Add new "valid_flags" field to CERT_PKEY structure which determines what

[openssl.git] / ssl / ssl.h
diff --git a/ssl/ssl.h b/ssl/ssl.h

index 352e91b32a24fcbce30c2fb510f6b5e033ae6491..3675d6e4534025ebc45c0a1072352a31bf9541fe 100644 (file)
--- a/ssl/ssl.h
+++ b/ssl/ssl.h
@@ -539,11 +539,18 @@ struct ssl_session_st
  #endif /* OPENSSL_NO_EC */
         /* RFC4507 info */
         unsigned char *tlsext_tick;     /* Session ticket */
-       size_t  tlsext_ticklen;         /* Session ticket length */     
+       size_t tlsext_ticklen;          /* Session ticket length */
         long tlsext_tick_lifetime_hint; /* Session lifetime hint in seconds */
  #endif
  #ifndef OPENSSL_NO_SRP
         char *srp_username;
+#endif
+#ifndef OPENSSL_NO_TLSEXT
+       /* Used by client: the proof for this session.
+        * We store it outside the sess_cert structure, since the proof
+        * is received before the certificate. */
+       unsigned char *audit_proof;
+       size_t audit_proof_length;
  #endif
         };
  
@@ -643,6 +650,12 @@ struct ssl_session_st
   * or just freed (depending on the context's setting for freelist_max_len). */
  #define SSL_MODE_RELEASE_BUFFERS 0x00000010L
  
+/* Cert related flags */
+/* Many implementations ignore some aspects of the TLS standards such as
+ * enforcing certifcate chain algorithms. When this is set we enforce them.
+ */
+#define SSL_CERT_FLAG_TLS_STRICT       0x00000001L
+
  /* Note: SSL[_CTX]_set_{options,mode} use |= op on the previous value,
   * they cannot be used to clear bits. */
  
@@ -682,6 +695,15 @@ struct ssl_session_st
          SSL_ctrl((ssl),SSL_CTRL_TLS_EXT_SEND_HEARTBEAT,0,NULL)
  #endif
  
+#define SSL_CTX_set_cert_flags(ctx,op) \
+       SSL_CTX_ctrl((ctx),SSL_CTRL_CERT_FLAGS,(op),NULL)
+#define SSL_set_cert_flags(s,op) \
+       SSL_ctrl((s),SSL_CTRL_CERT_FLAGS,(op),NULL)
+#define SSL_CTX_clear_cert_flags(ctx,op) \
+       SSL_CTX_ctrl((ctx),SSL_CTRL_CLEAR_CERT_FLAGS,(op),NULL)
+#define SSL_clear_cert_flags(s,op) \
+       SSL_ctrl((s),SSL_CTRL_CLEAR_CERT_FLAGS,(op),NULL)
+
  void SSL_CTX_set_msg_callback(SSL_CTX *ctx, void (*cb)(int write_p, int version, int content_type, const void *buf, size_t len, SSL *ssl, void *arg));
  void SSL_set_msg_callback(SSL *ssl, void (*cb)(int write_p, int version, int content_type, const void *buf, size_t len, SSL *ssl, void *arg));
  #define SSL_CTX_set_msg_callback_arg(ctx, arg) SSL_CTX_ctrl((ctx), SSL_CTRL_SET_MSG_CALLBACK_ARG, 0, (arg))
@@ -977,18 +999,20 @@ struct ssl_ctx_st
         void *next_proto_select_cb_arg;
  # endif
          /* SRTP profiles we are willing to do from RFC 5764 */
-        STACK_OF(SRTP_PROTECTION_PROFILE) *srtp_profiles;  
+       STACK_OF(SRTP_PROTECTION_PROFILE) *srtp_profiles;  
  #endif
         /* Callback for disabling session caching and ticket support
          * on a session basis, depending on the chosen cipher. */
         int (*not_resumable_session_cb)(SSL *ssl, int is_forward_secure);
-#ifndef OPENSSL_NO_EC
+# ifndef OPENSSL_NO_EC
         /* EC extension values inherited by SSL structure */
         size_t tlsext_ecpointformatlist_length;
         unsigned char *tlsext_ecpointformatlist;
         size_t tlsext_ellipticcurvelist_length;
         unsigned char *tlsext_ellipticcurvelist;
-#endif /* OPENSSL_NO_EC */
+# endif /* OPENSSL_NO_EC */
+       int (*tlsext_authz_server_audit_proof_cb)(SSL *s, void *arg);
+       void *tlsext_authz_server_audit_proof_cb_arg;
         };
  
