New Configure option no-<cipher> (rsa, idea, rc5, ...).

[openssl.git] / ssl / ssl_lib.c
diff --git a/ssl/ssl_lib.c b/ssl/ssl_lib.c

index c4be734af4feaabf03c29be1da77b71d59f54c91..a237dda84ae8c64eb529c009a362ec5e5dfc41a2 100644 (file)
--- a/ssl/ssl_lib.c
+++ b/ssl/ssl_lib.c
@@ -1,4 +1,6 @@
-/* ssl/ssl_lib.c */
+/*! \file ssl/ssl_lib.c
+ *  \brief Version independent SSL functions.
+ */
  /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
   * All rights reserved.
   *
@@ -57,11 +59,11 @@
   */
  
  #include <stdio.h>
-#include "objects.h"
-#include "lhash.h"
+#include <openssl/objects.h>
+#include <openssl/lhash.h>
  #include "ssl_locl.h"
  
-char *SSL_version_str="OpenSSL 0.9.2 31-Dec-1998";
+char *SSL_version_str=OPENSSL_VERSION_TEXT;
  
  static STACK *ssl_meth=NULL;
  static STACK *ssl_ctx_meth=NULL;
@@ -77,8 +79,7 @@ SSL3_ENC_METHOD ssl3_undef_enc_method={
         ssl_undefined_function,
         };
  
-int SSL_clear(s)
-SSL *s;
+int SSL_clear(SSL *s)
         {
         int state;
  
@@ -141,18 +142,16 @@ SSL *s;
         return(1);
         }
  
-/* Used to change an SSL_CTXs default SSL method type */
-int SSL_CTX_set_ssl_version(ctx,meth)
-SSL_CTX *ctx;
-SSL_METHOD *meth;
+/** Used to change an SSL_CTXs default SSL method type */
+int SSL_CTX_set_ssl_version(SSL_CTX *ctx,SSL_METHOD *meth)
         {
-       STACK *sk;
+       STACK_OF(SSL_CIPHER) *sk;
  
         ctx->method=meth;
  
         sk=ssl_create_cipher_list(ctx->method,&(ctx->cipher_list),
                 &(ctx->cipher_list_by_id),SSL_DEFAULT_CIPHER_LIST);
-       if ((sk == NULL) || (sk_num(sk) <= 0))
+       if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= 0))
                 {
                 SSLerr(SSL_F_SSL_CTX_SET_SSL_VERSION,SSL_R_SSL_LIBRARY_HAS_NO_CIPHERS);
                 return(0);
@@ -160,8 +159,7 @@ SSL_METHOD *meth;
         return(1);
         }
  
-SSL *SSL_new(ctx)
-SSL_CTX *ctx;
+SSL *SSL_new(SSL_CTX *ctx)
         {
         SSL *s;
  
@@ -183,7 +181,7 @@ SSL_CTX *ctx;
         if (ctx->default_cert != NULL)
                 {
                 CRYPTO_add(&ctx->default_cert->references,1,
-                       CRYPTO_LOCK_SSL_CERT);
+                          CRYPTO_LOCK_SSL_CERT);
                 s->cert=ctx->default_cert;
                 }
         else
@@ -218,8 +216,21 @@ err:
         return(NULL);
         }
  
-void SSL_free(s)
-SSL *s;
+int SSL_set_session_id_context(SSL *ssl,const unsigned char *sid_ctx,
+                              unsigned int sid_ctx_len)
+    {
+    if(sid_ctx_len > SSL_MAX_SID_CTX_LENGTH)
+       {
+       SSLerr(SSL_F_SSL_SET_SESSION_ID_CONTEXT,SSL_R_SSL_SESSION_ID_CONTEXT_TOO_LONG);
+       return 0;
+       }
+    ssl->sid_ctx_length=sid_ctx_len;
+    memcpy(ssl->sid_ctx,sid_ctx,sid_ctx_len);
+
+    return 1;
+    }
+
+void SSL_free(SSL *s)
         {
         int i;
  
