Add regression test for #9099
[openssl.git] / test / sslapitest.c
1 /*
2  * Copyright 2016-2018 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the Apache License 2.0 (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <string.h>
12
13 #include <openssl/opensslconf.h>
14 #include <openssl/bio.h>
15 #include <openssl/crypto.h>
16 #include <openssl/ssl.h>
17 #include <openssl/ocsp.h>
18 #include <openssl/srp.h>
19 #include <openssl/txt_db.h>
20 #include <openssl/aes.h>
21 #include <openssl/rand.h>
22
23 #include "ssltestlib.h"
24 #include "testutil.h"
25 #include "testutil/output.h"
26 #include "internal/nelem.h"
27 #include "internal/ktls.h"
28 #include "../ssl/ssl_locl.h"
29
30 #ifndef OPENSSL_NO_TLS1_3
31
32 static SSL_SESSION *clientpsk = NULL;
33 static SSL_SESSION *serverpsk = NULL;
34 static const char *pskid = "Identity";
35 static const char *srvid;
36
37 static int use_session_cb(SSL *ssl, const EVP_MD *md, const unsigned char **id,
38                           size_t *idlen, SSL_SESSION **sess);
39 static int find_session_cb(SSL *ssl, const unsigned char *identity,
40                            size_t identity_len, SSL_SESSION **sess);
41
42 static int use_session_cb_cnt = 0;
43 static int find_session_cb_cnt = 0;
44
45 static SSL_SESSION *create_a_psk(SSL *ssl);
46 #endif
47
48 static char *cert = NULL;
49 static char *privkey = NULL;
50 static char *srpvfile = NULL;
51 static char *tmpfilename = NULL;
52
53 #define LOG_BUFFER_SIZE 2048
54 static char server_log_buffer[LOG_BUFFER_SIZE + 1] = {0};
55 static size_t server_log_buffer_index = 0;
56 static char client_log_buffer[LOG_BUFFER_SIZE + 1] = {0};
57 static size_t client_log_buffer_index = 0;
58 static int error_writing_log = 0;
59
60 #ifndef OPENSSL_NO_OCSP
61 static const unsigned char orespder[] = "Dummy OCSP Response";
62 static int ocsp_server_called = 0;
63 static int ocsp_client_called = 0;
64
65 static int cdummyarg = 1;
66 static X509 *ocspcert = NULL;
67 #endif
68
69 #define NUM_EXTRA_CERTS 40
70 #define CLIENT_VERSION_LEN      2
71
72 /*
73  * This structure is used to validate that the correct number of log messages
74  * of various types are emitted when emitting secret logs.
75  */
76 struct sslapitest_log_counts {
77     unsigned int rsa_key_exchange_count;
78     unsigned int master_secret_count;
79     unsigned int client_early_secret_count;
80     unsigned int client_handshake_secret_count;
81     unsigned int server_handshake_secret_count;
82     unsigned int client_application_secret_count;
83     unsigned int server_application_secret_count;
84     unsigned int early_exporter_secret_count;
85     unsigned int exporter_secret_count;
86 };
87
88
89 static unsigned char serverinfov1[] = {
90     0xff, 0xff, /* Dummy extension type */
91     0x00, 0x01, /* Extension length is 1 byte */
92     0xff        /* Dummy extension data */
93 };
94
95 static unsigned char serverinfov2[] = {
96     0x00, 0x00, 0x00,
97     (unsigned char)(SSL_EXT_CLIENT_HELLO & 0xff), /* Dummy context - 4 bytes */
98     0xff, 0xff, /* Dummy extension type */
99     0x00, 0x01, /* Extension length is 1 byte */
100     0xff        /* Dummy extension data */
101 };
102
103 static void client_keylog_callback(const SSL *ssl, const char *line)
104 {
105     int line_length = strlen(line);
106
107     /* If the log doesn't fit, error out. */
108     if (client_log_buffer_index + line_length > sizeof(client_log_buffer) - 1) {
109         TEST_info("Client log too full");
110         error_writing_log = 1;
111         return;
112     }
113
114     strcat(client_log_buffer, line);
115     client_log_buffer_index += line_length;
116     client_log_buffer[client_log_buffer_index++] = '\n';
117 }
118
119 static void server_keylog_callback(const SSL *ssl, const char *line)
120 {
121     int line_length = strlen(line);
122
123     /* If the log doesn't fit, error out. */
124     if (server_log_buffer_index + line_length > sizeof(server_log_buffer) - 1) {
125         TEST_info("Server log too full");
126         error_writing_log = 1;
127         return;
128     }
129
130     strcat(server_log_buffer, line);
131     server_log_buffer_index += line_length;
132     server_log_buffer[server_log_buffer_index++] = '\n';
133 }
134
135 static int compare_hex_encoded_buffer(const char *hex_encoded,
136                                       size_t hex_length,
137                                       const uint8_t *raw,
138                                       size_t raw_length)
139 {
140     size_t i, j;
141     char hexed[3];
142
143     if (!TEST_size_t_eq(raw_length * 2, hex_length))
144         return 1;
145
146     for (i = j = 0; i < raw_length && j + 1 < hex_length; i++, j += 2) {
147         sprintf(hexed, "%02x", raw[i]);
148         if (!TEST_int_eq(hexed[0], hex_encoded[j])
149                 || !TEST_int_eq(hexed[1], hex_encoded[j + 1]))
150             return 1;
151     }
152
153     return 0;
154 }
155
156 static int test_keylog_output(char *buffer, const SSL *ssl,
157                               const SSL_SESSION *session,
158                               struct sslapitest_log_counts *expected)
159 {
160     char *token = NULL;
161     unsigned char actual_client_random[SSL3_RANDOM_SIZE] = {0};
162     size_t client_random_size = SSL3_RANDOM_SIZE;
163     unsigned char actual_master_key[SSL_MAX_MASTER_KEY_LENGTH] = {0};
164     size_t master_key_size = SSL_MAX_MASTER_KEY_LENGTH;
165     unsigned int rsa_key_exchange_count = 0;
166     unsigned int master_secret_count = 0;
167     unsigned int client_early_secret_count = 0;
168     unsigned int client_handshake_secret_count = 0;
169     unsigned int server_handshake_secret_count = 0;
170     unsigned int client_application_secret_count = 0;
171     unsigned int server_application_secret_count = 0;
172     unsigned int early_exporter_secret_count = 0;
173     unsigned int exporter_secret_count = 0;
174
175     for (token = strtok(buffer, " \n"); token != NULL;
176          token = strtok(NULL, " \n")) {
177         if (strcmp(token, "RSA") == 0) {
178             /*
179              * Premaster secret. Tokens should be: 16 ASCII bytes of
180              * hex-encoded encrypted secret, then the hex-encoded pre-master
181              * secret.
182              */
183             if (!TEST_ptr(token = strtok(NULL, " \n")))
184                 return 0;
185             if (!TEST_size_t_eq(strlen(token), 16))
186                 return 0;
187             if (!TEST_ptr(token = strtok(NULL, " \n")))
188                 return 0;
189             /*
190              * We can't sensibly check the log because the premaster secret is
191              * transient, and OpenSSL doesn't keep hold of it once the master
192              * secret is generated.
193              */
194             rsa_key_exchange_count++;
195         } else if (strcmp(token, "CLIENT_RANDOM") == 0) {
196             /*
197              * Master secret. Tokens should be: 64 ASCII bytes of hex-encoded
198              * client random, then the hex-encoded master secret.
199              */
200             client_random_size = SSL_get_client_random(ssl,
201                                                        actual_client_random,
202                                                        SSL3_RANDOM_SIZE);
203             if (!TEST_size_t_eq(client_random_size, SSL3_RANDOM_SIZE))
204                 return 0;
205
206             if (!TEST_ptr(token = strtok(NULL, " \n")))
207                 return 0;
208             if (!TEST_size_t_eq(strlen(token), 64))
209                 return 0;
210             if (!TEST_false(compare_hex_encoded_buffer(token, 64,
211                                                        actual_client_random,
212                                                        client_random_size)))
213                 return 0;
214
215             if (!TEST_ptr(token = strtok(NULL, " \n")))
216                 return 0;
217             master_key_size = SSL_SESSION_get_master_key(session,
218                                                          actual_master_key,
219                                                          master_key_size);
220             if (!TEST_size_t_ne(master_key_size, 0))
221                 return 0;
222             if (!TEST_false(compare_hex_encoded_buffer(token, strlen(token),
223                                                        actual_master_key,
224                                                        master_key_size)))
225                 return 0;
226             master_secret_count++;
227         } else if (strcmp(token, "CLIENT_EARLY_TRAFFIC_SECRET") == 0
228                     || strcmp(token, "CLIENT_HANDSHAKE_TRAFFIC_SECRET") == 0
229                     || strcmp(token, "SERVER_HANDSHAKE_TRAFFIC_SECRET") == 0
230                     || strcmp(token, "CLIENT_TRAFFIC_SECRET_0") == 0
231                     || strcmp(token, "SERVER_TRAFFIC_SECRET_0") == 0
232                     || strcmp(token, "EARLY_EXPORTER_SECRET") == 0
233                     || strcmp(token, "EXPORTER_SECRET") == 0) {
234             /*
235              * TLSv1.3 secret. Tokens should be: 64 ASCII bytes of hex-encoded
236              * client random, and then the hex-encoded secret. In this case,
237              * we treat all of these secrets identically and then just
238              * distinguish between them when counting what we saw.
239              */
240             if (strcmp(token, "CLIENT_EARLY_TRAFFIC_SECRET") == 0)
241                 client_early_secret_count++;
242             else if (strcmp(token, "CLIENT_HANDSHAKE_TRAFFIC_SECRET") == 0)
243                 client_handshake_secret_count++;
244             else if (strcmp(token, "SERVER_HANDSHAKE_TRAFFIC_SECRET") == 0)
245                 server_handshake_secret_count++;
246             else if (strcmp(token, "CLIENT_TRAFFIC_SECRET_0") == 0)
247                 client_application_secret_count++;
248             else if (strcmp(token, "SERVER_TRAFFIC_SECRET_0") == 0)
249                 server_application_secret_count++;
250             else if (strcmp(token, "EARLY_EXPORTER_SECRET") == 0)
251                 early_exporter_secret_count++;
252             else if (strcmp(token, "EXPORTER_SECRET") == 0)
253                 exporter_secret_count++;
254
255             client_random_size = SSL_get_client_random(ssl,
256                                                        actual_client_random,
257                                                        SSL3_RANDOM_SIZE);
258             if (!TEST_size_t_eq(client_random_size, SSL3_RANDOM_SIZE))
259                 return 0;
260
261             if (!TEST_ptr(token = strtok(NULL, " \n")))
262                 return 0;
263             if (!TEST_size_t_eq(strlen(token), 64))
264                 return 0;
265             if (!TEST_false(compare_hex_encoded_buffer(token, 64,
266                                                        actual_client_random,
267                                                        client_random_size)))
268                 return 0;
269
270             if (!TEST_ptr(token = strtok(NULL, " \n")))
271                 return 0;
272
273             /*
274              * TODO(TLS1.3): test that application traffic secrets are what
275              * we expect */
276         } else {
277             TEST_info("Unexpected token %s\n", token);
278             return 0;
279         }
280     }
281
282     /* Got what we expected? */
283     if (!TEST_size_t_eq(rsa_key_exchange_count,
284                         expected->rsa_key_exchange_count)
285             || !TEST_size_t_eq(master_secret_count,
286                                expected->master_secret_count)
287             || !TEST_size_t_eq(client_early_secret_count,
288                                expected->client_early_secret_count)
289             || !TEST_size_t_eq(client_handshake_secret_count,
290                                expected->client_handshake_secret_count)
291             || !TEST_size_t_eq(server_handshake_secret_count,
292                                expected->server_handshake_secret_count)
293             || !TEST_size_t_eq(client_application_secret_count,
294                                expected->client_application_secret_count)
295             || !TEST_size_t_eq(server_application_secret_count,
296                                expected->server_application_secret_count)
297             || !TEST_size_t_eq(early_exporter_secret_count,
298                                expected->early_exporter_secret_count)
299             || !TEST_size_t_eq(exporter_secret_count,
300                                expected->exporter_secret_count))
301         return 0;
302     return 1;
303 }
304
305 #if !defined(OPENSSL_NO_TLS1_2) || defined(OPENSSL_NO_TLS1_3)
306 static int test_keylog(void)
307 {
308     SSL_CTX *cctx = NULL, *sctx = NULL;
309     SSL *clientssl = NULL, *serverssl = NULL;
310     int testresult = 0;
311     struct sslapitest_log_counts expected;
312
313     /* Clean up logging space */
314     memset(&expected, 0, sizeof(expected));
315     memset(client_log_buffer, 0, sizeof(client_log_buffer));
316     memset(server_log_buffer, 0, sizeof(server_log_buffer));
317     client_log_buffer_index = 0;
318     server_log_buffer_index = 0;
319     error_writing_log = 0;
320
321     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(),
322                                        TLS_client_method(),
323                                        TLS1_VERSION, 0,
324                                        &sctx, &cctx, cert, privkey)))
325         return 0;
326
327     /* We cannot log the master secret for TLSv1.3, so we should forbid it. */
328     SSL_CTX_set_options(cctx, SSL_OP_NO_TLSv1_3);
329     SSL_CTX_set_options(sctx, SSL_OP_NO_TLSv1_3);
330
331     /* We also want to ensure that we use RSA-based key exchange. */
332     if (!TEST_true(SSL_CTX_set_cipher_list(cctx, "RSA")))
333         goto end;
334
335     if (!TEST_true(SSL_CTX_get_keylog_callback(cctx) == NULL)
336             || !TEST_true(SSL_CTX_get_keylog_callback(sctx) == NULL))
337         goto end;
338     SSL_CTX_set_keylog_callback(cctx, client_keylog_callback);
339     if (!TEST_true(SSL_CTX_get_keylog_callback(cctx)
340                    == client_keylog_callback))
341         goto end;
342     SSL_CTX_set_keylog_callback(sctx, server_keylog_callback);
343     if (!TEST_true(SSL_CTX_get_keylog_callback(sctx)
344                    == server_keylog_callback))
345         goto end;
346
347     /* Now do a handshake and check that the logs have been written to. */
348     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
349                                       &clientssl, NULL, NULL))
350             || !TEST_true(create_ssl_connection(serverssl, clientssl,
351                                                 SSL_ERROR_NONE))
352             || !TEST_false(error_writing_log)
353             || !TEST_int_gt(client_log_buffer_index, 0)
354             || !TEST_int_gt(server_log_buffer_index, 0))
355         goto end;
356
357     /*
358      * Now we want to test that our output data was vaguely sensible. We
359      * do that by using strtok and confirming that we have more or less the
360      * data we expect. For both client and server, we expect to see one master
361      * secret. The client should also see a RSA key exchange.
362      */
363     expected.rsa_key_exchange_count = 1;
364     expected.master_secret_count = 1;
365     if (!TEST_true(test_keylog_output(client_log_buffer, clientssl,
366                                       SSL_get_session(clientssl), &expected)))
367         goto end;
368
369     expected.rsa_key_exchange_count = 0;
370     if (!TEST_true(test_keylog_output(server_log_buffer, serverssl,
371                                       SSL_get_session(serverssl), &expected)))
372         goto end;
373
374     testresult = 1;
375
376 end:
377     SSL_free(serverssl);
378     SSL_free(clientssl);
379     SSL_CTX_free(sctx);
380     SSL_CTX_free(cctx);
381
382     return testresult;
383 }
384 #endif
385
386 #ifndef OPENSSL_NO_TLS1_3
387 static int test_keylog_no_master_key(void)
388 {
389     SSL_CTX *cctx = NULL, *sctx = NULL;
390     SSL *clientssl = NULL, *serverssl = NULL;
391     SSL_SESSION *sess = NULL;
392     int testresult = 0;
393     struct sslapitest_log_counts expected;
394     unsigned char buf[1];
395     size_t readbytes, written;
396
397     /* Clean up logging space */
398     memset(&expected, 0, sizeof(expected));
399     memset(client_log_buffer, 0, sizeof(client_log_buffer));
400     memset(server_log_buffer, 0, sizeof(server_log_buffer));
401     client_log_buffer_index = 0;
402     server_log_buffer_index = 0;
403     error_writing_log = 0;
404
405     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
406                                        TLS1_VERSION, 0,
407                                        &sctx, &cctx, cert, privkey))
408         || !TEST_true(SSL_CTX_set_max_early_data(sctx,
409                                                  SSL3_RT_MAX_PLAIN_LENGTH)))
410         return 0;
411
412     if (!TEST_true(SSL_CTX_get_keylog_callback(cctx) == NULL)
413             || !TEST_true(SSL_CTX_get_keylog_callback(sctx) == NULL))
414         goto end;
415
416     SSL_CTX_set_keylog_callback(cctx, client_keylog_callback);
417     if (!TEST_true(SSL_CTX_get_keylog_callback(cctx)
418                    == client_keylog_callback))
419         goto end;
420
421     SSL_CTX_set_keylog_callback(sctx, server_keylog_callback);
422     if (!TEST_true(SSL_CTX_get_keylog_callback(sctx)
423                    == server_keylog_callback))
424         goto end;
425
426     /* Now do a handshake and check that the logs have been written to. */
427     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
428                                       &clientssl, NULL, NULL))
429             || !TEST_true(create_ssl_connection(serverssl, clientssl,
430                                                 SSL_ERROR_NONE))
431             || !TEST_false(error_writing_log))
432         goto end;
433
434     /*
435      * Now we want to test that our output data was vaguely sensible. For this
436      * test, we expect no CLIENT_RANDOM entry because it doesn't make sense for
437      * TLSv1.3, but we do expect both client and server to emit keys.
