Enable TLSProxy tests on Windows
[openssl.git] / test / recipes / 70-test_sslextension.t
1 #! /usr/bin/env perl
2 # Copyright 2015-2018 The OpenSSL Project Authors. All Rights Reserved.
3 #
4 # Licensed under the OpenSSL license (the "License").  You may not use
5 # this file except in compliance with the License.  You can obtain a copy
6 # in the file LICENSE in the source distribution or at
7 # https://www.openssl.org/source/license.html
8
9 use strict;
10 use OpenSSL::Test qw/:DEFAULT cmdstr srctop_file bldtop_dir/;
11 use OpenSSL::Test::Utils;
12 use TLSProxy::Proxy;
13
14 my $test_name = "test_sslextension";
15 setup($test_name);
16
17 plan skip_all => "TLSProxy isn't usable on $^O"
18     if $^O =~ /^(VMS)$/;
19
20 plan skip_all => "$test_name needs the dynamic engine feature enabled"
21     if disabled("engine") || disabled("dynamic-engine");
22
23 plan skip_all => "$test_name needs the sock feature enabled"
24     if disabled("sock");
25
26 plan skip_all => "$test_name needs TLS enabled"
27     if alldisabled(available_protocols("tls"));
28
29 use constant {
30     UNSOLICITED_SERVER_NAME => 0,
31     UNSOLICITED_SERVER_NAME_TLS13 => 1,
32     UNSOLICITED_SCT => 2,
33     NONCOMPLIANT_SUPPORTED_GROUPS => 3
34 };
35
36 my $testtype;
37
38 $ENV{OPENSSL_ia32cap} = '~0x200000200000000';
39 my $proxy = TLSProxy::Proxy->new(
40     \&extension_filter,
41     cmdstr(app(["openssl"]), display => 1),
42     srctop_file("apps", "server.pem"),
43     (!$ENV{HARNESS_ACTIVE} || $ENV{HARNESS_VERBOSE})
44 );
45
46 # Test 1: Sending a zero length extension block should pass
47 $proxy->start() or plan skip_all => "Unable to start up Proxy for tests";
48 plan tests => 7;
49 ok(TLSProxy::Message->success, "Zero extension length test");
50
51 sub extension_filter
52 {
53     my $proxy = shift;
54
55     if ($proxy->flight == 1) {
56         # Change the ServerRandom so that the downgrade sentinel doesn't cause
57         # the connection to fail
58         my $message = ${$proxy->message_list}[1];
59         $message->random("\0"x32);
60         $message->repack();
61         return;
62     }
63
64     # We're only interested in the initial ClientHello
65     if ($proxy->flight != 0) {
66         return;
67     }
68
69     foreach my $message (@{$proxy->message_list}) {
70         if ($message->mt == TLSProxy::Message::MT_CLIENT_HELLO) {
71             # Remove all extensions and set the extension len to zero
72             $message->extension_data({});
73             $message->extensions_len(0);
74             # Extensions have been removed so make sure we don't try to use them
75             $message->process_extensions();
76
77             $message->repack();
78         }
79     }
80 }
81
82 # Test 2-3: Sending a duplicate extension should fail.
83 sub inject_duplicate_extension
84 {
85   my ($proxy, $message_type) = @_;
86
87     foreach my $message (@{$proxy->message_list}) {
88         if ($message->mt == $message_type) {
89           my %extensions = %{$message->extension_data};
90             # Add a duplicate (unknown) extension.
