /* secp384r1 (24) */
187 };
188
189 static const unsigned char eccurves_all[] = {
190     0, 29,                      /* X25519 (29) */
191     0, 23,                      /* secp256r1 (23) */
192     0, 25,                      /* secp521r1 (25) */
193     0, 24,                      /* secp384r1 (24) */
194     0, 26,                      /* brainpoolP256r1 (26) */
195     0, 27,                      /* brainpoolP384r1 (27) */
196     0, 28,                      /* brainpool512r1 (28) */
197
198     /*
199      * Remaining curves disabled by default but still permitted if set
200      * via an explicit callback or parameters.
201      */
202     0, 22,                      /* secp256k1 (22) */
203     0, 14,                      /* sect571r1 (14) */
204     0, 13,                      /* sect571k1 (13) */
205     0, 11,                      /* sect409k1 (11) */
206     0, 12,                      /* sect409r1 (12) */
207     0, 9,                       /* sect283k1 (9) */
208     0, 10,                      /* sect283r1 (10) */
209     0, 20,                      /* secp224k1 (20) */
210     0, 21,                      /* secp224r1 (21) */
211     0, 18,                      /* secp192k1 (18) */
212     0, 19,                      /* secp192r1 (19) */
213     0, 15,                      /* secp160k1 (15) */
214     0, 16,                      /* secp160r1 (16) */
215     0, 17,                      /* secp160r2 (17) */
216     0, 8,                       /* sect239k1 (8) */
217     0, 6,                       /* sect233k1 (6) */
218     0, 7,                       /* sect233r1 (7) */
219     0, 4,                       /* sect193r1 (4) */
220     0, 5,                       /* sect193r2 (5) */
221     0, 1,                       /* sect163k1 (1) */
222     0, 2,                       /* sect163r1 (2) */
223     0, 3,                       /* sect163r2 (3) */
224 };
225
226 static const unsigned char suiteb_curves[] = {
227     0, TLSEXT_curve_P_256,
228     0, TLSEXT_curve_P_384
229 };
230
231 int tls1_ec_curve_id2nid(int curve_id, unsigned int *pflags)
232 {
233     const tls_curve_info *cinfo;
234     /* ECC curves from RFC 4492 and RFC 7027 */
235     if ((curve_id < 1) || ((unsigned int)curve_id > OSSL_NELEM(nid_list)))
236         return 0;
237     cinfo = nid_list + curve_id - 1;
238     if (pflags)
239         *pflags = cinfo->flags;
240     return cinfo->nid;
241 }
242
243 int tls1_ec_nid2curve_id(int nid)
244 {
245     size_t i;
246     for (i = 0; i < OSSL_NELEM(nid_list); i++) {
247         if (nid_list[i].nid == nid)
248             return (int)(i + 1);
249     }
250     return 0;
251 }
252
253 /*
254  * Get curves list, if "sess" is set return client curves otherwise
255  * preferred list.
256  * Sets |num_curves| to the number of curves in the list, i.e.,
257  * the length of |pcurves| is 2 * num_curves.
258  * Returns 1 on success and 0 if the client curves list has invalid format.
259  * The latter indicates an internal error: we should not be accepting such
260  * lists in the first place.
261  * TODO(emilia): we should really be storing the curves list in explicitly
262  * parsed form instead. (However, this would affect binary compatibility
263  * so cannot happen in the 1.0.x series.)
264  */
265 static int tls1_get_curvelist(SSL *s, int sess,
266                               const unsigned char **pcurves, size_t *num_curves)
267 {
268     size_t pcurveslen = 0;
269     if (sess) {
270         *pcurves = s->session->tlsext_supportedgroupslist;
271         pcurveslen = s->session->tlsext_supportedgroupslist_length;
272     } else {
273         /* For Suite B mode only include P-256, P-384 */
274         switch (tls1_suiteb(s)) {
275         case SSL_CERT_FLAG_SUITEB_128_LOS:
276             *pcurves = suiteb_curves;
277             pcurveslen = sizeof(suiteb_curves);
278             break;
279
280         case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
281             *pcurves = suiteb_curves;
282             pcurveslen = 2;
283             break;
284
285         case SSL_CERT_FLAG_SUITEB_192_LOS:
286             *pcurves = suiteb_curves + 2;
287             pcurveslen = 2;
288             break;
289         default:
290             *pcurves = s->tlsext_supportedgroupslist;
291             pcurveslen = s->tlsext_supportedgroupslist_length;
292         }
293         if (!*pcurves) {
294             *pcurves = eccurves_default;
295             pcurveslen = sizeof(eccurves_default);
296         }
297     }
298
299     /* We do not allow odd length arrays to enter the system. */
300     if (pcurveslen & 1) {
301         SSLerr(SSL_F_TLS1_GET_CURVELIST, ERR_R_INTERNAL_ERROR);
302         *num_curves = 0;
303         return 0;
304     } else {
305         *num_curves = pcurveslen / 2;
306         return 1;
307     }
308 }
309
310 /* See if curve is allowed by security callback */
311 static int tls_curve_allowed(SSL *s, const unsigned char *curve, int op)
312 {
313     const tls_curve_info *cinfo;
314     if (curve[0])
315         return 1;
316     if ((curve[1] < 1) || ((size_t)curve[1] > OSSL_NELEM(nid_list)))
317         return 0;
318     cinfo = &nid_list[curve[1] - 1];
319 # ifdef OPENSSL_NO_EC2M
320     if (cinfo->flags & TLS_CURVE_CHAR2)
321         return 0;
322 # endif
323     return ssl_security(s, op, cinfo->secbits, cinfo->nid, (void *)curve);
324 }
325
326 /* Check a curve is one of our preferences */
327 int tls1_check_curve(SSL *s, const unsigned char *p, size_t len)
328 {
329     const unsigned char *curves;
330     size_t num_curves, i;
331     unsigned int suiteb_flags = tls1_suiteb(s);
332     if (len != 3 || p[0] != NAMED_CURVE_TYPE)
333         return 0;
334     /* Check curve matches Suite B preferences */
335     if (suiteb_flags) {
336         unsigned long cid = s->s3->tmp.new_cipher->id;
337         if (p[1])
338             return 0;
339         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256) {
340             if (p[2] != TLSEXT_curve_P_256)
341                 return 0;
342         } else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384) {
343             if (p[2] != TLSEXT_curve_P_384)
344                 return 0;
345         } else                  /* Should never happen */
346             return 0;
347     }
348     if (!tls1_get_curvelist(s, 0, &curves, &num_curves))
349         return 0;
350     for (i = 0; i < num_curves; i++, curves += 2) {
351         if (p[1] == curves[0] && p[2] == curves[1])
352             return tls_curve_allowed(s, p + 1, SSL_SECOP_CURVE_CHECK);
353     }
354     return 0;
355 }
356
357 /*-
358  * For nmatch >= 0, return the NID of the |nmatch|th shared group or NID_undef
359  * if there is no match.
360  * For nmatch == -1, return number of matches
361  * For nmatch == -2, return the NID of the group to use for
362  * an EC tmp key, or NID_undef if there is no match.
363  */
364 int tls1_shared_group(SSL *s, int nmatch)
365 {
366     const unsigned char *pref, *supp;
367     size_t num_pref, num_supp, i, j;
368     int k;
369     /* Can't do anything on client side */
370     if (s->server == 0)
371         return -1;
372     if (nmatch == -2) {
373         if (tls1_suiteb(s)) {
374             /*
375              * For Suite B ciphersuite determines curve: we already know
376              * these are acceptable due to previous checks.
377              */
378             unsigned long cid = s->s3->tmp.new_cipher->id;
379             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
380                 return NID_X9_62_prime256v1; /* P-256 */
381             if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
382                 return NID_secp384r1; /* P-384 */
383             /* Should never happen */
384             return NID_undef;
385         }
386         /* If not Suite B just return first preference shared curve */
387         nmatch = 0;
388     }
389     /*
390      * Avoid truncation. tls1_get_curvelist takes an int
391      * but s->options is a long...
392      */
393     if (!tls1_get_curvelist
394         (s, (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0, &supp,
395          &num_supp))
396         /* In practice, NID_undef == 0 but let's be precise. */
397         return nmatch == -1 ? 0 : NID_undef;
398     if (!tls1_get_curvelist
399         (s, !(s->options & SSL_OP_CIPHER_SERVER_PREFERENCE), &pref, &num_pref))
400         return nmatch == -1 ? 0 : NID_undef;
401
402     /*
403      * If the client didn't send the elliptic_curves extension all of them
404      * are allowed.
405      */
406     if (num_supp == 0 && (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) != 0) {
407         supp = eccurves_all;
408         num_supp = sizeof(eccurves_all) / 2;
409     } else if (num_pref == 0 &&
410                (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE) == 0) {
411         pref = eccurves_all;
412         num_pref = sizeof(eccurves_all) / 2;
413     }
414
415     k = 0;
416     for (i = 0; i < num_pref; i++, pref += 2) {
417         const unsigned char *tsupp = supp;
418         for (j = 0; j < num_supp; j++, tsupp += 2) {
419             if (pref[0] == tsupp[0] && pref[1] == tsupp[1]) {
420                 if (!tls_curve_allowed(s, pref, SSL_SECOP_CURVE_SHARED))
421                     continue;
422                 if (nmatch == k) {
423                     int id = (pref[0] << 8) | pref[1];
424                     return tls1_ec_curve_id2nid(id, NULL);
425                 }
426                 k++;
427             }
428         }
429     }
430     if (nmatch == -1)
431         return k;
432     /* Out of range (nmatch > k). */
433     return NID_undef;
434 }
435
436 int tls1_set_groups(unsigned char **pext, size_t *pextlen,
437                     int *groups, size_t ngroups)
438 {
439     unsigned char *glist, *p;
440     size_t i;
441     /*
442      * Bitmap of groups included to detect duplicates: only works while group
443      * ids < 32
444      */
445     unsigned long dup_list = 0;
446     glist = OPENSSL_malloc(ngroups * 2);
447     if (glist == NULL)
448         return 0;
449     for (i = 0, p = glist; i < ngroups; i++) {
450         unsigned long idmask;
451         int id;
452         /* TODO(TLS1.3): Convert for DH groups */
453         id = tls1_ec_nid2curve_id(groups[i]);
454         idmask = 1L << id;
455         if (!id || (dup_list & idmask)) {
456             OPENSSL_free(glist);
457             return 0;
458         }
459         dup_list |= idmask;
460         s2n(id, p);
461     }
462     OPENSSL_free(*pext);
463     *pext = glist;
464     *pextlen = ngroups * 2;
465     return 1;
466 }
467
468 # define MAX_CURVELIST   28
469
470 typedef struct {
471     size_t nidcnt;
472     int nid_arr[MAX_CURVELIST];
473 } nid_cb_st;
474
475 static int nid_cb(const char *elem, int len, void *arg)
476 {
477     nid_cb_st *narg = arg;
478     size_t i;
479     int nid;
480     char etmp[20];
481     if (elem == NULL)
482         return 0;
483     if (narg->nidcnt == MAX_CURVELIST)
484         return 0;
485     if (len > (int)(sizeof(etmp) - 1))
486         return 0;
487     memcpy(etmp, elem, len);
488     etmp[len] = 0;
489     nid = EC_curve_nist2nid(etmp);
490     if (nid == NID_undef)
491         nid = OBJ_sn2nid(etmp);
492     if (nid == NID_undef)
493         nid = OBJ_ln2nid(etmp);
494     if (nid == NID_undef)
495         return 0;
496     for (i = 0; i < narg->nidcnt; i++)
497         if (narg->nid_arr[i] == nid)
498             return 0;
499     narg->nid_arr[narg->nidcnt++] = nid;
500     return 1;
501 }
502
503 /* Set groups based on a colon separate list */
504 int tls1_set_groups_list(unsigned char **pext, size_t *pextlen, const char *str)
505 {
506     nid_cb_st ncb;
507     ncb.nidcnt = 0;
508     if (!CONF_parse_list(str, ':', 1, nid_cb, &ncb))
509         return 0;
510     if (pext == NULL)
511         return 1;
512     return tls1_set_groups(pext, pextlen, ncb.nid_arr, ncb.nidcnt);
513 }
514
515 /* For an EC key set TLS id and required compression based on parameters */
516 static int tls1_set_ec_id(unsigned char *curve_id, unsigned char *comp_id,
517                           EC_KEY *ec)
518 {
519     int id;
520     const EC_GROUP *grp;
521     if (!ec)
522         return 0;
523     /* Determine if it is a prime field */
524     grp = EC_KEY_get0_group(ec);
525     if (!grp)
526         return 0;
527     /* Determine curve ID */
528     id = EC_GROUP_get_curve_name(grp);
529     id = tls1_ec_nid2curve_id(id);
530     /* If no id return error: we don't support arbitrary explicit curves */
531     if (id == 0)
532         return 0;
533     curve_id[0] = 0;
534     curve_id[1] = (unsigned char)id;
535     if (comp_id) {
536         if (EC_KEY_get0_public_key(ec) == NULL)
537             return 0;
538         if (EC_KEY_get_conv_form(ec) == POINT_CONVERSION_UNCOMPRESSED) {
539             *comp_id = TLSEXT_ECPOINTFORMAT_uncompressed;
540         } else {
541             if ((nid_list[id - 1].flags & TLS_CURVE_TYPE) == TLS_CURVE_PRIME)
542                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_prime;
543             else
544                 *comp_id = TLSEXT_ECPOINTFORMAT_ansiX962_compressed_char2;
545         }
546     }
547     return 1;
548 }
549
550 /* Check an EC key is compatible with extensions */
551 static int tls1_check_ec_key(SSL *s,
552                              unsigned char *curve_id, unsigned char *comp_id)
553 {
554     const unsigned char *pformats, *pcurves;
555     size_t num_formats, num_curves, i;
556     int j;
557     /*
558      * If point formats extension present check it, otherwise everything is
559      * supported (see RFC4492).
560      */
561     if (comp_id && s->session->tlsext_ecpointformatlist) {
562         pformats = s->session->tlsext_ecpointformatlist;
563         num_formats = s->session->tlsext_ecpointformatlist_length;
564         for (i = 0; i < num_formats; i++, pformats++) {
565             if (*comp_id == *pformats)
566                 break;
567         }
568         if (i == num_formats)
569             return 0;
570     }
571     if (!curve_id)
572         return 1;
573     /* Check curve is consistent with client and server preferences */
574     for (j = 0; j <= 1; j++) {
575         if (!tls1_get_curvelist(s, j, &pcurves, &num_curves))
576             return 0;
577         if (j == 1 && num_curves == 0) {
578             /*
579              * If we've not received any curves then skip this check.
580              * RFC 4492 does not require the supported elliptic curves extension
581              * so if it is not sent we can just choose any curve.
582              * It is invalid to send an empty list in the elliptic curves
583              * extension, so num_curves == 0 always means no extension.
584              */
585             break;
586         }
587         for (i = 0; i < num_curves; i++, pcurves += 2) {
588             if (pcurves[0] == curve_id[0] && pcurves[1] == curve_id[1])
589                 break;
590         }
591         if (i == num_curves)
592             return 0;
593         /* For clients can only check sent curve list */
594         if (!s->server)
595             break;
596     }
597     return 1;
598 }
599
600 static void tls1_get_formatlist(SSL *s, const unsigned char **pformats,
601                                 size_t *num_formats)
602 {
603     /*
604      * If we have a custom point format list use it otherwise use default
605      */
606     if (s->tlsext_ecpointformatlist) {
607         *pformats = s->tlsext_ecpointformatlist;
608         *num_formats = s->tlsext_ecpointformatlist_length;
609     } else {
610         *pformats = ecformats_default;
611         /* For Suite B we don't support char2 fields */
612         if (tls1_suiteb(s))
613             *num_formats = sizeof(ecformats_default) - 1;
614         else
615             *num_formats = sizeof(ecformats_default);
616     }
617 }
618
619 /*
620  * Check cert parameters compatible with extensions: currently just checks EC
621  * certificates have compatible curves and compression.
622  */
623 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
624 {
625     unsigned char comp_id, curve_id[2];
626     EVP_PKEY *pkey;
627     int rv;
628     pkey = X509_get0_pubkey(x);
629     if (!pkey)
630         return 0;
631     /* If not EC nothing to do */
632     if (EVP_PKEY_id(pkey) != EVP_PKEY_EC)
633         return 1;
634     rv = tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey));
635     if (!rv)
636         return 0;
637     /*
638      * Can't check curve_id for client certs as we don't have a supported
639      * curves extension.
640      */
641     rv = tls1_check_ec_key(s, s->server ? curve_id : NULL, &comp_id);
642     if (!rv)
643         return 0;
644     /*
645      * Special case for suite B. We *MUST* sign using SHA256+P-256 or
646      * SHA384+P-384, adjust digest if necessary.
647      */
648     if (set_ee_md && tls1_suiteb(s)) {
649         int check_md;
650         size_t i;
651         CERT *c = s->cert;
652         if (curve_id[0])
653             return 0;
654         /* Check to see we have necessary signing algorithm */
655         if (curve_id[1] == TLSEXT_curve_P_256)
656             check_md = NID_ecdsa_with_SHA256;
657         else if (curve_id[1] == TLSEXT_curve_P_384)
658             check_md = NID_ecdsa_with_SHA384;
659         else
660             return 0;           /* Should never happen */
661         for (i = 0; i < c->shared_sigalgslen; i++)
662             if (check_md == c->shared_sigalgs[i].signandhash_nid)
663                 break;
664         if (i == c->shared_sigalgslen)
665             return 0;
666         if (set_ee_md == 2) {
667             if (check_md == NID_ecdsa_with_SHA256)
668                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha256();
669             else
670                 s->s3->tmp.md[SSL_PKEY_ECC] = EVP_sha384();
671         }
672     }
673     return rv;
674 }
675
676 # ifndef OPENSSL_NO_EC
677 /*
678  * tls1_check_ec_tmp_key - Check EC temporary key compatibility
679  * @s: SSL connection
680  * @cid: Cipher ID we're considering using
681  *
682  * Checks that the kECDHE cipher suite we're considering using
683  * is compatible with the client extensions.
684  *
685  * Returns 0 when the cipher can't be used or 1 when it can.
686  */
687 int tls1_check_ec_tmp_key(SSL *s, unsigned long cid)
688 {
689     /*
690      * If Suite B, AES128 MUST use P-256 and AES256 MUST use P-384, no other
691      * curves permitted.
692      */
693     if (tls1_suiteb(s)) {
694         unsigned char curve_id[2];
695         /* Curve to check determined by ciphersuite */
696         if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256)
697             curve_id[1] = TLSEXT_curve_P_256;
698         else if (cid == TLS1_CK_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
699             curve_id[1] = TLSEXT_curve_P_384;
700         else
701             return 0;
702         curve_id[0] = 0;
703         /* Check this curve is acceptable */
704         if (!tls1_check_ec_key(s, curve_id, NULL))
705             return 0;
706         return 1;
707     }
708     /* Need a shared curve */
709     if (tls1_shared_group(s, 0))
710         return 1;
711     return 0;
712 }
713 # endif                         /* OPENSSL_NO_EC */
714
715 #else
716
717 static int tls1_check_cert_param(SSL *s, X509 *x, int set_ee_md)
718 {
719     return 1;
720 }
721
722 #endif                          /* OPENSSL_NO_EC */
723
724 /*
725  * List of supported signature algorithms and hashes. Should make this
726  * customisable at some point, for now include everything we support.