438      */
439     expected.client_handshake_secret_count = 1;
440     expected.server_handshake_secret_count = 1;
441     expected.client_application_secret_count = 1;
442     expected.server_application_secret_count = 1;
443     expected.exporter_secret_count = 1;
444     if (!TEST_true(test_keylog_output(client_log_buffer, clientssl,
445                                       SSL_get_session(clientssl), &expected))
446             || !TEST_true(test_keylog_output(server_log_buffer, serverssl,
447                                              SSL_get_session(serverssl),
448                                              &expected)))
449         goto end;
450
451     /* Terminate old session and resume with early data. */
452     sess = SSL_get1_session(clientssl);
453     SSL_shutdown(clientssl);
454     SSL_shutdown(serverssl);
455     SSL_free(serverssl);
456     SSL_free(clientssl);
457     serverssl = clientssl = NULL;
458
459     /* Reset key log */
460     memset(client_log_buffer, 0, sizeof(client_log_buffer));
461     memset(server_log_buffer, 0, sizeof(server_log_buffer));
462     client_log_buffer_index = 0;
463     server_log_buffer_index = 0;
464
465     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
466                                       &clientssl, NULL, NULL))
467             || !TEST_true(SSL_set_session(clientssl, sess))
468             /* Here writing 0 length early data is enough. */
469             || !TEST_true(SSL_write_early_data(clientssl, NULL, 0, &written))
470             || !TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
471                                                 &readbytes),
472                             SSL_READ_EARLY_DATA_ERROR)
473             || !TEST_int_eq(SSL_get_early_data_status(serverssl),
474                             SSL_EARLY_DATA_ACCEPTED)
475             || !TEST_true(create_ssl_connection(serverssl, clientssl,
476                           SSL_ERROR_NONE))
477             || !TEST_true(SSL_session_reused(clientssl)))
478         goto end;
479
480     /* In addition to the previous entries, expect early secrets. */
481     expected.client_early_secret_count = 1;
482     expected.early_exporter_secret_count = 1;
483     if (!TEST_true(test_keylog_output(client_log_buffer, clientssl,
484                                       SSL_get_session(clientssl), &expected))
485             || !TEST_true(test_keylog_output(server_log_buffer, serverssl,
486                                              SSL_get_session(serverssl),
487                                              &expected)))
488         goto end;
489
490     testresult = 1;
491
492 end:
493     SSL_SESSION_free(sess);
494     SSL_free(serverssl);
495     SSL_free(clientssl);
496     SSL_CTX_free(sctx);
497     SSL_CTX_free(cctx);
498
499     return testresult;
500 }
501 #endif
502
503 #ifndef OPENSSL_NO_TLS1_2
504 static int full_client_hello_callback(SSL *s, int *al, void *arg)
505 {
506     int *ctr = arg;
507     const unsigned char *p;
508     int *exts;
509     /* We only configure two ciphers, but the SCSV is added automatically. */
510 #ifdef OPENSSL_NO_EC
511     const unsigned char expected_ciphers[] = {0x00, 0x9d, 0x00, 0xff};
512 #else
513     const unsigned char expected_ciphers[] = {0x00, 0x9d, 0xc0,
514                                               0x2c, 0x00, 0xff};
515 #endif
516     const int expected_extensions[] = {
517 #ifndef OPENSSL_NO_EC
518                                        11, 10,
519 #endif
520                                        35, 22, 23, 13};
521     size_t len;
522
523     /* Make sure we can defer processing and get called back. */
524     if ((*ctr)++ == 0)
525         return SSL_CLIENT_HELLO_RETRY;
526
527     len = SSL_client_hello_get0_ciphers(s, &p);
528     if (!TEST_mem_eq(p, len, expected_ciphers, sizeof(expected_ciphers))
529             || !TEST_size_t_eq(
530                        SSL_client_hello_get0_compression_methods(s, &p), 1)
531             || !TEST_int_eq(*p, 0))
532         return SSL_CLIENT_HELLO_ERROR;
533     if (!SSL_client_hello_get1_extensions_present(s, &exts, &len))
534         return SSL_CLIENT_HELLO_ERROR;
535     if (len != OSSL_NELEM(expected_extensions) ||
536         memcmp(exts, expected_extensions, len * sizeof(*exts)) != 0) {
537         printf("ClientHello callback expected extensions mismatch\n");
538         OPENSSL_free(exts);
539         return SSL_CLIENT_HELLO_ERROR;
540     }
541     OPENSSL_free(exts);
542     return SSL_CLIENT_HELLO_SUCCESS;
543 }
544
545 static int test_client_hello_cb(void)
546 {
547     SSL_CTX *cctx = NULL, *sctx = NULL;
548     SSL *clientssl = NULL, *serverssl = NULL;
549     int testctr = 0, testresult = 0;
550
551     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
552                                        TLS1_VERSION, 0,
553                                        &sctx, &cctx, cert, privkey)))
554         goto end;
555     SSL_CTX_set_client_hello_cb(sctx, full_client_hello_callback, &testctr);
556
557     /* The gimpy cipher list we configure can't do TLS 1.3. */
558     SSL_CTX_set_max_proto_version(cctx, TLS1_2_VERSION);
559
560     if (!TEST_true(SSL_CTX_set_cipher_list(cctx,
561                         "AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384"))
562             || !TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
563                                              &clientssl, NULL, NULL))
564             || !TEST_false(create_ssl_connection(serverssl, clientssl,
565                         SSL_ERROR_WANT_CLIENT_HELLO_CB))
566                 /*
567                  * Passing a -1 literal is a hack since
568                  * the real value was lost.
569                  * */
570             || !TEST_int_eq(SSL_get_error(serverssl, -1),
571                             SSL_ERROR_WANT_CLIENT_HELLO_CB)
572             || !TEST_true(create_ssl_connection(serverssl, clientssl,
573                                                 SSL_ERROR_NONE)))
574         goto end;
575
576     testresult = 1;
577
578 end:
579     SSL_free(serverssl);
580     SSL_free(clientssl);
581     SSL_CTX_free(sctx);
582     SSL_CTX_free(cctx);
583
584     return testresult;
585 }
586
587 static int test_no_ems(void)
588 {
589     SSL_CTX *cctx = NULL, *sctx = NULL;
590     SSL *clientssl = NULL, *serverssl = NULL;
591     int testresult = 0;
592
593     if (!create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
594                              TLS1_VERSION, TLS1_2_VERSION,
595                              &sctx, &cctx, cert, privkey)) {
596         printf("Unable to create SSL_CTX pair\n");
597         goto end;
598     }
599
600     SSL_CTX_set_options(sctx, SSL_OP_NO_EXTENDED_MASTER_SECRET);
601
602     if (!create_ssl_objects(sctx, cctx, &serverssl, &clientssl, NULL, NULL)) {
603         printf("Unable to create SSL objects\n");
604         goto end;
605     }
606
607     if (!create_ssl_connection(serverssl, clientssl, SSL_ERROR_NONE)) {
608         printf("Creating SSL connection failed\n");
609         goto end;
610     }
611
612     if (SSL_get_extms_support(serverssl)) {
613         printf("Server reports Extended Master Secret support\n");
614         goto end;
615     }
616
617     if (SSL_get_extms_support(clientssl)) {
618         printf("Client reports Extended Master Secret support\n");
619         goto end;
620     }
621     testresult = 1;
622
623 end:
624     SSL_free(serverssl);
625     SSL_free(clientssl);
626     SSL_CTX_free(sctx);
627     SSL_CTX_free(cctx);
628
629     return testresult;
630 }
631 #endif
632
633 static int execute_test_large_message(const SSL_METHOD *smeth,
634                                       const SSL_METHOD *cmeth,
635                                       int min_version, int max_version,
636                                       int read_ahead)
637 {
638     SSL_CTX *cctx = NULL, *sctx = NULL;
639     SSL *clientssl = NULL, *serverssl = NULL;
640     int testresult = 0;
641     int i;
642     BIO *certbio = NULL;
643     X509 *chaincert = NULL;
644     int certlen;
645
646     if (!TEST_ptr(certbio = BIO_new_file(cert, "r")))
647         goto end;
648     chaincert = PEM_read_bio_X509(certbio, NULL, NULL, NULL);
649     BIO_free(certbio);
650     certbio = NULL;
651     if (!TEST_ptr(chaincert))
652         goto end;
653
654     if (!TEST_true(create_ssl_ctx_pair(smeth, cmeth, min_version, max_version,
655                                        &sctx, &cctx, cert, privkey)))
656         goto end;
657
658     if (read_ahead) {
659         /*
660          * Test that read_ahead works correctly when dealing with large
661          * records
662          */
663         SSL_CTX_set_read_ahead(cctx, 1);
664     }
665
666     /*
667      * We assume the supplied certificate is big enough so that if we add
668      * NUM_EXTRA_CERTS it will make the overall message large enough. The
669      * default buffer size is requested to be 16k, but due to the way BUF_MEM
670      * works, it ends up allocating a little over 21k (16 * 4/3). So, in this
671      * test we need to have a message larger than that.
672      */
673     certlen = i2d_X509(chaincert, NULL);
674     OPENSSL_assert(certlen * NUM_EXTRA_CERTS >
675                    (SSL3_RT_MAX_PLAIN_LENGTH * 4) / 3);
676     for (i = 0; i < NUM_EXTRA_CERTS; i++) {
677         if (!X509_up_ref(chaincert))
678             goto end;
679         if (!SSL_CTX_add_extra_chain_cert(sctx, chaincert)) {
680             X509_free(chaincert);
681             goto end;
682         }
683     }
684
685     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl, &clientssl,
686                                       NULL, NULL))
687             || !TEST_true(create_ssl_connection(serverssl, clientssl,
688                                                 SSL_ERROR_NONE)))
689         goto end;
690
691     /*
692      * Calling SSL_clear() first is not required but this tests that SSL_clear()
693      * doesn't leak (when using enable-crypto-mdebug).
694      */
695     if (!TEST_true(SSL_clear(serverssl)))
696         goto end;
697
698     testresult = 1;
699  end:
700     X509_free(chaincert);
701     SSL_free(serverssl);
702     SSL_free(clientssl);
703     SSL_CTX_free(sctx);
704     SSL_CTX_free(cctx);
705
706     return testresult;
707 }
708
709 #if !defined(OPENSSL_NO_TLS1_2) && !defined(OPENSSL_NO_KTLS) \
710     && !defined(OPENSSL_NO_SOCK)
711
712 /* sock must be connected */
713 static int ktls_chk_platform(int sock)
714 {
715     if (!ktls_enable(sock))
716         return 0;
717     return 1;
718 }
719
720 static int ping_pong_query(SSL *clientssl, SSL *serverssl, int cfd, int sfd)
721 {
722     static char count = 1;
723     unsigned char cbuf[16000] = {0};
724     unsigned char sbuf[16000];
725     size_t err = 0;
726     char crec_wseq_before[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
727     char crec_wseq_after[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
728     char crec_rseq_before[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
729     char crec_rseq_after[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
730     char srec_wseq_before[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
731     char srec_wseq_after[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
732     char srec_rseq_before[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
733     char srec_rseq_after[TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE];
734
735     cbuf[0] = count++;
736     memcpy(crec_wseq_before, &clientssl->rlayer.write_sequence,
737             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
738     memcpy(crec_rseq_before, &clientssl->rlayer.read_sequence,
739             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
740     memcpy(srec_wseq_before, &serverssl->rlayer.write_sequence,
741             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
742     memcpy(srec_rseq_before, &serverssl->rlayer.read_sequence,
743             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
744
745     if (!TEST_true(SSL_write(clientssl, cbuf, sizeof(cbuf)) == sizeof(cbuf)))
746         goto end;
747
748     while ((err = SSL_read(serverssl, &sbuf, sizeof(sbuf))) != sizeof(sbuf)) {
749         if (SSL_get_error(serverssl, err) != SSL_ERROR_WANT_READ) {
750             goto end;
751         }
752     }
753
754     if (!TEST_true(SSL_write(serverssl, sbuf, sizeof(sbuf)) == sizeof(sbuf)))
755         goto end;
756
757     while ((err = SSL_read(clientssl, &cbuf, sizeof(cbuf))) != sizeof(cbuf)) {
758         if (SSL_get_error(clientssl, err) != SSL_ERROR_WANT_READ) {
759             goto end;
760         }
761     }
762
763     memcpy(crec_wseq_after, &clientssl->rlayer.write_sequence,
764             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
765     memcpy(crec_rseq_after, &clientssl->rlayer.read_sequence,
766             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
767     memcpy(srec_wseq_after, &serverssl->rlayer.write_sequence,
768             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
769     memcpy(srec_rseq_after, &serverssl->rlayer.read_sequence,
770             TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE);
771
772     /* verify the payload */
773     if (!TEST_mem_eq(cbuf, sizeof(cbuf), sbuf, sizeof(sbuf)))
774         goto end;
775
776     /* ktls is used then kernel sequences are used instead of OpenSSL sequences */
777     if (clientssl->mode & SSL_MODE_NO_KTLS_TX) {
778         if (!TEST_mem_ne(crec_wseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
779                          crec_wseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
780             goto end;
781     } else {
782         if (!TEST_mem_eq(crec_wseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
783                          crec_wseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
784             goto end;
785     }
786
787     if (serverssl->mode & SSL_MODE_NO_KTLS_TX) {
788         if (!TEST_mem_ne(srec_wseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
789                          srec_wseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
790             goto end;
791     } else {
792         if (!TEST_mem_eq(srec_wseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
793                          srec_wseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
794             goto end;
795     }
796
797     if (clientssl->mode & SSL_MODE_NO_KTLS_RX) {
798         if (!TEST_mem_ne(crec_rseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
799                          crec_rseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
800             goto end;
801     } else {
802         if (!TEST_mem_eq(crec_rseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
803                          crec_rseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
804             goto end;
805     }
806
807     if (serverssl->mode & SSL_MODE_NO_KTLS_RX) {
808         if (!TEST_mem_ne(srec_rseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
809                          srec_rseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
810             goto end;
811     } else {
812         if (!TEST_mem_eq(srec_rseq_before, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE,
813                          srec_rseq_after, TLS_CIPHER_AES_GCM_128_REC_SEQ_SIZE))
814             goto end;
815     }
816
817     return 1;
818 end:
819     return 0;
820 }
821
822 static int execute_test_ktls(int cis_ktls_tx, int cis_ktls_rx,
823                              int sis_ktls_tx, int sis_ktls_rx)
824 {
825     SSL_CTX *cctx = NULL, *sctx = NULL;
826     SSL *clientssl = NULL, *serverssl = NULL;
827     int testresult = 0;
828     int cfd, sfd;
829
830     if (!TEST_true(create_test_sockets(&cfd, &sfd)))
831         goto end;
832
833     /* Skip this test if the platform does not support ktls */
834     if (!ktls_chk_platform(cfd))
835         return 1;
836
837     /* Create a session based on SHA-256 */
838     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(),