  #endif
@@ -1357,6 +1381,7 @@ struct ssl_st
         int renegotiate;/* 1 if we are renegotiating.
                          * 2 if we are a server and are inside a handshake
                          * (i.e. not just sending a HelloRequest) */
+
  #ifndef OPENSSL_NO_SRP
         SRP_CTX srp_ctx; /* ctx for SRP authentication */
  #endif
@@ -1608,7 +1633,10 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
  #define SSL_CTRL_GET_TLS_EXT_HEARTBEAT_PENDING         86
  #define SSL_CTRL_SET_TLS_EXT_HEARTBEAT_NO_REQUESTS     87
  #endif
-#endif
+/* Callback for verifying audit proofs (client only) */
+#define SSL_CTRL_SET_TLSEXT_AUTHZ_SERVER_AUDIT_PROOF_CB 95
+#define SSL_CTRL_SET_TLSEXT_AUTHZ_SERVER_AUDIT_PROOF_CB_ARG 96
+#endif /* OPENSSL_NO_TLSEXT */
  
  #define DTLS_CTRL_GET_TIMEOUT          73
  #define DTLS_CTRL_HANDLE_TIMEOUT       74
@@ -1630,6 +1658,10 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
  #define SSL_CTRL_SET_CURVES_LIST               92
  #define SSL_CTRL_GET_SHARED_CURVE              93
  #define SSL_CTRL_SET_ECDH_AUTO                 94
+#define SSL_CTRL_SET_SIGALGS                   97
+#define SSL_CTRL_SET_SIGALGS_LIST              98
+#define SSL_CTRL_CERT_FLAGS                    99
+#define SSL_CTRL_CLEAR_CERT_FLAGS              100
  
  #define DTLSv1_get_timeout(ssl, arg) \
         SSL_ctrl(ssl,DTLS_CTRL_GET_TIMEOUT,0, (void *)arg)
@@ -1706,6 +1738,15 @@ DECLARE_PEM_rw(SSL_SESSION, SSL_SESSION)
  #define SSL_set_ecdh_auto(s, onoff) \
         SSL_ctrl(s,SSL_CTRL_SET_ECDH_AUTO,onoff,NULL)
  
+#define SSL_CTX_set1_sigalgs(ctx, slist, slistlen) \
+       SSL_CTX_ctrl(ctx,SSL_CTRL_SET_SIGALGS,slistlen,(int *)slist)
+#define SSL_CTX_set1_sigalgs_list(ctx, s) \
+       SSL_CTX_ctrl(ctx,SSL_CTRL_SET_SIGALGS_LIST,0,(char *)s)
+#define SSL_set1_sigalgs(ctx, slist, slistlen) \
+       SSL_ctrl(ctx,SSL_CTRL_SET_SIGALGS,clistlen,(int *)slist)
+#define SSL_set1_sigalgs_list(ctx, s) \
+       SSL_ctrl(ctx,SSL_CTRL_SET_SIGALGS_LIST,0,(char *)s)
+
  #ifndef OPENSSL_NO_BIO
  BIO_METHOD *BIO_f_ssl(void);
  BIO *BIO_new_ssl(SSL_CTX *ctx,int client);
@@ -1768,6 +1809,19 @@ int      SSL_use_PrivateKey_ASN1(int pk,SSL *ssl, const unsigned char *d, long len);
  int    SSL_use_certificate(SSL *ssl, X509 *x);
  int    SSL_use_certificate_ASN1(SSL *ssl, const unsigned char *d, int len);
  