727  */
728
729 #ifdef OPENSSL_NO_RSA
730 # define tlsext_sigalg_rsa(md)  /* */
731 #else
732 # define tlsext_sigalg_rsa(md) md, TLSEXT_signature_rsa,
733 #endif
734
735 #ifdef OPENSSL_NO_DSA
736 # define tlsext_sigalg_dsa(md)  /* */
737 #else
738 # define tlsext_sigalg_dsa(md) md, TLSEXT_signature_dsa,
739 #endif
740
741 #ifdef OPENSSL_NO_EC
742 # define tlsext_sigalg_ecdsa(md)/* */
743 #else
744 # define tlsext_sigalg_ecdsa(md) md, TLSEXT_signature_ecdsa,
745 #endif
746
747 #define tlsext_sigalg(md) \
748                 tlsext_sigalg_rsa(md) \
749                 tlsext_sigalg_dsa(md) \
750                 tlsext_sigalg_ecdsa(md)
751
752 static const unsigned char tls12_sigalgs[] = {
753     tlsext_sigalg(TLSEXT_hash_sha512)
754         tlsext_sigalg(TLSEXT_hash_sha384)
755         tlsext_sigalg(TLSEXT_hash_sha256)
756         tlsext_sigalg(TLSEXT_hash_sha224)
757         tlsext_sigalg(TLSEXT_hash_sha1)
758 #ifndef OPENSSL_NO_GOST
759         TLSEXT_hash_gostr3411, TLSEXT_signature_gostr34102001,
760     TLSEXT_hash_gostr34112012_256, TLSEXT_signature_gostr34102012_256,
761     TLSEXT_hash_gostr34112012_512, TLSEXT_signature_gostr34102012_512
762 #endif
763 };
764
765 #ifndef OPENSSL_NO_EC
766 static const unsigned char suiteb_sigalgs[] = {
767     tlsext_sigalg_ecdsa(TLSEXT_hash_sha256)
768         tlsext_sigalg_ecdsa(TLSEXT_hash_sha384)
769 };
770 #endif
771 size_t tls12_get_psigalgs(SSL *s, const unsigned char **psigs)
772 {
773     /*
774      * If Suite B mode use Suite B sigalgs only, ignore any other
775      * preferences.
776      */
777 #ifndef OPENSSL_NO_EC
778     switch (tls1_suiteb(s)) {
779     case SSL_CERT_FLAG_SUITEB_128_LOS:
780         *psigs = suiteb_sigalgs;
781         return sizeof(suiteb_sigalgs);
782
783     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
784         *psigs = suiteb_sigalgs;
785         return 2;
786
787     case SSL_CERT_FLAG_SUITEB_192_LOS:
788         *psigs = suiteb_sigalgs + 2;
789         return 2;
790     }
791 #endif
792     /* If server use client authentication sigalgs if not NULL */
793     if (s->server && s->cert->client_sigalgs) {
794         *psigs = s->cert->client_sigalgs;
795         return s->cert->client_sigalgslen;
796     } else if (s->cert->conf_sigalgs) {
797         *psigs = s->cert->conf_sigalgs;
798         return s->cert->conf_sigalgslen;
799     } else {
800         *psigs = tls12_sigalgs;
801         return sizeof(tls12_sigalgs);
802     }
803 }
804
805 /*
806  * Check signature algorithm is consistent with sent supported signature
807  * algorithms and if so return relevant digest.
808  */
809 int tls12_check_peer_sigalg(const EVP_MD **pmd, SSL *s,
810                             const unsigned char *sig, EVP_PKEY *pkey)
811 {
812     const unsigned char *sent_sigs;
813     size_t sent_sigslen, i;
814     int sigalg = tls12_get_sigid(pkey);
815     /* Should never happen */
816     if (sigalg == -1)
817         return -1;
818     /* Check key type is consistent with signature */
819     if (sigalg != (int)sig[1]) {
820         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
821         return 0;
822     }
823 #ifndef OPENSSL_NO_EC
824     if (EVP_PKEY_id(pkey) == EVP_PKEY_EC) {
825         unsigned char curve_id[2], comp_id;
826         /* Check compression and curve matches extensions */
827         if (!tls1_set_ec_id(curve_id, &comp_id, EVP_PKEY_get0_EC_KEY(pkey)))
828             return 0;
829         if (!s->server && !tls1_check_ec_key(s, curve_id, &comp_id)) {
830             SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_CURVE);
831             return 0;
832         }
833         /* If Suite B only P-384+SHA384 or P-256+SHA-256 allowed */
834         if (tls1_suiteb(s)) {
835             if (curve_id[0])
836                 return 0;
837             if (curve_id[1] == TLSEXT_curve_P_256) {
838                 if (sig[0] != TLSEXT_hash_sha256) {
839                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
840                            SSL_R_ILLEGAL_SUITEB_DIGEST);
841                     return 0;
842                 }
843             } else if (curve_id[1] == TLSEXT_curve_P_384) {
844                 if (sig[0] != TLSEXT_hash_sha384) {
845                     SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG,
846                            SSL_R_ILLEGAL_SUITEB_DIGEST);
847                     return 0;
848                 }
849             } else
850                 return 0;
851         }
852     } else if (tls1_suiteb(s))
853         return 0;
854 #endif
855
856     /* Check signature matches a type we sent */
857     sent_sigslen = tls12_get_psigalgs(s, &sent_sigs);
858     for (i = 0; i < sent_sigslen; i += 2, sent_sigs += 2) {
859         if (sig[0] == sent_sigs[0] && sig[1] == sent_sigs[1])
860             break;
861     }
862     /* Allow fallback to SHA1 if not strict mode */
863     if (i == sent_sigslen
864         && (sig[0] != TLSEXT_hash_sha1
865             || s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
866         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
867         return 0;
868     }
869     *pmd = tls12_get_hash(sig[0]);
870     if (*pmd == NULL) {
871         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_UNKNOWN_DIGEST);
872         return 0;
873     }
874     /* Make sure security callback allows algorithm */
875     if (!ssl_security(s, SSL_SECOP_SIGALG_CHECK,
876                       EVP_MD_size(*pmd) * 4, EVP_MD_type(*pmd), (void *)sig)) {
877         SSLerr(SSL_F_TLS12_CHECK_PEER_SIGALG, SSL_R_WRONG_SIGNATURE_TYPE);
878         return 0;
879     }
880     /*
881      * Store the digest used so applications can retrieve it if they wish.
882      */
883     s->s3->tmp.peer_md = *pmd;
884     return 1;
885 }
886
887 /*
888  * Set a mask of disabled algorithms: an algorithm is disabled if it isn't
889  * supported, doesn't appear in supported signature algorithms, isn't supported
890  * by the enabled protocol versions or by the security level.
891  *
892  * This function should only be used for checking which ciphers are supported
893  * by the client.
894  *
895  * Call ssl_cipher_disabled() to check that it's enabled or not.
896  */
897 void ssl_set_client_disabled(SSL *s)
898 {
899     s->s3->tmp.mask_a = 0;
900     s->s3->tmp.mask_k = 0;
901     ssl_set_sig_mask(&s->s3->tmp.mask_a, s, SSL_SECOP_SIGALG_MASK);
902     ssl_get_client_min_max_version(s, &s->s3->tmp.min_ver, &s->s3->tmp.max_ver);
903 #ifndef OPENSSL_NO_PSK
904     /* with PSK there must be client callback set */
905     if (!s->psk_client_callback) {
906         s->s3->tmp.mask_a |= SSL_aPSK;
907         s->s3->tmp.mask_k |= SSL_PSK;
908     }
909 #endif                          /* OPENSSL_NO_PSK */
910 #ifndef OPENSSL_NO_SRP
911     if (!(s->srp_ctx.srp_Mask & SSL_kSRP)) {
912         s->s3->tmp.mask_a |= SSL_aSRP;
913         s->s3->tmp.mask_k |= SSL_kSRP;
914     }
915 #endif
916 }
917
918 /*
919  * ssl_cipher_disabled - check that a cipher is disabled or not
920  * @s: SSL connection that you want to use the cipher on
921  * @c: cipher to check
922  * @op: Security check that you want to do
923  *
924  * Returns 1 when it's disabled, 0 when enabled.
925  */
926 int ssl_cipher_disabled(SSL *s, const SSL_CIPHER *c, int op)
927 {
928     if (c->algorithm_mkey & s->s3->tmp.mask_k
929         || c->algorithm_auth & s->s3->tmp.mask_a)
930         return 1;
931     if (s->s3->tmp.max_ver == 0)
932         return 1;
933     if (!SSL_IS_DTLS(s) && ((c->min_tls > s->s3->tmp.max_ver)
934                             || (c->max_tls < s->s3->tmp.min_ver)))
935         return 1;
936     if (SSL_IS_DTLS(s) && (DTLS_VERSION_GT(c->min_dtls, s->s3->tmp.max_ver)
937                            || DTLS_VERSION_LT(c->max_dtls, s->s3->tmp.min_ver)))
938         return 1;
939
940     return !ssl_security(s, op, c->strength_bits, 0, (void *)c);
941 }
942
943 static int tls_use_ticket(SSL *s)
944 {
945     if ((s->options & SSL_OP_NO_TICKET) || SSL_IS_TLS13(s))
946         return 0;
947     return ssl_security(s, SSL_SECOP_TICKET, 0, 0, NULL);
948 }
949
950 static int compare_uint(const void *p1, const void *p2)
951 {
952     unsigned int u1 = *((const unsigned int *)p1);
953     unsigned int u2 = *((const unsigned int *)p2);
954     if (u1 < u2)
955         return -1;
956     else if (u1 > u2)
957         return 1;
958     else
959         return 0;
960 }
961
962 /*
963  * Per http://tools.ietf.org/html/rfc5246#section-7.4.1.4, there may not be
964  * more than one extension of the same type in a ClientHello or ServerHello.
965  * This function does an initial scan over the extensions block to filter those
966  * out. It returns 1 if all extensions are unique, and 0 if the extensions
967  * contain duplicates, could not be successfully parsed, or an internal error
968  * occurred.
969  */
970 static int tls1_check_duplicate_extensions(const PACKET *packet)
971 {
972     PACKET extensions = *packet;
973     size_t num_extensions = 0, i = 0;
974     unsigned int *extension_types = NULL;
975     int ret = 0;
976
977     /* First pass: count the extensions. */
978     while (PACKET_remaining(&extensions) > 0) {
979         unsigned int type;
980         PACKET extension;
981         if (!PACKET_get_net_2(&extensions, &type) ||
982             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
983             goto done;
984         }
985         num_extensions++;
986     }
987
988     if (num_extensions <= 1)
989         return 1;
990
991     extension_types = OPENSSL_malloc(sizeof(unsigned int) * num_extensions);
992     if (extension_types == NULL) {
993         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_MALLOC_FAILURE);
994         goto done;
995     }
996
997     /* Second pass: gather the extension types. */
998     extensions = *packet;
999     for (i = 0; i < num_extensions; i++) {
1000         PACKET extension;
1001         if (!PACKET_get_net_2(&extensions, &extension_types[i]) ||
1002             !PACKET_get_length_prefixed_2(&extensions, &extension)) {
1003             /* This should not happen. */
1004             SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1005             goto done;
1006         }
1007     }
1008
1009     if (PACKET_remaining(&extensions) != 0) {
1010         SSLerr(SSL_F_TLS1_CHECK_DUPLICATE_EXTENSIONS, ERR_R_INTERNAL_ERROR);
1011         goto done;
1012     }
1013     /* Sort the extensions and make sure there are no duplicates. */
1014     qsort(extension_types, num_extensions, sizeof(unsigned int), compare_uint);
1015     for (i = 1; i < num_extensions; i++) {
1016         if (extension_types[i - 1] == extension_types[i])
1017             goto done;
1018     }
1019     ret = 1;
1020  done:
1021     OPENSSL_free(extension_types);
1022     return ret;
1023 }
1024
1025 int ssl_add_clienthello_tlsext(SSL *s, WPACKET *pkt, int *al)
1026 {
1027 #ifndef OPENSSL_NO_EC
1028     const unsigned char *pcurves = NULL;
1029     size_t num_curves = 0;
1030     int using_ecc = 0;
1031     int min_version, max_version, reason;
1032
1033     /* See if we support any ECC ciphersuites */
1034     if ((s->version >= TLS1_VERSION && s->version <= TLS1_3_VERSION)
1035             || SSL_IS_DTLS(s)) {
1036         int i;
1037         unsigned long alg_k, alg_a;
1038         STACK_OF(SSL_CIPHER) *cipher_stack = SSL_get_ciphers(s);
1039
1040         for (i = 0; i < sk_SSL_CIPHER_num(cipher_stack); i++) {
1041             const SSL_CIPHER *c = sk_SSL_CIPHER_value(cipher_stack, i);
1042
1043             alg_k = c->algorithm_mkey;
1044             alg_a = c->algorithm_auth;
1045             if ((alg_k & (SSL_kECDHE | SSL_kECDHEPSK))
1046                 || (alg_a & SSL_aECDSA)
1047                 || c->min_tls >= TLS1_3_VERSION) {
1048                 using_ecc = 1;
1049                 break;
1050             }
1051         }
1052     }
1053 #else
1054     if (SSL_IS_TLS13(s)) {
1055         /* Shouldn't happen! */
1056         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1057         return 0;
1058     }
1059 #endif
1060
1061     /* Add RI if renegotiating */
1062     if (s->renegotiate) {
1063         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_renegotiate)
1064                 || !WPACKET_start_sub_packet_u16(pkt)
1065                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->previous_client_finished,
1066                                    s->s3->previous_client_finished_len)
1067                 || !WPACKET_close(pkt)) {
1068             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1069             return 0;
1070         }
1071     }
1072     /* Only add RI for SSLv3 */
1073     if (s->client_version == SSL3_VERSION)
1074         goto done;
1075
1076     if (s->tlsext_hostname != NULL) {
1077         /* Add TLS extension servername to the Client Hello message */
1078         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1079                    /* Sub-packet for server_name extension */
1080                 || !WPACKET_start_sub_packet_u16(pkt)
1081                    /* Sub-packet for servername list (always 1 hostname)*/
1082                 || !WPACKET_start_sub_packet_u16(pkt)
1083                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_NAMETYPE_host_name)
1084                 || !WPACKET_sub_memcpy_u16(pkt, s->tlsext_hostname,
1085                                            strlen(s->tlsext_hostname))
1086                 || !WPACKET_close(pkt)
1087                 || !WPACKET_close(pkt)) {
1088             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1089             return 0;
1090         }
1091     }
1092 #ifndef OPENSSL_NO_SRP
1093     /* Add SRP username if there is one */
1094     if (s->srp_ctx.login != NULL) {
1095         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_srp)
1096                    /* Sub-packet for SRP extension */
1097                 || !WPACKET_start_sub_packet_u16(pkt)
1098                 || !WPACKET_start_sub_packet_u8(pkt)
1099                    /* login must not be zero...internal error if so */
1100                 || !WPACKET_set_flags(pkt, WPACKET_FLAGS_NON_ZERO_LENGTH)
1101                 || !WPACKET_memcpy(pkt, s->srp_ctx.login,
1102                                    strlen(s->srp_ctx.login))
1103                 || !WPACKET_close(pkt)
1104                 || !WPACKET_close(pkt)) {
1105             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1106             return 0;
1107         }
1108     }
1109 #endif
1110
1111 #ifndef OPENSSL_NO_EC
1112     if (using_ecc) {
1113         /*
1114          * Add TLS extension ECPointFormats to the ClientHello message
1115          */
1116         const unsigned char *pformats, *pcurvestmp;
1117         size_t num_formats;
1118         size_t i;
1119
1120         tls1_get_formatlist(s, &pformats, &num_formats);
1121
1122         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1123                    /* Sub-packet for formats extension */
1124                 || !WPACKET_start_sub_packet_u16(pkt)
1125                 || !WPACKET_sub_memcpy_u8(pkt, pformats, num_formats)
1126                 || !WPACKET_close(pkt)) {
1127             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1128             return 0;
1129         }
1130
1131         /*
1132          * Add TLS extension supported_groups to the ClientHello message
1133          */
1134         /* TODO(TLS1.3): Add support for DHE groups */
1135         pcurves = s->tlsext_supportedgroupslist;
1136         if (!tls1_get_curvelist(s, 0, &pcurves, &num_curves)) {
1137             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1138             return 0;
1139         }
1140         pcurvestmp = pcurves;
1141
1142         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_supported_groups)
1143                    /* Sub-packet for supported_groups extension */
1144                 || !WPACKET_start_sub_packet_u16(pkt)
1145                 || !WPACKET_start_sub_packet_u16(pkt)) {
1146             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1147             return 0;
1148         }
1149         /* Copy curve ID if supported */
1150         for (i = 0; i < num_curves; i++, pcurvestmp += 2) {
1151             if (tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED)) {
1152                 if (!WPACKET_put_bytes_u8(pkt, pcurvestmp[0])
1153                     || !WPACKET_put_bytes_u8(pkt, pcurvestmp[1])) {
1154                         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1155                                ERR_R_INTERNAL_ERROR);
1156                         return 0;
1157                     }
1158             }
1159         }
1160         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1161             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1162             return 0;
1163         }
1164     }
1165 #endif                          /* OPENSSL_NO_EC */
1166
1167     if (tls_use_ticket(s)) {
1168         size_t ticklen;
1169         if (!s->new_session && s->session && s->session->tlsext_tick)
1170             ticklen = s->session->tlsext_ticklen;
1171         else if (s->session && s->tlsext_session_ticket &&
1172                  s->tlsext_session_ticket->data) {
1173             ticklen = s->tlsext_session_ticket->length;
1174             s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1175             if (s->session->tlsext_tick == NULL) {
1176                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1177                 return 0;
1178             }
1179             memcpy(s->session->tlsext_tick,
1180                    s->tlsext_session_ticket->data, ticklen);
1181             s->session->tlsext_ticklen = ticklen;
1182         } else
1183             ticklen = 0;
1184         if (ticklen == 0 && s->tlsext_session_ticket &&
1185             s->tlsext_session_ticket->data == NULL)
1186             goto skip_ext;
1187
1188         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1189                 || !WPACKET_sub_memcpy_u16(pkt, s->session->tlsext_tick,
1190                                            ticklen)) {
1191             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1192             return 0;
1193         }
1194     }
1195  skip_ext:
1196
1197     if (SSL_CLIENT_USE_SIGALGS(s)) {
1198         size_t salglen;
1199         const unsigned char *salg;
1200
1201         salglen = tls12_get_psigalgs(s, &salg);
1202
1203         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signature_algorithms)
1204                    /* Sub-packet for sig-algs extension */
1205                 || !WPACKET_start_sub_packet_u16(pkt)
1206                    /* Sub-packet for the actual list */
1207                 || !WPACKET_start_sub_packet_u16(pkt)
1208                 || !tls12_copy_sigalgs(s, pkt, salg, salglen)
1209                 || !WPACKET_close(pkt)
1210                 || !WPACKET_close(pkt)) {
1211             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1212             return 0;
1213         }
1214     }
1215 #ifndef OPENSSL_NO_OCSP
1216     if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
1217         int i;
1218
1219         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1220                    /* Sub-packet for status request extension */
1221                 || !WPACKET_start_sub_packet_u16(pkt)
1222                 || !WPACKET_put_bytes_u8(pkt, TLSEXT_STATUSTYPE_ocsp)
1223                    /* Sub-packet for the ids */
1224                 || !WPACKET_start_sub_packet_u16(pkt)) {
1225             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1226             return 0;
1227         }
1228         for (i = 0; i < sk_OCSP_RESPID_num(s->tlsext_ocsp_ids); i++) {
1229             unsigned char *idbytes;
1230             int idlen;
1231             OCSP_RESPID *id;
1232
1233             id = sk_OCSP_RESPID_value(s->tlsext_ocsp_ids, i);
1234             idlen = i2d_OCSP_RESPID(id, NULL);
1235             if (idlen <= 0
1236                        /* Sub-packet for an individual id */
1237                     || !WPACKET_sub_allocate_bytes_u16(pkt, idlen, &idbytes)
1238                     || i2d_OCSP_RESPID(id, &idbytes) != idlen) {
1239                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1240                 return 0;
1241             }
1242         }
1243         if (!WPACKET_close(pkt)
1244                 || !WPACKET_start_sub_packet_u16(pkt)) {
1245             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1246             return 0;
1247         }
1248         if (s->tlsext_ocsp_exts) {
1249             unsigned char *extbytes;
1250             int extlen = i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, NULL);
1251
1252             if (extlen < 0) {
1253                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1254                 return 0;
1255             }
1256             if (!WPACKET_allocate_bytes(pkt, extlen, &extbytes)
1257                     || i2d_X509_EXTENSIONS(s->tlsext_ocsp_exts, &extbytes)
1258                        != extlen) {
1259                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1260                 return 0;
1261            }
1262         }
1263         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1264             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1265             return 0;
1266         }
1267     }
1268 #endif
1269
1270 #ifndef OPENSSL_NO_NEXTPROTONEG
1271     if (s->ctx->next_proto_select_cb && !s->s3->tmp.finish_md_len) {
1272         /*
1273          * The client advertises an empty extension to indicate its support
1274          * for Next Protocol Negotiation
1275          */
1276         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1277                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1278             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1279             return 0;
1280         }
1281     }
1282 #endif
1283
1284     /*
1285      * finish_md_len is non-zero during a renegotiation, so
1286      * this avoids sending ALPN during the renegotiation
1287      * (see longer comment below)
1288      */
1289     if (s->alpn_client_proto_list && !s->s3->tmp.finish_md_len) {
1290         if (!WPACKET_put_bytes_u16(pkt,
1291                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1292                    /* Sub-packet ALPN extension */
1293                 || !WPACKET_start_sub_packet_u16(pkt)
1294                 || !WPACKET_sub_memcpy_u16(pkt, s->alpn_client_proto_list,
1295                                            s->alpn_client_proto_list_len)
1296                 || !WPACKET_close(pkt)) {
1297             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1298             return 0;
1299         }
1300         s->s3->alpn_sent = 1;
1301     }
1302 #ifndef OPENSSL_NO_SRTP
1303     if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)) {
1304         STACK_OF(SRTP_PROTECTION_PROFILE) *clnt = SSL_get_srtp_profiles(s);
1305         SRTP_PROTECTION_PROFILE *prof;
1306         int i, ct;
1307
1308         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1309                    /* Sub-packet for SRTP extension */
1310                 || !WPACKET_start_sub_packet_u16(pkt)
1311                    /* Sub-packet for the protection profile list */
1312                 || !WPACKET_start_sub_packet_u16(pkt)) {
1313             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1314             return 0;
1315         }
1316         ct = sk_SRTP_PROTECTION_PROFILE_num(clnt);
1317         for (i = 0; i < ct; i++) {
1318             prof = sk_SRTP_PROTECTION_PROFILE_value(clnt, i);
1319             if (prof == NULL || !WPACKET_put_bytes_u16(pkt, prof->id)) {
1320                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1321                 return 0;
1322             }
1323         }
1324         if (!WPACKET_close(pkt)
1325                    /* Add an empty use_mki value */
1326                 || !WPACKET_put_bytes_u8(pkt, 0)
1327                 || !WPACKET_close(pkt)) {
1328             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1329             return 0;
1330         }
1331     }
1332 #endif
1333     custom_ext_init(&s->cert->cli_ext);
1334     /* Add custom TLS Extensions to ClientHello */
1335     if (!custom_ext_add(s, 0, pkt, al)) {
1336         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1337         return 0;
1338     }
1339
1340     if (!(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC)) {
1341         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1342             || !WPACKET_put_bytes_u16(pkt, 0)) {
1343             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1344             return 0;
1345         }
1346     }
1347
1348 #ifndef OPENSSL_NO_CT
1349     if (s->ct_validation_callback != NULL) {
1350         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_signed_certificate_timestamp)
1351                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1352             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1353             return 0;
1354         }
1355     }
1356 #endif
1357
1358     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1359             || !WPACKET_put_bytes_u16(pkt, 0)) {
1360         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1361         return 0;
1362     }
1363
1364     reason = ssl_get_client_min_max_version(s, &min_version, &max_version);
1365     if (reason != 0) {
1366         SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, reason);
1367         return 0;
1368     }
1369
1370     /* TLS1.3 specific extensions */
1371     if (!SSL_IS_DTLS(s) && max_version >= TLS1_3_VERSION) {
1372         int currv;
1373         size_t i, sharessent = 0;
1374
1375         /* TODO(TLS1.3): Should we add this extension for versions < TLS1.3? */
1376         /* supported_versions extension */
1377         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_supported_versions)
1378                 || !WPACKET_start_sub_packet_u16(pkt)
1379                 || !WPACKET_start_sub_packet_u8(pkt)) {
1380             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1381             return 0;
1382         }
1383
1384         /*
1385          * TODO(TLS1.3): There is some discussion on the TLS list as to wheter
1386          * we should include versions <TLS1.2. For the moment we do. To be
1387          * reviewed later.