839                                        TLS_client_method(),
840                                        TLS1_2_VERSION, TLS1_2_VERSION,
841                                        &sctx, &cctx, cert, privkey))
842             || !TEST_true(SSL_CTX_set_cipher_list(cctx,
843                                                   "AES128-GCM-SHA256"))
844             || !TEST_true(create_ssl_objects2(sctx, cctx, &serverssl,
845                                           &clientssl, sfd, cfd)))
846         goto end;
847
848     if (!cis_ktls_tx) {
849         if (!TEST_true(SSL_set_mode(clientssl, SSL_MODE_NO_KTLS_TX)))
850             goto end;
851     }
852
853     if (!sis_ktls_tx) {
854         if (!TEST_true(SSL_set_mode(serverssl, SSL_MODE_NO_KTLS_TX)))
855             goto end;
856     }
857
858     if (!cis_ktls_rx) {
859         if (!TEST_true(SSL_set_mode(clientssl, SSL_MODE_NO_KTLS_RX)))
860             goto end;
861     }
862
863     if (!sis_ktls_rx) {
864         if (!TEST_true(SSL_set_mode(serverssl, SSL_MODE_NO_KTLS_RX)))
865             goto end;
866     }
867
868     if (!TEST_true(create_ssl_connection(serverssl, clientssl,
869                                                 SSL_ERROR_NONE)))
870         goto end;
871
872     if (!cis_ktls_tx) {
873         if (!TEST_false(BIO_get_ktls_send(clientssl->wbio)))
874             goto end;
875     } else {
876         if (!TEST_true(BIO_get_ktls_send(clientssl->wbio)))
877             goto end;
878     }
879
880     if (!sis_ktls_tx) {
881         if (!TEST_false(BIO_get_ktls_send(serverssl->wbio)))
882             goto end;
883     } else {
884         if (!TEST_true(BIO_get_ktls_send(serverssl->wbio)))
885             goto end;
886     }
887
888     if (!cis_ktls_rx) {
889         if (!TEST_false(BIO_get_ktls_recv(clientssl->rbio)))
890             goto end;
891     } else {
892         if (!TEST_true(BIO_get_ktls_recv(clientssl->rbio)))
893             goto end;
894     }
895
896     if (!sis_ktls_rx) {
897         if (!TEST_false(BIO_get_ktls_recv(serverssl->rbio)))
898             goto end;
899     } else {
900         if (!TEST_true(BIO_get_ktls_recv(serverssl->rbio)))
901             goto end;
902     }
903
904     if (!TEST_true(ping_pong_query(clientssl, serverssl, cfd, sfd)))
905         goto end;
906
907     testresult = 1;
908 end:
909     if (clientssl) {
910         SSL_shutdown(clientssl);
911         SSL_free(clientssl);
912     }
913     if (serverssl) {
914         SSL_shutdown(serverssl);
915         SSL_free(serverssl);
916     }
917     SSL_CTX_free(sctx);
918     SSL_CTX_free(cctx);
919     serverssl = clientssl = NULL;
920     return testresult;
921 }
922
923 #define SENDFILE_SZ                     (16 * 4096)
924 #define SENDFILE_CHUNK                  (4 * 4096)
925 #define min(a,b)                        ((a) > (b) ? (b) : (a))
926
927 static int test_ktls_sendfile(void)
928 {
929     SSL_CTX *cctx = NULL, *sctx = NULL;
930     SSL *clientssl = NULL, *serverssl = NULL;
931     unsigned char *buf, *buf_dst;
932     BIO *out = NULL, *in = NULL;
933     int cfd, sfd, ffd, err;
934     ssize_t chunk_size = 0;
935     off_t chunk_off = 0;
936     int testresult = 0;
937     FILE *ffdp;
938
939     buf = OPENSSL_zalloc(SENDFILE_SZ);
940     buf_dst = OPENSSL_zalloc(SENDFILE_SZ);
941     if (!TEST_ptr(buf) || !TEST_ptr(buf_dst)
942         || !TEST_true(create_test_sockets(&cfd, &sfd)))
943         goto end;
944
945     /* Skip this test if the platform does not support ktls */
946     if (!ktls_chk_platform(sfd)) {
947         testresult = 1;
948         goto end;
949     }
950
951     /* Create a session based on SHA-256 */
952     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(),
953                                        TLS_client_method(),
954                                        TLS1_2_VERSION, TLS1_2_VERSION,
955                                        &sctx, &cctx, cert, privkey))
956         || !TEST_true(SSL_CTX_set_cipher_list(cctx,
957                                               "AES128-GCM-SHA256"))
958         || !TEST_true(create_ssl_objects2(sctx, cctx, &serverssl,
959                                           &clientssl, sfd, cfd)))
960         goto end;
961
962     if (!TEST_true(create_ssl_connection(serverssl, clientssl,
963                                          SSL_ERROR_NONE))
964         || !TEST_true(BIO_get_ktls_send(serverssl->wbio)))
965         goto end;
966
967     RAND_bytes(buf, SENDFILE_SZ);
968     out = BIO_new_file(tmpfilename, "wb");
969     if (!TEST_ptr(out))
970         goto end;
971
972     if (BIO_write(out, buf, SENDFILE_SZ) != SENDFILE_SZ)
973         goto end;
974
975     BIO_free(out);
976     out = NULL;
977     in = BIO_new_file(tmpfilename, "rb");
978     BIO_get_fp(in, &ffdp);
979     ffd = fileno(ffdp);
980
981     while (chunk_off < SENDFILE_SZ) {
982         chunk_size = min(SENDFILE_CHUNK, SENDFILE_SZ - chunk_off);
983         while ((err = SSL_sendfile(serverssl,
984                                    ffd,
985                                    chunk_off,
986                                    chunk_size,
987                                    0)) != chunk_size) {
988             if (SSL_get_error(serverssl, err) != SSL_ERROR_WANT_WRITE)
989                 goto end;
990         }
991         while ((err = SSL_read(clientssl,
992                                buf_dst + chunk_off,
993                                chunk_size)) != chunk_size) {
994             if (SSL_get_error(clientssl, err) != SSL_ERROR_WANT_READ)
995                 goto end;
996         }
997
998         /* verify the payload */
999         if (!TEST_mem_eq(buf_dst + chunk_off,
1000                          chunk_size,
1001                          buf + chunk_off,
1002                          chunk_size))
1003             goto end;
1004
1005         chunk_off += chunk_size;
1006     }
1007
1008     testresult = 1;
1009 end:
1010     if (clientssl) {
1011         SSL_shutdown(clientssl);
1012         SSL_free(clientssl);
1013     }
1014     if (serverssl) {
1015         SSL_shutdown(serverssl);
1016         SSL_free(serverssl);
1017     }
1018     SSL_CTX_free(sctx);
1019     SSL_CTX_free(cctx);
1020     serverssl = clientssl = NULL;
1021     BIO_free(out);
1022     BIO_free(in);
1023     OPENSSL_free(buf);
1024     OPENSSL_free(buf_dst);
1025     return testresult;
1026 }
1027
1028 static int test_ktls_no_txrx_client_no_txrx_server(void)
1029 {
1030     return execute_test_ktls(0, 0, 0, 0);
1031 }
1032
1033 static int test_ktls_no_rx_client_no_txrx_server(void)
1034 {
1035     return execute_test_ktls(1, 0, 0, 0);
1036 }
1037
1038 static int test_ktls_no_tx_client_no_txrx_server(void)
1039 {
1040     return execute_test_ktls(0, 1, 0, 0);
1041 }
1042
1043 static int test_ktls_client_no_txrx_server(void)
1044 {
1045     return execute_test_ktls(1, 1, 0, 0);
1046 }
1047
1048 static int test_ktls_no_txrx_client_no_rx_server(void)
1049 {
1050     return execute_test_ktls(0, 0, 1, 0);
1051 }
1052
1053 static int test_ktls_no_rx_client_no_rx_server(void)
1054 {
1055     return execute_test_ktls(1, 0, 1, 0);
1056 }
1057
1058 static int test_ktls_no_tx_client_no_rx_server(void)
1059 {
1060     return execute_test_ktls(0, 1, 1, 0);
1061 }
1062
1063 static int test_ktls_client_no_rx_server(void)
1064 {
1065     return execute_test_ktls(1, 1, 1, 0);
1066 }
1067
1068 static int test_ktls_no_txrx_client_no_tx_server(void)
1069 {
1070     return execute_test_ktls(0, 0, 0, 1);
1071 }
1072
1073 static int test_ktls_no_rx_client_no_tx_server(void)
1074 {
1075     return execute_test_ktls(1, 0, 0, 1);
1076 }
1077
1078 static int test_ktls_no_tx_client_no_tx_server(void)
1079 {
1080     return execute_test_ktls(0, 1, 0, 1);
1081 }
1082
1083 static int test_ktls_client_no_tx_server(void)
1084 {
1085     return execute_test_ktls(1, 1, 0, 1);
1086 }
1087
1088 static int test_ktls_no_txrx_client_server(void)
1089 {
1090     return execute_test_ktls(0, 0, 1, 1);
1091 }
1092
1093 static int test_ktls_no_rx_client_server(void)
1094 {
1095     return execute_test_ktls(1, 0, 1, 1);
1096 }
1097
1098 static int test_ktls_no_tx_client_server(void)
1099 {
1100     return execute_test_ktls(0, 1, 1, 1);
1101 }
1102
1103 static int test_ktls_client_server(void)
1104 {
1105     return execute_test_ktls(1, 1, 1, 1);
1106 }
1107 #endif
1108
1109 static int test_large_message_tls(void)
1110 {
1111     return execute_test_large_message(TLS_server_method(), TLS_client_method(),
1112                                       TLS1_VERSION, 0, 0);
1113 }
1114
1115 static int test_large_message_tls_read_ahead(void)
1116 {
1117     return execute_test_large_message(TLS_server_method(), TLS_client_method(),
1118                                       TLS1_VERSION, 0, 1);
1119 }
1120
1121 #ifndef OPENSSL_NO_DTLS
1122 static int test_large_message_dtls(void)
1123 {
1124     /*
1125      * read_ahead is not relevant to DTLS because DTLS always acts as if
1126      * read_ahead is set.
1127      */
1128     return execute_test_large_message(DTLS_server_method(),
1129                                       DTLS_client_method(),
1130                                       DTLS1_VERSION, 0, 0);
1131 }
1132 #endif
1133
1134 #ifndef OPENSSL_NO_OCSP
1135 static int ocsp_server_cb(SSL *s, void *arg)
1136 {
1137     int *argi = (int *)arg;
1138     unsigned char *copy = NULL;
1139     STACK_OF(OCSP_RESPID) *ids = NULL;
1140     OCSP_RESPID *id = NULL;
1141
1142     if (*argi == 2) {
1143         /* In this test we are expecting exactly 1 OCSP_RESPID */
1144         SSL_get_tlsext_status_ids(s, &ids);
1145         if (ids == NULL || sk_OCSP_RESPID_num(ids) != 1)
1146             return SSL_TLSEXT_ERR_ALERT_FATAL;
1147
1148         id = sk_OCSP_RESPID_value(ids, 0);
1149         if (id == NULL || !OCSP_RESPID_match(id, ocspcert))
1150             return SSL_TLSEXT_ERR_ALERT_FATAL;
1151     } else if (*argi != 1) {
1152         return SSL_TLSEXT_ERR_ALERT_FATAL;
1153     }
1154
1155     if (!TEST_ptr(copy = OPENSSL_memdup(orespder, sizeof(orespder))))
1156         return SSL_TLSEXT_ERR_ALERT_FATAL;
1157
1158     SSL_set_tlsext_status_ocsp_resp(s, copy, sizeof(orespder));
1159     ocsp_server_called = 1;
1160     return SSL_TLSEXT_ERR_OK;
1161 }
1162
1163 static int ocsp_client_cb(SSL *s, void *arg)
1164 {
1165     int *argi = (int *)arg;
1166     const unsigned char *respderin;
1167     size_t len;
1168
1169     if (*argi != 1 && *argi != 2)
1170         return 0;
1171
1172     len = SSL_get_tlsext_status_ocsp_resp(s, &respderin);
1173     if (!TEST_mem_eq(orespder, len, respderin, len))
1174         return 0;
1175
1176     ocsp_client_called = 1;
1177     return 1;
1178 }
1179
1180 static int test_tlsext_status_type(void)
1181 {
1182     SSL_CTX *cctx = NULL, *sctx = NULL;
1183     SSL *clientssl = NULL, *serverssl = NULL;
1184     int testresult = 0;
1185     STACK_OF(OCSP_RESPID) *ids = NULL;
1186     OCSP_RESPID *id = NULL;
1187     BIO *certbio = NULL;
1188
1189     if (!create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
1190                              TLS1_VERSION, 0,
1191                              &sctx, &cctx, cert, privkey))
1192         return 0;
1193
1194     if (SSL_CTX_get_tlsext_status_type(cctx) != -1)
1195         goto end;
1196
1197     /* First just do various checks getting and setting tlsext_status_type */
1198
1199     clientssl = SSL_new(cctx);
1200     if (!TEST_int_eq(SSL_get_tlsext_status_type(clientssl), -1)
1201             || !TEST_true(SSL_set_tlsext_status_type(clientssl,
1202                                                       TLSEXT_STATUSTYPE_ocsp))
1203             || !TEST_int_eq(SSL_get_tlsext_status_type(clientssl),
1204                             TLSEXT_STATUSTYPE_ocsp))
1205         goto end;
1206
1207     SSL_free(clientssl);
1208     clientssl = NULL;
1209
1210     if (!SSL_CTX_set_tlsext_status_type(cctx, TLSEXT_STATUSTYPE_ocsp)
1211      || SSL_CTX_get_tlsext_status_type(cctx) != TLSEXT_STATUSTYPE_ocsp)
1212         goto end;
1213
1214     clientssl = SSL_new(cctx);
1215     if (SSL_get_tlsext_status_type(clientssl) != TLSEXT_STATUSTYPE_ocsp)
1216         goto end;
1217     SSL_free(clientssl);
1218     clientssl = NULL;
1219
1220     /*
1221      * Now actually do a handshake and check OCSP information is exchanged and
1222      * the callbacks get called
1223      */
1224     SSL_CTX_set_tlsext_status_cb(cctx, ocsp_client_cb);
1225     SSL_CTX_set_tlsext_status_arg(cctx, &cdummyarg);
1226     SSL_CTX_set_tlsext_status_cb(sctx, ocsp_server_cb);
1227     SSL_CTX_set_tlsext_status_arg(sctx, &cdummyarg);
1228     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
1229                                       &clientssl, NULL, NULL))
1230             || !TEST_true(create_ssl_connection(serverssl, clientssl,
1231                                                 SSL_ERROR_NONE))
1232             || !TEST_true(ocsp_client_called)
1233             || !TEST_true(ocsp_server_called))
1234         goto end;
1235     SSL_free(serverssl);
1236     SSL_free(clientssl);
1237     serverssl = NULL;
1238     clientssl = NULL;
1239
1240     /* Try again but this time force the server side callback to fail */
1241     ocsp_client_called = 0;
1242     ocsp_server_called = 0;
1243     cdummyarg = 0;
1244     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
1245                                       &clientssl, NULL, NULL))
1246                 /* This should fail because the callback will fail */
1247             || !TEST_false(create_ssl_connection(serverssl, clientssl,
1248                                                  SSL_ERROR_NONE))
1249             || !TEST_false(ocsp_client_called)
1250             || !TEST_false(ocsp_server_called))
1251         goto end;
1252     SSL_free(serverssl);
1253     SSL_free(clientssl);
1254     serverssl = NULL;
1255     clientssl = NULL;
1256
1257     /*
1258      * This time we'll get the client to send an OCSP_RESPID that it will
1259      * accept.
1260      */
1261     ocsp_client_called = 0;
1262     ocsp_server_called = 0;
1263     cdummyarg = 2;
1264     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
1265                                       &clientssl, NULL, NULL)))
1266         goto end;
1267
1268     /*
1269      * We'll just use any old cert for this test - it doesn't have to be an OCSP
1270      * specific one. We'll use the server cert.
1271      */
1272     if (!TEST_ptr(certbio = BIO_new_file(cert, "r"))
1273             || !TEST_ptr(id = OCSP_RESPID_new())
1274             || !TEST_ptr(ids = sk_OCSP_RESPID_new_null())
1275             || !TEST_ptr(ocspcert = PEM_read_bio_X509(certbio,
1276                                                       NULL, NULL, NULL))
1277             || !TEST_true(OCSP_RESPID_set_by_key(id, ocspcert))
1278             || !TEST_true(sk_OCSP_RESPID_push(ids, id)))
1279         goto end;
1280     id = NULL;
1281     SSL_set_tlsext_status_ids(clientssl, ids);
1282     /* Control has been transferred */
1283     ids = NULL;
1284
1285     BIO_free(certbio);
1286     certbio = NULL;
1287
1288     if (!TEST_true(create_ssl_connection(serverssl, clientssl,
1289                                          SSL_ERROR_NONE))
1290             || !TEST_true(ocsp_client_called)
1291             || !TEST_true(ocsp_server_called))
1292         goto end;
1293
1294     testresult = 1;
1295
1296  end:
1297     SSL_free(serverssl);
1298     SSL_free(clientssl);
1299     SSL_CTX_free(sctx);
1300     SSL_CTX_free(cctx);
1301     sk_OCSP_RESPID_pop_free(ids, OCSP_RESPID_free);
1302     OCSP_RESPID_free(id);
1303     BIO_free(certbio);
1304     X509_free(ocspcert);
1305     ocspcert = NULL;
1306
1307     return testresult;
1308 }
1309 #endif
1310
1311 #if !defined(OPENSSL_NO_TLS1_3) || !defined(OPENSSL_NO_TLS1_2)
1312 static int new_called, remove_called, get_called;
1313
1314 static int new_session_cb(SSL *ssl, SSL_SESSION *sess)
1315 {
1316     new_called++;
1317     /*
1318      * sess has been up-refed for us, but we don't actually need it so free it
1319      * immediately.
