X509_LOOKUP_store: new X509_LOOKUP_METHOD that works by OSSL_STORE URI

[openssl.git] / ssl / ssl_lib.c
diff --git a/ssl/ssl_lib.c b/ssl/ssl_lib.c

index 910f82be43aae2f0434bf0541f13b2b9cc416ade..2c901ff176d466510db092fedf956d9e981c4777 100644 (file)
--- a/ssl/ssl_lib.c
+++ b/ssl/ssl_lib.c
@@ -10,7 +10,7 @@
   */
  
  #include <stdio.h>
   */
  
  #include <stdio.h>
-#include "ssl_locl.h"
+#include "ssl_local.h"
  #include "e_os.h"
  #include <openssl/objects.h>
  #include <openssl/x509v3.h>
  #include "e_os.h"
  #include <openssl/objects.h>
  #include <openssl/x509v3.h>
@@ -629,6 +629,11 @@ int SSL_clear(SSL *s)
      /* Clear the verification result peername */
      X509_VERIFY_PARAM_move_peername(s->param, NULL);
  
      /* Clear the verification result peername */
      X509_VERIFY_PARAM_move_peername(s->param, NULL);
  
+    /* Clear any shared connection state */
+    OPENSSL_free(s->shared_sigalgs);
+    s->shared_sigalgs = NULL;
+    s->shared_sigalgslen = 0;
+
      /*
       * Check to see if we were changed into a different method, if so, revert
       * back.
      /*
       * Check to see if we were changed into a different method, if so, revert
       * back.
@@ -655,7 +660,7 @@ int SSL_CTX_set_ssl_version(SSL_CTX *ctx, const SSL_METHOD *meth)
  
      ctx->method = meth;
  
  
      ctx->method = meth;
  
-    if (!SSL_CTX_set_ciphersuites(ctx, TLS_DEFAULT_CIPHERSUITES)) {
+    if (!SSL_CTX_set_ciphersuites(ctx, OSSL_default_ciphersuites())) {
          SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
          return 0;
      }
          SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
          return 0;
      }
@@ -663,7 +668,7 @@ int SSL_CTX_set_ssl_version(SSL_CTX *ctx, const SSL_METHOD *meth)
                                  ctx->tls13_ciphersuites,
                                  &(ctx->cipher_list),
                                  &(ctx->cipher_list_by_id),
                                  ctx->tls13_ciphersuites,
                                  &(ctx->cipher_list),
                                  &(ctx->cipher_list_by_id),
-                                SSL_DEFAULT_CIPHER_LIST, ctx->cert);
+                                OSSL_default_cipher_list(), ctx->cert);
      if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= 0)) {
          SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
          return 0;
      if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= 0)) {
          SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION, SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
          return 0;
@@ -780,6 +785,7 @@ SSL *SSL_new(SSL_CTX *ctx)
          s->ext.ecpointformats_len =
              ctx->ext.ecpointformats_len;
      }
          s->ext.ecpointformats_len =
              ctx->ext.ecpointformats_len;
      }
+#endif
      if (ctx->ext.supportedgroups) {
          s->ext.supportedgroups =
              OPENSSL_memdup(ctx->ext.supportedgroups,
      if (ctx->ext.supportedgroups) {
          s->ext.supportedgroups =
              OPENSSL_memdup(ctx->ext.supportedgroups,
@@ -789,7 +795,7 @@ SSL *SSL_new(SSL_CTX *ctx)
              goto err;
          s->ext.supportedgroups_len = ctx->ext.supportedgroups_len;
      }
              goto err;
          s->ext.supportedgroups_len = ctx->ext.supportedgroups_len;
      }
-#endif
+
  #ifndef OPENSSL_NO_NEXTPROTONEG
      s->ext.npn = NULL;
  #endif
  #ifndef OPENSSL_NO_NEXTPROTONEG
      s->ext.npn = NULL;
  #endif
@@ -871,7 +877,7 @@ int SSL_up_ref(SSL *s)
  int SSL_CTX_set_session_id_context(SSL_CTX *ctx, const unsigned char *sid_ctx,
                                     unsigned int sid_ctx_len)
  {
  int SSL_CTX_set_session_id_context(SSL_CTX *ctx, const unsigned char *sid_ctx,
                                     unsigned int sid_ctx_len)
  {
-    if (sid_ctx_len > sizeof(ctx->sid_ctx)) {
+    if (sid_ctx_len > SSL_MAX_SID_CTX_LENGTH) {
          SSLerr(SSL_F_SSL_CTX_SET_SESSION_ID_CONTEXT,
                 SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
          return 0;
          SSLerr(SSL_F_SSL_CTX_SET_SESSION_ID_CONTEXT,
                 SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
          return 0;
@@ -1168,6 +1174,7 @@ void SSL_free(SSL *s)
      sk_SSL_CIPHER_free(s->cipher_list);
      sk_SSL_CIPHER_free(s->cipher_list_by_id);
      sk_SSL_CIPHER_free(s->tls13_ciphersuites);
      sk_SSL_CIPHER_free(s->cipher_list);
      sk_SSL_CIPHER_free(s->cipher_list_by_id);
      sk_SSL_CIPHER_free(s->tls13_ciphersuites);
+    sk_SSL_CIPHER_free(s->peer_ciphers);
  