1388          */
1389         for (currv = max_version; currv >= min_version; currv--) {
1390             /* TODO(TLS1.3): Remove this first if clause prior to release!! */
1391             if (currv == TLS1_3_VERSION) {
1392                 if (!WPACKET_put_bytes_u16(pkt, TLS1_3_VERSION_DRAFT)) {
1393                     SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1394                            ERR_R_INTERNAL_ERROR);
1395                     return 0;
1396                 }
1397             } else if (!WPACKET_put_bytes_u16(pkt, currv)) {
1398                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1399                 return 0;
1400             }
1401         }
1402         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1403             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1404             return 0;
1405         }
1406
1407
1408         /* key_share extension */
1409         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_key_share)
1410                    /* Extension data sub-packet */
1411                 || !WPACKET_start_sub_packet_u16(pkt)
1412                    /* KeyShare list sub-packet */
1413                 || !WPACKET_start_sub_packet_u16(pkt)) {
1414             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1415             return 0;
1416         }
1417
1418         /*
1419          * TODO(TLS1.3): Make the number of key_shares sent configurable. For
1420          * now, just send one
1421          */
1422         for (i = 0; i < num_curves && sharessent < 1; i++, pcurves += 2) {
1423             unsigned char *encodedPoint = NULL;
1424             unsigned int curve_id = 0;
1425             EVP_PKEY *key_share_key = NULL;
1426             size_t encodedlen;
1427
1428             if (!tls_curve_allowed(s, pcurves, SSL_SECOP_CURVE_SUPPORTED))
1429                 continue;
1430
1431             if (s->s3->tmp.pkey != NULL) {
1432                 /* Shouldn't happen! */
1433                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1434                        ERR_R_INTERNAL_ERROR);
1435                 return 0;
1436             }
1437
1438             /* Generate a key for this key_share */
1439             curve_id = (pcurves[0] << 8) | pcurves[1];
1440             key_share_key = ssl_generate_pkey_curve(curve_id);
1441             if (key_share_key == NULL) {
1442                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_EVP_LIB);
1443                 return 0;
1444             }
1445
1446             /* Encode the public key. */
1447             encodedlen = EVP_PKEY_get1_tls_encodedpoint(key_share_key,
1448                                                         &encodedPoint);
1449             if (encodedlen == 0) {
1450                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_EC_LIB);
1451                 EVP_PKEY_free(key_share_key);
1452                 return 0;
1453             }
1454
1455             /* Create KeyShareEntry */
1456             if (!WPACKET_put_bytes_u16(pkt, curve_id)
1457                     || !WPACKET_sub_memcpy_u16(pkt, encodedPoint, encodedlen)) {
1458                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT,
1459                        ERR_R_INTERNAL_ERROR);
1460                 EVP_PKEY_free(key_share_key);
1461                 OPENSSL_free(encodedPoint);
1462                 return 0;
1463             }
1464
1465             /*
1466              * TODO(TLS1.3): When changing to send more than one key_share we're
1467              * going to need to be able to save more than one EVP_PKEY. For now
1468              * we reuse the existing tmp.pkey
1469              */
1470             s->s3->group_id = curve_id;
1471             s->s3->tmp.pkey = key_share_key;
1472             sharessent++;
1473             OPENSSL_free(encodedPoint);
1474         }
1475         if (!WPACKET_close(pkt) || !WPACKET_close(pkt)) {
1476             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1477             return 0;
1478         }
1479     }
1480
1481     /*
1482      * Add padding to workaround bugs in F5 terminators. See
1483      * https://tools.ietf.org/html/draft-agl-tls-padding-03 NB: because this
1484      * code works out the length of all existing extensions it MUST always
1485      * appear last.
1486      */
1487     if (s->options & SSL_OP_TLSEXT_PADDING) {
1488         unsigned char *padbytes;
1489         size_t hlen;
1490
1491         if (!WPACKET_get_total_written(pkt, &hlen)) {
1492             SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1493             return 0;
1494         }
1495
1496         if (hlen > 0xff && hlen < 0x200) {
1497             hlen = 0x200 - hlen;
1498             if (hlen >= 4)
1499                 hlen -= 4;
1500             else
1501                 hlen = 0;
1502
1503             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_padding)
1504                     || !WPACKET_sub_allocate_bytes_u16(pkt, hlen, &padbytes)) {
1505                 SSLerr(SSL_F_SSL_ADD_CLIENTHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1506                 return 0;
1507             }
1508             memset(padbytes, 0, hlen);
1509         }
1510     }
1511
1512  done:
1513     return 1;
1514 }
1515
1516 /*
1517  * Add the key_share extension.
1518  *
1519  * Returns 1 on success or 0 on failure.
1520  */
1521 static int add_client_key_share_ext(SSL *s, WPACKET *pkt, int *al)
1522 {
1523     unsigned char *encodedPoint;
1524     size_t encoded_pt_len = 0;
1525     EVP_PKEY *ckey = s->s3->peer_tmp, *skey = NULL;
1526
1527     if (ckey == NULL) {
1528         SSLerr(SSL_F_ADD_CLIENT_KEY_SHARE_EXT, ERR_R_INTERNAL_ERROR);
1529         return 0;
1530     }
1531
1532     if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_key_share)
1533             || !WPACKET_start_sub_packet_u16(pkt)
1534             || !WPACKET_put_bytes_u16(pkt, s->s3->group_id)) {
1535         SSLerr(SSL_F_ADD_CLIENT_KEY_SHARE_EXT, ERR_R_INTERNAL_ERROR);
1536         return 0;
1537     }
1538
1539     skey = ssl_generate_pkey(ckey);
1540     if (skey == NULL) {
1541         SSLerr(SSL_F_ADD_CLIENT_KEY_SHARE_EXT, ERR_R_MALLOC_FAILURE);
1542         return 0;
1543     }
1544
1545     /* Generate encoding of server key */
1546     encoded_pt_len = EVP_PKEY_get1_tls_encodedpoint(skey, &encodedPoint);
1547     if (encoded_pt_len == 0) {
1548         SSLerr(SSL_F_ADD_CLIENT_KEY_SHARE_EXT, ERR_R_EC_LIB);
1549         EVP_PKEY_free(skey);
1550         return 0;
1551     }
1552
1553     if (!WPACKET_sub_memcpy_u16(pkt, encodedPoint, encoded_pt_len)
1554             || !WPACKET_close(pkt)) {
1555         SSLerr(SSL_F_ADD_CLIENT_KEY_SHARE_EXT, ERR_R_INTERNAL_ERROR);
1556         EVP_PKEY_free(skey);
1557         OPENSSL_free(encodedPoint);
1558         return 0;
1559     }
1560     OPENSSL_free(encodedPoint);
1561
1562     /* This causes the crypto state to be updated based on the derived keys */
1563     s->s3->tmp.pkey = skey;
1564     if (ssl_derive(s, skey, ckey, 1) == 0) {
1565         *al = SSL_AD_INTERNAL_ERROR;
1566         SSLerr(SSL_F_ADD_CLIENT_KEY_SHARE_EXT, ERR_R_INTERNAL_ERROR);
1567         return 0;
1568     }
1569
1570     return 1;
1571 }
1572
1573 int ssl_add_serverhello_tlsext(SSL *s, WPACKET *pkt, int *al)
1574 {
1575 #ifndef OPENSSL_NO_NEXTPROTONEG
1576     int next_proto_neg_seen;
1577 #endif
1578 #ifndef OPENSSL_NO_EC
1579     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1580     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
1581     int using_ecc = (alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA);
1582     using_ecc = using_ecc && (s->session->tlsext_ecpointformatlist != NULL);
1583 #endif
1584
1585     if (!WPACKET_start_sub_packet_u16(pkt)
1586             || !WPACKET_set_flags(pkt, WPACKET_FLAGS_ABANDON_ON_ZERO_LENGTH)) {
1587         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1588         return 0;
1589     }
1590
1591     if (s->s3->send_connection_binding &&
1592             !ssl_add_serverhello_renegotiate_ext(s, pkt)) {
1593         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1594         return 0;
1595     }
1596
1597     /* Only add RI for SSLv3 */
1598     if (s->version == SSL3_VERSION)
1599         goto done;
1600
1601     if (!s->hit && s->servername_done == 1
1602             && s->session->tlsext_hostname != NULL) {
1603         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_server_name)
1604                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1605             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1606             return 0;
1607         }
1608     }
1609 #ifndef OPENSSL_NO_EC
1610     if (using_ecc) {
1611         const unsigned char *plist;
1612         size_t plistlen;
1613         /*
1614          * Add TLS extension ECPointFormats to the ServerHello message
1615          */
1616         tls1_get_formatlist(s, &plist, &plistlen);
1617
1618         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_ec_point_formats)
1619                 || !WPACKET_start_sub_packet_u16(pkt)
1620                 || !WPACKET_sub_memcpy_u8(pkt, plist, plistlen)
1621                 || !WPACKET_close(pkt)) {
1622             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1623             return 0;
1624         }
1625     }
1626     /*
1627      * Currently the server should not respond with a SupportedCurves
1628      * extension
1629      */
1630 #endif                          /* OPENSSL_NO_EC */
1631
1632     if (s->tlsext_ticket_expected && tls_use_ticket(s)) {
1633         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_session_ticket)
1634                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1635             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1636             return 0;
1637         }
1638     } else {
1639         /*
1640          * if we don't add the above TLSEXT, we can't add a session ticket
1641          * later
1642          */
1643         s->tlsext_ticket_expected = 0;
1644     }
1645
1646     if (s->tlsext_status_expected) {
1647         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_status_request)
1648                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1649             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1650             return 0;
1651         }
1652     }
1653 #ifndef OPENSSL_NO_SRTP
1654     if (SSL_IS_DTLS(s) && s->srtp_profile) {
1655         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_use_srtp)
1656                 || !WPACKET_start_sub_packet_u16(pkt)
1657                 || !WPACKET_put_bytes_u16(pkt, 2)
1658                 || !WPACKET_put_bytes_u16(pkt, s->srtp_profile->id)
1659                 || !WPACKET_put_bytes_u8(pkt, 0)
1660                 || !WPACKET_close(pkt)) {
1661             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1662             return 0;
1663         }
1664     }
1665 #endif
1666
1667     if (((s->s3->tmp.new_cipher->id & 0xFFFF) == 0x80
1668          || (s->s3->tmp.new_cipher->id & 0xFFFF) == 0x81)
1669         && (SSL_get_options(s) & SSL_OP_CRYPTOPRO_TLSEXT_BUG)) {
1670         const unsigned char cryptopro_ext[36] = {
1671             0xfd, 0xe8,         /* 65000 */
1672             0x00, 0x20,         /* 32 bytes length */
1673             0x30, 0x1e, 0x30, 0x08, 0x06, 0x06, 0x2a, 0x85,
1674             0x03, 0x02, 0x02, 0x09, 0x30, 0x08, 0x06, 0x06,
1675             0x2a, 0x85, 0x03, 0x02, 0x02, 0x16, 0x30, 0x08,
1676             0x06, 0x06, 0x2a, 0x85, 0x03, 0x02, 0x02, 0x17
1677         };
1678         if (!WPACKET_memcpy(pkt, cryptopro_ext, sizeof(cryptopro_ext))) {
1679             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1680             return 0;
1681         }
1682     }
1683
1684 #ifndef OPENSSL_NO_NEXTPROTONEG
1685     next_proto_neg_seen = s->s3->next_proto_neg_seen;
1686     s->s3->next_proto_neg_seen = 0;
1687     if (next_proto_neg_seen && s->ctx->next_protos_advertised_cb) {
1688         const unsigned char *npa;
1689         unsigned int npalen;
1690         int r;
1691
1692         r = s->ctx->next_protos_advertised_cb(s, &npa, &npalen,
1693                                               s->
1694                                               ctx->next_protos_advertised_cb_arg);
1695         if (r == SSL_TLSEXT_ERR_OK) {
1696             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_next_proto_neg)
1697                     || !WPACKET_sub_memcpy_u16(pkt, npa, npalen)) {
1698                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1699                 return 0;
1700             }
1701             s->s3->next_proto_neg_seen = 1;
1702         }
1703     }
1704 #endif
1705
1706     if (SSL_IS_TLS13(s) && !s->hit && !add_client_key_share_ext(s, pkt, al))
1707         return 0;
1708
1709     if (!custom_ext_add(s, 1, pkt, al)) {
1710         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1711         return 0;
1712     }
1713
1714     if (s->s3->flags & TLS1_FLAGS_ENCRYPT_THEN_MAC) {
1715         /*
1716          * Don't use encrypt_then_mac if AEAD or RC4 might want to disable
1717          * for other cases too.
1718          */
1719         if (s->s3->tmp.new_cipher->algorithm_mac == SSL_AEAD
1720             || s->s3->tmp.new_cipher->algorithm_enc == SSL_RC4
1721             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT
1722             || s->s3->tmp.new_cipher->algorithm_enc == SSL_eGOST2814789CNT12)
1723             s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
1724         else {
1725             if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_encrypt_then_mac)
1726                     || !WPACKET_put_bytes_u16(pkt, 0)) {
1727                 SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1728                 return 0;
1729             }
1730         }
1731     }
1732     if (s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) {
1733         if (!WPACKET_put_bytes_u16(pkt, TLSEXT_TYPE_extended_master_secret)
1734                 || !WPACKET_put_bytes_u16(pkt, 0)) {
1735             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1736             return 0;
1737         }
1738     }
1739
1740     if (s->s3->alpn_selected != NULL) {
1741         if (!WPACKET_put_bytes_u16(pkt,
1742                     TLSEXT_TYPE_application_layer_protocol_negotiation)
1743                 || !WPACKET_start_sub_packet_u16(pkt)
1744                 || !WPACKET_start_sub_packet_u16(pkt)
1745                 || !WPACKET_sub_memcpy_u8(pkt, s->s3->alpn_selected,
1746                                           s->s3->alpn_selected_len)
1747                 || !WPACKET_close(pkt)
1748                 || !WPACKET_close(pkt)) {
1749             SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1750             return 0;
1751         }
1752     }
1753
1754  done:
1755     if (!WPACKET_close(pkt)) {
1756         SSLerr(SSL_F_SSL_ADD_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
1757         return 0;
1758     }
1759     return 1;
1760 }
1761
1762 /*
1763  * Save the ALPN extension in a ClientHello.
1764  * pkt: the contents of the ALPN extension, not including type and length.
1765  * al: a pointer to the  alert value to send in the event of a failure.
1766  * returns: 1 on success, 0 on error.