1320      */
1321     SSL_SESSION_free(sess);
1322     return 1;
1323 }
1324
1325 static void remove_session_cb(SSL_CTX *ctx, SSL_SESSION *sess)
1326 {
1327     remove_called++;
1328 }
1329
1330 static SSL_SESSION *get_sess_val = NULL;
1331
1332 static SSL_SESSION *get_session_cb(SSL *ssl, const unsigned char *id, int len,
1333                                    int *copy)
1334 {
1335     get_called++;
1336     *copy = 1;
1337     return get_sess_val;
1338 }
1339
1340 static int execute_test_session(int maxprot, int use_int_cache,
1341                                 int use_ext_cache)
1342 {
1343     SSL_CTX *sctx = NULL, *cctx = NULL;
1344     SSL *serverssl1 = NULL, *clientssl1 = NULL;
1345     SSL *serverssl2 = NULL, *clientssl2 = NULL;
1346 # ifndef OPENSSL_NO_TLS1_1
1347     SSL *serverssl3 = NULL, *clientssl3 = NULL;
1348 # endif
1349     SSL_SESSION *sess1 = NULL, *sess2 = NULL;
1350     int testresult = 0, numnewsesstick = 1;
1351
1352     new_called = remove_called = 0;
1353
1354     /* TLSv1.3 sends 2 NewSessionTickets */
1355     if (maxprot == TLS1_3_VERSION)
1356         numnewsesstick = 2;
1357
1358     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
1359                                        TLS1_VERSION, 0,
1360                                        &sctx, &cctx, cert, privkey)))
1361         return 0;
1362
1363     /*
1364      * Only allow the max protocol version so we can force a connection failure
1365      * later
1366      */
1367     SSL_CTX_set_min_proto_version(cctx, maxprot);
1368     SSL_CTX_set_max_proto_version(cctx, maxprot);
1369
1370     /* Set up session cache */
1371     if (use_ext_cache) {
1372         SSL_CTX_sess_set_new_cb(cctx, new_session_cb);
1373         SSL_CTX_sess_set_remove_cb(cctx, remove_session_cb);
1374     }
1375     if (use_int_cache) {
1376         /* Also covers instance where both are set */
1377         SSL_CTX_set_session_cache_mode(cctx, SSL_SESS_CACHE_CLIENT);
1378     } else {
1379         SSL_CTX_set_session_cache_mode(cctx,
1380                                        SSL_SESS_CACHE_CLIENT
1381                                        | SSL_SESS_CACHE_NO_INTERNAL_STORE);
1382     }
1383
1384     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl1, &clientssl1,
1385                                       NULL, NULL))
1386             || !TEST_true(create_ssl_connection(serverssl1, clientssl1,
1387                                                 SSL_ERROR_NONE))
1388             || !TEST_ptr(sess1 = SSL_get1_session(clientssl1)))
1389         goto end;
1390
1391     /* Should fail because it should already be in the cache */
1392     if (use_int_cache && !TEST_false(SSL_CTX_add_session(cctx, sess1)))
1393         goto end;
1394     if (use_ext_cache
1395             && (!TEST_int_eq(new_called, numnewsesstick)
1396
1397                 || !TEST_int_eq(remove_called, 0)))
1398         goto end;
1399
1400     new_called = remove_called = 0;
1401     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl2,
1402                                       &clientssl2, NULL, NULL))
1403             || !TEST_true(SSL_set_session(clientssl2, sess1))
1404             || !TEST_true(create_ssl_connection(serverssl2, clientssl2,
1405                                                 SSL_ERROR_NONE))
1406             || !TEST_true(SSL_session_reused(clientssl2)))
1407         goto end;
1408
1409     if (maxprot == TLS1_3_VERSION) {
1410         /*
1411          * In TLSv1.3 we should have created a new session even though we have
1412          * resumed. Since we attempted a resume we should also have removed the
1413          * old ticket from the cache so that we try to only use tickets once.
1414          */
1415         if (use_ext_cache
1416                 && (!TEST_int_eq(new_called, 1)
1417                     || !TEST_int_eq(remove_called, 1)))
1418             goto end;
1419     } else {
1420         /*
1421          * In TLSv1.2 we expect to have resumed so no sessions added or
1422          * removed.
1423          */
1424         if (use_ext_cache
1425                 && (!TEST_int_eq(new_called, 0)
1426                     || !TEST_int_eq(remove_called, 0)))
1427             goto end;
1428     }
1429
1430     SSL_SESSION_free(sess1);
1431     if (!TEST_ptr(sess1 = SSL_get1_session(clientssl2)))
1432         goto end;
1433     shutdown_ssl_connection(serverssl2, clientssl2);
1434     serverssl2 = clientssl2 = NULL;
1435
1436     new_called = remove_called = 0;
1437     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl2,
1438                                       &clientssl2, NULL, NULL))
1439             || !TEST_true(create_ssl_connection(serverssl2, clientssl2,
1440                                                 SSL_ERROR_NONE)))
1441         goto end;
1442
1443     if (!TEST_ptr(sess2 = SSL_get1_session(clientssl2)))
1444         goto end;
1445
1446     if (use_ext_cache
1447             && (!TEST_int_eq(new_called, numnewsesstick)
1448                 || !TEST_int_eq(remove_called, 0)))
1449         goto end;
1450
1451     new_called = remove_called = 0;
1452     /*
1453      * This should clear sess2 from the cache because it is a "bad" session.
1454      * See SSL_set_session() documentation.
1455      */
1456     if (!TEST_true(SSL_set_session(clientssl2, sess1)))
1457         goto end;
1458     if (use_ext_cache
1459             && (!TEST_int_eq(new_called, 0) || !TEST_int_eq(remove_called, 1)))
1460         goto end;
1461     if (!TEST_ptr_eq(SSL_get_session(clientssl2), sess1))
1462         goto end;
1463
1464     if (use_int_cache) {
1465         /* Should succeeded because it should not already be in the cache */
1466         if (!TEST_true(SSL_CTX_add_session(cctx, sess2))
1467                 || !TEST_true(SSL_CTX_remove_session(cctx, sess2)))
1468             goto end;
1469     }
1470
1471     new_called = remove_called = 0;
1472     /* This shouldn't be in the cache so should fail */
1473     if (!TEST_false(SSL_CTX_remove_session(cctx, sess2)))
1474         goto end;
1475
1476     if (use_ext_cache
1477             && (!TEST_int_eq(new_called, 0) || !TEST_int_eq(remove_called, 1)))
1478         goto end;
1479
1480 # if !defined(OPENSSL_NO_TLS1_1)
1481     new_called = remove_called = 0;
1482     /* Force a connection failure */
1483     SSL_CTX_set_max_proto_version(sctx, TLS1_1_VERSION);
1484     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl3,
1485                                       &clientssl3, NULL, NULL))
1486             || !TEST_true(SSL_set_session(clientssl3, sess1))
1487             /* This should fail because of the mismatched protocol versions */
1488             || !TEST_false(create_ssl_connection(serverssl3, clientssl3,
1489                                                  SSL_ERROR_NONE)))
1490         goto end;
1491
1492     /* We should have automatically removed the session from the cache */
1493     if (use_ext_cache
1494             && (!TEST_int_eq(new_called, 0) || !TEST_int_eq(remove_called, 1)))
1495         goto end;
1496
1497     /* Should succeed because it should not already be in the cache */
1498     if (use_int_cache && !TEST_true(SSL_CTX_add_session(cctx, sess2)))
1499         goto end;
1500 # endif
1501
1502     /* Now do some tests for server side caching */
1503     if (use_ext_cache) {
1504         SSL_CTX_sess_set_new_cb(cctx, NULL);
1505         SSL_CTX_sess_set_remove_cb(cctx, NULL);
1506         SSL_CTX_sess_set_new_cb(sctx, new_session_cb);
1507         SSL_CTX_sess_set_remove_cb(sctx, remove_session_cb);
1508         SSL_CTX_sess_set_get_cb(sctx, get_session_cb);
1509         get_sess_val = NULL;
1510     }
1511
1512     SSL_CTX_set_session_cache_mode(cctx, 0);
1513     /* Internal caching is the default on the server side */
1514     if (!use_int_cache)
1515         SSL_CTX_set_session_cache_mode(sctx,
1516                                        SSL_SESS_CACHE_SERVER
1517                                        | SSL_SESS_CACHE_NO_INTERNAL_STORE);
1518
1519     SSL_free(serverssl1);
1520     SSL_free(clientssl1);
1521     serverssl1 = clientssl1 = NULL;
1522     SSL_free(serverssl2);
1523     SSL_free(clientssl2);
1524     serverssl2 = clientssl2 = NULL;
1525     SSL_SESSION_free(sess1);
1526     sess1 = NULL;
1527     SSL_SESSION_free(sess2);
1528     sess2 = NULL;
1529
1530     SSL_CTX_set_max_proto_version(sctx, maxprot);
1531     if (maxprot == TLS1_2_VERSION)
1532         SSL_CTX_set_options(sctx, SSL_OP_NO_TICKET);
1533     new_called = remove_called = get_called = 0;
1534     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl1, &clientssl1,
1535                                       NULL, NULL))
1536             || !TEST_true(create_ssl_connection(serverssl1, clientssl1,
1537                                                 SSL_ERROR_NONE))
1538             || !TEST_ptr(sess1 = SSL_get1_session(clientssl1))
1539             || !TEST_ptr(sess2 = SSL_get1_session(serverssl1)))
1540         goto end;
1541
1542     if (use_int_cache) {
1543         if (maxprot == TLS1_3_VERSION && !use_ext_cache) {
1544             /*
1545              * In TLSv1.3 it should not have been added to the internal cache,
1546              * except in the case where we also have an external cache (in that
1547              * case it gets added to the cache in order to generate remove
1548              * events after timeout).
1549              */
1550             if (!TEST_false(SSL_CTX_remove_session(sctx, sess2)))
1551                 goto end;
1552         } else {
1553             /* Should fail because it should already be in the cache */
1554             if (!TEST_false(SSL_CTX_add_session(sctx, sess2)))
1555                 goto end;
1556         }
1557     }
1558
1559     if (use_ext_cache) {
1560         SSL_SESSION *tmp = sess2;
1561
1562         if (!TEST_int_eq(new_called, numnewsesstick)
1563                 || !TEST_int_eq(remove_called, 0)
1564                 || !TEST_int_eq(get_called, 0))
1565             goto end;
1566         /*
1567          * Delete the session from the internal cache to force a lookup from
1568          * the external cache. We take a copy first because
1569          * SSL_CTX_remove_session() also marks the session as non-resumable.
1570          */
1571         if (use_int_cache && maxprot != TLS1_3_VERSION) {
1572             if (!TEST_ptr(tmp = SSL_SESSION_dup(sess2))
1573                     || !TEST_true(SSL_CTX_remove_session(sctx, sess2)))
1574                 goto end;
1575             SSL_SESSION_free(sess2);
1576         }
1577         sess2 = tmp;
1578     }
1579
1580     new_called = remove_called = get_called = 0;
1581     get_sess_val = sess2;
1582     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl2,
1583                                       &clientssl2, NULL, NULL))
1584             || !TEST_true(SSL_set_session(clientssl2, sess1))
1585             || !TEST_true(create_ssl_connection(serverssl2, clientssl2,
1586                                                 SSL_ERROR_NONE))
1587             || !TEST_true(SSL_session_reused(clientssl2)))
1588         goto end;
1589
1590     if (use_ext_cache) {
1591         if (!TEST_int_eq(remove_called, 0))
1592             goto end;
1593
1594         if (maxprot == TLS1_3_VERSION) {
1595             if (!TEST_int_eq(new_called, 1)
1596                     || !TEST_int_eq(get_called, 0))
1597                 goto end;
1598         } else {
1599             if (!TEST_int_eq(new_called, 0)
1600                     || !TEST_int_eq(get_called, 1))
1601                 goto end;
1602         }
1603     }
1604
1605     testresult = 1;
1606
1607  end:
1608     SSL_free(serverssl1);
1609     SSL_free(clientssl1);
1610     SSL_free(serverssl2);
1611     SSL_free(clientssl2);
1612 # ifndef OPENSSL_NO_TLS1_1
1613     SSL_free(serverssl3);
1614     SSL_free(clientssl3);
1615 # endif
1616     SSL_SESSION_free(sess1);
1617     SSL_SESSION_free(sess2);
1618     SSL_CTX_free(sctx);
1619     SSL_CTX_free(cctx);
1620
1621     return testresult;
1622 }
1623 #endif /* !defined(OPENSSL_NO_TLS1_3) || !defined(OPENSSL_NO_TLS1_2) */
1624
1625 static int test_session_with_only_int_cache(void)
1626 {
1627 #ifndef OPENSSL_NO_TLS1_3
1628     if (!execute_test_session(TLS1_3_VERSION, 1, 0))
1629         return 0;
1630 #endif
1631
1632 #ifndef OPENSSL_NO_TLS1_2
1633     return execute_test_session(TLS1_2_VERSION, 1, 0);
1634 #else
1635     return 1;
1636 #endif
1637 }
1638
1639 static int test_session_with_only_ext_cache(void)
1640 {
1641 #ifndef OPENSSL_NO_TLS1_3
1642     if (!execute_test_session(TLS1_3_VERSION, 0, 1))
1643         return 0;
1644 #endif
1645
1646 #ifndef OPENSSL_NO_TLS1_2
1647     return execute_test_session(TLS1_2_VERSION, 0, 1);
1648 #else
1649     return 1;
1650 #endif
1651 }
1652
1653 static int test_session_with_both_cache(void)
1654 {
1655 #ifndef OPENSSL_NO_TLS1_3
1656     if (!execute_test_session(TLS1_3_VERSION, 1, 1))
1657         return 0;
1658 #endif
1659
1660 #ifndef OPENSSL_NO_TLS1_2
1661     return execute_test_session(TLS1_2_VERSION, 1, 1);
1662 #else
1663     return 1;
1664 #endif
1665 }
1666
1667 #ifndef OPENSSL_NO_TLS1_3
1668 static SSL_SESSION *sesscache[6];
1669 static int do_cache;
1670
1671 static int new_cachesession_cb(SSL *ssl, SSL_SESSION *sess)
1672 {
1673     if (do_cache) {
1674         sesscache[new_called] = sess;
1675     } else {
1676         /* We don't need the reference to the session, so free it */
1677         SSL_SESSION_free(sess);
1678     }
1679     new_called++;
1680
1681     return 1;
1682 }
1683
1684 static int post_handshake_verify(SSL *sssl, SSL *cssl)
1685 {
1686     SSL_set_verify(sssl, SSL_VERIFY_PEER, NULL);
1687     if (!TEST_true(SSL_verify_client_post_handshake(sssl)))
1688         return 0;
1689
1690     /* Start handshake on the server and client */
1691     if (!TEST_int_eq(SSL_do_handshake(sssl), 1)
1692             || !TEST_int_le(SSL_read(cssl, NULL, 0), 0)
1693             || !TEST_int_le(SSL_read(sssl, NULL, 0), 0)
1694             || !TEST_true(create_ssl_connection(sssl, cssl,
1695                                                 SSL_ERROR_NONE)))
1696         return 0;
1697
1698     return 1;
1699 }
1700
1701 static int setup_ticket_test(int stateful, int idx, SSL_CTX **sctx,
1702                              SSL_CTX **cctx)
1703 {
1704     int sess_id_ctx = 1;
1705
1706     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
1707                                        TLS1_VERSION, 0, sctx,
1708                                        cctx, cert, privkey))
1709             || !TEST_true(SSL_CTX_set_num_tickets(*sctx, idx))
1710             || !TEST_true(SSL_CTX_set_session_id_context(*sctx,
1711                                                          (void *)&sess_id_ctx,
1712                                                          sizeof(sess_id_ctx))))
1713         return 0;
1714
1715     if (stateful)
1716         SSL_CTX_set_options(*sctx, SSL_OP_NO_TICKET);
1717
1718     SSL_CTX_set_session_cache_mode(*cctx, SSL_SESS_CACHE_CLIENT
1719                                           | SSL_SESS_CACHE_NO_INTERNAL_STORE);
1720     SSL_CTX_sess_set_new_cb(*cctx, new_cachesession_cb);
1721
1722     return 1;
1723 }
1724
1725 static int check_resumption(int idx, SSL_CTX *sctx, SSL_CTX *cctx, int succ)
1726 {
1727     SSL *serverssl = NULL, *clientssl = NULL;
1728     int i;
1729
1730     /* Test that we can resume with all the tickets we got given */
1731     for (i = 0; i < idx * 2; i++) {
1732         new_called = 0;
1733         if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
1734                                               &clientssl, NULL, NULL))
1735                 || !TEST_true(SSL_set_session(clientssl, sesscache[i])))
1736             goto end;
1737
1738         SSL_set_post_handshake_auth(clientssl, 1);
1739
1740         if (!TEST_true(create_ssl_connection(serverssl, clientssl,
1741                                                     SSL_ERROR_NONE)))
1742             goto end;
1743
1744         /*
1745          * Following a successful resumption we only get 1 ticket. After a
1746          * failed one we should get idx tickets.
1747          */
1748         if (succ) {
1749             if (!TEST_true(SSL_session_reused(clientssl))
1750                     || !TEST_int_eq(new_called, 1))
1751                 goto end;
1752         } else {
1753             if (!TEST_false(SSL_session_reused(clientssl))
1754                     || !TEST_int_eq(new_called, idx))
1755                 goto end;
1756         }
1757
1758         new_called = 0;
1759         /* After a post-handshake authentication we should get 1 new ticket */
1760         if (succ
1761                 && (!post_handshake_verify(serverssl, clientssl)
1762                     || !TEST_int_eq(new_called, 1)))
1763             goto end;
1764
1765         SSL_shutdown(clientssl);
1766         SSL_shutdown(serverssl);
1767         SSL_free(serverssl);
1768         SSL_free(clientssl);
1769         serverssl = clientssl = NULL;
1770         SSL_SESSION_free(sesscache[i]);
1771         sesscache[i] = NULL;
1772     }
1773
1774     return 1;
1775
1776  end:
1777     SSL_free(clientssl);
1778     SSL_free(serverssl);
1779     return 0;
1780 }
1781
1782 static int test_tickets(int stateful, int idx)
1783 {
1784     SSL_CTX *sctx = NULL, *cctx = NULL;
1785     SSL *serverssl = NULL, *clientssl = NULL;
1786     int testresult = 0;
1787     size_t j;
1788
1789     /* idx is the test number, but also the number of tickets we want */
1790
1791     new_called = 0;
1792     do_cache = 1;
1793
1794     if (!setup_ticket_test(stateful, idx, &sctx, &cctx))
1795         goto end;
1796
1797     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
1798                                           &clientssl, NULL, NULL)))
1799         goto end;
1800
1801     if (!TEST_true(create_ssl_connection(serverssl, clientssl,
1802                                                 SSL_ERROR_NONE))
1803                /* Check we got the number of tickets we were expecting */
1804             || !TEST_int_eq(idx, new_called))
1805         goto end;
1806
1807     SSL_shutdown(clientssl);
1808     SSL_shutdown(serverssl);
1809     SSL_free(serverssl);
1810     SSL_free(clientssl);
1811     SSL_CTX_free(sctx);
1812     SSL_CTX_free(cctx);
1813     clientssl = serverssl = NULL;
1814     sctx = cctx = NULL;
1815
1816     /*
1817      * Now we try to resume with the tickets we previously created. The
1818      * resumption attempt is expected to fail (because we're now using a new
1819      * SSL_CTX). We should see idx number of tickets issued again.