@@ -259,8 +270,8 @@ SSL *s;
         if (s->init_buf != NULL) BUF_MEM_free(s->init_buf);
  
         /* add extra stuff */
-       if (s->cipher_list != NULL) sk_free(s->cipher_list);
-       if (s->cipher_list_by_id != NULL) sk_free(s->cipher_list_by_id);
+       if (s->cipher_list != NULL) sk_SSL_CIPHER_free(s->cipher_list);
+       if (s->cipher_list_by_id != NULL) sk_SSL_CIPHER_free(s->cipher_list_by_id);
  
         /* Make the next call work :-) */
         if (s->session != NULL)
@@ -277,17 +288,14 @@ SSL *s;
         if (s->ctx) SSL_CTX_free(s->ctx);
  
         if (s->client_CA != NULL)
-               sk_pop_free(s->client_CA,X509_NAME_free);
+               sk_X509_NAME_pop_free(s->client_CA,X509_NAME_free);
  
         if (s->method != NULL) s->method->ssl_free(s);
  
         Free((char *)s);
         }
  
-void SSL_set_bio(s, rbio,wbio)
-SSL *s;
-BIO *rbio;
-BIO *wbio;
+void SSL_set_bio(SSL *s,BIO *rbio,BIO *wbio)
         {
         /* If the output buffering BIO is still in place, remove it
          */
@@ -307,16 +315,13 @@ BIO *wbio;
         s->wbio=wbio;
         }
  
-BIO *SSL_get_rbio(s)
-SSL *s;
+BIO *SSL_get_rbio(SSL *s)
         { return(s->rbio); }
  
-BIO *SSL_get_wbio(s)
-SSL *s;
+BIO *SSL_get_wbio(SSL *s)
         { return(s->wbio); }
  
-int SSL_get_fd(s)
-SSL *s;
+int SSL_get_fd(SSL *s)
         {
         int ret= -1;
         BIO *b,*r;
@@ -329,9 +334,7 @@ SSL *s;
         }
  
  #ifndef NO_SOCK
-int SSL_set_fd(s, fd)
-SSL *s;
-int fd;
+int SSL_set_fd(SSL *s,int fd)
         {
         int ret=0;
         BIO *bio=NULL;
@@ -350,9 +353,7 @@ err:
         return(ret);
         }
  
-int SSL_set_wfd(s, fd)
-SSL *s;
-int fd;
+int SSL_set_wfd(SSL *s,int fd)
         {
         int ret=0;
         BIO *bio=NULL;
@@ -374,9 +375,7 @@ err:
         return(ret);
         }
  
-int SSL_set_rfd(s, fd)
-SSL *s;
-int fd;
+int SSL_set_rfd(SSL *s,int fd)
         {
         int ret=0;
         BIO *bio=NULL;
@@ -402,61 +401,50 @@ err:
         }
  #endif
  
-int SSL_get_verify_mode(s)
-SSL *s;
+int SSL_get_verify_mode(SSL *s)
         {
         return(s->verify_mode);
         }
  
-int (*SSL_get_verify_callback(s))()
-SSL *s;
+int (*SSL_get_verify_callback(SSL *s))(int,X509_STORE_CTX *)
         {
         return(s->verify_callback);
         }
  
-int SSL_CTX_get_verify_mode(ctx)
-SSL_CTX *ctx;
+int SSL_CTX_get_verify_mode(SSL_CTX *ctx)
         {
         return(ctx->verify_mode);
         }
  
-int (*SSL_CTX_get_verify_callback(ctx))()
-SSL_CTX *ctx;
+int (*SSL_CTX_get_verify_callback(SSL_CTX *ctx))(int,X509_STORE_CTX *)
         {
         return(ctx->default_verify_callback);
         }
  
-void SSL_set_verify(s, mode, callback)
-SSL *s;
-int mode;
-int (*callback)();
+void SSL_set_verify(SSL *s,int mode,
+                   int (*callback)(int ok,X509_STORE_CTX *ctx))
         {
         s->verify_mode=mode;
         if (callback != NULL)
                 s->verify_callback=callback;
         }
  