1767  */
1768 static int tls1_alpn_handle_client_hello(SSL *s, PACKET *pkt, int *al)
1769 {
1770     PACKET protocol_list, save_protocol_list, protocol;
1771
1772     *al = SSL_AD_DECODE_ERROR;
1773
1774     if (!PACKET_as_length_prefixed_2(pkt, &protocol_list)
1775         || PACKET_remaining(&protocol_list) < 2) {
1776         return 0;
1777     }
1778
1779     save_protocol_list = protocol_list;
1780     do {
1781         /* Protocol names can't be empty. */
1782         if (!PACKET_get_length_prefixed_1(&protocol_list, &protocol)
1783             || PACKET_remaining(&protocol) == 0) {
1784             return 0;
1785         }
1786     } while (PACKET_remaining(&protocol_list) != 0);
1787
1788     if (!PACKET_memdup(&save_protocol_list,
1789                        &s->s3->alpn_proposed, &s->s3->alpn_proposed_len)) {
1790         *al = TLS1_AD_INTERNAL_ERROR;
1791         return 0;
1792     }
1793
1794     return 1;
1795 }
1796
1797 /*
1798  * Process the ALPN extension in a ClientHello.
1799  * al: a pointer to the alert value to send in the event of a failure.
1800  * returns 1 on success, 0 on error.
1801  */
1802 static int tls1_alpn_handle_client_hello_late(SSL *s, int *al)
1803 {
1804     const unsigned char *selected = NULL;
1805     unsigned char selected_len = 0;
1806
1807     if (s->ctx->alpn_select_cb != NULL && s->s3->alpn_proposed != NULL) {
1808         int r = s->ctx->alpn_select_cb(s, &selected, &selected_len,
1809                                        s->s3->alpn_proposed,
1810                                        (unsigned int)s->s3->alpn_proposed_len,
1811                                        s->ctx->alpn_select_cb_arg);
1812
1813         if (r == SSL_TLSEXT_ERR_OK) {
1814             OPENSSL_free(s->s3->alpn_selected);
1815             s->s3->alpn_selected = OPENSSL_memdup(selected, selected_len);
1816             if (s->s3->alpn_selected == NULL) {
1817                 *al = SSL_AD_INTERNAL_ERROR;
1818                 return 0;
1819             }
1820             s->s3->alpn_selected_len = selected_len;
1821 #ifndef OPENSSL_NO_NEXTPROTONEG
1822             /* ALPN takes precedence over NPN. */
1823             s->s3->next_proto_neg_seen = 0;
1824 #endif
1825         } else {
1826             *al = SSL_AD_NO_APPLICATION_PROTOCOL;
1827             return 0;
1828         }
1829     }
1830
1831     return 1;
1832 }
1833
1834 #ifndef OPENSSL_NO_EC
1835 /*-
1836  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1837  * SecureTransport using the TLS extension block in |hello|.
1838  * Safari, since 10.6, sends exactly these extensions, in this order:
1839  *   SNI,
1840  *   elliptic_curves
1841  *   ec_point_formats
1842  *
1843  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1844  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1845  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1846  * 10.8..10.8.3 (which don't work).
1847  */
1848 static void ssl_check_for_safari(SSL *s, const CLIENTHELLO_MSG *hello)
1849 {
1850     unsigned int type;
1851     PACKET sni, tmppkt;
1852     size_t ext_len;
1853
1854     static const unsigned char kSafariExtensionsBlock[] = {
1855         0x00, 0x0a,             /* elliptic_curves extension */
1856         0x00, 0x08,             /* 8 bytes */
1857         0x00, 0x06,             /* 6 bytes of curve ids */
1858         0x00, 0x17,             /* P-256 */
1859         0x00, 0x18,             /* P-384 */
1860         0x00, 0x19,             /* P-521 */
1861
1862         0x00, 0x0b,             /* ec_point_formats */
1863         0x00, 0x02,             /* 2 bytes */
1864         0x01,                   /* 1 point format */
1865         0x00,                   /* uncompressed */
1866         /* The following is only present in TLS 1.2 */
1867         0x00, 0x0d,             /* signature_algorithms */
1868         0x00, 0x0c,             /* 12 bytes */
1869         0x00, 0x0a,             /* 10 bytes */
1870         0x05, 0x01,             /* SHA-384/RSA */
1871         0x04, 0x01,             /* SHA-256/RSA */
1872         0x02, 0x01,             /* SHA-1/RSA */
1873         0x04, 0x03,             /* SHA-256/ECDSA */
1874         0x02, 0x03,             /* SHA-1/ECDSA */
1875     };
1876
1877     /* Length of the common prefix (first two extensions). */
1878     static const size_t kSafariCommonExtensionsLength = 18;
1879
1880     tmppkt = hello->extensions;
1881
1882     if (!PACKET_forward(&tmppkt, 2)
1883         || !PACKET_get_net_2(&tmppkt, &type)
1884         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1885         return;
1886     }
1887
1888     if (type != TLSEXT_TYPE_server_name)
1889         return;
1890
1891     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1892         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1893
1894     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1895                                              ext_len);
1896 }
1897 #endif                          /* !OPENSSL_NO_EC */
1898
1899
1900 /*
1901  * Process the supported_groups extension if present. Returns success if the
1902  * extension is absent, or if it has been successfully processed.
1903  *
1904  * Returns 1 on success or 0 on failure
1905  */
1906 static int tls_process_supported_groups(SSL *s, CLIENTHELLO_MSG *hello)
1907 {
1908 #ifndef OPENSSL_NO_EC
1909     PACKET supported_groups_list;
1910     RAW_EXTENSION *suppgroups = tls_get_extension_by_type(hello->pre_proc_exts,
1911                                     hello->num_extensions,
1912                                     TLSEXT_TYPE_supported_groups);
1913
1914     if (suppgroups == NULL)
1915         return 1;
1916
1917     /* Each group is 2 bytes and we must have at least 1. */
1918     if (!PACKET_as_length_prefixed_2(&suppgroups->data,
1919                                      &supported_groups_list)
1920         || PACKET_remaining(&supported_groups_list) == 0
1921         || (PACKET_remaining(&supported_groups_list) % 2) != 0) {
1922         return 0;
1923     }
1924
1925     if (!s->hit
1926             && !PACKET_memdup(&supported_groups_list,
1927                               &s->session->tlsext_supportedgroupslist,
1928                               &s->session->tlsext_supportedgroupslist_length)) {
1929         return 0;
1930     }
1931 #endif
1932     return 1;
1933 }
1934
1935 /*
1936  * Checks a list of |groups| to determine if the |group_id| is in it. If it is
1937  * and |checkallow| is 1 then additionally check if the group is allowed to be
1938  * used. Returns 1 if the group is in the list (and allowed if |checkallow| is
1939  * 1) or 0 otherwise.
1940  */
1941 static int check_in_list(SSL *s, unsigned int group_id,
1942                          const unsigned char *groups, size_t num_groups,
1943                          int checkallow)
1944 {
1945     size_t i;
1946
1947     if (groups == NULL || num_groups == 0)
1948         return 0;
1949
1950     for (i = 0; i < num_groups; i++, groups += 2) {
1951         unsigned int share_id = (groups[0] << 8) | (groups[1]);
1952
1953         if (group_id == share_id
1954                 && (!checkallow || tls_curve_allowed(s, groups,
1955                                                      SSL_SECOP_CURVE_CHECK))) {
1956             break;
1957         }
1958     }
1959
1960     /* If i == num_groups then not in the list */
1961     return i < num_groups;
1962 }
1963
1964 /*
1965  * Process a key_share extension received in the ClientHello. |pkt| contains
1966  * the raw PACKET data for the extension. Returns 1 on success or 0 on failure.
1967  * If a failure occurs then |*al| is set to an appropriate alert value.
1968  */
1969 static int process_key_share_ext(SSL *s, PACKET *pkt, int *al)
1970 {
1971     unsigned int group_id;
1972     PACKET key_share_list, encoded_pt;
1973     const unsigned char *clntcurves, *srvrcurves;
1974     size_t clnt_num_curves, srvr_num_curves;
1975     int group_nid, found = 0;
1976     unsigned int curve_flags;
1977
1978     /* Sanity check */
1979     if (s->s3->peer_tmp != NULL) {
1980         *al = SSL_AD_INTERNAL_ERROR;
1981         SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT, ERR_R_INTERNAL_ERROR);
1982         return 0;
1983     }
1984
1985     if (!PACKET_as_length_prefixed_2(pkt, &key_share_list)) {
1986         *al = SSL_AD_HANDSHAKE_FAILURE;
1987         SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT,
1988                SSL_R_LENGTH_MISMATCH);
1989         return 0;
1990     }
1991
1992     /* Get our list of supported curves */
1993     if (!tls1_get_curvelist(s, 0, &srvrcurves, &srvr_num_curves)) {
1994         *al = SSL_AD_INTERNAL_ERROR;
1995         SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT,
1996                ERR_R_INTERNAL_ERROR);
1997         return 0;
1998     }
1999
2000     /* Get the clients list of supported curves */
2001     if (!tls1_get_curvelist(s, 1, &clntcurves, &clnt_num_curves)) {
2002         *al = SSL_AD_INTERNAL_ERROR;
2003         SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT,
2004                ERR_R_INTERNAL_ERROR);
2005         return 0;
2006     }
2007
2008     while (PACKET_remaining(&key_share_list) > 0) {
2009         if (!PACKET_get_net_2(&key_share_list, &group_id)
2010                 || !PACKET_get_length_prefixed_2(&key_share_list, &encoded_pt)
2011                 || PACKET_remaining(&encoded_pt) == 0) {
2012             *al = SSL_AD_HANDSHAKE_FAILURE;
2013             SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT,
2014                    SSL_R_LENGTH_MISMATCH);
2015             return 0;
2016         }
2017
2018         /*
2019          * If we already found a suitable key_share we loop through the
2020          * rest to verify the structure, but don't process them.
2021          */
2022         if (found)
2023             continue;
2024
2025         /* Check if this share is in supported_groups sent from client */
2026         if (!check_in_list(s, group_id, clntcurves, clnt_num_curves, 0)) {
2027             *al = SSL_AD_HANDSHAKE_FAILURE;
2028             SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT,
2029                    SSL_R_BAD_KEY_SHARE);
2030             return 0;
2031         }
2032
2033         /* Check if this share is for a group we can use */
2034         if (!check_in_list(s, group_id, srvrcurves, srvr_num_curves, 1)) {
2035             /* Share not suitable */
2036             continue;
2037         }
2038
2039         group_nid = tls1_ec_curve_id2nid(group_id, &curve_flags);
2040
2041         if (group_nid == 0) {
2042             *al = SSL_AD_INTERNAL_ERROR;
2043             SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT,
2044                    SSL_R_UNABLE_TO_FIND_ECDH_PARAMETERS);
2045             return 0;
2046         }
2047
2048         if ((curve_flags & TLS_CURVE_TYPE) == TLS_CURVE_CUSTOM) {
2049             /* Can happen for some curves, e.g. X25519 */
2050             EVP_PKEY *key = EVP_PKEY_new();
2051
2052             if (key == NULL || !EVP_PKEY_set_type(key, group_nid)) {
2053                 *al = SSL_AD_INTERNAL_ERROR;
2054                 SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT, ERR_R_EVP_LIB);
2055                 EVP_PKEY_free(key);
2056                 return 0;
2057             }
2058             s->s3->peer_tmp = key;
2059         } else {
2060             /* Set up EVP_PKEY with named curve as parameters */
2061             EVP_PKEY_CTX *pctx = EVP_PKEY_CTX_new_id(EVP_PKEY_EC, NULL);
2062             if (pctx == NULL
2063                     || EVP_PKEY_paramgen_init(pctx) <= 0
2064                     || EVP_PKEY_CTX_set_ec_paramgen_curve_nid(pctx,
2065                                                               group_nid) <= 0
2066                     || EVP_PKEY_paramgen(pctx, &s->s3->peer_tmp) <= 0) {
2067                 *al = SSL_AD_INTERNAL_ERROR;
2068                 SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT, ERR_R_EVP_LIB);
2069                 EVP_PKEY_CTX_free(pctx);
2070                 return 0;
2071             }
2072             EVP_PKEY_CTX_free(pctx);
2073             pctx = NULL;
2074         }
2075         s->s3->group_id = group_id;
2076
2077         if (!EVP_PKEY_set1_tls_encodedpoint(s->s3->peer_tmp,
2078                 PACKET_data(&encoded_pt),
2079                 PACKET_remaining(&encoded_pt))) {
2080             *al = SSL_AD_DECODE_ERROR;
2081             SSLerr(SSL_F_PROCESS_KEY_SHARE_EXT, SSL_R_BAD_ECPOINT);
2082             return 0;
2083         }
2084
2085         found = 1;
2086     }
2087
2088     return 1;
2089 }
2090
2091 /*
2092  * Loop through all remaining ClientHello extensions that we collected earlier
2093  * and haven't already processed. For each one parse it and update the SSL
2094  * object as required.
2095  *
2096  * Behaviour upon resumption is extension-specific. If the extension has no
2097  * effect during resumption, it is parsed (to verify its format) but otherwise
2098  * ignored.
2099  *
2100  * Returns 1 on success and 0 on failure.
2101  * Upon failure, sets |al| to the appropriate alert.
2102  */
2103 static int ssl_scan_clienthello_tlsext(SSL *s, CLIENTHELLO_MSG *hello, int *al)
2104 {
2105     size_t loop;
2106     int renegotiate_seen = 0;
2107
2108     *al = SSL_AD_DECODE_ERROR;
2109     s->servername_done = 0;
2110     s->tlsext_status_type = -1;
2111 #ifndef OPENSSL_NO_NEXTPROTONEG
2112     s->s3->next_proto_neg_seen = 0;
2113 #endif
2114
2115     OPENSSL_free(s->s3->alpn_selected);
2116     s->s3->alpn_selected = NULL;
2117     s->s3->alpn_selected_len = 0;
2118     OPENSSL_free(s->s3->alpn_proposed);
2119     s->s3->alpn_proposed = NULL;
2120     s->s3->alpn_proposed_len = 0;
2121
2122 #ifndef OPENSSL_NO_EC
2123     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
2124         ssl_check_for_safari(s, hello);
2125 #endif                          /* !OPENSSL_NO_EC */
2126
2127     /* Clear any signature algorithms extension received */
2128     OPENSSL_free(s->s3->tmp.peer_sigalgs);
2129     s->s3->tmp.peer_sigalgs = NULL;
2130     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2131
2132 #ifndef OPENSSL_NO_SRP
2133     OPENSSL_free(s->srp_ctx.login);
2134     s->srp_ctx.login = NULL;
2135 #endif
2136
2137     s->srtp_profile = NULL;
2138
2139     /*
2140      * We process the supported_groups extension first so that is done before
2141      * we get to key_share which needs to use the information in it.
2142      */
2143     if (!tls_process_supported_groups(s, hello)) {
2144         *al = TLS1_AD_INTERNAL_ERROR;
2145         return 0;
2146     }
2147
2148     /*
2149      * We parse all extensions to ensure the ClientHello is well-formed but,
2150      * unless an extension specifies otherwise, we ignore extensions upon
2151      * resumption.
2152      */
2153     for (loop = 0; loop < hello->num_extensions; loop++) {
2154         RAW_EXTENSION *currext = &hello->pre_proc_exts[loop];
2155
2156         if (s->tlsext_debug_cb)
2157             s->tlsext_debug_cb(s, 0, currext->type,
2158                                PACKET_data(&currext->data),
2159                                PACKET_remaining(&currext->data),
2160                                s->tlsext_debug_arg);
2161
2162         if (currext->type == TLSEXT_TYPE_renegotiate) {
2163             if (!ssl_parse_clienthello_renegotiate_ext(s,
2164                     &currext->data, al))
2165                 return 0;
2166             renegotiate_seen = 1;
2167         } else if (s->version == SSL3_VERSION) {
2168         }
2169 /*-
2170  * The servername extension is treated as follows:
2171  *
2172  * - Only the hostname type is supported with a maximum length of 255.
2173  * - The servername is rejected if too long or if it contains zeros,
2174  *   in which case an fatal alert is generated.
2175  * - The servername field is maintained together with the session cache.
2176  * - When a session is resumed, the servername call back invoked in order
2177  *   to allow the application to position itself to the right context.
2178  * - The servername is acknowledged if it is new for a session or when
2179  *   it is identical to a previously used for the same session.
2180  *   Applications can control the behaviour.  They can at any time
2181  *   set a 'desirable' servername for a new SSL object. This can be the
2182  *   case for example with HTTPS when a Host: header field is received and
2183  *   a renegotiation is requested. In this case, a possible servername
2184  *   presented in the new client hello is only acknowledged if it matches
2185  *   the value of the Host: field.
2186  * - Applications must  use SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
2187  *   if they provide for changing an explicit servername context for the
2188  *   session, i.e. when the session has been established with a servername
2189  *   extension.
2190  * - On session reconnect, the servername extension may be absent.
2191  *
2192  */
2193
2194         else if (currext->type == TLSEXT_TYPE_server_name) {
2195             unsigned int servname_type;
2196             PACKET sni, hostname;
2197
2198             if (!PACKET_as_length_prefixed_2(&currext->data, &sni)
2199                 /* ServerNameList must be at least 1 byte long. */
2200                 || PACKET_remaining(&sni) == 0) {
2201                 return 0;
2202             }
2203
2204             /*
2205              * Although the server_name extension was intended to be
2206              * extensible to new name types, RFC 4366 defined the
2207              * syntax inextensibility and OpenSSL 1.0.x parses it as
2208              * such.
2209              * RFC 6066 corrected the mistake but adding new name types
2210              * is nevertheless no longer feasible, so act as if no other
2211              * SNI types can exist, to simplify parsing.
2212              *
2213              * Also note that the RFC permits only one SNI value per type,
2214              * i.e., we can only have a single hostname.
2215              */
2216             if (!PACKET_get_1(&sni, &servname_type)
2217                 || servname_type != TLSEXT_NAMETYPE_host_name
2218                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
2219                 return 0;
2220             }
2221
2222             if (!s->hit) {
2223                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
2224                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2225                     return 0;
2226                 }
2227
2228                 if (PACKET_contains_zero_byte(&hostname)) {
2229                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2230                     return 0;
2231                 }
2232
2233                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
2234                     *al = TLS1_AD_INTERNAL_ERROR;
2235                     return 0;
2236                 }
2237
2238                 s->servername_done = 1;
2239             } else {
2240                 /*
2241                  * TODO(openssl-team): if the SNI doesn't match, we MUST
2242                  * fall back to a full handshake.
2243                  */
2244                 s->servername_done = s->session->tlsext_hostname
2245                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
2246                                     strlen(s->session->tlsext_hostname));
2247             }
2248         }
2249 #ifndef OPENSSL_NO_SRP
2250         else if (currext->type == TLSEXT_TYPE_srp) {
2251             PACKET srp_I;
2252
2253             if (!PACKET_as_length_prefixed_1(&currext->data, &srp_I))
2254                 return 0;
2255
2256             if (PACKET_contains_zero_byte(&srp_I))
2257                 return 0;
2258
2259             /*
2260              * TODO(openssl-team): currently, we re-authenticate the user
2261              * upon resumption. Instead, we MUST ignore the login.