1820      */
1821
1822     /* Stop caching sessions - just count them */
1823     do_cache = 0;
1824
1825     if (!setup_ticket_test(stateful, idx, &sctx, &cctx))
1826         goto end;
1827
1828     if (!check_resumption(idx, sctx, cctx, 0))
1829         goto end;
1830
1831     /* Start again with caching sessions */
1832     new_called = 0;
1833     do_cache = 1;
1834     SSL_CTX_free(sctx);
1835     SSL_CTX_free(cctx);
1836     sctx = cctx = NULL;
1837
1838     if (!setup_ticket_test(stateful, idx, &sctx, &cctx))
1839         goto end;
1840
1841     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
1842                                           &clientssl, NULL, NULL)))
1843         goto end;
1844
1845     SSL_set_post_handshake_auth(clientssl, 1);
1846
1847     if (!TEST_true(create_ssl_connection(serverssl, clientssl,
1848                                                 SSL_ERROR_NONE))
1849                /* Check we got the number of tickets we were expecting */
1850             || !TEST_int_eq(idx, new_called))
1851         goto end;
1852
1853     /* After a post-handshake authentication we should get new tickets issued */
1854     if (!post_handshake_verify(serverssl, clientssl)
1855             || !TEST_int_eq(idx * 2, new_called))
1856         goto end;
1857
1858     SSL_shutdown(clientssl);
1859     SSL_shutdown(serverssl);
1860     SSL_free(serverssl);
1861     SSL_free(clientssl);
1862     serverssl = clientssl = NULL;
1863
1864     /* Stop caching sessions - just count them */
1865     do_cache = 0;
1866
1867     /*
1868      * Check we can resume with all the tickets we created. This time around the
1869      * resumptions should all be successful.
1870      */
1871     if (!check_resumption(idx, sctx, cctx, 1))
1872         goto end;
1873
1874     testresult = 1;
1875
1876  end:
1877     SSL_free(serverssl);
1878     SSL_free(clientssl);
1879     for (j = 0; j < OSSL_NELEM(sesscache); j++) {
1880         SSL_SESSION_free(sesscache[j]);
1881         sesscache[j] = NULL;
1882     }
1883     SSL_CTX_free(sctx);
1884     SSL_CTX_free(cctx);
1885
1886     return testresult;
1887 }
1888
1889 static int test_stateless_tickets(int idx)
1890 {
1891     return test_tickets(0, idx);
1892 }
1893
1894 static int test_stateful_tickets(int idx)
1895 {
1896     return test_tickets(1, idx);
1897 }
1898
1899 static int test_psk_tickets(void)
1900 {
1901     SSL_CTX *sctx = NULL, *cctx = NULL;
1902     SSL *serverssl = NULL, *clientssl = NULL;
1903     int testresult = 0;
1904     int sess_id_ctx = 1;
1905
1906     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
1907                                        TLS1_VERSION, 0, &sctx,
1908                                        &cctx, NULL, NULL))
1909             || !TEST_true(SSL_CTX_set_session_id_context(sctx,
1910                                                          (void *)&sess_id_ctx,
1911                                                          sizeof(sess_id_ctx))))
1912         goto end;
1913
1914     SSL_CTX_set_session_cache_mode(cctx, SSL_SESS_CACHE_CLIENT
1915                                          | SSL_SESS_CACHE_NO_INTERNAL_STORE);
1916     SSL_CTX_set_psk_use_session_callback(cctx, use_session_cb);
1917     SSL_CTX_set_psk_find_session_callback(sctx, find_session_cb);
1918     SSL_CTX_sess_set_new_cb(cctx, new_session_cb);
1919     use_session_cb_cnt = 0;
1920     find_session_cb_cnt = 0;
1921     srvid = pskid;
1922     new_called = 0;
1923
1924     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl, &clientssl,
1925                                       NULL, NULL)))
1926         goto end;
1927     clientpsk = serverpsk = create_a_psk(clientssl);
1928     if (!TEST_ptr(clientpsk))
1929         goto end;
1930     SSL_SESSION_up_ref(clientpsk);
1931
1932     if (!TEST_true(create_ssl_connection(serverssl, clientssl,
1933                                                 SSL_ERROR_NONE))
1934             || !TEST_int_eq(1, find_session_cb_cnt)
1935             || !TEST_int_eq(1, use_session_cb_cnt)
1936                /* We should always get 1 ticket when using external PSK */
1937             || !TEST_int_eq(1, new_called))
1938         goto end;
1939
1940     testresult = 1;
1941
1942  end:
1943     SSL_free(serverssl);
1944     SSL_free(clientssl);
1945     SSL_CTX_free(sctx);
1946     SSL_CTX_free(cctx);
1947     SSL_SESSION_free(clientpsk);
1948     SSL_SESSION_free(serverpsk);
1949     clientpsk = serverpsk = NULL;
1950
1951     return testresult;
1952 }
1953 #endif
1954
1955 #define USE_NULL            0
1956 #define USE_BIO_1           1
1957 #define USE_BIO_2           2
1958 #define USE_DEFAULT         3
1959
1960 #define CONNTYPE_CONNECTION_SUCCESS  0
1961 #define CONNTYPE_CONNECTION_FAIL     1
1962 #define CONNTYPE_NO_CONNECTION       2
1963
1964 #define TOTAL_NO_CONN_SSL_SET_BIO_TESTS         (3 * 3 * 3 * 3)
1965 #define TOTAL_CONN_SUCCESS_SSL_SET_BIO_TESTS    (2 * 2)
1966 #if !defined(OPENSSL_NO_TLS1_3) && !defined(OPENSSL_NO_TLS1_2)
1967 # define TOTAL_CONN_FAIL_SSL_SET_BIO_TESTS       (2 * 2)
1968 #else
1969 # define TOTAL_CONN_FAIL_SSL_SET_BIO_TESTS       0
1970 #endif
1971
1972 #define TOTAL_SSL_SET_BIO_TESTS TOTAL_NO_CONN_SSL_SET_BIO_TESTS \
1973                                 + TOTAL_CONN_SUCCESS_SSL_SET_BIO_TESTS \
1974                                 + TOTAL_CONN_FAIL_SSL_SET_BIO_TESTS
1975
1976 static void setupbio(BIO **res, BIO *bio1, BIO *bio2, int type)
1977 {
1978     switch (type) {
1979     case USE_NULL:
1980         *res = NULL;
1981         break;
1982     case USE_BIO_1:
1983         *res = bio1;
1984         break;
1985     case USE_BIO_2:
1986         *res = bio2;
1987         break;
1988     }
1989 }
1990
1991
1992 /*
1993  * Tests calls to SSL_set_bio() under various conditions.
1994  *
1995  * For the first 3 * 3 * 3 * 3 = 81 tests we do 2 calls to SSL_set_bio() with
1996  * various combinations of valid BIOs or NULL being set for the rbio/wbio. We
1997  * then do more tests where we create a successful connection first using our
1998  * standard connection setup functions, and then call SSL_set_bio() with
1999  * various combinations of valid BIOs or NULL. We then repeat these tests
2000  * following a failed connection. In this last case we are looking to check that
2001  * SSL_set_bio() functions correctly in the case where s->bbio is not NULL.
2002  */
2003 static int test_ssl_set_bio(int idx)
2004 {
2005     SSL_CTX *sctx = NULL, *cctx = NULL;
2006     BIO *bio1 = NULL;
2007     BIO *bio2 = NULL;
2008     BIO *irbio = NULL, *iwbio = NULL, *nrbio = NULL, *nwbio = NULL;
2009     SSL *serverssl = NULL, *clientssl = NULL;
2010     int initrbio, initwbio, newrbio, newwbio, conntype;
2011     int testresult = 0;
2012
2013     if (idx < TOTAL_NO_CONN_SSL_SET_BIO_TESTS) {
2014         initrbio = idx % 3;
2015         idx /= 3;
2016         initwbio = idx % 3;
2017         idx /= 3;
2018         newrbio = idx % 3;
2019         idx /= 3;
2020         newwbio = idx % 3;
2021         conntype = CONNTYPE_NO_CONNECTION;
2022     } else {
2023         idx -= TOTAL_NO_CONN_SSL_SET_BIO_TESTS;
2024         initrbio = initwbio = USE_DEFAULT;
2025         newrbio = idx % 2;
2026         idx /= 2;
2027         newwbio = idx % 2;
2028         idx /= 2;
2029         conntype = idx % 2;
2030     }
2031
2032     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
2033                                        TLS1_VERSION, 0,
2034                                        &sctx, &cctx, cert, privkey)))
2035         goto end;
2036
2037     if (conntype == CONNTYPE_CONNECTION_FAIL) {
2038         /*
2039          * We won't ever get here if either TLSv1.3 or TLSv1.2 is disabled
2040          * because we reduced the number of tests in the definition of
2041          * TOTAL_CONN_FAIL_SSL_SET_BIO_TESTS to avoid this scenario. By setting
2042          * mismatched protocol versions we will force a connection failure.
2043          */
2044         SSL_CTX_set_min_proto_version(sctx, TLS1_3_VERSION);
2045         SSL_CTX_set_max_proto_version(cctx, TLS1_2_VERSION);
2046     }
2047
2048     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl, &clientssl,
2049                                       NULL, NULL)))
2050         goto end;
2051
2052     if (initrbio == USE_BIO_1
2053             || initwbio == USE_BIO_1
2054             || newrbio == USE_BIO_1
2055             || newwbio == USE_BIO_1) {
2056         if (!TEST_ptr(bio1 = BIO_new(BIO_s_mem())))
2057             goto end;
2058     }
2059
2060     if (initrbio == USE_BIO_2
2061             || initwbio == USE_BIO_2
2062             || newrbio == USE_BIO_2
2063             || newwbio == USE_BIO_2) {
2064         if (!TEST_ptr(bio2 = BIO_new(BIO_s_mem())))
2065             goto end;
2066     }
2067
2068     if (initrbio != USE_DEFAULT) {
2069         setupbio(&irbio, bio1, bio2, initrbio);
2070         setupbio(&iwbio, bio1, bio2, initwbio);
2071         SSL_set_bio(clientssl, irbio, iwbio);
2072
2073         /*
2074          * We want to maintain our own refs to these BIO, so do an up ref for
2075          * each BIO that will have ownership transferred in the SSL_set_bio()
2076          * call
2077          */
2078         if (irbio != NULL)
2079             BIO_up_ref(irbio);
2080         if (iwbio != NULL && iwbio != irbio)
2081             BIO_up_ref(iwbio);
2082     }
2083
2084     if (conntype != CONNTYPE_NO_CONNECTION
2085             && !TEST_true(create_ssl_connection(serverssl, clientssl,
2086                                                 SSL_ERROR_NONE)
2087                           == (conntype == CONNTYPE_CONNECTION_SUCCESS)))
2088         goto end;
2089
2090     setupbio(&nrbio, bio1, bio2, newrbio);
2091     setupbio(&nwbio, bio1, bio2, newwbio);
2092
2093     /*
2094      * We will (maybe) transfer ownership again so do more up refs.
2095      * SSL_set_bio() has some really complicated ownership rules where BIOs have
2096      * already been set!
2097      */
2098     if (nrbio != NULL
2099             && nrbio != irbio
2100             && (nwbio != iwbio || nrbio != nwbio))
2101         BIO_up_ref(nrbio);
2102     if (nwbio != NULL
2103             && nwbio != nrbio
2104             && (nwbio != iwbio || (nwbio == iwbio && irbio == iwbio)))
2105         BIO_up_ref(nwbio);
2106
2107     SSL_set_bio(clientssl, nrbio, nwbio);
2108
2109     testresult = 1;
2110
2111  end:
2112     BIO_free(bio1);
2113     BIO_free(bio2);
2114
2115     /*
2116      * This test is checking that the ref counting for SSL_set_bio is correct.
2117      * If we get here and we did too many frees then we will fail in the above
2118      * functions. If we haven't done enough then this will only be detected in
2119      * a crypto-mdebug build
2120      */
2121     SSL_free(serverssl);
2122     SSL_free(clientssl);
2123     SSL_CTX_free(sctx);
2124     SSL_CTX_free(cctx);
2125     return testresult;
2126 }
2127
2128 typedef enum { NO_BIO_CHANGE, CHANGE_RBIO, CHANGE_WBIO } bio_change_t;
2129
2130 static int execute_test_ssl_bio(int pop_ssl, bio_change_t change_bio)
2131 {
2132     BIO *sslbio = NULL, *membio1 = NULL, *membio2 = NULL;
2133     SSL_CTX *ctx;
2134     SSL *ssl = NULL;
2135     int testresult = 0;
2136
2137     if (!TEST_ptr(ctx = SSL_CTX_new(TLS_method()))
2138             || !TEST_ptr(ssl = SSL_new(ctx))
2139             || !TEST_ptr(sslbio = BIO_new(BIO_f_ssl()))
2140             || !TEST_ptr(membio1 = BIO_new(BIO_s_mem())))
2141         goto end;
2142
2143     BIO_set_ssl(sslbio, ssl, BIO_CLOSE);
2144
2145     /*
2146      * If anything goes wrong here then we could leak memory, so this will
2147      * be caught in a crypto-mdebug build
2148      */
2149     BIO_push(sslbio, membio1);
2150
2151     /* Verify changing the rbio/wbio directly does not cause leaks */
2152     if (change_bio != NO_BIO_CHANGE) {
2153         if (!TEST_ptr(membio2 = BIO_new(BIO_s_mem())))
2154             goto end;
2155         if (change_bio == CHANGE_RBIO)
2156             SSL_set0_rbio(ssl, membio2);
2157         else
2158             SSL_set0_wbio(ssl, membio2);
2159     }
2160     ssl = NULL;
2161
2162     if (pop_ssl)
2163         BIO_pop(sslbio);
2164     else
2165         BIO_pop(membio1);
2166
2167     testresult = 1;
2168  end:
2169     BIO_free(membio1);
2170     BIO_free(sslbio);
2171     SSL_free(ssl);
2172     SSL_CTX_free(ctx);
2173
2174     return testresult;
2175 }
2176
2177 static int test_ssl_bio_pop_next_bio(void)
2178 {
2179     return execute_test_ssl_bio(0, NO_BIO_CHANGE);
2180 }
2181
2182 static int test_ssl_bio_pop_ssl_bio(void)
2183 {
2184     return execute_test_ssl_bio(1, NO_BIO_CHANGE);
2185 }
2186
2187 static int test_ssl_bio_change_rbio(void)
2188 {
2189     return execute_test_ssl_bio(0, CHANGE_RBIO);
2190 }
2191
2192 static int test_ssl_bio_change_wbio(void)
2193 {
2194     return execute_test_ssl_bio(0, CHANGE_WBIO);
2195 }
2196
2197 #if !defined(OPENSSL_NO_TLS1_2) || defined(OPENSSL_NO_TLS1_3)
2198 typedef struct {
2199     /* The list of sig algs */
2200     const int *list;
2201     /* The length of the list */
2202     size_t listlen;
2203     /* A sigalgs list in string format */
2204     const char *liststr;
2205     /* Whether setting the list should succeed */
2206     int valid;
2207     /* Whether creating a connection with the list should succeed */
2208     int connsuccess;
2209 } sigalgs_list;
2210
2211 static const int validlist1[] = {NID_sha256, EVP_PKEY_RSA};
2212 # ifndef OPENSSL_NO_EC
2213 static const int validlist2[] = {NID_sha256, EVP_PKEY_RSA, NID_sha512, EVP_PKEY_EC};
2214 static const int validlist3[] = {NID_sha512, EVP_PKEY_EC};
2215 # endif
2216 static const int invalidlist1[] = {NID_undef, EVP_PKEY_RSA};
2217 static const int invalidlist2[] = {NID_sha256, NID_undef};
2218 static const int invalidlist3[] = {NID_sha256, EVP_PKEY_RSA, NID_sha256};
2219 static const int invalidlist4[] = {NID_sha256};
2220 static const sigalgs_list testsigalgs[] = {
2221     {validlist1, OSSL_NELEM(validlist1), NULL, 1, 1},
2222 # ifndef OPENSSL_NO_EC
2223     {validlist2, OSSL_NELEM(validlist2), NULL, 1, 1},
2224     {validlist3, OSSL_NELEM(validlist3), NULL, 1, 0},
2225 # endif
2226     {NULL, 0, "RSA+SHA256", 1, 1},
2227 # ifndef OPENSSL_NO_EC
2228     {NULL, 0, "RSA+SHA256:ECDSA+SHA512", 1, 1},
2229     {NULL, 0, "ECDSA+SHA512", 1, 0},
2230 # endif
2231     {invalidlist1, OSSL_NELEM(invalidlist1), NULL, 0, 0},
2232     {invalidlist2, OSSL_NELEM(invalidlist2), NULL, 0, 0},
2233     {invalidlist3, OSSL_NELEM(invalidlist3), NULL, 0, 0},
2234     {invalidlist4, OSSL_NELEM(invalidlist4), NULL, 0, 0},
2235     {NULL, 0, "RSA", 0, 0},
2236     {NULL, 0, "SHA256", 0, 0},
2237     {NULL, 0, "RSA+SHA256:SHA256", 0, 0},
2238     {NULL, 0, "Invalid", 0, 0}
2239 };
2240
2241 static int test_set_sigalgs(int idx)
2242 {
2243     SSL_CTX *cctx = NULL, *sctx = NULL;
2244     SSL *clientssl = NULL, *serverssl = NULL;
2245     int testresult = 0;
2246     const sigalgs_list *curr;
2247     int testctx;
2248
2249     /* Should never happen */
2250     if (!TEST_size_t_le((size_t)idx, OSSL_NELEM(testsigalgs) * 2))
2251         return 0;
2252
2253     testctx = ((size_t)idx < OSSL_NELEM(testsigalgs));
2254     curr = testctx ? &testsigalgs[idx]
2255                    : &testsigalgs[idx - OSSL_NELEM(testsigalgs)];
2256
2257     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
2258                                        TLS1_VERSION, 0,
2259                                        &sctx, &cctx, cert, privkey)))
2260         return 0;
2261
2262     /*
2263      * TODO(TLS1.3): These APIs cannot set TLSv1.3 sig algs so we just test it
2264      * for TLSv1.2 for now until we add a new API.