-void SSL_set_read_ahead(s, yes)
-SSL *s;
-int yes;
+void SSL_set_read_ahead(SSL *s,int yes)
         {
         s->read_ahead=yes;
         }
  
-int SSL_get_read_ahead(s)
-SSL *s;
+int SSL_get_read_ahead(SSL *s)
         {
         return(s->read_ahead);
         }
  
-int SSL_pending(s)
-SSL *s;
+int SSL_pending(SSL *s)
         {
         return(s->method->ssl_pending(s));
         }
  
-X509 *SSL_get_peer_certificate(s)
-SSL *s;
+X509 *SSL_get_peer_certificate(SSL *s)
         {
         X509 *r;
         
@@ -472,10 +460,9 @@ SSL *s;
         return(r);
         }
  
-STACK *SSL_get_peer_cert_chain(s)
-SSL *s;
+STACK_OF(X509) *SSL_get_peer_cert_chain(SSL *s)
         {
-       STACK *r;
+       STACK_OF(X509) *r;
         
         if ((s == NULL) || (s->session == NULL) || (s->session->cert == NULL))
                 r=NULL;
@@ -487,8 +474,7 @@ SSL *s;
  
  /* Now in theory, since the calling process own 't' it should be safe to
   * modify.  We need to be able to read f without being hassled */
-void SSL_copy_session_id(t,f)
-SSL *t,*f;
+void SSL_copy_session_id(SSL *t,SSL *f)
         {
         CERT *tmp;
  
@@ -513,11 +499,11 @@ SSL *t,*f;
         else
                 t->cert=NULL;
         if (tmp != NULL) ssl_cert_free(tmp);
+       SSL_set_session_id_context(t,f->sid_ctx,f->sid_ctx_length);
         }
  
  /* Fix this so it checks all the valid key/cert options */
-int SSL_CTX_check_private_key(ctx)
-SSL_CTX *ctx;
+int SSL_CTX_check_private_key(SSL_CTX *ctx)
         {
         if (    (ctx == NULL) ||
                 (ctx->default_cert == NULL) ||
@@ -535,8 +521,7 @@ SSL_CTX *ctx;
         }
  
  /* Fix this function so that it takes an optional type parameter */
-int SSL_check_private_key(ssl)
-SSL *ssl;
+int SSL_check_private_key(SSL *ssl)
         {
         if (ssl == NULL)
                 {
@@ -559,28 +544,22 @@ SSL *ssl;
                 ssl->cert->key->privatekey));
         }
  
-int SSL_accept(s)
-SSL *s;
+int SSL_accept(SSL *s)
         {
         return(s->method->ssl_accept(s));
         }
  
-int SSL_connect(s)
-SSL *s;
+int SSL_connect(SSL *s)
         {
         return(s->method->ssl_connect(s));
         }
  
-long SSL_get_default_timeout(s)
-SSL *s;
+long SSL_get_default_timeout(SSL *s)
         {
         return(s->method->get_timeout());
         }
  
-int SSL_read(s,buf,num)
-SSL *s;
-char *buf;
-int num;
+int SSL_read(SSL *s,char *buf,int num)
         {
         if (s->shutdown & SSL_RECEIVED_SHUTDOWN)
                 {
@@ -590,10 +569,7 @@ int num;
         return(s->method->ssl_read(s,buf,num));
         }
  
-int SSL_peek(s,buf,num)
-SSL *s;
-char *buf;
-int num;
+int SSL_peek(SSL *s,char *buf,int num)
         {
         if (s->shutdown & SSL_RECEIVED_SHUTDOWN)
                 {
@@ -602,10 +578,7 @@ int num;
         return(s->method->ssl_peek(s,buf,num));
         }
  
-int SSL_write(s,buf,num)
-SSL *s;
-const char *buf;
-int num;
+int SSL_write(SSL *s,const char *buf,int num)
         {
         if (s->shutdown & SSL_SENT_SHUTDOWN)
                 {
@@ -616,8 +589,7 @@ int num;
         return(s->method->ssl_write(s,buf,num));
         }
  