+#ifndef OPENSSL_NO_TLSEXT
+/* Set authz data for the current active cert. */
+int    SSL_CTX_use_authz(SSL_CTX *ctx, unsigned char *authz, size_t authz_length);
+int    SSL_use_authz(SSL *ssl, unsigned char *authz, size_t authz_length);
+/* Get the authz of type 'type' associated with the current active cert. */
+const unsigned char *SSL_CTX_get_authz_data(SSL_CTX *ctx, unsigned char type,
+                                           size_t *data_length);
+#ifndef OPENSSL_NO_STDIO
+int    SSL_CTX_use_authz_file(SSL_CTX *ctx, const char *file);
+int    SSL_use_authz_file(SSL *ssl, const char *file);
+#endif
+#endif
+
  #ifndef OPENSSL_NO_STDIO
  int    SSL_use_RSAPrivateKey_file(SSL *ssl, const char *file, int type);
  int    SSL_use_PrivateKey_file(SSL *ssl, const char *file, int type);
@@ -1812,6 +1866,10 @@ int      SSL_SESSION_print_fp(FILE *fp,const SSL_SESSION *ses);
  #ifndef OPENSSL_NO_BIO
  int    SSL_SESSION_print(BIO *fp,const SSL_SESSION *ses);
  #endif
+#ifndef OPENSSL_NO_TLSEXT
+unsigned char *SSL_SESSION_get_tlsext_authz_server_audit_proof(SSL_SESSION *s,
+       size_t *proof_length);
+#endif
  void   SSL_SESSION_free(SSL_SESSION *ses);
  int    i2d_SSL_SESSION(SSL_SESSION *in,unsigned char **pp);
  int    SSL_set_session(SSL *to, SSL_SESSION *session);
@@ -1892,6 +1950,7 @@ char *SSL_get_srp_username(SSL *s);
  char *SSL_get_srp_userinfo(SSL *s);
  #endif
  
+void   SSL_certs_clear(SSL *s);
  void   SSL_free(SSL *ssl);
  int    SSL_accept(SSL *ssl);
  int    SSL_connect(SSL *ssl);
@@ -2106,6 +2165,11 @@ void SSL_set_not_resumable_session_callback(SSL *ssl,
  void SSL_set_debug(SSL *s, int debug);
  int SSL_cache_hit(SSL *s);
  
+#ifndef OPENSSL_NO_SSL_TRACE
+void SSL_trace(int write_p, int version, int content_type,
+               const void *buf, size_t len, SSL *ssl, void *arg);
+#endif
+
  /* BEGIN ERROR CODES */
  /* The following lines are auto generated by the script mkerr.pl. Any changes
   * made after this point may be overwritten when the script is next run.
@@ -2115,6 +2179,8 @@ void ERR_load_SSL_strings(void);
  /* Error codes for the SSL functions. */
  
  /* Function codes. */
+#define SSL_F_AUTHZ_FIND_DATA                           330
+#define SSL_F_AUTHZ_VALIDATE                            323
  #define SSL_F_CLIENT_CERTIFICATE                        100
  #define SSL_F_CLIENT_FINISHED                           167
  #define SSL_F_CLIENT_HELLO                              101
@@ -2157,6 +2223,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_F_GET_SERVER_HELLO                          109
  #define SSL_F_GET_SERVER_VERIFY                                 110
  #define SSL_F_I2D_SSL_SESSION                           111
+#define SSL_F_READ_AUTHZ                                329
  #define SSL_F_READ_N                                    112
  #define SSL_F_REQUEST_CERTIFICATE                       113
  #define SSL_F_SERVER_FINISH                             239
@@ -2260,6 +2327,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_F_SSL_CTX_SET_SESSION_ID_CONTEXT            219
  #define SSL_F_SSL_CTX_SET_SSL_VERSION                   170
  #define SSL_F_SSL_CTX_SET_TRUST                                 229
+#define SSL_F_SSL_CTX_USE_AUTHZ                                 324
  #define SSL_F_SSL_CTX_USE_CERTIFICATE                   171
  #define SSL_F_SSL_CTX_USE_CERTIFICATE_ASN1              172
  #define SSL_F_SSL_CTX_USE_CERTIFICATE_CHAIN_FILE        220
@@ -2274,6 +2342,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_F_SSL_DO_HANDSHAKE                          180
  #define SSL_F_SSL_GET_NEW_SESSION                       181
  #define SSL_F_SSL_GET_PREV_SESSION                      217
+#define SSL_F_SSL_GET_SERVER_CERT_INDEX                         331
  #define SSL_F_SSL_GET_SERVER_SEND_PKEY                  182
  #define SSL_F_SSL_GET_SIGN_PKEY                                 183
  #define SSL_F_SSL_INIT_WBIO_BUFFER                      184
@@ -2297,6 +2366,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_F_SSL_SESSION_PRINT_FP                      190
  #define SSL_F_SSL_SESSION_SET1_ID_CONTEXT               312
  #define SSL_F_SSL_SESS_CERT_NEW                                 225
+#define SSL_F_SSL_SET_AUTHZ                             325
  #define SSL_F_SSL_SET_CERT                              191
  #define SSL_F_SSL_SET_CIPHER_LIST                       271
  #define SSL_F_SSL_SET_FD                                192
@@ -2313,6 +2383,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_F_SSL_UNDEFINED_CONST_FUNCTION              243
  #define SSL_F_SSL_UNDEFINED_FUNCTION                    197
  #define SSL_F_SSL_UNDEFINED_VOID_FUNCTION               244
+#define SSL_F_SSL_USE_AUTHZ                             328
  #define SSL_F_SSL_USE_CERTIFICATE                       198
  #define SSL_F_SSL_USE_CERTIFICATE_ASN1                  199
  #define SSL_F_SSL_USE_CERTIFICATE_FILE                  200
@@ -2330,16 +2401,19 @@ void ERR_load_SSL_strings(void);
  #define SSL_F_TLS1_CHECK_SERVERHELLO_TLSEXT             274
  #define SSL_F_TLS1_ENC                                  210
  #define SSL_F_TLS1_EXPORT_KEYING_MATERIAL               314
+#define SSL_F_TLS1_GET_SERVER_SUPPLEMENTAL_DATA                 326
  #define SSL_F_TLS1_HEARTBEAT                            315
  #define SSL_F_TLS1_PREPARE_CLIENTHELLO_TLSEXT           275
  #define SSL_F_TLS1_PREPARE_SERVERHELLO_TLSEXT           276
  #define SSL_F_TLS1_PRF                                  284
+#define SSL_F_TLS1_SEND_SERVER_SUPPLEMENTAL_DATA        327
  #define SSL_F_TLS1_SETUP_KEY_BLOCK                      211
  #define SSL_F_WRITE_PENDING                             212
  