91             $message->set_extension(TLSProxy::Message::EXT_DUPLICATE_EXTENSION, "");
92             $message->set_extension(TLSProxy::Message::EXT_DUPLICATE_EXTENSION, "");
93             $message->repack();
94         }
95     }
96 }
97
98 sub inject_duplicate_extension_clienthello
99 {
100     my $proxy = shift;
101
102     # We're only interested in the initial ClientHello
103     if ($proxy->flight != 0) {
104         return;
105     }
106
107     inject_duplicate_extension($proxy, TLSProxy::Message::MT_CLIENT_HELLO);
108 }
109
110 sub inject_duplicate_extension_serverhello
111 {
112     my $proxy = shift;
113
114     # We're only interested in the initial ServerHello
115     if ($proxy->flight != 1) {
116         return;
117     }
118
119     inject_duplicate_extension($proxy, TLSProxy::Message::MT_SERVER_HELLO);
120 }
121
122 $proxy->clear();
123 $proxy->filter(\&inject_duplicate_extension_clienthello);
124 $proxy->start();
125 ok(TLSProxy::Message->fail(), "Duplicate ClientHello extension");
126
127 $proxy->clear();
128 $proxy->filter(\&inject_duplicate_extension_serverhello);
129 $proxy->start();
130 ok(TLSProxy::Message->fail(), "Duplicate ServerHello extension");
131
132 sub inject_unsolicited_extension
133 {
134     my $proxy = shift;
135     my $message;
136
137     # We're only interested in the initial ServerHello/EncryptedExtensions
138     if ($proxy->flight != 1) {
139         return;
140     }
141
142     if ($testtype == UNSOLICITED_SERVER_NAME_TLS13) {
143         $message = ${$proxy->message_list}[2];
144         die "Expecting EE message ".($message->mt).", ".${$proxy->message_list}[1]->mt.", ".${$proxy->message_list}[3]->mt if $message->mt != TLSProxy::Message::MT_ENCRYPTED_EXTENSIONS;
145     } else {
146         $message = ${$proxy->message_list}[1];
147     }
148
149     my $ext = pack "C2",
150         0x00, 0x00; #Extension length
151
152     my $type;
153     if ($testtype == UNSOLICITED_SERVER_NAME
154             || $testtype == UNSOLICITED_SERVER_NAME_TLS13) {
155         $type = TLSProxy::Message::EXT_SERVER_NAME;
156     } elsif ($testtype == UNSOLICITED_SCT) {
157         $type = TLSProxy::Message::EXT_SCT;
158     } elsif ($testtype == NONCOMPLIANT_SUPPORTED_GROUPS) {
159         $type = TLSProxy::Message::EXT_SUPPORTED_GROUPS;
160     }
161     $message->set_extension($type, $ext);
162     $message->repack();
163 }
164
165 SKIP: {
166     skip "TLS <= 1.2 disabled", 2 if alldisabled(("tls1", "tls1_1", "tls1_2"));
167     #Test 4: Inject an unsolicited extension (<= TLSv1.2)
168     $proxy->clear();
169     $proxy->filter(\&inject_unsolicited_extension);
170     $testtype = UNSOLICITED_SERVER_NAME;
171     $proxy->clientflags("-no_tls1_3 -noservername");
172     $proxy->start();
173     ok(TLSProxy::Message->fail(), "Unsolicited server name extension");
174
175     #Test 5: Inject a noncompliant supported_groups extension (<= TLSv1.2)
176     $proxy->clear();
177     $proxy->filter(\&inject_unsolicited_extension);
178     $testtype = NONCOMPLIANT_SUPPORTED_GROUPS;
179     $proxy->clientflags("-no_tls1_3");
180     $proxy->start();
181     ok(TLSProxy::Message->success(), "Noncompliant supported_groups extension");
182 }
183
184 SKIP: {
185     skip "TLS <= 1.2 or CT disabled", 1
186         if alldisabled(("tls1", "tls1_1", "tls1_2")) || disabled("ct");
187     #Test 6: Same as above for the SCT extension which has special handling
188     $proxy->clear();
189     $testtype = UNSOLICITED_SCT;
190     $proxy->clientflags("-no_tls1_3");
191     $proxy->start();
192     ok(TLSProxy::Message->fail(), "Unsolicited sct extension");
193 }
194
195 SKIP: {
196     skip "TLS 1.3 disabled", 1 if disabled("tls1_3");
197     #Test 7: Inject an unsolicited extension (TLSv1.3)
198     $proxy->clear();
199     $proxy->filter(\&inject_unsolicited_extension);
200     $testtype = UNSOLICITED_SERVER_NAME_TLS13;
201     $proxy->clientflags("-noservername");
202     $proxy->start();
203     ok(TLSProxy::Message->fail(), "Unsolicited server name extension (TLSv1.3)");
204 }