2265      */
2266     SSL_CTX_set_max_proto_version(cctx, TLS1_2_VERSION);
2267
2268     if (testctx) {
2269         int ret;
2270
2271         if (curr->list != NULL)
2272             ret = SSL_CTX_set1_sigalgs(cctx, curr->list, curr->listlen);
2273         else
2274             ret = SSL_CTX_set1_sigalgs_list(cctx, curr->liststr);
2275
2276         if (!ret) {
2277             if (curr->valid)
2278                 TEST_info("Failure setting sigalgs in SSL_CTX (%d)\n", idx);
2279             else
2280                 testresult = 1;
2281             goto end;
2282         }
2283         if (!curr->valid) {
2284             TEST_info("Not-failed setting sigalgs in SSL_CTX (%d)\n", idx);
2285             goto end;
2286         }
2287     }
2288
2289     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
2290                                       &clientssl, NULL, NULL)))
2291         goto end;
2292
2293     if (!testctx) {
2294         int ret;
2295
2296         if (curr->list != NULL)
2297             ret = SSL_set1_sigalgs(clientssl, curr->list, curr->listlen);
2298         else
2299             ret = SSL_set1_sigalgs_list(clientssl, curr->liststr);
2300         if (!ret) {
2301             if (curr->valid)
2302                 TEST_info("Failure setting sigalgs in SSL (%d)\n", idx);
2303             else
2304                 testresult = 1;
2305             goto end;
2306         }
2307         if (!curr->valid)
2308             goto end;
2309     }
2310
2311     if (!TEST_int_eq(create_ssl_connection(serverssl, clientssl,
2312                                            SSL_ERROR_NONE),
2313                 curr->connsuccess))
2314         goto end;
2315
2316     testresult = 1;
2317
2318  end:
2319     SSL_free(serverssl);
2320     SSL_free(clientssl);
2321     SSL_CTX_free(sctx);
2322     SSL_CTX_free(cctx);
2323
2324     return testresult;
2325 }
2326 #endif
2327
2328 #ifndef OPENSSL_NO_TLS1_3
2329 static int psk_client_cb_cnt = 0;
2330 static int psk_server_cb_cnt = 0;
2331
2332 static int use_session_cb(SSL *ssl, const EVP_MD *md, const unsigned char **id,
2333                           size_t *idlen, SSL_SESSION **sess)
2334 {
2335     switch (++use_session_cb_cnt) {
2336     case 1:
2337         /* The first call should always have a NULL md */
2338         if (md != NULL)
2339             return 0;
2340         break;
2341
2342     case 2:
2343         /* The second call should always have an md */
2344         if (md == NULL)
2345             return 0;
2346         break;
2347
2348     default:
2349         /* We should only be called a maximum of twice */
2350         return 0;
2351     }
2352
2353     if (clientpsk != NULL)
2354         SSL_SESSION_up_ref(clientpsk);
2355
2356     *sess = clientpsk;
2357     *id = (const unsigned char *)pskid;
2358     *idlen = strlen(pskid);
2359
2360     return 1;
2361 }
2362
2363 #ifndef OPENSSL_NO_PSK
2364 static unsigned int psk_client_cb(SSL *ssl, const char *hint, char *id,
2365                                   unsigned int max_id_len,
2366                                   unsigned char *psk,
2367                                   unsigned int max_psk_len)
2368 {
2369     unsigned int psklen = 0;
2370
2371     psk_client_cb_cnt++;
2372
2373     if (strlen(pskid) + 1 > max_id_len)
2374         return 0;
2375
2376     /* We should only ever be called a maximum of twice per connection */
2377     if (psk_client_cb_cnt > 2)
2378         return 0;
2379
2380     if (clientpsk == NULL)
2381         return 0;
2382
2383     /* We'll reuse the PSK we set up for TLSv1.3 */
2384     if (SSL_SESSION_get_master_key(clientpsk, NULL, 0) > max_psk_len)
2385         return 0;
2386     psklen = SSL_SESSION_get_master_key(clientpsk, psk, max_psk_len);
2387     strncpy(id, pskid, max_id_len);
2388
2389     return psklen;
2390 }
2391 #endif /* OPENSSL_NO_PSK */
2392
2393 static int find_session_cb(SSL *ssl, const unsigned char *identity,
2394                            size_t identity_len, SSL_SESSION **sess)
2395 {
2396     find_session_cb_cnt++;
2397
2398     /* We should only ever be called a maximum of twice per connection */
2399     if (find_session_cb_cnt > 2)
2400         return 0;
2401
2402     if (serverpsk == NULL)
2403         return 0;
2404
2405     /* Identity should match that set by the client */
2406     if (strlen(srvid) != identity_len
2407             || strncmp(srvid, (const char *)identity, identity_len) != 0) {
2408         /* No PSK found, continue but without a PSK */
2409         *sess = NULL;
2410         return 1;
2411     }
2412
2413     SSL_SESSION_up_ref(serverpsk);
2414     *sess = serverpsk;
2415
2416     return 1;
2417 }
2418
2419 #ifndef OPENSSL_NO_PSK
2420 static unsigned int psk_server_cb(SSL *ssl, const char *identity,
2421                                   unsigned char *psk, unsigned int max_psk_len)
2422 {
2423     unsigned int psklen = 0;
2424
2425     psk_server_cb_cnt++;
2426
2427     /* We should only ever be called a maximum of twice per connection */
2428     if (find_session_cb_cnt > 2)
2429         return 0;
2430
2431     if (serverpsk == NULL)
2432         return 0;
2433
2434     /* Identity should match that set by the client */
2435     if (strcmp(srvid, identity) != 0) {
2436         return 0;
2437     }
2438
2439     /* We'll reuse the PSK we set up for TLSv1.3 */
2440     if (SSL_SESSION_get_master_key(serverpsk, NULL, 0) > max_psk_len)
2441         return 0;
2442     psklen = SSL_SESSION_get_master_key(serverpsk, psk, max_psk_len);
2443
2444     return psklen;
2445 }
2446 #endif /* OPENSSL_NO_PSK */
2447
2448 #define MSG1    "Hello"
2449 #define MSG2    "World."
2450 #define MSG3    "This"
2451 #define MSG4    "is"
2452 #define MSG5    "a"
2453 #define MSG6    "test"
2454 #define MSG7    "message."
2455
2456 #define TLS13_AES_256_GCM_SHA384_BYTES  ((const unsigned char *)"\x13\x02")
2457 #define TLS13_AES_128_GCM_SHA256_BYTES  ((const unsigned char *)"\x13\x01")
2458
2459
2460 static SSL_SESSION *create_a_psk(SSL *ssl)
2461 {
2462     const SSL_CIPHER *cipher = NULL;
2463     const unsigned char key[] = {
2464         0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0a,
2465         0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15,
2466         0x16, 0x17, 0x18, 0x19, 0x1a, 0x1b, 0x1c, 0x1d, 0x1e, 0x1f, 0x20,
2467         0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 0x28, 0x29, 0x2a, 0x2b,
2468         0x2c, 0x2d, 0x2e, 0x2f
2469     };
2470     SSL_SESSION *sess = NULL;
2471
2472     cipher = SSL_CIPHER_find(ssl, TLS13_AES_256_GCM_SHA384_BYTES);
2473     sess = SSL_SESSION_new();
2474     if (!TEST_ptr(sess)
2475             || !TEST_ptr(cipher)
2476             || !TEST_true(SSL_SESSION_set1_master_key(sess, key,
2477                                                       sizeof(key)))
2478             || !TEST_true(SSL_SESSION_set_cipher(sess, cipher))
2479             || !TEST_true(
2480                     SSL_SESSION_set_protocol_version(sess,
2481                                                      TLS1_3_VERSION))) {
2482         SSL_SESSION_free(sess);
2483         return NULL;
2484     }
2485     return sess;
2486 }
2487
2488 /*
2489  * Helper method to setup objects for early data test. Caller frees objects on
2490  * error.
2491  */
2492 static int setupearly_data_test(SSL_CTX **cctx, SSL_CTX **sctx, SSL **clientssl,
2493                                 SSL **serverssl, SSL_SESSION **sess, int idx)
2494 {
2495     if (*sctx == NULL
2496             && !TEST_true(create_ssl_ctx_pair(TLS_server_method(),
2497                                               TLS_client_method(),
2498                                               TLS1_VERSION, 0,
2499                                               sctx, cctx, cert, privkey)))
2500         return 0;
2501
2502     if (!TEST_true(SSL_CTX_set_max_early_data(*sctx, SSL3_RT_MAX_PLAIN_LENGTH)))
2503         return 0;
2504
2505     if (idx == 1) {
2506         /* When idx == 1 we repeat the tests with read_ahead set */
2507         SSL_CTX_set_read_ahead(*cctx, 1);
2508         SSL_CTX_set_read_ahead(*sctx, 1);
2509     } else if (idx == 2) {
2510         /* When idx == 2 we are doing early_data with a PSK. Set up callbacks */
2511         SSL_CTX_set_psk_use_session_callback(*cctx, use_session_cb);
2512         SSL_CTX_set_psk_find_session_callback(*sctx, find_session_cb);
2513         use_session_cb_cnt = 0;
2514         find_session_cb_cnt = 0;
2515         srvid = pskid;
2516     }
2517
2518     if (!TEST_true(create_ssl_objects(*sctx, *cctx, serverssl, clientssl,
2519                                       NULL, NULL)))
2520         return 0;
2521
2522     /*
2523      * For one of the run throughs (doesn't matter which one), we'll try sending
2524      * some SNI data in the initial ClientHello. This will be ignored (because
2525      * there is no SNI cb set up by the server), so it should not impact
2526      * early_data.
2527      */
2528     if (idx == 1
2529             && !TEST_true(SSL_set_tlsext_host_name(*clientssl, "localhost")))
2530         return 0;
2531
2532     if (idx == 2) {
2533         clientpsk = create_a_psk(*clientssl);
2534         if (!TEST_ptr(clientpsk)
2535                    /*
2536                     * We just choose an arbitrary value for max_early_data which
2537                     * should be big enough for testing purposes.
2538                     */
2539                 || !TEST_true(SSL_SESSION_set_max_early_data(clientpsk,
2540                                                              0x100))
2541                 || !TEST_true(SSL_SESSION_up_ref(clientpsk))) {
2542             SSL_SESSION_free(clientpsk);
2543             clientpsk = NULL;
2544             return 0;
2545         }
2546         serverpsk = clientpsk;
2547
2548         if (sess != NULL) {
2549             if (!TEST_true(SSL_SESSION_up_ref(clientpsk))) {
2550                 SSL_SESSION_free(clientpsk);
2551                 SSL_SESSION_free(serverpsk);
2552                 clientpsk = serverpsk = NULL;
2553                 return 0;
2554             }
2555             *sess = clientpsk;
2556         }
2557         return 1;
2558     }
2559
2560     if (sess == NULL)
2561         return 1;
2562
2563     if (!TEST_true(create_ssl_connection(*serverssl, *clientssl,
2564                                          SSL_ERROR_NONE)))
2565         return 0;
2566
2567     *sess = SSL_get1_session(*clientssl);
2568     SSL_shutdown(*clientssl);
2569     SSL_shutdown(*serverssl);
2570     SSL_free(*serverssl);
2571     SSL_free(*clientssl);
2572     *serverssl = *clientssl = NULL;
2573
2574     if (!TEST_true(create_ssl_objects(*sctx, *cctx, serverssl,
2575                                       clientssl, NULL, NULL))
2576             || !TEST_true(SSL_set_session(*clientssl, *sess)))
2577         return 0;
2578
2579     return 1;
2580 }
2581
2582 static int test_early_data_read_write(int idx)
2583 {
2584     SSL_CTX *cctx = NULL, *sctx = NULL;
2585     SSL *clientssl = NULL, *serverssl = NULL;
2586     int testresult = 0;
2587     SSL_SESSION *sess = NULL;
2588     unsigned char buf[20], data[1024];
2589     size_t readbytes, written, eoedlen, rawread, rawwritten;
2590     BIO *rbio;
2591
2592     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
2593                                         &serverssl, &sess, idx)))
2594         goto end;
2595
2596     /* Write and read some early data */
2597     if (!TEST_true(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
2598                                         &written))
2599             || !TEST_size_t_eq(written, strlen(MSG1))
2600             || !TEST_int_eq(SSL_read_early_data(serverssl, buf,
2601                                                 sizeof(buf), &readbytes),
2602                             SSL_READ_EARLY_DATA_SUCCESS)
2603             || !TEST_mem_eq(MSG1, readbytes, buf, strlen(MSG1))
2604             || !TEST_int_eq(SSL_get_early_data_status(serverssl),
2605                             SSL_EARLY_DATA_ACCEPTED))
2606         goto end;
2607
2608     /*
2609      * Server should be able to write data, and client should be able to
2610      * read it.
2611      */
2612     if (!TEST_true(SSL_write_early_data(serverssl, MSG2, strlen(MSG2),
2613                                         &written))
2614             || !TEST_size_t_eq(written, strlen(MSG2))
2615             || !TEST_true(SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes))
2616             || !TEST_mem_eq(buf, readbytes, MSG2, strlen(MSG2)))
2617         goto end;
2618
2619     /* Even after reading normal data, client should be able write early data */
2620     if (!TEST_true(SSL_write_early_data(clientssl, MSG3, strlen(MSG3),
2621                                         &written))
2622             || !TEST_size_t_eq(written, strlen(MSG3)))
2623         goto end;
2624
2625     /* Server should still be able read early data after writing data */
2626     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2627                                          &readbytes),
2628                      SSL_READ_EARLY_DATA_SUCCESS)
2629             || !TEST_mem_eq(buf, readbytes, MSG3, strlen(MSG3)))
2630         goto end;
2631
2632     /* Write more data from server and read it from client */
2633     if (!TEST_true(SSL_write_early_data(serverssl, MSG4, strlen(MSG4),
2634                                         &written))
2635             || !TEST_size_t_eq(written, strlen(MSG4))
2636             || !TEST_true(SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes))
2637             || !TEST_mem_eq(buf, readbytes, MSG4, strlen(MSG4)))
2638         goto end;
2639
2640     /*
2641      * If client writes normal data it should mean writing early data is no
2642      * longer possible.
2643      */
2644     if (!TEST_true(SSL_write_ex(clientssl, MSG5, strlen(MSG5), &written))
2645             || !TEST_size_t_eq(written, strlen(MSG5))
2646             || !TEST_int_eq(SSL_get_early_data_status(clientssl),
2647                             SSL_EARLY_DATA_ACCEPTED))
2648         goto end;
2649
2650     /*
2651      * At this point the client has written EndOfEarlyData, ClientFinished and
2652      * normal (fully protected) data. We are going to cause a delay between the
2653      * arrival of EndOfEarlyData and ClientFinished. We read out all the data
2654      * in the read BIO, and then just put back the EndOfEarlyData message.
2655      */
2656     rbio = SSL_get_rbio(serverssl);
2657     if (!TEST_true(BIO_read_ex(rbio, data, sizeof(data), &rawread))
2658             || !TEST_size_t_lt(rawread, sizeof(data))
2659             || !TEST_size_t_gt(rawread, SSL3_RT_HEADER_LENGTH))
2660         goto end;
2661
2662     /* Record length is in the 4th and 5th bytes of the record header */
2663     eoedlen = SSL3_RT_HEADER_LENGTH + (data[3] << 8 | data[4]);
2664     if (!TEST_true(BIO_write_ex(rbio, data, eoedlen, &rawwritten))
2665             || !TEST_size_t_eq(rawwritten, eoedlen))
2666         goto end;
2667
2668     /* Server should be told that there is no more early data */
2669     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2670                                          &readbytes),
2671                      SSL_READ_EARLY_DATA_FINISH)
2672             || !TEST_size_t_eq(readbytes, 0))
2673         goto end;
2674
2675     /*
2676      * Server has not finished init yet, so should still be able to write early
2677      * data.