      /* Make the next call work :-) */
      if (s->session != NULL) {
  
      /* Make the next call work :-) */
      if (s->session != NULL) {
@@ -1180,14 +1187,17 @@ void SSL_free(SSL *s)
      clear_ciphers(s);
  
      ssl_cert_free(s->cert);
      clear_ciphers(s);
  
      ssl_cert_free(s->cert);
+    OPENSSL_free(s->shared_sigalgs);
      /* Free up if allocated */
  
      OPENSSL_free(s->ext.hostname);
      SSL_CTX_free(s->session_ctx);
  #ifndef OPENSSL_NO_EC
      OPENSSL_free(s->ext.ecpointformats);
      /* Free up if allocated */
  
      OPENSSL_free(s->ext.hostname);
      SSL_CTX_free(s->session_ctx);
  #ifndef OPENSSL_NO_EC
      OPENSSL_free(s->ext.ecpointformats);
-    OPENSSL_free(s->ext.supportedgroups);
+    OPENSSL_free(s->ext.peer_ecpointformats);
  #endif                          /* OPENSSL_NO_EC */
  #endif                          /* OPENSSL_NO_EC */
+    OPENSSL_free(s->ext.supportedgroups);
+    OPENSSL_free(s->ext.peer_supportedgroups);
      sk_X509_EXTENSION_pop_free(s->ext.ocsp.exts, X509_EXTENSION_free);
  #ifndef OPENSSL_NO_OCSP
      sk_OCSP_RESPID_pop_free(s->ext.ocsp.ids, OCSP_RESPID_free);
      sk_X509_EXTENSION_pop_free(s->ext.ocsp.exts, X509_EXTENSION_free);
  #ifndef OPENSSL_NO_OCSP
      sk_OCSP_RESPID_pop_free(s->ext.ocsp.ids, OCSP_RESPID_free);
@@ -2051,11 +2061,11 @@ ossl_ssize_t SSL_sendfile(SSL *s, int fd, off_t offset, size_t size, int flags)
          return -1;
      }
  
          return -1;
      }
  
-#ifndef OPENSSL_NO_KTLS
-    ret = ktls_sendfile(SSL_get_wfd(s), fd, offset, size, flags);
+#ifdef OPENSSL_NO_KTLS
+    ERR_raise_data(ERR_LIB_SYS, ERR_R_INTERNAL_ERROR, "calling sendfile()");
+    return -1;
  #else
  #else
-    ret = -1;
-#endif
+    ret = ktls_sendfile(SSL_get_wfd(s), fd, offset, size, flags);
      if (ret < 0) {
  #if defined(EAGAIN) && defined(EINTR) && defined(EBUSY)
          if ((get_last_sys_error() == EAGAIN) ||
      if (ret < 0) {
  #if defined(EAGAIN) && defined(EINTR) && defined(EBUSY)
          if ((get_last_sys_error() == EAGAIN) ||
@@ -2064,15 +2074,12 @@ ossl_ssize_t SSL_sendfile(SSL *s, int fd, off_t offset, size_t size, int flags)
              BIO_set_retry_write(s->wbio);
          else
  #endif
              BIO_set_retry_write(s->wbio);
          else
  #endif
-#ifdef OPENSSL_NO_KTLS
-            SYSerr(SYS_F_SENDFILE, get_last_sys_error());
-#else
              SSLerr(SSL_F_SSL_SENDFILE, SSL_R_UNINITIALIZED);
              SSLerr(SSL_F_SSL_SENDFILE, SSL_R_UNINITIALIZED);
-#endif
          return ret;
      }
      s->rwstate = SSL_NOTHING;
      return ret;
          return ret;
      }
      s->rwstate = SSL_NOTHING;
      return ret;
+#endif
  }
  