2262              */
2263             if (!PACKET_strndup(&srp_I, &s->srp_ctx.login)) {
2264                 *al = TLS1_AD_INTERNAL_ERROR;
2265                 return 0;
2266             }
2267         }
2268 #endif
2269
2270 #ifndef OPENSSL_NO_EC
2271         else if (currext->type == TLSEXT_TYPE_ec_point_formats) {
2272             PACKET ec_point_format_list;
2273
2274             if (!PACKET_as_length_prefixed_1(&currext->data,
2275                                              &ec_point_format_list)
2276                 || PACKET_remaining(&ec_point_format_list) == 0) {
2277                 return 0;
2278             }
2279
2280             if (!s->hit) {
2281                 if (!PACKET_memdup(&ec_point_format_list,
2282                                    &s->session->tlsext_ecpointformatlist,
2283                                    &s->
2284                                    session->tlsext_ecpointformatlist_length)) {
2285                     *al = TLS1_AD_INTERNAL_ERROR;
2286                     return 0;
2287                 }
2288             }
2289         }
2290 #endif                          /* OPENSSL_NO_EC */
2291         else if (currext->type == TLSEXT_TYPE_session_ticket
2292                 && !SSL_IS_TLS13(s)) {
2293             if (s->tls_session_ticket_ext_cb &&
2294                 !s->tls_session_ticket_ext_cb(s,
2295                     PACKET_data(&currext->data),
2296                     PACKET_remaining(&currext->data),
2297                     s->tls_session_ticket_ext_cb_arg)) {
2298                 *al = TLS1_AD_INTERNAL_ERROR;
2299                 return 0;
2300             }
2301         } else if (currext->type == TLSEXT_TYPE_signature_algorithms) {
2302             PACKET supported_sig_algs;
2303
2304             if (!PACKET_as_length_prefixed_2(&currext->data,
2305                                              &supported_sig_algs)
2306                 || (PACKET_remaining(&supported_sig_algs) % 2) != 0
2307                 || PACKET_remaining(&supported_sig_algs) == 0) {
2308                 return 0;
2309             }
2310
2311             if (!s->hit) {
2312                 if (!tls1_save_sigalgs(s, PACKET_data(&supported_sig_algs),
2313                                        PACKET_remaining(&supported_sig_algs))) {
2314                     return 0;
2315                 }
2316             }
2317         } else if (currext->type == TLSEXT_TYPE_status_request) {
2318             if (!PACKET_get_1(&currext->data,
2319                               (unsigned int *)&s->tlsext_status_type)) {
2320                 return 0;
2321             }
2322 #ifndef OPENSSL_NO_OCSP
2323             if (s->tlsext_status_type == TLSEXT_STATUSTYPE_ocsp) {
2324                 const unsigned char *ext_data;
2325                 PACKET responder_id_list, exts;
2326                 if (!PACKET_get_length_prefixed_2
2327                     (&currext->data, &responder_id_list))
2328                     return 0;
2329
2330                 /*
2331                  * We remove any OCSP_RESPIDs from a previous handshake
2332                  * to prevent unbounded memory growth - CVE-2016-6304
2333                  */
2334                 sk_OCSP_RESPID_pop_free(s->tlsext_ocsp_ids,
2335                                         OCSP_RESPID_free);
2336                 if (PACKET_remaining(&responder_id_list) > 0) {
2337                     s->tlsext_ocsp_ids = sk_OCSP_RESPID_new_null();
2338                     if (s->tlsext_ocsp_ids == NULL) {
2339                         *al = SSL_AD_INTERNAL_ERROR;
2340                         return 0;
2341                     }
2342                 } else {
2343                     s->tlsext_ocsp_ids = NULL;
2344                 }
2345
2346                 while (PACKET_remaining(&responder_id_list) > 0) {
2347                     OCSP_RESPID *id;
2348                     PACKET responder_id;
2349                     const unsigned char *id_data;
2350
2351                     if (!PACKET_get_length_prefixed_2(&responder_id_list,
2352                                                       &responder_id)
2353                         || PACKET_remaining(&responder_id) == 0) {
2354                         return 0;
2355                     }
2356
2357                     id_data = PACKET_data(&responder_id);
2358                     /* TODO(size_t): Convert d2i_* to size_t */
2359                     id = d2i_OCSP_RESPID(NULL, &id_data,
2360                                          (int)PACKET_remaining(&responder_id));
2361                     if (id == NULL)
2362                         return 0;
2363
2364                     if (id_data != PACKET_end(&responder_id)) {
2365                         OCSP_RESPID_free(id);
2366                         return 0;
2367                     }
2368
2369                     if (!sk_OCSP_RESPID_push(s->tlsext_ocsp_ids, id)) {
2370                         OCSP_RESPID_free(id);
2371                         *al = SSL_AD_INTERNAL_ERROR;
2372                         return 0;
2373                     }
2374                 }
2375
2376                 /* Read in request_extensions */
2377                 if (!PACKET_as_length_prefixed_2(
2378                         &currext->data, &exts))
2379                     return 0;
2380
2381                 if (PACKET_remaining(&exts) > 0) {
2382                     ext_data = PACKET_data(&exts);
2383                     sk_X509_EXTENSION_pop_free(s->tlsext_ocsp_exts,
2384                                                X509_EXTENSION_free);
2385                     s->tlsext_ocsp_exts =
2386                         d2i_X509_EXTENSIONS(NULL, &ext_data,
2387                                             (int)PACKET_remaining(&exts));
2388                     if (s->tlsext_ocsp_exts == NULL
2389                         || ext_data != PACKET_end(&exts)) {
2390                         return 0;
2391                     }
2392                 }
2393             } else
2394 #endif
2395             {
2396                 /*
2397                  * We don't know what to do with any other type so ignore it.
2398                  */
2399                 s->tlsext_status_type = -1;
2400             }
2401         }
2402 #ifndef OPENSSL_NO_NEXTPROTONEG
2403         else if (currext->type == TLSEXT_TYPE_next_proto_neg
2404                  && s->s3->tmp.finish_md_len == 0) {
2405             /*-
2406              * We shouldn't accept this extension on a
2407              * renegotiation.
2408              *
2409              * s->new_session will be set on renegotiation, but we
2410              * probably shouldn't rely that it couldn't be set on
2411              * the initial renegotiation too in certain cases (when
2412              * there's some other reason to disallow resuming an
2413              * earlier session -- the current code won't be doing
2414              * anything like that, but this might change).
2415              *
2416              * A valid sign that there's been a previous handshake
2417              * in this connection is if s->s3->tmp.finish_md_len >
2418              * 0.  (We are talking about a check that will happen
2419              * in the Hello protocol round, well before a new
2420              * Finished message could have been computed.)
2421              */
2422             s->s3->next_proto_neg_seen = 1;
2423         }
2424 #endif
2425
2426         else if (currext->type
2427                      == TLSEXT_TYPE_application_layer_protocol_negotiation
2428                  && s->s3->tmp.finish_md_len == 0) {
2429             if (!tls1_alpn_handle_client_hello(s,
2430                     &currext->data, al))
2431                 return 0;
2432         }
2433
2434         /* session ticket processed earlier */
2435 #ifndef OPENSSL_NO_SRTP
2436         else if (SSL_IS_DTLS(s) && SSL_get_srtp_profiles(s)
2437                  && currext->type == TLSEXT_TYPE_use_srtp) {
2438             if (ssl_parse_clienthello_use_srtp_ext(s,
2439                     &currext->data, al))
2440                 return 0;
2441         }
2442 #endif
2443         else if (currext->type == TLSEXT_TYPE_encrypt_then_mac
2444                  && !(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC)) {
2445             s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2446         } else if (currext->type == TLSEXT_TYPE_key_share
2447                    && SSL_IS_TLS13(s) && !s->hit
2448                    && !process_key_share_ext(s, &currext->data, al)) {
2449             return 0;
2450         }
2451         /*
2452          * Note: extended master secret extension handled in
2453          * tls_check_client_ems_support()
2454          */
2455
2456         /*
2457          * If this ClientHello extension was unhandled and this is a
2458          * nonresumed connection, check whether the extension is a custom
2459          * TLS Extension (has a custom_srv_ext_record), and if so call the
2460          * callback and record the extension number so that an appropriate
2461          * ServerHello may be later returned.
2462          */
2463         else if (!s->hit) {
2464             if (custom_ext_parse(s, 1, currext->type,
2465                     PACKET_data(&currext->data),
2466                     PACKET_remaining(&currext->data), al) <= 0)
2467                 return 0;
2468         }
2469     }
2470
2471     /* Need RI if renegotiating */
2472
2473     if (!renegotiate_seen && s->renegotiate &&
2474         !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2475         *al = SSL_AD_HANDSHAKE_FAILURE;
2476         SSLerr(SSL_F_SSL_SCAN_CLIENTHELLO_TLSEXT,
2477                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2478         return 0;
2479     }
2480
2481     /*
2482      * This function currently has no state to clean up, so it returns directly.
2483      * If parsing fails at any point, the function returns early.
2484      * The SSL object may be left with partial data from extensions, but it must
2485      * then no longer be used, and clearing it up will free the leftovers.
2486      */
2487     return 1;
2488 }
2489
2490 int ssl_parse_clienthello_tlsext(SSL *s, CLIENTHELLO_MSG *hello)
2491 {
2492     int al = -1;
2493     custom_ext_init(&s->cert->srv_ext);
2494     if (ssl_scan_clienthello_tlsext(s, hello, &al) <= 0) {
2495         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2496         return 0;
2497     }
2498     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2499         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2500         return 0;
2501     }
2502     return 1;
2503 }
2504
2505 #ifndef OPENSSL_NO_NEXTPROTONEG
2506 /*
2507  * ssl_next_proto_validate validates a Next Protocol Negotiation block. No
2508  * elements of zero length are allowed and the set of elements must exactly
2509  * fill the length of the block.
2510  */
2511 static char ssl_next_proto_validate(PACKET *pkt)
2512 {
2513     PACKET tmp_protocol;
2514
2515     while (PACKET_remaining(pkt)) {
2516         if (!PACKET_get_length_prefixed_1(pkt, &tmp_protocol)
2517             || PACKET_remaining(&tmp_protocol) == 0)
2518             return 0;
2519     }
2520
2521     return 1;
2522 }
2523 #endif
2524
2525 static int ssl_scan_serverhello_tlsext(SSL *s, PACKET *pkt, int *al)
2526 {
2527     unsigned int length, type, size;
2528     int tlsext_servername = 0;
2529     int renegotiate_seen = 0;
2530
2531 #ifndef OPENSSL_NO_NEXTPROTONEG
2532     s->s3->next_proto_neg_seen = 0;
2533 #endif
2534     s->tlsext_ticket_expected = 0;
2535
2536     OPENSSL_free(s->s3->alpn_selected);
2537     s->s3->alpn_selected = NULL;
2538
2539     s->s3->flags &= ~TLS1_FLAGS_ENCRYPT_THEN_MAC;
2540
2541     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
2542
2543     if (!PACKET_get_net_2(pkt, &length))
2544         goto ri_check;
2545
2546     if (PACKET_remaining(pkt) != length) {
2547         *al = SSL_AD_DECODE_ERROR;
2548         return 0;
2549     }
2550
2551     if (!tls1_check_duplicate_extensions(pkt)) {
2552         *al = SSL_AD_DECODE_ERROR;
2553         return 0;
2554     }
2555
2556     while (PACKET_get_net_2(pkt, &type) && PACKET_get_net_2(pkt, &size)) {
2557         const unsigned char *data;
2558         PACKET spkt;
2559
2560         if (!PACKET_get_sub_packet(pkt, &spkt, size)
2561             || !PACKET_peek_bytes(&spkt, &data, size))
2562             goto ri_check;
2563
2564         if (s->tlsext_debug_cb)
2565             s->tlsext_debug_cb(s, 1, type, data, size, s->tlsext_debug_arg);
2566
2567         if (type == TLSEXT_TYPE_renegotiate) {
2568             if (!ssl_parse_serverhello_renegotiate_ext(s, &spkt, al))
2569                 return 0;
2570             renegotiate_seen = 1;
2571         } else if (s->version == SSL3_VERSION) {
2572         } else if (type == TLSEXT_TYPE_server_name) {
2573             if (s->tlsext_hostname == NULL || size > 0) {
2574                 *al = TLS1_AD_UNRECOGNIZED_NAME;
2575                 return 0;
2576             }
2577             tlsext_servername = 1;
2578         }
2579 #ifndef OPENSSL_NO_EC
2580         else if (type == TLSEXT_TYPE_ec_point_formats) {
2581             unsigned int ecpointformatlist_length;
2582             if (!PACKET_get_1(&spkt, &ecpointformatlist_length)
2583                 || ecpointformatlist_length != size - 1) {
2584                 *al = TLS1_AD_DECODE_ERROR;
2585                 return 0;
2586             }
2587             if (!s->hit) {
2588                 s->session->tlsext_ecpointformatlist_length = 0;
2589                 OPENSSL_free(s->session->tlsext_ecpointformatlist);
2590                 if ((s->session->tlsext_ecpointformatlist =
2591                      OPENSSL_malloc(ecpointformatlist_length)) == NULL) {
2592                     *al = TLS1_AD_INTERNAL_ERROR;
2593                     return 0;
2594                 }
2595                 s->session->tlsext_ecpointformatlist_length =
2596                     ecpointformatlist_length;
2597                 if (!PACKET_copy_bytes(&spkt,
2598                                        s->session->tlsext_ecpointformatlist,
2599                                        ecpointformatlist_length)) {
2600                     *al = TLS1_AD_DECODE_ERROR;
2601                     return 0;
2602                 }
2603
2604             }
2605         }
2606 #endif                          /* OPENSSL_NO_EC */
2607
2608         else if (type == TLSEXT_TYPE_session_ticket) {
2609             if (s->tls_session_ticket_ext_cb &&
2610                 !s->tls_session_ticket_ext_cb(s, data, size,
2611                                               s->tls_session_ticket_ext_cb_arg))
2612             {
2613                 *al = TLS1_AD_INTERNAL_ERROR;
2614                 return 0;
2615             }
2616             if (!tls_use_ticket(s) || (size > 0)) {
2617                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2618                 return 0;
2619             }
2620             s->tlsext_ticket_expected = 1;
2621         } else if (type == TLSEXT_TYPE_status_request) {
2622             /*
2623              * MUST be empty and only sent if we've requested a status
2624              * request message.
2625              */
2626             if ((s->tlsext_status_type == -1) || (size > 0)) {
2627                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2628                 return 0;
2629             }
2630             /* Set flag to expect CertificateStatus message */
2631             s->tlsext_status_expected = 1;
2632         }
2633 #ifndef OPENSSL_NO_CT
2634         /*
2635          * Only take it if we asked for it - i.e if there is no CT validation
2636          * callback set, then a custom extension MAY be processing it, so we
2637          * need to let control continue to flow to that.
2638          */
2639         else if (type == TLSEXT_TYPE_signed_certificate_timestamp &&
2640                  s->ct_validation_callback != NULL) {
2641             /* Simply copy it off for later processing */
2642             if (s->tlsext_scts != NULL) {
2643                 OPENSSL_free(s->tlsext_scts);
2644                 s->tlsext_scts = NULL;
2645             }
2646             s->tlsext_scts_len = size;
2647             if (size > 0) {
2648                 s->tlsext_scts = OPENSSL_malloc(size);
2649                 if (s->tlsext_scts == NULL) {
2650                     *al = TLS1_AD_INTERNAL_ERROR;
2651                     return 0;
2652                 }
2653                 memcpy(s->tlsext_scts, data, size);
2654             }
2655         }
2656 #endif
2657 #ifndef OPENSSL_NO_NEXTPROTONEG
2658         else if (type == TLSEXT_TYPE_next_proto_neg &&
2659                  s->s3->tmp.finish_md_len == 0) {
2660             unsigned char *selected;
2661             unsigned char selected_len;
2662             /* We must have requested it. */
2663             if (s->ctx->next_proto_select_cb == NULL) {
2664                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2665                 return 0;
2666             }
2667             /* The data must be valid */
2668             if (!ssl_next_proto_validate(&spkt)) {
2669                 *al = TLS1_AD_DECODE_ERROR;
2670                 return 0;
2671             }
2672             if (s->ctx->next_proto_select_cb(s, &selected, &selected_len, data,
2673                                              size,
2674                                              s->
2675                                              ctx->next_proto_select_cb_arg) !=
2676                 SSL_TLSEXT_ERR_OK) {
2677                 *al = TLS1_AD_INTERNAL_ERROR;
2678                 return 0;
2679             }
2680             /*
2681              * Could be non-NULL if server has sent multiple NPN extensions in
2682              * a single Serverhello
2683              */
2684             OPENSSL_free(s->next_proto_negotiated);
2685             s->next_proto_negotiated = OPENSSL_malloc(selected_len);
2686             if (s->next_proto_negotiated == NULL) {
2687                 *al = TLS1_AD_INTERNAL_ERROR;
2688                 return 0;
2689             }
2690             memcpy(s->next_proto_negotiated, selected, selected_len);
2691             s->next_proto_negotiated_len = selected_len;
2692             s->s3->next_proto_neg_seen = 1;
2693         }
2694 #endif
2695
2696         else if (type == TLSEXT_TYPE_application_layer_protocol_negotiation) {
2697             unsigned len;
2698             /* We must have requested it. */
2699             if (!s->s3->alpn_sent) {
2700                 *al = TLS1_AD_UNSUPPORTED_EXTENSION;
2701                 return 0;
2702             }
2703             /*-
2704              * The extension data consists of:
2705              *   uint16 list_length
2706              *   uint8 proto_length;
2707              *   uint8 proto[proto_length];
2708              */
2709             if (!PACKET_get_net_2(&spkt, &len)
2710                 || PACKET_remaining(&spkt) != len || !PACKET_get_1(&spkt, &len)
2711                 || PACKET_remaining(&spkt) != len) {
2712                 *al = TLS1_AD_DECODE_ERROR;
2713                 return 0;
2714             }
2715             OPENSSL_free(s->s3->alpn_selected);
2716             s->s3->alpn_selected = OPENSSL_malloc(len);
2717             if (s->s3->alpn_selected == NULL) {
2718                 *al = TLS1_AD_INTERNAL_ERROR;
2719                 return 0;
2720             }
2721             if (!PACKET_copy_bytes(&spkt, s->s3->alpn_selected, len)) {
2722                 *al = TLS1_AD_DECODE_ERROR;
2723                 return 0;
2724             }
2725             s->s3->alpn_selected_len = len;
2726         }
2727 #ifndef OPENSSL_NO_SRTP
2728         else if (SSL_IS_DTLS(s) && type == TLSEXT_TYPE_use_srtp) {
2729             if (ssl_parse_serverhello_use_srtp_ext(s, &spkt, al))
2730                 return 0;
2731         }
2732 #endif
2733         else if (type == TLSEXT_TYPE_encrypt_then_mac) {
2734             /* Ignore if inappropriate ciphersuite */
2735             if (!(s->options & SSL_OP_NO_ENCRYPT_THEN_MAC) &&
2736                 s->s3->tmp.new_cipher->algorithm_mac != SSL_AEAD
2737                 && s->s3->tmp.new_cipher->algorithm_enc != SSL_RC4)
2738                 s->s3->flags |= TLS1_FLAGS_ENCRYPT_THEN_MAC;
2739         } else if (type == TLSEXT_TYPE_extended_master_secret &&
2740                 (SSL_IS_DTLS(s) || !SSL_IS_TLS13(s))) {
2741             s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
2742             if (!s->hit)
2743                 s->session->flags |= SSL_SESS_FLAG_EXTMS;
2744         } else if (type == TLSEXT_TYPE_key_share
2745                 && SSL_IS_TLS13(s)) {
2746             unsigned int group_id;
2747             PACKET encoded_pt;
2748             EVP_PKEY *ckey = s->s3->tmp.pkey, *skey = NULL;
2749
2750             /* Sanity check */
2751             if (ckey == NULL) {
2752                 *al = SSL_AD_INTERNAL_ERROR;
2753                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
2754                 return 0;
2755             }
2756
2757             if (!PACKET_get_net_2(&spkt, &group_id)) {
2758                 *al = SSL_AD_HANDSHAKE_FAILURE;
2759                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2760                        SSL_R_LENGTH_MISMATCH);
2761                 return 0;
2762             }
2763
2764             if (group_id != s->s3->group_id) {
2765                 /*
2766                  * This isn't for the group that we sent in the original
2767                  * key_share!