-int SSL_shutdown(s)
-SSL *s;
+int SSL_shutdown(SSL *s)
         {
         if ((s != NULL) && !SSL_in_init(s))
                 return(s->method->ssl_shutdown(s));
@@ -625,18 +597,13 @@ SSL *s;
                 return(1);
         }
  
-int SSL_renegotiate(s)
-SSL *s;
+int SSL_renegotiate(SSL *s)
         {
         s->new_session=1;
         return(s->method->ssl_renegotiate(s));
         }
  
-long SSL_ctrl(s,cmd,larg,parg)
-SSL *s;
-int cmd;
-long larg;
-char *parg;
+long SSL_ctrl(SSL *s,int cmd,long larg,char *parg)
         {
         long l;
  
@@ -656,11 +623,7 @@ char *parg;
         return(0);
         }
  
-long SSL_CTX_ctrl(ctx,cmd,larg,parg)
-SSL_CTX *ctx;
-int cmd;
-long larg;
-char *parg;
+long SSL_CTX_ctrl(SSL_CTX *ctx,int cmd,long larg,char *parg)
         {
         long l;
  
@@ -718,8 +681,7 @@ char *parg;
         return(0);
         }
  
-int ssl_cipher_id_cmp(a,b)
-SSL_CIPHER *a,*b;
+int ssl_cipher_id_cmp(SSL_CIPHER *a,SSL_CIPHER *b)
         {
         long l;
  
@@ -730,8 +692,7 @@ SSL_CIPHER *a,*b;
                 return((l > 0)?1:-1);
         }
  
-int ssl_cipher_ptr_id_cmp(ap,bp)
-SSL_CIPHER **ap,**bp;
+int ssl_cipher_ptr_id_cmp(SSL_CIPHER **ap,SSL_CIPHER **bp)
         {
         long l;
  
@@ -742,10 +703,9 @@ SSL_CIPHER **ap,**bp;
                 return((l > 0)?1:-1);
         }
  
-/* return a STACK of the ciphers available for the SSL and in order of
+/** return a STACK of the ciphers available for the SSL and in order of
   * preference */
-STACK *SSL_get_ciphers(s)
-SSL *s;
+STACK_OF(SSL_CIPHER) *SSL_get_ciphers(SSL *s)
         {
         if ((s != NULL) && (s->cipher_list != NULL))
                 {
@@ -759,10 +719,9 @@ SSL *s;
         return(NULL);
         }
  
-/* return a STACK of the ciphers available for the SSL and in order of
+/** return a STACK of the ciphers available for the SSL and in order of
   * algorithm id */
-STACK *ssl_get_ciphers_by_id(s)
-SSL *s;
+STACK_OF(SSL_CIPHER) *ssl_get_ciphers_by_id(SSL *s)
         {
         if ((s != NULL) && (s->cipher_list_by_id != NULL))
                 {
@@ -776,29 +735,25 @@ SSL *s;
         return(NULL);
         }
  
-/* The old interface to get the same thing as SSL_get_ciphers() */
-char *SSL_get_cipher_list(s,n)
-SSL *s;
-int n;
+/** The old interface to get the same thing as SSL_get_ciphers() */
+const char *SSL_get_cipher_list(SSL *s,int n)
         {
         SSL_CIPHER *c;
-       STACK *sk;
+       STACK_OF(SSL_CIPHER) *sk;
  
         if (s == NULL) return(NULL);
         sk=SSL_get_ciphers(s);
-       if ((sk == NULL) || (sk_num(sk) <= n))
+       if ((sk == NULL) || (sk_SSL_CIPHER_num(sk) <= n))
                 return(NULL);
-       c=(SSL_CIPHER *)sk_value(sk,n);
+       c=sk_SSL_CIPHER_value(sk,n);
         if (c == NULL) return(NULL);
         return(c->name);
         }
  