2678      */
2679     if (!TEST_true(SSL_write_early_data(serverssl, MSG6, strlen(MSG6),
2680                                         &written))
2681             || !TEST_size_t_eq(written, strlen(MSG6)))
2682         goto end;
2683
2684     /* Push the ClientFinished and the normal data back into the server rbio */
2685     if (!TEST_true(BIO_write_ex(rbio, data + eoedlen, rawread - eoedlen,
2686                                 &rawwritten))
2687             || !TEST_size_t_eq(rawwritten, rawread - eoedlen))
2688         goto end;
2689
2690     /* Server should be able to read normal data */
2691     if (!TEST_true(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
2692             || !TEST_size_t_eq(readbytes, strlen(MSG5)))
2693         goto end;
2694
2695     /* Client and server should not be able to write/read early data now */
2696     if (!TEST_false(SSL_write_early_data(clientssl, MSG6, strlen(MSG6),
2697                                          &written)))
2698         goto end;
2699     ERR_clear_error();
2700     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2701                                          &readbytes),
2702                      SSL_READ_EARLY_DATA_ERROR))
2703         goto end;
2704     ERR_clear_error();
2705
2706     /* Client should be able to read the data sent by the server */
2707     if (!TEST_true(SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes))
2708             || !TEST_mem_eq(buf, readbytes, MSG6, strlen(MSG6)))
2709         goto end;
2710
2711     /*
2712      * Make sure we process the two NewSessionTickets. These arrive
2713      * post-handshake. We attempt reads which we do not expect to return any
2714      * data.
2715      */
2716     if (!TEST_false(SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes))
2717             || !TEST_false(SSL_read_ex(clientssl, buf, sizeof(buf),
2718                            &readbytes)))
2719         goto end;
2720
2721     /* Server should be able to write normal data */
2722     if (!TEST_true(SSL_write_ex(serverssl, MSG7, strlen(MSG7), &written))
2723             || !TEST_size_t_eq(written, strlen(MSG7))
2724             || !TEST_true(SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes))
2725             || !TEST_mem_eq(buf, readbytes, MSG7, strlen(MSG7)))
2726         goto end;
2727
2728     SSL_SESSION_free(sess);
2729     sess = SSL_get1_session(clientssl);
2730     use_session_cb_cnt = 0;
2731     find_session_cb_cnt = 0;
2732
2733     SSL_shutdown(clientssl);
2734     SSL_shutdown(serverssl);
2735     SSL_free(serverssl);
2736     SSL_free(clientssl);
2737     serverssl = clientssl = NULL;
2738     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
2739                                       &clientssl, NULL, NULL))
2740             || !TEST_true(SSL_set_session(clientssl, sess)))
2741         goto end;
2742
2743     /* Write and read some early data */
2744     if (!TEST_true(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
2745                                         &written))
2746             || !TEST_size_t_eq(written, strlen(MSG1))
2747             || !TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2748                                                 &readbytes),
2749                             SSL_READ_EARLY_DATA_SUCCESS)
2750             || !TEST_mem_eq(buf, readbytes, MSG1, strlen(MSG1)))
2751         goto end;
2752
2753     if (!TEST_int_gt(SSL_connect(clientssl), 0)
2754             || !TEST_int_gt(SSL_accept(serverssl), 0))
2755         goto end;
2756
2757     /* Client and server should not be able to write/read early data now */
2758     if (!TEST_false(SSL_write_early_data(clientssl, MSG6, strlen(MSG6),
2759                                          &written)))
2760         goto end;
2761     ERR_clear_error();
2762     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2763                                          &readbytes),
2764                      SSL_READ_EARLY_DATA_ERROR))
2765         goto end;
2766     ERR_clear_error();
2767
2768     /* Client and server should be able to write/read normal data */
2769     if (!TEST_true(SSL_write_ex(clientssl, MSG5, strlen(MSG5), &written))
2770             || !TEST_size_t_eq(written, strlen(MSG5))
2771             || !TEST_true(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
2772             || !TEST_size_t_eq(readbytes, strlen(MSG5)))
2773         goto end;
2774
2775     testresult = 1;
2776
2777  end:
2778     SSL_SESSION_free(sess);
2779     SSL_SESSION_free(clientpsk);
2780     SSL_SESSION_free(serverpsk);
2781     clientpsk = serverpsk = NULL;
2782     SSL_free(serverssl);
2783     SSL_free(clientssl);
2784     SSL_CTX_free(sctx);
2785     SSL_CTX_free(cctx);
2786     return testresult;
2787 }
2788
2789 static int allow_ed_cb_called = 0;
2790
2791 static int allow_early_data_cb(SSL *s, void *arg)
2792 {
2793     int *usecb = (int *)arg;
2794
2795     allow_ed_cb_called++;
2796
2797     if (*usecb == 1)
2798         return 0;
2799
2800     return 1;
2801 }
2802
2803 /*
2804  * idx == 0: Standard early_data setup
2805  * idx == 1: early_data setup using read_ahead
2806  * usecb == 0: Don't use a custom early data callback
2807  * usecb == 1: Use a custom early data callback and reject the early data
2808  * usecb == 2: Use a custom early data callback and accept the early data
2809  * confopt == 0: Configure anti-replay directly
2810  * confopt == 1: Configure anti-replay using SSL_CONF
2811  */
2812 static int test_early_data_replay_int(int idx, int usecb, int confopt)
2813 {
2814     SSL_CTX *cctx = NULL, *sctx = NULL;
2815     SSL *clientssl = NULL, *serverssl = NULL;
2816     int testresult = 0;
2817     SSL_SESSION *sess = NULL;
2818     size_t readbytes, written;
2819     unsigned char buf[20];
2820
2821     allow_ed_cb_called = 0;
2822
2823     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
2824                                        TLS1_VERSION, 0, &sctx,
2825                                        &cctx, cert, privkey)))
2826         return 0;
2827
2828     if (usecb > 0) {
2829         if (confopt == 0) {
2830             SSL_CTX_set_options(sctx, SSL_OP_NO_ANTI_REPLAY);
2831         } else {
2832             SSL_CONF_CTX *confctx = SSL_CONF_CTX_new();
2833
2834             if (!TEST_ptr(confctx))
2835                 goto end;
2836             SSL_CONF_CTX_set_flags(confctx, SSL_CONF_FLAG_FILE
2837                                             | SSL_CONF_FLAG_SERVER);
2838             SSL_CONF_CTX_set_ssl_ctx(confctx, sctx);
2839             if (!TEST_int_eq(SSL_CONF_cmd(confctx, "Options", "-AntiReplay"),
2840                              2)) {
2841                 SSL_CONF_CTX_free(confctx);
2842                 goto end;
2843             }
2844             SSL_CONF_CTX_free(confctx);
2845         }
2846         SSL_CTX_set_allow_early_data_cb(sctx, allow_early_data_cb, &usecb);
2847     }
2848
2849     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
2850                                         &serverssl, &sess, idx)))
2851         goto end;
2852
2853     /*
2854      * The server is configured to accept early data. Create a connection to
2855      * "use up" the ticket
2856      */
2857     if (!TEST_true(create_ssl_connection(serverssl, clientssl, SSL_ERROR_NONE))
2858             || !TEST_true(SSL_session_reused(clientssl)))
2859         goto end;
2860
2861     SSL_shutdown(clientssl);
2862     SSL_shutdown(serverssl);
2863     SSL_free(serverssl);
2864     SSL_free(clientssl);
2865     serverssl = clientssl = NULL;
2866
2867     if (!TEST_true(create_ssl_objects(sctx, cctx, &serverssl,
2868                                       &clientssl, NULL, NULL))
2869             || !TEST_true(SSL_set_session(clientssl, sess)))
2870         goto end;
2871
2872     /* Write and read some early data */
2873     if (!TEST_true(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
2874                                         &written))
2875             || !TEST_size_t_eq(written, strlen(MSG1)))
2876         goto end;
2877
2878     if (usecb <= 1) {
2879         if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2880                                              &readbytes),
2881                          SSL_READ_EARLY_DATA_FINISH)
2882                    /*
2883                     * The ticket was reused, so the we should have rejected the
2884                     * early data
2885                     */
2886                 || !TEST_int_eq(SSL_get_early_data_status(serverssl),
2887                                 SSL_EARLY_DATA_REJECTED))
2888             goto end;
2889     } else {
2890         /* In this case the callback decides to accept the early data */
2891         if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2892                                              &readbytes),
2893                          SSL_READ_EARLY_DATA_SUCCESS)
2894                 || !TEST_mem_eq(MSG1, strlen(MSG1), buf, readbytes)
2895                    /*
2896                     * Server will have sent its flight so client can now send
2897                     * end of early data and complete its half of the handshake
2898                     */
2899                 || !TEST_int_gt(SSL_connect(clientssl), 0)
2900                 || !TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2901                                              &readbytes),
2902                                 SSL_READ_EARLY_DATA_FINISH)
2903                 || !TEST_int_eq(SSL_get_early_data_status(serverssl),
2904                                 SSL_EARLY_DATA_ACCEPTED))
2905             goto end;
2906     }
2907
2908     /* Complete the connection */
2909     if (!TEST_true(create_ssl_connection(serverssl, clientssl, SSL_ERROR_NONE))
2910             || !TEST_int_eq(SSL_session_reused(clientssl), (usecb > 0) ? 1 : 0)
2911             || !TEST_int_eq(allow_ed_cb_called, usecb > 0 ? 1 : 0))
2912         goto end;
2913
2914     testresult = 1;
2915
2916  end:
2917     SSL_SESSION_free(sess);
2918     SSL_SESSION_free(clientpsk);
2919     SSL_SESSION_free(serverpsk);
2920     clientpsk = serverpsk = NULL;
2921     SSL_free(serverssl);
2922     SSL_free(clientssl);
2923     SSL_CTX_free(sctx);
2924     SSL_CTX_free(cctx);
2925     return testresult;
2926 }
2927
2928 static int test_early_data_replay(int idx)
2929 {
2930     int ret = 1, usecb, confopt;
2931
2932     for (usecb = 0; usecb < 3; usecb++) {
2933         for (confopt = 0; confopt < 2; confopt++)
2934             ret &= test_early_data_replay_int(idx, usecb, confopt);
2935     }
2936
2937     return ret;
2938 }
2939
2940 /*
2941  * Helper function to test that a server attempting to read early data can
2942  * handle a connection from a client where the early data should be skipped.
2943  * testtype: 0 == No HRR
2944  * testtype: 1 == HRR
2945  * testtype: 2 == HRR, invalid early_data sent after HRR
2946  * testtype: 3 == recv_max_early_data set to 0
2947  */
2948 static int early_data_skip_helper(int testtype, int idx)
2949 {
2950     SSL_CTX *cctx = NULL, *sctx = NULL;
2951     SSL *clientssl = NULL, *serverssl = NULL;
2952     int testresult = 0;
2953     SSL_SESSION *sess = NULL;
2954     unsigned char buf[20];
2955     size_t readbytes, written;
2956
2957     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
2958                                         &serverssl, &sess, idx)))
2959         goto end;
2960
2961     if (testtype == 1 || testtype == 2) {
2962         /* Force an HRR to occur */
2963 #if defined(OPENSSL_NO_EC)
2964         if (!TEST_true(SSL_set1_groups_list(serverssl, "ffdhe3072")))
2965             goto end;
2966 #else
2967         if (!TEST_true(SSL_set1_groups_list(serverssl, "P-256")))
2968             goto end;
2969 #endif
2970     } else if (idx == 2) {
2971         /*
2972          * We force early_data rejection by ensuring the PSK identity is
2973          * unrecognised
2974          */
2975         srvid = "Dummy Identity";
2976     } else {
2977         /*
2978          * Deliberately corrupt the creation time. We take 20 seconds off the
2979          * time. It could be any value as long as it is not within tolerance.
2980          * This should mean the ticket is rejected.
2981          */
2982         if (!TEST_true(SSL_SESSION_set_time(sess, (long)(time(NULL) - 20))))
2983             goto end;
2984     }
2985
2986     if (testtype == 3
2987             && !TEST_true(SSL_set_recv_max_early_data(serverssl, 0)))
2988         goto end;
2989
2990     /* Write some early data */
2991     if (!TEST_true(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
2992                                         &written))
2993             || !TEST_size_t_eq(written, strlen(MSG1)))
2994         goto end;
2995
2996     /* Server should reject the early data */
2997     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
2998                                          &readbytes),
2999                      SSL_READ_EARLY_DATA_FINISH)
3000             || !TEST_size_t_eq(readbytes, 0)
3001             || !TEST_int_eq(SSL_get_early_data_status(serverssl),
3002                             SSL_EARLY_DATA_REJECTED))
3003         goto end;
3004
3005     switch (testtype) {
3006     case 0:
3007         /* Nothing to do */
3008         break;
3009
3010     case 1:
3011         /*
3012          * Finish off the handshake. We perform the same writes and reads as
3013          * further down but we expect them to fail due to the incomplete
3014          * handshake.
3015          */
3016         if (!TEST_false(SSL_write_ex(clientssl, MSG2, strlen(MSG2), &written))
3017                 || !TEST_false(SSL_read_ex(serverssl, buf, sizeof(buf),
3018                                &readbytes)))
3019             goto end;
3020         break;
3021
3022     case 2:
3023         {
3024             BIO *wbio = SSL_get_wbio(clientssl);
3025             /* A record that will appear as bad early_data */
3026             const unsigned char bad_early_data[] = {
3027                 0x17, 0x03, 0x03, 0x00, 0x01, 0x00
3028             };
3029
3030             /*
3031              * We force the client to attempt a write. This will fail because
3032              * we're still in the handshake. It will cause the second
3033              * ClientHello to be sent.
3034              */
3035             if (!TEST_false(SSL_write_ex(clientssl, MSG2, strlen(MSG2),
3036                                          &written)))
3037                 goto end;
3038
3039             /*
3040              * Inject some early_data after the second ClientHello. This should
3041              * cause the server to fail
3042              */
3043             if (!TEST_true(BIO_write_ex(wbio, bad_early_data,
3044                                         sizeof(bad_early_data), &written)))
3045                 goto end;
3046         }
3047         /* fallthrough */
3048
3049     case 3:
3050         /*
3051          * This client has sent more early_data than we are willing to skip
3052          * (case 3) or sent invalid early_data (case 2) so the connection should
3053          * abort.
3054          */
3055         if (!TEST_false(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
3056                 || !TEST_int_eq(SSL_get_error(serverssl, 0), SSL_ERROR_SSL))
3057             goto end;
3058
3059         /* Connection has failed - nothing more to do */
3060         testresult = 1;
3061         goto end;
3062
3063     default:
3064         TEST_error("Invalid test type");
3065         goto end;
3066     }
3067
3068     /*
3069      * Should be able to send normal data despite rejection of early data. The
3070      * early_data should be skipped.
3071      */
3072     if (!TEST_true(SSL_write_ex(clientssl, MSG2, strlen(MSG2), &written))
3073             || !TEST_size_t_eq(written, strlen(MSG2))
3074             || !TEST_int_eq(SSL_get_early_data_status(clientssl),
3075                             SSL_EARLY_DATA_REJECTED)
3076             || !TEST_true(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
3077             || !TEST_mem_eq(buf, readbytes, MSG2, strlen(MSG2)))
3078         goto end;
3079
3080     testresult = 1;
3081
3082  end:
3083     SSL_SESSION_free(clientpsk);
3084     SSL_SESSION_free(serverpsk);
3085     clientpsk = serverpsk = NULL;
3086     SSL_SESSION_free(sess);
3087     SSL_free(serverssl);
3088     SSL_free(clientssl);
3089     SSL_CTX_free(sctx);
3090     SSL_CTX_free(cctx);
3091     return testresult;
3092 }
3093
3094 /*
3095  * Test that a server attempting to read early data can handle a connection
3096  * from a client where the early data is not acceptable.
3097  */
3098 static int test_early_data_skip(int idx)
3099 {
3100     return early_data_skip_helper(0, idx);
3101 }
3102
3103 /*
3104  * Test that a server attempting to read early data can handle a connection
3105  * from a client where an HRR occurs.
3106  */
3107 static int test_early_data_skip_hrr(int idx)
3108 {
3109     return early_data_skip_helper(1, idx);
3110 }
3111
3112 /*
3113  * Test that a server attempting to read early data can handle a connection
3114  * from a client where an HRR occurs and correctly fails if early_data is sent
3115  * after the HRR
3116  */
3117 static int test_early_data_skip_hrr_fail(int idx)
3118 {
3119     return early_data_skip_helper(2, idx);
3120 }
3121
3122 /*
3123  * Test that a server attempting to read early data will abort if it tries to
3124  * skip over too much.
3125  */
3126 static int test_early_data_skip_abort(int idx)
3127 {
3128     return early_data_skip_helper(3, idx);
3129 }
3130
3131 /*
3132  * Test that a server attempting to read early data can handle a connection
3133  * from a client that doesn't send any.