2768                  */
2769                 *al = SSL_AD_HANDSHAKE_FAILURE;
2770                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2771                        SSL_R_BAD_KEY_SHARE);
2772                 return 0;
2773             }
2774
2775             if (!PACKET_as_length_prefixed_2(&spkt, &encoded_pt)
2776                     || PACKET_remaining(&encoded_pt) == 0) {
2777                 *al = SSL_AD_DECODE_ERROR;
2778                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2779                        SSL_R_LENGTH_MISMATCH);
2780                 return 0;
2781             }
2782
2783             skey = ssl_generate_pkey(ckey);
2784             if (skey == NULL) {
2785                 *al = SSL_AD_INTERNAL_ERROR;
2786                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, ERR_R_MALLOC_FAILURE);
2787                 return 0;
2788             }
2789             if (!EVP_PKEY_set1_tls_encodedpoint(skey, PACKET_data(&encoded_pt),
2790                                                 PACKET_remaining(&encoded_pt))) {
2791                 *al = SSL_AD_DECODE_ERROR;
2792                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_BAD_ECPOINT);
2793                 return 0;
2794             }
2795
2796             if (ssl_derive(s, ckey, skey, 1) == 0) {
2797                 *al = SSL_AD_INTERNAL_ERROR;
2798                 SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, ERR_R_INTERNAL_ERROR);
2799                 EVP_PKEY_free(skey);
2800                 return 0;
2801             }
2802             EVP_PKEY_free(skey);
2803         /*
2804          * If this extension type was not otherwise handled, but matches a
2805          * custom_cli_ext_record, then send it to the c callback
2806          */
2807         } else if (custom_ext_parse(s, 0, type, data, size, al) <= 0)
2808             return 0;
2809     }
2810
2811     if (PACKET_remaining(pkt) != 0) {
2812         *al = SSL_AD_DECODE_ERROR;
2813         return 0;
2814     }
2815
2816     if (!s->hit && tlsext_servername == 1) {
2817         if (s->tlsext_hostname) {
2818             if (s->session->tlsext_hostname == NULL) {
2819                 s->session->tlsext_hostname =
2820                     OPENSSL_strdup(s->tlsext_hostname);
2821                 if (!s->session->tlsext_hostname) {
2822                     *al = SSL_AD_UNRECOGNIZED_NAME;
2823                     return 0;
2824                 }
2825             } else {
2826                 *al = SSL_AD_DECODE_ERROR;
2827                 return 0;
2828             }
2829         }
2830     }
2831
2832  ri_check:
2833
2834     /*
2835      * Determine if we need to see RI. Strictly speaking if we want to avoid
2836      * an attack we should *always* see RI even on initial server hello
2837      * because the client doesn't see any renegotiation during an attack.
2838      * However this would mean we could not connect to any server which
2839      * doesn't support RI so for the immediate future tolerate RI absence
2840      */
2841     if (!renegotiate_seen && !(s->options & SSL_OP_LEGACY_SERVER_CONNECT)
2842         && !(s->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
2843         *al = SSL_AD_HANDSHAKE_FAILURE;
2844         SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT,
2845                SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED);
2846         return 0;
2847     }
2848
2849     if (s->hit) {
2850         /*
2851          * Check extended master secret extension is consistent with
2852          * original session.
2853          */
2854         if (!(s->s3->flags & TLS1_FLAGS_RECEIVED_EXTMS) !=
2855             !(s->session->flags & SSL_SESS_FLAG_EXTMS)) {
2856             *al = SSL_AD_HANDSHAKE_FAILURE;
2857             SSLerr(SSL_F_SSL_SCAN_SERVERHELLO_TLSEXT, SSL_R_INCONSISTENT_EXTMS);
2858             return 0;
2859         }
2860     }
2861
2862     return 1;
2863 }
2864
2865 int ssl_prepare_clienthello_tlsext(SSL *s)
2866 {
2867     s->s3->alpn_sent = 0;
2868     return 1;
2869 }
2870
2871 int ssl_prepare_serverhello_tlsext(SSL *s)
2872 {
2873     return 1;
2874 }
2875
2876 static int ssl_check_clienthello_tlsext_early(SSL *s)
2877 {
2878     int ret = SSL_TLSEXT_ERR_NOACK;
2879     int al = SSL_AD_UNRECOGNIZED_NAME;
2880
2881 #ifndef OPENSSL_NO_EC
2882     /*
2883      * The handling of the ECPointFormats extension is done elsewhere, namely
2884      * in ssl3_choose_cipher in s3_lib.c.
2885      */
2886     /*
2887      * The handling of the EllipticCurves extension is done elsewhere, namely
2888      * in ssl3_choose_cipher in s3_lib.c.
2889      */
2890 #endif
2891
2892     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2893         ret =
2894             s->ctx->tlsext_servername_callback(s, &al,
2895                                                s->ctx->tlsext_servername_arg);
2896     else if (s->initial_ctx != NULL
2897              && s->initial_ctx->tlsext_servername_callback != 0)
2898         ret =
2899             s->initial_ctx->tlsext_servername_callback(s, &al,
2900                                                        s->
2901                                                        initial_ctx->tlsext_servername_arg);
2902
2903     switch (ret) {
2904     case SSL_TLSEXT_ERR_ALERT_FATAL:
2905         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2906         return -1;
2907
2908     case SSL_TLSEXT_ERR_ALERT_WARNING:
2909         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2910         return 1;
2911
2912     case SSL_TLSEXT_ERR_NOACK:
2913         s->servername_done = 0;
2914     default:
2915         return 1;
2916     }
2917 }
2918
2919 /* Initialise digests to default values */
2920 void ssl_set_default_md(SSL *s)
2921 {
2922     const EVP_MD **pmd = s->s3->tmp.md;
2923 #ifndef OPENSSL_NO_DSA
2924     pmd[SSL_PKEY_DSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2925 #endif
2926 #ifndef OPENSSL_NO_RSA
2927     if (SSL_USE_SIGALGS(s))
2928         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_SHA1_IDX);
2929     else
2930         pmd[SSL_PKEY_RSA_SIGN] = ssl_md(SSL_MD_MD5_SHA1_IDX);
2931     pmd[SSL_PKEY_RSA_ENC] = pmd[SSL_PKEY_RSA_SIGN];
2932 #endif
2933 #ifndef OPENSSL_NO_EC
2934     pmd[SSL_PKEY_ECC] = ssl_md(SSL_MD_SHA1_IDX);
2935 #endif
2936 #ifndef OPENSSL_NO_GOST
2937     pmd[SSL_PKEY_GOST01] = ssl_md(SSL_MD_GOST94_IDX);
2938     pmd[SSL_PKEY_GOST12_256] = ssl_md(SSL_MD_GOST12_256_IDX);
2939     pmd[SSL_PKEY_GOST12_512] = ssl_md(SSL_MD_GOST12_512_IDX);
2940 #endif
2941 }
2942
2943 int tls1_set_server_sigalgs(SSL *s)
2944 {
2945     int al;
2946     size_t i;
2947
2948     /* Clear any shared signature algorithms */
2949     OPENSSL_free(s->cert->shared_sigalgs);
2950     s->cert->shared_sigalgs = NULL;
2951     s->cert->shared_sigalgslen = 0;
2952     /* Clear certificate digests and validity flags */
2953     for (i = 0; i < SSL_PKEY_NUM; i++) {
2954         s->s3->tmp.md[i] = NULL;
2955         s->s3->tmp.valid_flags[i] = 0;
2956     }
2957
2958     /* If sigalgs received process it. */
2959     if (s->s3->tmp.peer_sigalgs) {
2960         if (!tls1_process_sigalgs(s)) {
2961             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS, ERR_R_MALLOC_FAILURE);
2962             al = SSL_AD_INTERNAL_ERROR;
2963             goto err;
2964         }
2965         /* Fatal error is no shared signature algorithms */
2966         if (!s->cert->shared_sigalgs) {
2967             SSLerr(SSL_F_TLS1_SET_SERVER_SIGALGS,
2968                    SSL_R_NO_SHARED_SIGNATURE_ALGORITHMS);
2969             al = SSL_AD_ILLEGAL_PARAMETER;
2970             goto err;
2971         }
2972     } else {
2973         ssl_set_default_md(s);
2974     }
2975     return 1;
2976  err:
2977     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2978     return 0;
2979 }
2980
2981 /*
2982  * Upon success, returns 1.
2983  * Upon failure, returns 0 and sets |al| to the appropriate fatal alert.
2984  */
2985 int ssl_check_clienthello_tlsext_late(SSL *s, int *al)
2986 {
2987     s->tlsext_status_expected = 0;
2988
2989     /*
2990      * If status request then ask callback what to do. Note: this must be
2991      * called after servername callbacks in case the certificate has changed,
2992      * and must be called after the cipher has been chosen because this may
2993      * influence which certificate is sent
2994      */
2995     if ((s->tlsext_status_type != -1) && s->ctx && s->ctx->tlsext_status_cb) {
2996         int ret;
2997         CERT_PKEY *certpkey;
2998         certpkey = ssl_get_server_send_pkey(s);
2999         /* If no certificate can't return certificate status */
3000         if (certpkey != NULL) {
3001             /*
3002              * Set current certificate to one we will use so SSL_get_certificate
3003              * et al can pick it up.
3004              */
3005             s->cert->key = certpkey;
3006             ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
3007             switch (ret) {
3008                 /* We don't want to send a status request response */
3009             case SSL_TLSEXT_ERR_NOACK:
3010                 s->tlsext_status_expected = 0;
3011                 break;
3012                 /* status request response should be sent */
3013             case SSL_TLSEXT_ERR_OK:
3014                 if (s->tlsext_ocsp_resp)
3015                     s->tlsext_status_expected = 1;
3016                 break;
3017                 /* something bad happened */
3018             case SSL_TLSEXT_ERR_ALERT_FATAL:
3019             default:
3020                 *al = SSL_AD_INTERNAL_ERROR;
3021                 return 0;
3022             }
3023         }
3024     }
3025
3026     if (!tls1_alpn_handle_client_hello_late(s, al)) {
3027         return 0;
3028     }
3029
3030     return 1;
3031 }
3032
3033 int ssl_check_serverhello_tlsext(SSL *s)
3034 {
3035     int ret = SSL_TLSEXT_ERR_NOACK;
3036     int al = SSL_AD_UNRECOGNIZED_NAME;
3037
3038 #ifndef OPENSSL_NO_EC
3039     /*
3040      * If we are client and using an elliptic curve cryptography cipher
3041      * suite, then if server returns an EC point formats lists extension it
3042      * must contain uncompressed.
3043      */
3044     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
3045     unsigned long alg_a = s->s3->tmp.new_cipher->algorithm_auth;
3046     if ((s->tlsext_ecpointformatlist != NULL)
3047         && (s->tlsext_ecpointformatlist_length > 0)
3048         && (s->session->tlsext_ecpointformatlist != NULL)
3049         && (s->session->tlsext_ecpointformatlist_length > 0)
3050         && ((alg_k & SSL_kECDHE) || (alg_a & SSL_aECDSA))) {
3051         /* we are using an ECC cipher */
3052         size_t i;
3053         unsigned char *list;
3054         int found_uncompressed = 0;
3055         list = s->session->tlsext_ecpointformatlist;
3056         for (i = 0; i < s->session->tlsext_ecpointformatlist_length; i++) {
3057             if (*(list++) == TLSEXT_ECPOINTFORMAT_uncompressed) {
3058                 found_uncompressed = 1;
3059                 break;
3060             }
3061         }
3062         if (!found_uncompressed) {
3063             SSLerr(SSL_F_SSL_CHECK_SERVERHELLO_TLSEXT,
3064                    SSL_R_TLS_INVALID_ECPOINTFORMAT_LIST);
3065             return -1;
3066         }
3067     }
3068     ret = SSL_TLSEXT_ERR_OK;
3069 #endif                          /* OPENSSL_NO_EC */
3070
3071     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
3072         ret =
3073             s->ctx->tlsext_servername_callback(s, &al,
3074                                                s->ctx->tlsext_servername_arg);
3075     else if (s->initial_ctx != NULL
3076              && s->initial_ctx->tlsext_servername_callback != 0)
3077         ret =
3078             s->initial_ctx->tlsext_servername_callback(s, &al,
3079                                                        s->
3080                                                        initial_ctx->tlsext_servername_arg);
3081
3082     /*
3083      * Ensure we get sensible values passed to tlsext_status_cb in the event
3084      * that we don't receive a status message
3085      */
3086     OPENSSL_free(s->tlsext_ocsp_resp);
3087     s->tlsext_ocsp_resp = NULL;
3088     s->tlsext_ocsp_resplen = 0;
3089
3090     switch (ret) {
3091     case SSL_TLSEXT_ERR_ALERT_FATAL:
3092         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3093         return -1;
3094
3095     case SSL_TLSEXT_ERR_ALERT_WARNING:
3096         ssl3_send_alert(s, SSL3_AL_WARNING, al);
3097         return 1;
3098
3099     case SSL_TLSEXT_ERR_NOACK:
3100         s->servername_done = 0;
3101     default:
3102         return 1;
3103     }
3104 }
3105
3106 int ssl_parse_serverhello_tlsext(SSL *s, PACKET *pkt)
3107 {
3108     int al = -1;
3109     if (s->version < SSL3_VERSION)
3110         return 1;
3111     if (ssl_scan_serverhello_tlsext(s, pkt, &al) <= 0) {
3112         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3113         return 0;
3114     }
3115
3116     if (ssl_check_serverhello_tlsext(s) <= 0) {
3117         SSLerr(SSL_F_SSL_PARSE_SERVERHELLO_TLSEXT, SSL_R_SERVERHELLO_TLSEXT);
3118         return 0;
3119     }
3120     return 1;
3121 }
3122
3123 /*
3124  * Given a list of extensions that we collected earlier, find one of a given
3125  * type and return it.
3126  *
3127  * |exts| is the set of extensions previously collected.
3128  * |numexts| is the number of extensions that we have.
3129  * |type| the type of the extension that we are looking for.
3130  *
3131  * Returns a pointer to the found RAW_EXTENSION data, or NULL if not found.
3132  */
3133 RAW_EXTENSION *tls_get_extension_by_type(RAW_EXTENSION *exts, size_t numexts,
3134                                          unsigned int type)
3135 {
3136     size_t loop;
3137
3138     for (loop = 0; loop < numexts; loop++) {
3139         if (exts[loop].type == type)
3140             return &exts[loop];
3141     }
3142
3143     return NULL;
3144 }
3145
3146 /*-
3147  * Gets the ticket information supplied by the client if any.
3148  *
3149  *   hello: The parsed ClientHello data
3150  *   ret: (output) on return, if a ticket was decrypted, then this is set to
3151  *       point to the resulting session.
3152  *
3153  * If s->tls_session_secret_cb is set then we are expecting a pre-shared key
3154  * ciphersuite, in which case we have no use for session tickets and one will
3155  * never be decrypted, nor will s->tlsext_ticket_expected be set to 1.
3156  *
3157  * Returns:
3158  *   -1: fatal error, either from parsing or decrypting the ticket.
3159  *    0: no ticket was found (or was ignored, based on settings).
3160  *    1: a zero length extension was found, indicating that the client supports
3161  *       session tickets but doesn't currently have one to offer.
3162  *    2: either s->tls_session_secret_cb was set, or a ticket was offered but
3163  *       couldn't be decrypted because of a non-fatal error.
3164  *    3: a ticket was successfully decrypted and *ret was set.
3165  *
3166  * Side effects:
3167  *   Sets s->tlsext_ticket_expected to 1 if the server will have to issue
3168  *   a new session ticket to the client because the client indicated support
3169  *   (and s->tls_session_secret_cb is NULL) but the client either doesn't have
3170  *   a session ticket or we couldn't use the one it gave us, or if
3171  *   s->ctx->tlsext_ticket_key_cb asked to renew the client's ticket.
3172  *   Otherwise, s->tlsext_ticket_expected is set to 0.
3173  */
3174 int tls_get_ticket_from_client(SSL *s, CLIENTHELLO_MSG *hello,
3175                                SSL_SESSION **ret)
3176 {
3177     int retv;
3178     const unsigned char *etick;
3179     size_t size;
3180     RAW_EXTENSION *ticketext;
3181
3182     *ret = NULL;
3183     s->tlsext_ticket_expected = 0;
3184
3185     /*
3186      * If tickets disabled or not supported by the protocol version
3187      * (e.g. TLSv1.3) behave as if no ticket present to permit stateful
3188      * resumption.
3189      */
3190     if (s->version <= SSL3_VERSION || !tls_use_ticket(s))
3191         return 0;
3192
3193     ticketext = tls_get_extension_by_type(hello->pre_proc_exts,
3194                                           hello->num_extensions,
3195                                           TLSEXT_TYPE_session_ticket);
3196     if (ticketext == NULL)
3197         return 0;
3198
3199     size = PACKET_remaining(&ticketext->data);
3200     if (size == 0) {
3201         /*
3202          * The client will accept a ticket but doesn't currently have
3203          * one.
3204          */
3205         s->tlsext_ticket_expected = 1;
3206         return 1;
3207     }
3208     if (s->tls_session_secret_cb) {
3209         /*
3210          * Indicate that the ticket couldn't be decrypted rather than
3211          * generating the session from ticket now, trigger
3212          * abbreviated handshake based on external mechanism to
3213          * calculate the master secret later.
3214          */
3215         return 2;
3216     }
3217     if (!PACKET_get_bytes(&ticketext->data, &etick, size)) {
3218         /* Shouldn't ever happen */
3219         return -1;
3220     }
3221     retv = tls_decrypt_ticket(s, etick, size, hello->session_id,
3222                            hello->session_id_len, ret);
3223     switch (retv) {
3224     case 2:            /* ticket couldn't be decrypted */
3225         s->tlsext_ticket_expected = 1;
3226         return 2;
3227
3228     case 3:            /* ticket was decrypted */
3229         return 3;
3230
3231     case 4:            /* ticket decrypted but need to renew */
3232         s->tlsext_ticket_expected = 1;
3233         return 3;
3234
3235     default:           /* fatal error */
3236         return -1;
3237     }
3238 }
3239
3240 /*
3241  * Sets the extended master secret flag if the extension is present in the
3242  * ClientHello and we can support it
3243  * Returns:
3244  *  1 on success
3245  *  0 on error
3246  */
3247 int tls_check_client_ems_support(SSL *s, const CLIENTHELLO_MSG *hello)
3248 {
3249     RAW_EXTENSION *emsext;
3250
3251     s->s3->flags &= ~TLS1_FLAGS_RECEIVED_EXTMS;
3252
3253     if (!SSL_IS_DTLS(s) && (s->version < TLS1_VERSION
3254                             || s->version > TLS1_2_VERSION))
3255         return 1;
3256
3257     emsext = tls_get_extension_by_type(hello->pre_proc_exts,
3258                                        hello->num_extensions,
3259                                        TLSEXT_TYPE_extended_master_secret);
3260
3261     /*
3262      * No extensions is a success - we have successfully discovered that the
3263      * client doesn't support EMS.