-/* specify the ciphers to be used by defaut by the SSL_CTX */
-int SSL_CTX_set_cipher_list(ctx,str)
-SSL_CTX *ctx;
-char *str;
+/** specify the ciphers to be used by defaut by the SSL_CTX */
+int SSL_CTX_set_cipher_list(SSL_CTX *ctx,char *str)
         {
-       STACK *sk;
+       STACK_OF(SSL_CIPHER) *sk;
         
         sk=ssl_create_cipher_list(ctx->method,&ctx->cipher_list,
                 &ctx->cipher_list_by_id,str);
@@ -806,12 +761,10 @@ char *str;
         return((sk == NULL)?0:1);
         }
  
-/* specify the ciphers to be used by the SSL */
-int SSL_set_cipher_list(s, str)
-SSL *s;
-char *str;
+/** specify the ciphers to be used by the SSL */
+int SSL_set_cipher_list(SSL *s,char *str)
         {
-       STACK *sk;
+       STACK_OF(SSL_CIPHER) *sk;
         
         sk=ssl_create_cipher_list(s->ctx->method,&s->cipher_list,
                 &s->cipher_list_by_id,str);
@@ -820,13 +773,11 @@ char *str;
         }
  
  /* works well for SSLv2, not so good for SSLv3 */
-char *SSL_get_shared_ciphers(s,buf,len)
-SSL *s;
-char *buf;
-int len;
+char *SSL_get_shared_ciphers(SSL *s,char *buf,int len)
         {
-       char *p,*cp;
-       STACK *sk;
+       char *p;
+       const char *cp;
+       STACK_OF(SSL_CIPHER) *sk;
         SSL_CIPHER *c;
         int i;
  
@@ -836,11 +787,11 @@ int len;
  
         p=buf;
         sk=s->session->ciphers;
-       for (i=0; i<sk_num(sk); i++)
+       for (i=0; i<sk_SSL_CIPHER_num(sk); i++)
                 {
                 /* Decrement for either the ':' or a '\0' */
                 len--;
-               c=(SSL_CIPHER *)sk_value(sk,i);
+               c=sk_SSL_CIPHER_value(sk,i);
                 for (cp=c->name; *cp; )
                         {
                         if (len-- == 0)
@@ -857,10 +808,7 @@ int len;
         return(buf);
         }
  
-int ssl_cipher_list_to_bytes(s,sk,p)
-SSL *s;
-STACK *sk;
-unsigned char *p;
+int ssl_cipher_list_to_bytes(SSL *s,STACK_OF(SSL_CIPHER) *sk,unsigned char *p)
         {
         int i,j=0;
         SSL_CIPHER *c;
@@ -869,23 +817,20 @@ unsigned char *p;
         if (sk == NULL) return(0);
         q=p;
  
-       for (i=0; i<sk_num(sk); i++)
+       for (i=0; i<sk_SSL_CIPHER_num(sk); i++)
                 {
-               c=(SSL_CIPHER *)sk_value(sk,i);
+               c=sk_SSL_CIPHER_value(sk,i);
                 j=ssl_put_cipher_by_char(s,c,p);
                 p+=j;
                 }
         return(p-q);
         }
  
-STACK *ssl_bytes_to_cipher_list(s,p,num,skp)
-SSL *s;
-unsigned char *p;
-int num;
-STACK **skp;
+STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,unsigned char *p,int num,
+                                              STACK_OF(SSL_CIPHER) **skp)
         {
         SSL_CIPHER *c;
-       STACK *sk;
+       STACK_OF(SSL_CIPHER) *sk;
         int i,n;
  
         n=ssl_put_cipher_by_char(s,NULL,NULL);
@@ -895,11 +840,11 @@ STACK **skp;
                 return(NULL);
                 }
         if ((skp == NULL) || (*skp == NULL))
-               sk=sk_new(NULL); /* change perhaps later */
+               sk=sk_SSL_CIPHER_new(NULL); /* change perhaps later */
         else
                 {
                 sk= *skp;
-               sk_zero(sk);
+               sk_SSL_CIPHER_zero(sk);
                 }
  