3134  */
3135 static int test_early_data_not_sent(int idx)
3136 {
3137     SSL_CTX *cctx = NULL, *sctx = NULL;
3138     SSL *clientssl = NULL, *serverssl = NULL;
3139     int testresult = 0;
3140     SSL_SESSION *sess = NULL;
3141     unsigned char buf[20];
3142     size_t readbytes, written;
3143
3144     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
3145                                         &serverssl, &sess, idx)))
3146         goto end;
3147
3148     /* Write some data - should block due to handshake with server */
3149     SSL_set_connect_state(clientssl);
3150     if (!TEST_false(SSL_write_ex(clientssl, MSG1, strlen(MSG1), &written)))
3151         goto end;
3152
3153     /* Server should detect that early data has not been sent */
3154     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
3155                                          &readbytes),
3156                      SSL_READ_EARLY_DATA_FINISH)
3157             || !TEST_size_t_eq(readbytes, 0)
3158             || !TEST_int_eq(SSL_get_early_data_status(serverssl),
3159                             SSL_EARLY_DATA_NOT_SENT)
3160             || !TEST_int_eq(SSL_get_early_data_status(clientssl),
3161                             SSL_EARLY_DATA_NOT_SENT))
3162         goto end;
3163
3164     /* Continue writing the message we started earlier */
3165     if (!TEST_true(SSL_write_ex(clientssl, MSG1, strlen(MSG1), &written))
3166             || !TEST_size_t_eq(written, strlen(MSG1))
3167             || !TEST_true(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
3168             || !TEST_mem_eq(buf, readbytes, MSG1, strlen(MSG1))
3169             || !SSL_write_ex(serverssl, MSG2, strlen(MSG2), &written)
3170             || !TEST_size_t_eq(written, strlen(MSG2)))
3171         goto end;
3172
3173     if (!TEST_true(SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes))
3174             || !TEST_mem_eq(buf, readbytes, MSG2, strlen(MSG2)))
3175         goto end;
3176
3177     testresult = 1;
3178
3179  end:
3180     SSL_SESSION_free(sess);
3181     SSL_SESSION_free(clientpsk);
3182     SSL_SESSION_free(serverpsk);
3183     clientpsk = serverpsk = NULL;
3184     SSL_free(serverssl);
3185     SSL_free(clientssl);
3186     SSL_CTX_free(sctx);
3187     SSL_CTX_free(cctx);
3188     return testresult;
3189 }
3190
3191 static int hostname_cb(SSL *s, int *al, void *arg)
3192 {
3193     const char *hostname = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
3194
3195     if (hostname != NULL && strcmp(hostname, "goodhost") == 0)
3196         return  SSL_TLSEXT_ERR_OK;
3197
3198     return SSL_TLSEXT_ERR_NOACK;
3199 }
3200
3201 static const char *servalpn;
3202
3203 static int alpn_select_cb(SSL *ssl, const unsigned char **out,
3204                           unsigned char *outlen, const unsigned char *in,
3205                           unsigned int inlen, void *arg)
3206 {
3207     unsigned int protlen = 0;
3208     const unsigned char *prot;
3209
3210     for (prot = in; prot < in + inlen; prot += protlen) {
3211         protlen = *prot++;
3212         if (in + inlen < prot + protlen)
3213             return SSL_TLSEXT_ERR_NOACK;
3214
3215         if (protlen == strlen(servalpn)
3216                 && memcmp(prot, servalpn, protlen) == 0) {
3217             *out = prot;
3218             *outlen = protlen;
3219             return SSL_TLSEXT_ERR_OK;
3220         }
3221     }
3222
3223     return SSL_TLSEXT_ERR_NOACK;
3224 }
3225
3226 /* Test that a PSK can be used to send early_data */
3227 static int test_early_data_psk(int idx)
3228 {
3229     SSL_CTX *cctx = NULL, *sctx = NULL;
3230     SSL *clientssl = NULL, *serverssl = NULL;
3231     int testresult = 0;
3232     SSL_SESSION *sess = NULL;
3233     unsigned char alpnlist[] = {
3234         0x08, 'g', 'o', 'o', 'd', 'a', 'l', 'p', 'n', 0x07, 'b', 'a', 'd', 'a',
3235         'l', 'p', 'n'
3236     };
3237 #define GOODALPNLEN     9
3238 #define BADALPNLEN      8
3239 #define GOODALPN        (alpnlist)
3240 #define BADALPN         (alpnlist + GOODALPNLEN)
3241     int err = 0;
3242     unsigned char buf[20];
3243     size_t readbytes, written;
3244     int readearlyres = SSL_READ_EARLY_DATA_SUCCESS, connectres = 1;
3245     int edstatus = SSL_EARLY_DATA_ACCEPTED;
3246
3247     /* We always set this up with a final parameter of "2" for PSK */
3248     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
3249                                         &serverssl, &sess, 2)))
3250         goto end;
3251
3252     servalpn = "goodalpn";
3253
3254     /*
3255      * Note: There is no test for inconsistent SNI with late client detection.
3256      * This is because servers do not acknowledge SNI even if they are using
3257      * it in a resumption handshake - so it is not actually possible for a
3258      * client to detect a problem.
3259      */
3260     switch (idx) {
3261     case 0:
3262         /* Set inconsistent SNI (early client detection) */
3263         err = SSL_R_INCONSISTENT_EARLY_DATA_SNI;
3264         if (!TEST_true(SSL_SESSION_set1_hostname(sess, "goodhost"))
3265                 || !TEST_true(SSL_set_tlsext_host_name(clientssl, "badhost")))
3266             goto end;
3267         break;
3268
3269     case 1:
3270         /* Set inconsistent ALPN (early client detection) */
3271         err = SSL_R_INCONSISTENT_EARLY_DATA_ALPN;
3272         /* SSL_set_alpn_protos returns 0 for success and 1 for failure */
3273         if (!TEST_true(SSL_SESSION_set1_alpn_selected(sess, GOODALPN,
3274                                                       GOODALPNLEN))
3275                 || !TEST_false(SSL_set_alpn_protos(clientssl, BADALPN,
3276                                                    BADALPNLEN)))
3277             goto end;
3278         break;
3279
3280     case 2:
3281         /*
3282          * Set invalid protocol version. Technically this affects PSKs without
3283          * early_data too, but we test it here because it is similar to the
3284          * SNI/ALPN consistency tests.
3285          */
3286         err = SSL_R_BAD_PSK;
3287         if (!TEST_true(SSL_SESSION_set_protocol_version(sess, TLS1_2_VERSION)))
3288             goto end;
3289         break;
3290
3291     case 3:
3292         /*
3293          * Set inconsistent SNI (server detected). In this case the connection
3294          * will succeed but reject early_data.
3295          */
3296         SSL_SESSION_free(serverpsk);
3297         serverpsk = SSL_SESSION_dup(clientpsk);
3298         if (!TEST_ptr(serverpsk)
3299                 || !TEST_true(SSL_SESSION_set1_hostname(serverpsk, "badhost")))
3300             goto end;
3301         edstatus = SSL_EARLY_DATA_REJECTED;
3302         readearlyres = SSL_READ_EARLY_DATA_FINISH;
3303         /* Fall through */
3304     case 4:
3305         /* Set consistent SNI */
3306         if (!TEST_true(SSL_SESSION_set1_hostname(sess, "goodhost"))
3307                 || !TEST_true(SSL_set_tlsext_host_name(clientssl, "goodhost"))
3308                 || !TEST_true(SSL_CTX_set_tlsext_servername_callback(sctx,
3309                                 hostname_cb)))
3310             goto end;
3311         break;
3312
3313     case 5:
3314         /*
3315          * Set inconsistent ALPN (server detected). In this case the connection
3316          * will succeed but reject early_data.
3317          */
3318         servalpn = "badalpn";
3319         edstatus = SSL_EARLY_DATA_REJECTED;
3320         readearlyres = SSL_READ_EARLY_DATA_FINISH;
3321         /* Fall through */
3322     case 6:
3323         /*
3324          * Set consistent ALPN.
3325          * SSL_set_alpn_protos returns 0 for success and 1 for failure. It
3326          * accepts a list of protos (each one length prefixed).
3327          * SSL_set1_alpn_selected accepts a single protocol (not length
3328          * prefixed)
3329          */
3330         if (!TEST_true(SSL_SESSION_set1_alpn_selected(sess, GOODALPN + 1,
3331                                                       GOODALPNLEN - 1))
3332                 || !TEST_false(SSL_set_alpn_protos(clientssl, GOODALPN,
3333                                                    GOODALPNLEN)))
3334             goto end;
3335
3336         SSL_CTX_set_alpn_select_cb(sctx, alpn_select_cb, NULL);
3337         break;
3338
3339     case 7:
3340         /* Set inconsistent ALPN (late client detection) */
3341         SSL_SESSION_free(serverpsk);
3342         serverpsk = SSL_SESSION_dup(clientpsk);
3343         if (!TEST_ptr(serverpsk)
3344                 || !TEST_true(SSL_SESSION_set1_alpn_selected(clientpsk,
3345                                                              BADALPN + 1,
3346                                                              BADALPNLEN - 1))
3347                 || !TEST_true(SSL_SESSION_set1_alpn_selected(serverpsk,
3348                                                              GOODALPN + 1,
3349                                                              GOODALPNLEN - 1))
3350                 || !TEST_false(SSL_set_alpn_protos(clientssl, alpnlist,
3351                                                    sizeof(alpnlist))))
3352             goto end;
3353         SSL_CTX_set_alpn_select_cb(sctx, alpn_select_cb, NULL);
3354         edstatus = SSL_EARLY_DATA_ACCEPTED;
3355         readearlyres = SSL_READ_EARLY_DATA_SUCCESS;
3356         /* SSL_connect() call should fail */
3357         connectres = -1;
3358         break;
3359
3360     default:
3361         TEST_error("Bad test index");
3362         goto end;
3363     }
3364
3365     SSL_set_connect_state(clientssl);
3366     if (err != 0) {
3367         if (!TEST_false(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
3368                                             &written))
3369                 || !TEST_int_eq(SSL_get_error(clientssl, 0), SSL_ERROR_SSL)
3370                 || !TEST_int_eq(ERR_GET_REASON(ERR_get_error()), err))
3371             goto end;
3372     } else {
3373         if (!TEST_true(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
3374                                             &written)))
3375             goto end;
3376
3377         if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
3378                                              &readbytes), readearlyres)
3379                 || (readearlyres == SSL_READ_EARLY_DATA_SUCCESS
3380                     && !TEST_mem_eq(buf, readbytes, MSG1, strlen(MSG1)))
3381                 || !TEST_int_eq(SSL_get_early_data_status(serverssl), edstatus)
3382                 || !TEST_int_eq(SSL_connect(clientssl), connectres))
3383             goto end;
3384     }
3385
3386     testresult = 1;
3387
3388  end:
3389     SSL_SESSION_free(sess);
3390     SSL_SESSION_free(clientpsk);
3391     SSL_SESSION_free(serverpsk);
3392     clientpsk = serverpsk = NULL;
3393     SSL_free(serverssl);
3394     SSL_free(clientssl);
3395     SSL_CTX_free(sctx);
3396     SSL_CTX_free(cctx);
3397     return testresult;
3398 }
3399
3400 /*
3401  * Test that a server that doesn't try to read early data can handle a
3402  * client sending some.
3403  */
3404 static int test_early_data_not_expected(int idx)
3405 {
3406     SSL_CTX *cctx = NULL, *sctx = NULL;
3407     SSL *clientssl = NULL, *serverssl = NULL;
3408     int testresult = 0;
3409     SSL_SESSION *sess = NULL;
3410     unsigned char buf[20];
3411     size_t readbytes, written;
3412
3413     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
3414                                         &serverssl, &sess, idx)))
3415         goto end;
3416
3417     /* Write some early data */
3418     if (!TEST_true(SSL_write_early_data(clientssl, MSG1, strlen(MSG1),
3419                                         &written)))
3420         goto end;
3421
3422     /*
3423      * Server should skip over early data and then block waiting for client to
3424      * continue handshake
3425      */
3426     if (!TEST_int_le(SSL_accept(serverssl), 0)
3427      || !TEST_int_gt(SSL_connect(clientssl), 0)
3428      || !TEST_int_eq(SSL_get_early_data_status(serverssl),
3429                      SSL_EARLY_DATA_REJECTED)
3430      || !TEST_int_gt(SSL_accept(serverssl), 0)
3431      || !TEST_int_eq(SSL_get_early_data_status(clientssl),
3432                      SSL_EARLY_DATA_REJECTED))
3433         goto end;
3434
3435     /* Send some normal data from client to server */
3436     if (!TEST_true(SSL_write_ex(clientssl, MSG2, strlen(MSG2), &written))
3437             || !TEST_size_t_eq(written, strlen(MSG2)))
3438         goto end;
3439
3440     if (!TEST_true(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
3441             || !TEST_mem_eq(buf, readbytes, MSG2, strlen(MSG2)))
3442         goto end;
3443
3444     testresult = 1;
3445
3446  end:
3447     SSL_SESSION_free(sess);
3448     SSL_SESSION_free(clientpsk);
3449     SSL_SESSION_free(serverpsk);
3450     clientpsk = serverpsk = NULL;
3451     SSL_free(serverssl);
3452     SSL_free(clientssl);
3453     SSL_CTX_free(sctx);
3454     SSL_CTX_free(cctx);
3455     return testresult;
3456 }
3457
3458
3459 # ifndef OPENSSL_NO_TLS1_2
3460 /*
3461  * Test that a server attempting to read early data can handle a connection
3462  * from a TLSv1.2 client.
3463  */
3464 static int test_early_data_tls1_2(int idx)
3465 {
3466     SSL_CTX *cctx = NULL, *sctx = NULL;
3467     SSL *clientssl = NULL, *serverssl = NULL;
3468     int testresult = 0;
3469     unsigned char buf[20];
3470     size_t readbytes, written;
3471
3472     if (!TEST_true(setupearly_data_test(&cctx, &sctx, &clientssl,
3473                                         &serverssl, NULL, idx)))
3474         goto end;
3475
3476     /* Write some data - should block due to handshake with server */
3477     SSL_set_max_proto_version(clientssl, TLS1_2_VERSION);
3478     SSL_set_connect_state(clientssl);
3479     if (!TEST_false(SSL_write_ex(clientssl, MSG1, strlen(MSG1), &written)))
3480         goto end;
3481
3482     /*
3483      * Server should do TLSv1.2 handshake. First it will block waiting for more
3484      * messages from client after ServerDone. Then SSL_read_early_data should
3485      * finish and detect that early data has not been sent
3486      */
3487     if (!TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
3488                                          &readbytes),
3489                      SSL_READ_EARLY_DATA_ERROR))
3490         goto end;
3491
3492     /*
3493      * Continue writing the message we started earlier. Will still block waiting
3494      * for the CCS/Finished from server
3495      */
3496     if (!TEST_false(SSL_write_ex(clientssl, MSG1, strlen(MSG1), &written))
3497             || !TEST_int_eq(SSL_read_early_data(serverssl, buf, sizeof(buf),
3498                                                 &readbytes),
3499                             SSL_READ_EARLY_DATA_FINISH)
3500             || !TEST_size_t_eq(readbytes, 0)
3501             || !TEST_int_eq(SSL_get_early_data_status(serverssl),
3502                             SSL_EARLY_DATA_NOT_SENT))
3503         goto end;
3504
3505     /* Continue writing the message we started earlier */
3506     if (!TEST_true(SSL_write_ex(clientssl, MSG1, strlen(MSG1), &written))
3507             || !TEST_size_t_eq(written, strlen(MSG1))
3508             || !TEST_int_eq(SSL_get_early_data_status(clientssl),
3509                             SSL_EARLY_DATA_NOT_SENT)
3510             || !TEST_true(SSL_read_ex(serverssl, buf, sizeof(buf), &readbytes))
3511             || !TEST_mem_eq(buf, readbytes, MSG1, strlen(MSG1))
3512             || !TEST_true(SSL_write_ex(serverssl, MSG2, strlen(MSG2), &written))
3513             || !TEST_size_t_eq(written, strlen(MSG2))
3514             || !SSL_read_ex(clientssl, buf, sizeof(buf), &readbytes)
3515             || !TEST_mem_eq(buf, readbytes, MSG2, strlen(MSG2)))
3516         goto end;
3517
3518     testresult = 1;
3519
3520  end:
3521     SSL_SESSION_free(clientpsk);
3522     SSL_SESSION_free(serverpsk);
3523     clientpsk = serverpsk = NULL;
3524     SSL_free(serverssl);
3525     SSL_free(clientssl);
3526     SSL_CTX_free(sctx);
3527     SSL_CTX_free(cctx);
3528
3529     return testresult;
3530 }
3531 # endif /* OPENSSL_NO_TLS1_2 */
3532
3533 /*
3534  * Test configuring the TLSv1.3 ciphersuites
3535  *
3536  * Test 0: Set a default ciphersuite in the SSL_CTX (no explicit cipher_list)
3537  * Test 1: Set a non-default ciphersuite in the SSL_CTX (no explicit cipher_list)
3538  * Test 2: Set a default ciphersuite in the SSL (no explicit cipher_list)
3539  * Test 3: Set a non-default ciphersuite in the SSL (no explicit cipher_list)
3540  * Test 4: Set a default ciphersuite in the SSL_CTX (SSL_CTX cipher_list)
3541  * Test 5: Set a non-default ciphersuite in the SSL_CTX (SSL_CTX cipher_list)
3542  * Test 6: Set a default ciphersuite in the SSL (SSL_CTX cipher_list)
3543  * Test 7: Set a non-default ciphersuite in the SSL (SSL_CTX cipher_list)
3544  * Test 8: Set a default ciphersuite in the SSL (SSL cipher_list)
3545  * Test 9: Set a non-default ciphersuite in the SSL (SSL cipher_list)
3546  */
3547 static int test_set_ciphersuite(int idx)
3548 {
3549     SSL_CTX *cctx = NULL, *sctx = NULL;
3550     SSL *clientssl = NULL, *serverssl = NULL;
3551     int testresult = 0;
3552
3553     if (!TEST_true(create_ssl_ctx_pair(TLS_server_method(), TLS_client_method(),
3554                                        TLS1_VERSION, 0,
3555                                        &sctx, &cctx, cert, privkey))
3556             || !TEST_true(SSL_CTX_set_ciphersuites(sctx,
3557                            "TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256")))
3558         goto end;
3559
3560     if (idx >=4 && idx <= 7) {
3561         /* SSL_CTX explicit cipher list */
3562         if (!TEST_true(SSL_CTX_set_cipher_list(cctx, "AES256-GCM-SHA384")))
3563             goto end;