3264      */
3265     if (emsext == NULL)
3266         return 1;
3267
3268     /* The extensions must always be empty */
3269     if (PACKET_remaining(&emsext->data) != 0)
3270         return 0;
3271
3272     s->s3->flags |= TLS1_FLAGS_RECEIVED_EXTMS;
3273
3274     return 1;
3275 }
3276
3277 /*-
3278  * tls_decrypt_ticket attempts to decrypt a session ticket.
3279  *
3280  *   etick: points to the body of the session ticket extension.
3281  *   eticklen: the length of the session tickets extension.
3282  *   sess_id: points at the session ID.
3283  *   sesslen: the length of the session ID.
3284  *   psess: (output) on return, if a ticket was decrypted, then this is set to
3285  *       point to the resulting session.
3286  *
3287  * Returns:
3288  *   -2: fatal error, malloc failure.
3289  *   -1: fatal error, either from parsing or decrypting the ticket.
3290  *    2: the ticket couldn't be decrypted.
3291  *    3: a ticket was successfully decrypted and *psess was set.
3292  *    4: same as 3, but the ticket needs to be renewed.
3293  */
3294 static int tls_decrypt_ticket(SSL *s, const unsigned char *etick,
3295                               size_t eticklen, const unsigned char *sess_id,
3296                               size_t sesslen, SSL_SESSION **psess)
3297 {
3298     SSL_SESSION *sess;
3299     unsigned char *sdec;
3300     const unsigned char *p;
3301     int slen, renew_ticket = 0, ret = -1, declen;
3302     size_t mlen;
3303     unsigned char tick_hmac[EVP_MAX_MD_SIZE];
3304     HMAC_CTX *hctx = NULL;
3305     EVP_CIPHER_CTX *ctx;
3306     SSL_CTX *tctx = s->initial_ctx;
3307
3308     /* Initialize session ticket encryption and HMAC contexts */
3309     hctx = HMAC_CTX_new();
3310     if (hctx == NULL)
3311         return -2;
3312     ctx = EVP_CIPHER_CTX_new();
3313     if (ctx == NULL) {
3314         ret = -2;
3315         goto err;
3316     }
3317     if (tctx->tlsext_ticket_key_cb) {
3318         unsigned char *nctick = (unsigned char *)etick;
3319         int rv = tctx->tlsext_ticket_key_cb(s, nctick, nctick + 16,
3320                                             ctx, hctx, 0);
3321         if (rv < 0)
3322             goto err;
3323         if (rv == 0) {
3324             ret = 2;
3325             goto err;
3326         }
3327         if (rv == 2)
3328             renew_ticket = 1;
3329     } else {
3330         /* Check key name matches */
3331         if (memcmp(etick, tctx->tlsext_tick_key_name,
3332                    sizeof(tctx->tlsext_tick_key_name)) != 0) {
3333             ret = 2;
3334             goto err;
3335         }
3336         if (HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3337                          sizeof(tctx->tlsext_tick_hmac_key),
3338                          EVP_sha256(), NULL) <= 0
3339             || EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL,
3340                                   tctx->tlsext_tick_aes_key,
3341                                   etick + sizeof(tctx->tlsext_tick_key_name)) <=
3342             0) {
3343             goto err;
3344         }
3345     }
3346     /*
3347      * Attempt to process session ticket, first conduct sanity and integrity
3348      * checks on ticket.
3349      */
3350     mlen = HMAC_size(hctx);
3351     if (mlen == 0) {
3352         goto err;
3353     }
3354     /* Sanity check ticket length: must exceed keyname + IV + HMAC */
3355     if (eticklen <=
3356         TLSEXT_KEYNAME_LENGTH + EVP_CIPHER_CTX_iv_length(ctx) + mlen) {
3357         ret = 2;
3358         goto err;
3359     }
3360     eticklen -= mlen;
3361     /* Check HMAC of encrypted ticket */
3362     if (HMAC_Update(hctx, etick, eticklen) <= 0
3363         || HMAC_Final(hctx, tick_hmac, NULL) <= 0) {
3364         goto err;
3365     }
3366     HMAC_CTX_free(hctx);
3367     if (CRYPTO_memcmp(tick_hmac, etick + eticklen, mlen)) {
3368         EVP_CIPHER_CTX_free(ctx);
3369         return 2;
3370     }
3371     /* Attempt to decrypt session data */
3372     /* Move p after IV to start of encrypted ticket, update length */
3373     p = etick + 16 + EVP_CIPHER_CTX_iv_length(ctx);
3374     eticklen -= 16 + EVP_CIPHER_CTX_iv_length(ctx);
3375     sdec = OPENSSL_malloc(eticklen);
3376     if (sdec == NULL || EVP_DecryptUpdate(ctx, sdec, &slen, p,
3377                                           (int)eticklen) <= 0) {
3378         EVP_CIPHER_CTX_free(ctx);
3379         OPENSSL_free(sdec);
3380         return -1;
3381     }
3382     if (EVP_DecryptFinal(ctx, sdec + slen, &declen) <= 0) {
3383         EVP_CIPHER_CTX_free(ctx);
3384         OPENSSL_free(sdec);
3385         return 2;
3386     }
3387     slen += declen;
3388     EVP_CIPHER_CTX_free(ctx);
3389     ctx = NULL;
3390     p = sdec;
3391
3392     sess = d2i_SSL_SESSION(NULL, &p, slen);
3393     OPENSSL_free(sdec);
3394     if (sess) {
3395         /*
3396          * The session ID, if non-empty, is used by some clients to detect
3397          * that the ticket has been accepted. So we copy it to the session
3398          * structure. If it is empty set length to zero as required by
3399          * standard.
3400          */
3401         if (sesslen)
3402             memcpy(sess->session_id, sess_id, sesslen);
3403         sess->session_id_length = sesslen;
3404         *psess = sess;
3405         if (renew_ticket)
3406             return 4;
3407         else
3408             return 3;
3409     }
3410     ERR_clear_error();
3411     /*
3412      * For session parse failure, indicate that we need to send a new ticket.
3413      */
3414     return 2;
3415  err:
3416     EVP_CIPHER_CTX_free(ctx);
3417     HMAC_CTX_free(hctx);
3418     return ret;
3419 }
3420
3421 /* Tables to translate from NIDs to TLS v1.2 ids */
3422
3423 typedef struct {
3424     int nid;
3425     int id;
3426 } tls12_lookup;
3427
3428 static const tls12_lookup tls12_md[] = {
3429     {NID_md5, TLSEXT_hash_md5},
3430     {NID_sha1, TLSEXT_hash_sha1},
3431     {NID_sha224, TLSEXT_hash_sha224},
3432     {NID_sha256, TLSEXT_hash_sha256},
3433     {NID_sha384, TLSEXT_hash_sha384},
3434     {NID_sha512, TLSEXT_hash_sha512},
3435     {NID_id_GostR3411_94, TLSEXT_hash_gostr3411},
3436     {NID_id_GostR3411_2012_256, TLSEXT_hash_gostr34112012_256},
3437     {NID_id_GostR3411_2012_512, TLSEXT_hash_gostr34112012_512},
3438 };
3439
3440 static const tls12_lookup tls12_sig[] = {
3441     {EVP_PKEY_RSA, TLSEXT_signature_rsa},
3442     {EVP_PKEY_DSA, TLSEXT_signature_dsa},
3443     {EVP_PKEY_EC, TLSEXT_signature_ecdsa},
3444     {NID_id_GostR3410_2001, TLSEXT_signature_gostr34102001},
3445     {NID_id_GostR3410_2012_256, TLSEXT_signature_gostr34102012_256},
3446     {NID_id_GostR3410_2012_512, TLSEXT_signature_gostr34102012_512}
3447 };
3448
3449 static int tls12_find_id(int nid, const tls12_lookup *table, size_t tlen)
3450 {
3451     size_t i;
3452     for (i = 0; i < tlen; i++) {
3453         if (table[i].nid == nid)
3454             return table[i].id;
3455     }
3456     return -1;
3457 }
3458
3459 static int tls12_find_nid(int id, const tls12_lookup *table, size_t tlen)
3460 {
3461     size_t i;
3462     for (i = 0; i < tlen; i++) {
3463         if ((table[i].id) == id)
3464             return table[i].nid;
3465     }
3466     return NID_undef;
3467 }
3468
3469 int tls12_get_sigandhash(WPACKET *pkt, const EVP_PKEY *pk, const EVP_MD *md)
3470 {
3471     int sig_id, md_id;
3472
3473     if (md == NULL)
3474         return 0;
3475     md_id = tls12_find_id(EVP_MD_type(md), tls12_md, OSSL_NELEM(tls12_md));
3476     if (md_id == -1)
3477         return 0;
3478     sig_id = tls12_get_sigid(pk);
3479     if (sig_id == -1)
3480         return 0;
3481     if (!WPACKET_put_bytes_u8(pkt, md_id) || !WPACKET_put_bytes_u8(pkt, sig_id))
3482         return 0;
3483
3484     return 1;
3485 }
3486
3487 int tls12_get_sigid(const EVP_PKEY *pk)
3488 {
3489     return tls12_find_id(EVP_PKEY_id(pk), tls12_sig, OSSL_NELEM(tls12_sig));
3490 }
3491
3492 typedef struct {
3493     int nid;
3494     int secbits;
3495     int md_idx;
3496     unsigned char tlsext_hash;
3497 } tls12_hash_info;
3498
3499 static const tls12_hash_info tls12_md_info[] = {
3500     {NID_md5, 64, SSL_MD_MD5_IDX, TLSEXT_hash_md5},
3501     {NID_sha1, 80, SSL_MD_SHA1_IDX, TLSEXT_hash_sha1},
3502     {NID_sha224, 112, SSL_MD_SHA224_IDX, TLSEXT_hash_sha224},
3503     {NID_sha256, 128, SSL_MD_SHA256_IDX, TLSEXT_hash_sha256},
3504     {NID_sha384, 192, SSL_MD_SHA384_IDX, TLSEXT_hash_sha384},
3505     {NID_sha512, 256, SSL_MD_SHA512_IDX, TLSEXT_hash_sha512},
3506     {NID_id_GostR3411_94, 128, SSL_MD_GOST94_IDX, TLSEXT_hash_gostr3411},
3507     {NID_id_GostR3411_2012_256, 128, SSL_MD_GOST12_256_IDX,
3508      TLSEXT_hash_gostr34112012_256},
3509     {NID_id_GostR3411_2012_512, 256, SSL_MD_GOST12_512_IDX,
3510      TLSEXT_hash_gostr34112012_512},
3511 };
3512
3513 static const tls12_hash_info *tls12_get_hash_info(unsigned char hash_alg)
3514 {
3515     unsigned int i;
3516     if (hash_alg == 0)
3517         return NULL;
3518
3519     for (i = 0; i < OSSL_NELEM(tls12_md_info); i++) {
3520         if (tls12_md_info[i].tlsext_hash == hash_alg)
3521             return tls12_md_info + i;
3522     }
3523
3524     return NULL;
3525 }
3526
3527 const EVP_MD *tls12_get_hash(unsigned char hash_alg)
3528 {
3529     const tls12_hash_info *inf;
3530     if (hash_alg == TLSEXT_hash_md5 && FIPS_mode())
3531         return NULL;
3532     inf = tls12_get_hash_info(hash_alg);
3533     if (!inf)
3534         return NULL;
3535     return ssl_md(inf->md_idx);
3536 }
3537
3538 static int tls12_get_pkey_idx(unsigned char sig_alg)
3539 {
3540     switch (sig_alg) {
3541 #ifndef OPENSSL_NO_RSA
3542     case TLSEXT_signature_rsa:
3543         return SSL_PKEY_RSA_SIGN;
3544 #endif
3545 #ifndef OPENSSL_NO_DSA
3546     case TLSEXT_signature_dsa:
3547         return SSL_PKEY_DSA_SIGN;
3548 #endif
3549 #ifndef OPENSSL_NO_EC
3550     case TLSEXT_signature_ecdsa:
3551         return SSL_PKEY_ECC;
3552 #endif
3553 #ifndef OPENSSL_NO_GOST
3554     case TLSEXT_signature_gostr34102001:
3555         return SSL_PKEY_GOST01;
3556
3557     case TLSEXT_signature_gostr34102012_256:
3558         return SSL_PKEY_GOST12_256;
3559
3560     case TLSEXT_signature_gostr34102012_512:
3561         return SSL_PKEY_GOST12_512;
3562 #endif
3563     }
3564     return -1;
3565 }
3566
3567 /* Convert TLS 1.2 signature algorithm extension values into NIDs */
3568 static void tls1_lookup_sigalg(int *phash_nid, int *psign_nid,
3569                                int *psignhash_nid, const unsigned char *data)
3570 {
3571     int sign_nid = NID_undef, hash_nid = NID_undef;
3572     if (!phash_nid && !psign_nid && !psignhash_nid)
3573         return;
3574     if (phash_nid || psignhash_nid) {
3575         hash_nid = tls12_find_nid(data[0], tls12_md, OSSL_NELEM(tls12_md));
3576         if (phash_nid)
3577             *phash_nid = hash_nid;
3578     }
3579     if (psign_nid || psignhash_nid) {
3580         sign_nid = tls12_find_nid(data[1], tls12_sig, OSSL_NELEM(tls12_sig));
3581         if (psign_nid)
3582             *psign_nid = sign_nid;
3583     }
3584     if (psignhash_nid) {
3585         if (sign_nid == NID_undef || hash_nid == NID_undef
3586             || OBJ_find_sigid_by_algs(psignhash_nid, hash_nid, sign_nid) <= 0)
3587             *psignhash_nid = NID_undef;
3588     }
3589 }
3590
3591 /* Check to see if a signature algorithm is allowed */
3592 static int tls12_sigalg_allowed(SSL *s, int op, const unsigned char *ptmp)
3593 {
3594     /* See if we have an entry in the hash table and it is enabled */
3595     const tls12_hash_info *hinf = tls12_get_hash_info(ptmp[0]);
3596     if (hinf == NULL || ssl_md(hinf->md_idx) == NULL)
3597         return 0;
3598     /* See if public key algorithm allowed */
3599     if (tls12_get_pkey_idx(ptmp[1]) == -1)
3600         return 0;
3601     /* Finally see if security callback allows it */
3602     return ssl_security(s, op, hinf->secbits, hinf->nid, (void *)ptmp);
3603 }
3604
3605 /*
3606  * Get a mask of disabled public key algorithms based on supported signature
3607  * algorithms. For example if no signature algorithm supports RSA then RSA is
3608  * disabled.
3609  */
3610
3611 void ssl_set_sig_mask(uint32_t *pmask_a, SSL *s, int op)
3612 {
3613     const unsigned char *sigalgs;
3614     size_t i, sigalgslen;
3615     int have_rsa = 0, have_dsa = 0, have_ecdsa = 0;
3616     /*
3617      * Now go through all signature algorithms seeing if we support any for
3618      * RSA, DSA, ECDSA. Do this for all versions not just TLS 1.2. To keep
3619      * down calls to security callback only check if we have to.
3620      */
3621     sigalgslen = tls12_get_psigalgs(s, &sigalgs);
3622     for (i = 0; i < sigalgslen; i += 2, sigalgs += 2) {
3623         switch (sigalgs[1]) {
3624 #ifndef OPENSSL_NO_RSA
3625         case TLSEXT_signature_rsa:
3626             if (!have_rsa && tls12_sigalg_allowed(s, op, sigalgs))
3627                 have_rsa = 1;
3628             break;
3629 #endif
3630 #ifndef OPENSSL_NO_DSA
3631         case TLSEXT_signature_dsa:
3632             if (!have_dsa && tls12_sigalg_allowed(s, op, sigalgs))
3633                 have_dsa = 1;
3634             break;
3635 #endif
3636 #ifndef OPENSSL_NO_EC
3637         case TLSEXT_signature_ecdsa:
3638             if (!have_ecdsa && tls12_sigalg_allowed(s, op, sigalgs))
3639                 have_ecdsa = 1;
3640             break;
3641 #endif
3642         }
3643     }
3644     if (!have_rsa)
3645         *pmask_a |= SSL_aRSA;
3646     if (!have_dsa)
3647         *pmask_a |= SSL_aDSS;
3648     if (!have_ecdsa)
3649         *pmask_a |= SSL_aECDSA;
3650 }
3651
3652 int tls12_copy_sigalgs(SSL *s, WPACKET *pkt,
3653                        const unsigned char *psig, size_t psiglen)
3654 {
3655     size_t i;
3656
3657     for (i = 0; i < psiglen; i += 2, psig += 2) {
3658         if (tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SUPPORTED, psig)) {
3659             if (!WPACKET_put_bytes_u8(pkt, psig[0])
3660                     || !WPACKET_put_bytes_u8(pkt, psig[1]))
3661                 return 0;
3662         }
3663     }
3664     return 1;
3665 }
3666
3667 /* Given preference and allowed sigalgs set shared sigalgs */
3668 static size_t tls12_shared_sigalgs(SSL *s, TLS_SIGALGS *shsig,
3669                                    const unsigned char *pref, size_t preflen,
3670                                    const unsigned char *allow, size_t allowlen)
3671 {
3672     const unsigned char *ptmp, *atmp;
3673     size_t i, j, nmatch = 0;
3674     for (i = 0, ptmp = pref; i < preflen; i += 2, ptmp += 2) {
3675         /* Skip disabled hashes or signature algorithms */
3676         if (!tls12_sigalg_allowed(s, SSL_SECOP_SIGALG_SHARED, ptmp))
3677             continue;
3678         for (j = 0, atmp = allow; j < allowlen; j += 2, atmp += 2) {
3679             if (ptmp[0] == atmp[0] && ptmp[1] == atmp[1]) {
3680                 nmatch++;
3681                 if (shsig) {
3682                     shsig->rhash = ptmp[0];
3683                     shsig->rsign = ptmp[1];
3684                     tls1_lookup_sigalg(&shsig->hash_nid,
3685                                        &shsig->sign_nid,
3686                                        &shsig->signandhash_nid, ptmp);
3687                     shsig++;
3688                 }
3689                 break;
3690             }
3691         }
3692     }
3693     return nmatch;
3694 }
3695
3696 /* Set shared signature algorithms for SSL structures */
3697 static int tls1_set_shared_sigalgs(SSL *s)
3698 {
3699     const unsigned char *pref, *allow, *conf;
3700     size_t preflen, allowlen, conflen;
3701     size_t nmatch;
3702     TLS_SIGALGS *salgs = NULL;
3703     CERT *c = s->cert;
3704     unsigned int is_suiteb = tls1_suiteb(s);
3705
3706     OPENSSL_free(c->shared_sigalgs);
3707     c->shared_sigalgs = NULL;
3708     c->shared_sigalgslen = 0;
3709     /* If client use client signature algorithms if not NULL */
3710     if (!s->server && c->client_sigalgs && !is_suiteb) {
3711         conf = c->client_sigalgs;
3712         conflen = c->client_sigalgslen;
3713     } else if (c->conf_sigalgs && !is_suiteb) {
3714         conf = c->conf_sigalgs;
3715         conflen = c->conf_sigalgslen;
3716     } else
3717         conflen = tls12_get_psigalgs(s, &conf);
3718     if (s->options & SSL_OP_CIPHER_SERVER_PREFERENCE || is_suiteb) {
3719         pref = conf;
3720         preflen = conflen;
3721         allow = s->s3->tmp.peer_sigalgs;
3722         allowlen = s->s3->tmp.peer_sigalgslen;
3723     } else {
3724         allow = conf;
3725         allowlen = conflen;
3726         pref = s->s3->tmp.peer_sigalgs;
3727         preflen = s->s3->tmp.peer_sigalgslen;
3728     }
3729     nmatch = tls12_shared_sigalgs(s, NULL, pref, preflen, allow, allowlen);
3730     if (nmatch) {
3731         salgs = OPENSSL_malloc(nmatch * sizeof(TLS_SIGALGS));
3732         if (salgs == NULL)
3733             return 0;
3734         nmatch = tls12_shared_sigalgs(s, salgs, pref, preflen, allow, allowlen);
3735     } else {
3736         salgs = NULL;
3737     }
3738     c->shared_sigalgs = salgs;
3739     c->shared_sigalgslen = nmatch;
3740     return 1;
3741 }
3742
3743 /* Set preferred digest for each key type */
3744
3745 int tls1_save_sigalgs(SSL *s, const unsigned char *data, size_t dsize)
3746 {
3747     CERT *c = s->cert;
3748     /* Extension ignored for inappropriate versions */
3749     if (!SSL_USE_SIGALGS(s))
3750         return 1;
3751     /* Should never happen */
3752     if (!c)
3753         return 0;
3754
3755     OPENSSL_free(s->s3->tmp.peer_sigalgs);
3756     s->s3->tmp.peer_sigalgs = OPENSSL_malloc(dsize);
3757     if (s->s3->tmp.peer_sigalgs == NULL)
3758         return 0;
3759     s->s3->tmp.peer_sigalgslen = dsize;
3760     memcpy(s->s3->tmp.peer_sigalgs, data, dsize);
3761     return 1;
3762 }
3763
3764 int tls1_process_sigalgs(SSL *s)
3765 {
3766     int idx;
3767     size_t i;
3768     const EVP_MD *md;
3769     const EVP_MD **pmd = s->s3->tmp.md;
3770     uint32_t *pvalid = s->s3->tmp.valid_flags;
3771     CERT *c = s->cert;
3772     TLS_SIGALGS *sigptr;
3773     if (!tls1_set_shared_sigalgs(s))
3774         return 0;
3775
3776     for (i = 0, sigptr = c->shared_sigalgs;
3777          i < c->shared_sigalgslen; i++, sigptr++) {
3778         idx = tls12_get_pkey_idx(sigptr->rsign);
3779         if (idx > 0 && pmd[idx] == NULL) {
3780             md = tls12_get_hash(sigptr->rhash);
3781             pmd[idx] = md;
3782             pvalid[idx] = CERT_PKEY_EXPLICIT_SIGN;
3783             if (idx == SSL_PKEY_RSA_SIGN) {
3784                 pvalid[SSL_PKEY_RSA_ENC] = CERT_PKEY_EXPLICIT_SIGN;
3785                 pmd[SSL_PKEY_RSA_ENC] = md;
3786             }
3787         }
3788
3789     }
3790     /*
3791      * In strict mode leave unset digests as NULL to indicate we can't use
3792      * the certificate for signing.