         for (i=0; i<num; i+=n)
@@ -908,7 +853,7 @@ STACK **skp;
                 p+=n;
                 if (c != NULL)
                         {
-                       if (!sk_push(sk,(char *)c))
+                       if (!sk_SSL_CIPHER_push(sk,c))
                                 {
                                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,ERR_R_MALLOC_FAILURE);
                                 goto err;
@@ -921,12 +866,11 @@ STACK **skp;
         return(sk);
  err:
         if ((skp == NULL) || (*skp == NULL))
-               sk_free(sk);
+               sk_SSL_CIPHER_free(sk);
         return(NULL);
         }
  
-unsigned long SSL_SESSION_hash(a)
-SSL_SESSION *a;
+unsigned long SSL_SESSION_hash(SSL_SESSION *a)
         {
         unsigned long l;
  
@@ -938,9 +882,7 @@ SSL_SESSION *a;
         return(l);
         }
  
-int SSL_SESSION_cmp(a, b)
-SSL_SESSION *a;
-SSL_SESSION *b;
+int SSL_SESSION_cmp(SSL_SESSION *a,SSL_SESSION *b)
         {
         if (a->ssl_version != b->ssl_version)
                 return(1);
@@ -949,8 +891,7 @@ SSL_SESSION *b;
         return(memcmp(a->session_id,b->session_id,a->session_id_length));
         }
  
-SSL_CTX *SSL_CTX_new(meth)
-SSL_METHOD *meth;
+SSL_CTX *SSL_CTX_new(SSL_METHOD *meth)
         {
         SSL_CTX *ret=NULL;
         
@@ -1019,7 +960,8 @@ SSL_METHOD *meth;
         ssl_create_cipher_list(ret->method,
                 &ret->cipher_list,&ret->cipher_list_by_id,
                 SSL_DEFAULT_CIPHER_LIST);
-       if ((ret->cipher_list == NULL) || (sk_num(ret->cipher_list) <= 0))
+       if (ret->cipher_list == NULL
+           || sk_SSL_CIPHER_num(ret->cipher_list) <= 0)
                 {
                 SSLerr(SSL_F_SSL_CTX_NEW,SSL_R_LIBRARY_HAS_NO_CIPHERS);
                 goto err2;
@@ -1041,7 +983,7 @@ SSL_METHOD *meth;
                 goto err2;
                 }
  
-       if ((ret->client_CA=sk_new_null()) == NULL)
+       if ((ret->client_CA=sk_X509_NAME_new_null()) == NULL)
                 goto err;
  
         CRYPTO_new_ex_data(ssl_ctx_meth,(char *)ret,&ret->ex_data);
@@ -1057,8 +999,10 @@ err2:
         return(NULL);
         }
  
-void SSL_CTX_free(a)
-SSL_CTX *a;
+static void SSL_COMP_free(SSL_COMP *comp)
+    { Free(comp); }
+
+void SSL_CTX_free(SSL_CTX *a)
         {
         int i;
  
@@ -1086,44 +1030,32 @@ SSL_CTX *a;
         if (a->cert_store != NULL)
                 X509_STORE_free(a->cert_store);
         if (a->cipher_list != NULL)
-               sk_free(a->cipher_list);
+               sk_SSL_CIPHER_free(a->cipher_list);
         if (a->cipher_list_by_id != NULL)
-               sk_free(a->cipher_list_by_id);
+               sk_SSL_CIPHER_free(a->cipher_list_by_id);
         if (a->default_cert != NULL)
                 ssl_cert_free(a->default_cert);
         if (a->client_CA != NULL)
-               sk_pop_free(a->client_CA,X509_NAME_free);
+               sk_X509_NAME_pop_free(a->client_CA,X509_NAME_free);
         if (a->extra_certs != NULL)
-               sk_pop_free(a->extra_certs,X509_free);
+               sk_X509_pop_free(a->extra_certs,X509_free);
         if (a->comp_methods != NULL)
-               sk_pop_free(a->comp_methods,free);
+               sk_SSL_COMP_pop_free(a->comp_methods,SSL_COMP_free);
         Free((char *)a);
         }
  