  int SSL_write(SSL *s, const void *buf, int num)
  }
  
  int SSL_write(SSL *s, const void *buf, int num)
@@ -2569,9 +2576,9 @@ STACK_OF(SSL_CIPHER) *SSL_get_ciphers(const SSL *s)
  
  STACK_OF(SSL_CIPHER) *SSL_get_client_ciphers(const SSL *s)
  {
  
  STACK_OF(SSL_CIPHER) *SSL_get_client_ciphers(const SSL *s)
  {
-    if ((s == NULL) || (s->session == NULL) || !s->server)
+    if ((s == NULL) || !s->server)
          return NULL;
          return NULL;
-    return s->session->ciphers;
+    return s->peer_ciphers;
  }
  
  STACK_OF(SSL_CIPHER) *SSL_get1_supported_ciphers(SSL *s)
  }
  
  STACK_OF(SSL_CIPHER) *SSL_get1_supported_ciphers(SSL *s)
@@ -2710,13 +2717,12 @@ char *SSL_get_shared_ciphers(const SSL *s, char *buf, int size)
      int i;
  
      if (!s->server
      int i;
  
      if (!s->server
-            || s->session == NULL
-            || s->session->ciphers == NULL
+            || s->peer_ciphers == NULL
              || size < 2)
          return NULL;
  
      p = buf;
              || size < 2)
          return NULL;
  
      p = buf;
-    clntsk = s->session->ciphers;
+    clntsk = s->peer_ciphers;
      srvrsk = SSL_get_ciphers(s);
      if (clntsk == NULL || srvrsk == NULL)
          return NULL;
      srvrsk = SSL_get_ciphers(s);
      if (clntsk == NULL || srvrsk == NULL)
          return NULL;
@@ -2847,7 +2853,7 @@ void SSL_get0_next_proto_negotiated(const SSL *s, const unsigned char **data,
                                      unsigned *len)
  {
      *data = s->ext.npn;
                                      unsigned *len)
  {
      *data = s->ext.npn;
-    if (!*data) {
+    if (*data == NULL) {
          *len = 0;
      } else {
          *len = (unsigned int)s->ext.npn_len;
          *len = 0;
      } else {
          *len = (unsigned int)s->ext.npn_len;
@@ -3078,13 +3084,13 @@ SSL_CTX *SSL_CTX_new(const SSL_METHOD *meth)
          goto err;
  #endif
  
          goto err;
  #endif
  
-    if (!SSL_CTX_set_ciphersuites(ret, TLS_DEFAULT_CIPHERSUITES))
+    if (!SSL_CTX_set_ciphersuites(ret, OSSL_default_ciphersuites()))
          goto err;
  
      if (!ssl_create_cipher_list(ret->method,
                                  ret->tls13_ciphersuites,
                                  &ret->cipher_list, &ret->cipher_list_by_id,
          goto err;
  
      if (!ssl_create_cipher_list(ret->method,
                                  ret->tls13_ciphersuites,
                                  &ret->cipher_list, &ret->cipher_list_by_id,
-                                SSL_DEFAULT_CIPHER_LIST, ret->cert)
+                                OSSL_default_cipher_list(), ret->cert)
          || sk_SSL_CIPHER_num(ret->cipher_list) <= 0) {
          SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_LIBRARY_HAS_NO_CIPHERS);
          goto err2;
          || sk_SSL_CIPHER_num(ret->cipher_list) <= 0) {
          SSLerr(SSL_F_SSL_CTX_NEW, SSL_R_LIBRARY_HAS_NO_CIPHERS);
          goto err2;
@@ -3281,8 +3287,8 @@ void SSL_CTX_free(SSL_CTX *a)
  
  #ifndef OPENSSL_NO_EC
      OPENSSL_free(a->ext.ecpointformats);
  