3793      */
3794     if (!(s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)) {
3795         /*
3796          * Set any remaining keys to default values. NOTE: if alg is not
3797          * supported it stays as NULL.
3798          */
3799 #ifndef OPENSSL_NO_DSA
3800         if (pmd[SSL_PKEY_DSA_SIGN] == NULL)
3801             pmd[SSL_PKEY_DSA_SIGN] = EVP_sha1();
3802 #endif
3803 #ifndef OPENSSL_NO_RSA
3804         if (pmd[SSL_PKEY_RSA_SIGN] == NULL) {
3805             pmd[SSL_PKEY_RSA_SIGN] = EVP_sha1();
3806             pmd[SSL_PKEY_RSA_ENC] = EVP_sha1();
3807         }
3808 #endif
3809 #ifndef OPENSSL_NO_EC
3810         if (pmd[SSL_PKEY_ECC] == NULL)
3811             pmd[SSL_PKEY_ECC] = EVP_sha1();
3812 #endif
3813 #ifndef OPENSSL_NO_GOST
3814         if (pmd[SSL_PKEY_GOST01] == NULL)
3815             pmd[SSL_PKEY_GOST01] = EVP_get_digestbynid(NID_id_GostR3411_94);
3816         if (pmd[SSL_PKEY_GOST12_256] == NULL)
3817             pmd[SSL_PKEY_GOST12_256] =
3818                 EVP_get_digestbynid(NID_id_GostR3411_2012_256);
3819         if (pmd[SSL_PKEY_GOST12_512] == NULL)
3820             pmd[SSL_PKEY_GOST12_512] =
3821                 EVP_get_digestbynid(NID_id_GostR3411_2012_512);
3822 #endif
3823     }
3824     return 1;
3825 }
3826
3827 int SSL_get_sigalgs(SSL *s, int idx,
3828                     int *psign, int *phash, int *psignhash,
3829                     unsigned char *rsig, unsigned char *rhash)
3830 {
3831     const unsigned char *psig = s->s3->tmp.peer_sigalgs;
3832     size_t numsigalgs = s->s3->tmp.peer_sigalgslen / 2;
3833     if (psig == NULL || numsigalgs > INT_MAX)
3834         return 0;
3835     if (idx >= 0) {
3836         idx <<= 1;
3837         if (idx >= (int)s->s3->tmp.peer_sigalgslen)
3838             return 0;
3839         psig += idx;
3840         if (rhash)
3841             *rhash = psig[0];
3842         if (rsig)
3843             *rsig = psig[1];
3844         tls1_lookup_sigalg(phash, psign, psignhash, psig);
3845     }
3846     return (int)numsigalgs;
3847 }
3848
3849 int SSL_get_shared_sigalgs(SSL *s, int idx,
3850                            int *psign, int *phash, int *psignhash,
3851                            unsigned char *rsig, unsigned char *rhash)
3852 {
3853     TLS_SIGALGS *shsigalgs = s->cert->shared_sigalgs;
3854     if (!shsigalgs || idx >= (int)s->cert->shared_sigalgslen
3855             || s->cert->shared_sigalgslen > INT_MAX)
3856         return 0;
3857     shsigalgs += idx;
3858     if (phash)
3859         *phash = shsigalgs->hash_nid;
3860     if (psign)
3861         *psign = shsigalgs->sign_nid;
3862     if (psignhash)
3863         *psignhash = shsigalgs->signandhash_nid;
3864     if (rsig)
3865         *rsig = shsigalgs->rsign;
3866     if (rhash)
3867         *rhash = shsigalgs->rhash;
3868     return (int)s->cert->shared_sigalgslen;
3869 }
3870
3871 #define MAX_SIGALGLEN   (TLSEXT_hash_num * TLSEXT_signature_num * 2)
3872
3873 typedef struct {
3874     size_t sigalgcnt;
3875     int sigalgs[MAX_SIGALGLEN];
3876 } sig_cb_st;
3877
3878 static void get_sigorhash(int *psig, int *phash, const char *str)
3879 {
3880     if (strcmp(str, "RSA") == 0) {
3881         *psig = EVP_PKEY_RSA;
3882     } else if (strcmp(str, "DSA") == 0) {
3883         *psig = EVP_PKEY_DSA;
3884     } else if (strcmp(str, "ECDSA") == 0) {
3885         *psig = EVP_PKEY_EC;
3886     } else {
3887         *phash = OBJ_sn2nid(str);
3888         if (*phash == NID_undef)
3889             *phash = OBJ_ln2nid(str);
3890     }
3891 }
3892
3893 static int sig_cb(const char *elem, int len, void *arg)
3894 {
3895     sig_cb_st *sarg = arg;
3896     size_t i;
3897     char etmp[20], *p;
3898     int sig_alg = NID_undef, hash_alg = NID_undef;
3899     if (elem == NULL)
3900         return 0;
3901     if (sarg->sigalgcnt == MAX_SIGALGLEN)
3902         return 0;
3903     if (len > (int)(sizeof(etmp) - 1))
3904         return 0;
3905     memcpy(etmp, elem, len);
3906     etmp[len] = 0;
3907     p = strchr(etmp, '+');
3908     if (!p)
3909         return 0;
3910     *p = 0;
3911     p++;
3912     if (!*p)
3913         return 0;
3914
3915     get_sigorhash(&sig_alg, &hash_alg, etmp);
3916     get_sigorhash(&sig_alg, &hash_alg, p);
3917
3918     if (sig_alg == NID_undef || hash_alg == NID_undef)
3919         return 0;
3920
3921     for (i = 0; i < sarg->sigalgcnt; i += 2) {
3922         if (sarg->sigalgs[i] == sig_alg && sarg->sigalgs[i + 1] == hash_alg)
3923             return 0;
3924     }
3925     sarg->sigalgs[sarg->sigalgcnt++] = hash_alg;
3926     sarg->sigalgs[sarg->sigalgcnt++] = sig_alg;
3927     return 1;
3928 }
3929
3930 /*
3931  * Set supported signature algorithms based on a colon separated list of the
3932  * form sig+hash e.g. RSA+SHA512:DSA+SHA512
3933  */
3934 int tls1_set_sigalgs_list(CERT *c, const char *str, int client)
3935 {
3936     sig_cb_st sig;
3937     sig.sigalgcnt = 0;
3938     if (!CONF_parse_list(str, ':', 1, sig_cb, &sig))
3939         return 0;
3940     if (c == NULL)
3941         return 1;
3942     return tls1_set_sigalgs(c, sig.sigalgs, sig.sigalgcnt, client);
3943 }
3944
3945 int tls1_set_sigalgs(CERT *c, const int *psig_nids, size_t salglen, int client)
3946 {
3947     unsigned char *sigalgs, *sptr;
3948     int rhash, rsign;
3949     size_t i;
3950     if (salglen & 1)
3951         return 0;
3952     sigalgs = OPENSSL_malloc(salglen);
3953     if (sigalgs == NULL)
3954         return 0;
3955     for (i = 0, sptr = sigalgs; i < salglen; i += 2) {
3956         rhash = tls12_find_id(*psig_nids++, tls12_md, OSSL_NELEM(tls12_md));
3957         rsign = tls12_find_id(*psig_nids++, tls12_sig, OSSL_NELEM(tls12_sig));
3958
3959         if (rhash == -1 || rsign == -1)
3960             goto err;
3961         *sptr++ = rhash;
3962         *sptr++ = rsign;
3963     }
3964
3965     if (client) {
3966         OPENSSL_free(c->client_sigalgs);
3967         c->client_sigalgs = sigalgs;
3968         c->client_sigalgslen = salglen;
3969     } else {
3970         OPENSSL_free(c->conf_sigalgs);
3971         c->conf_sigalgs = sigalgs;
3972         c->conf_sigalgslen = salglen;
3973     }
3974
3975     return 1;
3976
3977  err:
3978     OPENSSL_free(sigalgs);
3979     return 0;
3980 }
3981
3982 static int tls1_check_sig_alg(CERT *c, X509 *x, int default_nid)
3983 {
3984     int sig_nid;
3985     size_t i;
3986     if (default_nid == -1)
3987         return 1;
3988     sig_nid = X509_get_signature_nid(x);
3989     if (default_nid)
3990         return sig_nid == default_nid ? 1 : 0;
3991     for (i = 0; i < c->shared_sigalgslen; i++)
3992         if (sig_nid == c->shared_sigalgs[i].signandhash_nid)
3993             return 1;
3994     return 0;
3995 }
3996
3997 /* Check to see if a certificate issuer name matches list of CA names */
3998 static int ssl_check_ca_name(STACK_OF(X509_NAME) *names, X509 *x)
3999 {
4000     X509_NAME *nm;
4001     int i;
4002     nm = X509_get_issuer_name(x);
4003     for (i = 0; i < sk_X509_NAME_num(names); i++) {
4004         if (!X509_NAME_cmp(nm, sk_X509_NAME_value(names, i)))
4005             return 1;
4006     }
4007     return 0;
4008 }
4009
4010 /*
4011  * Check certificate chain is consistent with TLS extensions and is usable by
4012  * server. This servers two purposes: it allows users to check chains before
4013  * passing them to the server and it allows the server to check chains before
4014  * attempting to use them.
4015  */
4016
4017 /* Flags which need to be set for a certificate when stict mode not set */
4018
4019 #define CERT_PKEY_VALID_FLAGS \
4020         (CERT_PKEY_EE_SIGNATURE|CERT_PKEY_EE_PARAM)
4021 /* Strict mode flags */
4022 #define CERT_PKEY_STRICT_FLAGS \
4023          (CERT_PKEY_VALID_FLAGS|CERT_PKEY_CA_SIGNATURE|CERT_PKEY_CA_PARAM \
4024          | CERT_PKEY_ISSUER_NAME|CERT_PKEY_CERT_TYPE)
4025
4026 int tls1_check_chain(SSL *s, X509 *x, EVP_PKEY *pk, STACK_OF(X509) *chain,
4027                      int idx)
4028 {
4029     int i;
4030     int rv = 0;
4031     int check_flags = 0, strict_mode;
4032     CERT_PKEY *cpk = NULL;
4033     CERT *c = s->cert;
4034     uint32_t *pvalid;
4035     unsigned int suiteb_flags = tls1_suiteb(s);
4036     /* idx == -1 means checking server chains */
4037     if (idx != -1) {
4038         /* idx == -2 means checking client certificate chains */
4039         if (idx == -2) {
4040             cpk = c->key;
4041             idx = (int)(cpk - c->pkeys);
4042         } else
4043             cpk = c->pkeys + idx;
4044         pvalid = s->s3->tmp.valid_flags + idx;
4045         x = cpk->x509;
4046         pk = cpk->privatekey;
4047         chain = cpk->chain;
4048         strict_mode = c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT;
4049         /* If no cert or key, forget it */
4050         if (!x || !pk)
4051             goto end;
4052     } else {
4053         if (!x || !pk)
4054             return 0;
4055         idx = ssl_cert_type(x, pk);
4056         if (idx == -1)
4057             return 0;
4058         pvalid = s->s3->tmp.valid_flags + idx;
4059
4060         if (c->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT)
4061             check_flags = CERT_PKEY_STRICT_FLAGS;
4062         else
4063             check_flags = CERT_PKEY_VALID_FLAGS;
4064         strict_mode = 1;
4065     }
4066
4067     if (suiteb_flags) {
4068         int ok;
4069         if (check_flags)
4070             check_flags |= CERT_PKEY_SUITEB;
4071         ok = X509_chain_check_suiteb(NULL, x, chain, suiteb_flags);
4072         if (ok == X509_V_OK)
4073             rv |= CERT_PKEY_SUITEB;
4074         else if (!check_flags)
4075             goto end;
4076     }
4077
4078     /*
4079      * Check all signature algorithms are consistent with signature
4080      * algorithms extension if TLS 1.2 or later and strict mode.
4081      */
4082     if (TLS1_get_version(s) >= TLS1_2_VERSION && strict_mode) {
4083         int default_nid;
4084         unsigned char rsign = 0;
4085         if (s->s3->tmp.peer_sigalgs)
4086             default_nid = 0;
4087         /* If no sigalgs extension use defaults from RFC5246 */
4088         else {
4089             switch (idx) {
4090             case SSL_PKEY_RSA_ENC:
4091             case SSL_PKEY_RSA_SIGN:
4092                 rsign = TLSEXT_signature_rsa;
4093                 default_nid = NID_sha1WithRSAEncryption;
4094                 break;
4095
4096             case SSL_PKEY_DSA_SIGN:
4097                 rsign = TLSEXT_signature_dsa;
4098                 default_nid = NID_dsaWithSHA1;
4099                 break;
4100
4101             case SSL_PKEY_ECC:
4102                 rsign = TLSEXT_signature_ecdsa;
4103                 default_nid = NID_ecdsa_with_SHA1;
4104                 break;
4105
4106             case SSL_PKEY_GOST01:
4107                 rsign = TLSEXT_signature_gostr34102001;
4108                 default_nid = NID_id_GostR3411_94_with_GostR3410_2001;
4109                 break;
4110
4111             case SSL_PKEY_GOST12_256:
4112                 rsign = TLSEXT_signature_gostr34102012_256;
4113                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_256;
4114                 break;
4115
4116             case SSL_PKEY_GOST12_512:
4117                 rsign = TLSEXT_signature_gostr34102012_512;
4118                 default_nid = NID_id_tc26_signwithdigest_gost3410_2012_512;
4119                 break;
4120
4121             default:
4122                 default_nid = -1;
4123                 break;
4124             }
4125         }
4126         /*
4127          * If peer sent no signature algorithms extension and we have set
4128          * preferred signature algorithms check we support sha1.
4129          */
4130         if (default_nid > 0 && c->conf_sigalgs) {
4131             size_t j;
4132             const unsigned char *p = c->conf_sigalgs;
4133             for (j = 0; j < c->conf_sigalgslen; j += 2, p += 2) {
4134                 if (p[0] == TLSEXT_hash_sha1 && p[1] == rsign)
4135                     break;
4136             }
4137             if (j == c->conf_sigalgslen) {
4138                 if (check_flags)
4139                     goto skip_sigs;
4140                 else
4141                     goto end;
4142             }
4143         }
4144         /* Check signature algorithm of each cert in chain */
4145         if (!tls1_check_sig_alg(c, x, default_nid)) {
4146             if (!check_flags)
4147                 goto end;
4148         } else
4149             rv |= CERT_PKEY_EE_SIGNATURE;
4150         rv |= CERT_PKEY_CA_SIGNATURE;
4151         for (i = 0; i < sk_X509_num(chain); i++) {
4152             if (!tls1_check_sig_alg(c, sk_X509_value(chain, i), default_nid)) {
4153                 if (check_flags) {
4154                     rv &= ~CERT_PKEY_CA_SIGNATURE;
4155                     break;
4156                 } else
4157                     goto end;
4158             }
4159         }
4160     }
4161     /* Else not TLS 1.2, so mark EE and CA signing algorithms OK */
4162     else if (check_flags)
4163         rv |= CERT_PKEY_EE_SIGNATURE | CERT_PKEY_CA_SIGNATURE;
4164  skip_sigs:
4165     /* Check cert parameters are consistent */
4166     if (tls1_check_cert_param(s, x, check_flags ? 1 : 2))
4167         rv |= CERT_PKEY_EE_PARAM;
4168     else if (!check_flags)
4169         goto end;
4170     if (!s->server)
4171         rv |= CERT_PKEY_CA_PARAM;
4172     /* In strict mode check rest of chain too */
4173     else if (strict_mode) {
4174         rv |= CERT_PKEY_CA_PARAM;
4175         for (i = 0; i < sk_X509_num(chain); i++) {
4176             X509 *ca = sk_X509_value(chain, i);
4177             if (!tls1_check_cert_param(s, ca, 0)) {
4178                 if (check_flags) {
4179                     rv &= ~CERT_PKEY_CA_PARAM;
4180                     break;
4181                 } else
4182                     goto end;
4183             }
4184         }
4185     }
4186     if (!s->server && strict_mode) {
4187         STACK_OF(X509_NAME) *ca_dn;
4188         int check_type = 0;
4189         switch (EVP_PKEY_id(pk)) {
4190         case EVP_PKEY_RSA:
4191             check_type = TLS_CT_RSA_SIGN;
4192             break;
4193         case EVP_PKEY_DSA:
4194             check_type = TLS_CT_DSS_SIGN;
4195             break;
4196         case EVP_PKEY_EC:
4197             check_type = TLS_CT_ECDSA_SIGN;
4198             break;
4199         }
4200         if (check_type) {
4201             const unsigned char *ctypes;
4202             int ctypelen;
4203             if (c->ctypes) {
4204                 ctypes = c->ctypes;
4205                 ctypelen = (int)c->ctype_num;
4206             } else {
4207                 ctypes = (unsigned char *)s->s3->tmp.ctype;
4208                 ctypelen = s->s3->tmp.ctype_num;
4209             }
4210             for (i = 0; i < ctypelen; i++) {
4211                 if (ctypes[i] == check_type) {