  /* Reason codes. */
  #define SSL_R_APP_DATA_IN_HANDSHAKE                     100
  #define SSL_R_ATTEMPT_TO_REUSE_SESSION_IN_DIFFERENT_CONTEXT 272
+#define SSL_R_AUTHZ_DATA_TOO_LARGE                      375
  #define SSL_R_BAD_ALERT_RECORD                          101
  #define SSL_R_BAD_AUTHENTICATION_TYPE                   102
  #define SSL_R_BAD_CHANGE_CIPHER_SPEC                    103
@@ -2428,6 +2502,8 @@ void ERR_load_SSL_strings(void);
  #define SSL_R_HTTP_REQUEST                              156
  #define SSL_R_ILLEGAL_PADDING                           283
  #define SSL_R_INCONSISTENT_COMPRESSION                  340
+#define SSL_R_INVALID_AUDIT_PROOF                       371
+#define SSL_R_INVALID_AUTHZ_DATA                        374
  #define SSL_R_INVALID_CHALLENGE_LENGTH                  158
  #define SSL_R_INVALID_COMMAND                           280
  #define SSL_R_INVALID_COMPRESSION_ALGORITHM             341
@@ -2492,6 +2568,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_R_NO_RENEGOTIATION                          339
  #define SSL_R_NO_REQUIRED_DIGEST                        324
  #define SSL_R_NO_SHARED_CIPHER                          193
+#define SSL_R_NO_SHARED_SIGATURE_ALGORITHMS             376
  #define SSL_R_NO_SRTP_PROFILES                          359
  #define SSL_R_NO_VERIFY_CALLBACK                        194
  #define SSL_R_NULL_SSL_CTX                              195
@@ -2607,6 +2684,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_R_UNEXPECTED_RECORD                                 245
  #define SSL_R_UNINITIALIZED                             276
  #define SSL_R_UNKNOWN_ALERT_TYPE                        246
+#define SSL_R_UNKNOWN_AUTHZ_DATA_TYPE                   372
  #define SSL_R_UNKNOWN_CERTIFICATE_TYPE                  247
  #define SSL_R_UNKNOWN_CIPHER_RETURNED                   248
  #define SSL_R_UNKNOWN_CIPHER_TYPE                       249
@@ -2617,6 +2695,7 @@ void ERR_load_SSL_strings(void);
  #define SSL_R_UNKNOWN_REMOTE_ERROR_TYPE                         253
  #define SSL_R_UNKNOWN_SSL_VERSION                       254
  #define SSL_R_UNKNOWN_STATE                             255
+#define SSL_R_UNKNOWN_SUPPLEMENTAL_DATA_TYPE            373
  #define SSL_R_UNSAFE_LEGACY_RENEGOTIATION_DISABLED      338
  #define SSL_R_UNSUPPORTED_CIPHER                        256
  #define SSL_R_UNSUPPORTED_COMPRESSION_ALGORITHM                 257