  #ifndef OPENSSL_NO_EC
      OPENSSL_free(a->ext.ecpointformats);
-    OPENSSL_free(a->ext.supportedgroups);
  #endif
  #endif
+    OPENSSL_free(a->ext.supportedgroups);
      OPENSSL_free(a->ext.alpn);
      OPENSSL_secure_free(a->ext.secure);
  
      OPENSSL_free(a->ext.alpn);
      OPENSSL_secure_free(a->ext.secure);
  
@@ -4175,10 +4181,13 @@ int SSL_CTX_set_default_verify_dir(SSL_CTX *ctx)
      lookup = X509_STORE_add_lookup(ctx->cert_store, X509_LOOKUP_hash_dir());
      if (lookup == NULL)
          return 0;
      lookup = X509_STORE_add_lookup(ctx->cert_store, X509_LOOKUP_hash_dir());
      if (lookup == NULL)
          return 0;
+
+    /* We ignore errors, in case the directory doesn't exist */
+    ERR_set_mark();
+
      X509_LOOKUP_add_dir(lookup, NULL, X509_FILETYPE_DEFAULT);
  
      X509_LOOKUP_add_dir(lookup, NULL, X509_FILETYPE_DEFAULT);
  
-    /* Clear any errors if the default directory does not exist */
-    ERR_clear_error();
+    ERR_pop_to_mark();
  
      return 1;
  }
  
      return 1;
  }
@@ -4191,19 +4200,62 @@ int SSL_CTX_set_default_verify_file(SSL_CTX *ctx)
      if (lookup == NULL)
          return 0;
  
      if (lookup == NULL)
          return 0;
  
+    /* We ignore errors, in case the directory doesn't exist */
+    ERR_set_mark();
+
      X509_LOOKUP_load_file(lookup, NULL, X509_FILETYPE_DEFAULT);
  
      X509_LOOKUP_load_file(lookup, NULL, X509_FILETYPE_DEFAULT);
  
-    /* Clear any errors if the default file does not exist */
-    ERR_clear_error();
+    ERR_pop_to_mark();
+
+    return 1;
+}
+
+int SSL_CTX_set_default_verify_store(SSL_CTX *ctx)
+{
+    X509_LOOKUP *lookup;
+
+    lookup = X509_STORE_add_lookup(ctx->cert_store, X509_LOOKUP_store());
+    if (lookup == NULL)
+        return 0;
+
+    /* We ignore errors, in case the directory doesn't exist */
+    ERR_set_mark();
+
+    X509_LOOKUP_add_store(lookup, NULL);
+
+    ERR_pop_to_mark();
  
      return 1;
  }
  
  
      return 1;
  }
  
+int SSL_CTX_load_verify_file(SSL_CTX *ctx, const char *CAfile)
+{
+    return X509_STORE_load_file(ctx->cert_store, CAfile);
+}
+
+int SSL_CTX_load_verify_dir(SSL_CTX *ctx, const char *CApath)
+{
+    return X509_STORE_load_path(ctx->cert_store, CApath);
+}
+
+int SSL_CTX_load_verify_store(SSL_CTX *ctx, const char *CAstore)
+{
+    return X509_STORE_load_store(ctx->cert_store, CAstore);
+}
+
+#if OPENSSL_API_LEVEL < 3
  int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,
                                    const char *CApath)
  {
  int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,
                                    const char *CApath)
  {
-    return X509_STORE_load_locations(ctx->cert_store, CAfile, CApath);
+    if (CAfile == NULL && CApath == NULL)
+        return 0;
+    if (CAfile != NULL && !SSL_CTX_load_verify_file(ctx, CAfile))
+        return 0;
+    if (CApath != NULL && !SSL_CTX_load_verify_dir(ctx, CApath))
+        return 0;
+    return 1;
  }
  }
+#endif
  
  void SSL_set_info_callback(SSL *ssl,
                             void (*cb) (const SSL *ssl, int type, int val))
  
  void SSL_set_info_callback(SSL *ssl,
                             void (*cb) (const SSL *ssl, int type, int val))
@@ -4606,7 +4658,7 @@ int ssl_handshake_hash(SSL *s, unsigned char *out, size_t outlen,
      return ret;
  }
  
      return ret;
  }
  
-int SSL_session_reused(SSL *s)
+int SSL_session_reused(const SSL *s)
  {
      return s->hit;
  }
  {
      return s->hit;
  }