-void SSL_CTX_set_default_passwd_cb(ctx,cb)
-SSL_CTX *ctx;
-int (*cb)();
+void SSL_CTX_set_default_passwd_cb(SSL_CTX *ctx,int (*cb)())
         {
         ctx->default_passwd_callback=cb;
         }
  
-void SSL_CTX_set_cert_verify_cb(ctx,cb,arg)
-SSL_CTX *ctx;
-int (*cb)();
-char *arg;
+void SSL_CTX_set_cert_verify_cb(SSL_CTX *ctx,int (*cb)(),char *arg)
         {
         ctx->app_verify_callback=cb;
         ctx->app_verify_arg=arg;
         }
  
-void SSL_CTX_set_verify(ctx,mode,cb)
-SSL_CTX *ctx;
-int mode;
-#ifndef NOPROTO
-int (*cb)(int, X509_STORE_CTX *);
-#else
-int (*cb)();
-#endif
+void SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int (*cb)(int, X509_STORE_CTX *))
         {
         ctx->verify_mode=mode;
         ctx->default_verify_callback=cb;
@@ -1131,9 +1063,10 @@ int (*cb)();
         X509_STORE_set_verify_cb_func(ctx->cert_store,cb);
         }
  
-void ssl_set_cert_masks(c,cipher)
-CERT *c;
-SSL_CIPHER *cipher;
+/* Need default_cert to check for callbacks, for now (see comment in CERT
+   strucure)
+*/
+void ssl_set_cert_masks(CERT *c,CERT *default_cert,SSL_CIPHER *cipher)
         {
         CERT_PKEY *cpk;
         int rsa_enc,rsa_tmp,rsa_sign,dh_tmp,dh_rsa,dh_dsa,dsa_sign;
@@ -1141,20 +1074,20 @@ SSL_CIPHER *cipher;
         int rsa_tmp_export,dh_tmp_export,kl;
         unsigned long mask,emask;
  
-       if ((c == NULL) || (c->valid)) return;
+       if (c == NULL) return;
  
         kl=SSL_C_EXPORT_PKEYLENGTH(cipher);
  
  #ifndef NO_RSA
-       rsa_tmp=(c->rsa_tmp != NULL || c->rsa_tmp_cb != NULL);
-       rsa_tmp_export=(c->rsa_tmp_cb != NULL ||
+       rsa_tmp=(c->rsa_tmp != NULL || default_cert->rsa_tmp_cb != NULL);
+       rsa_tmp_export=(default_cert->rsa_tmp_cb != NULL ||
                 (rsa_tmp && RSA_size(c->rsa_tmp)*8 <= kl));
  #else
         rsa_tmp=rsa_tmp_export=0;
  #endif
  #ifndef NO_DH
-       dh_tmp=(c->dh_tmp != NULL || c->dh_tmp_cb != NULL);
-       dh_tmp_export=(c->dh_tmp_cb != NULL ||
+       dh_tmp=(c->dh_tmp != NULL || default_cert->dh_tmp_cb != NULL);
+       dh_tmp_export=(default_cert->dh_tmp_cb != NULL ||
                 (dh_tmp && DH_size(c->dh_tmp)*8 <= kl));
  #else
         dh_tmp=dh_tmp_export=0;
@@ -1179,14 +1112,14 @@ SSL_CIPHER *cipher;
         emask=0;
  
  #ifdef CIPHER_DEBUG
-       printf("rt=%d dht=%d re=%d rs=%d ds=%d dhr=%d dhd=%d\n",
-               rsa_tmp,dh_tmp,
-               rsa_enc,rsa_sign,dsa_sign,dh_rsa,dh_dsa);
+       printf("rt=%d rte=%d dht=%d re=%d ree=%d rs=%d ds=%d dhr=%d dhd=%d\n",
+               rsa_tmp,rsa_tmp_export,dh_tmp,
+               rsa_enc,rsa_enc_export,rsa_sign,dsa_sign,dh_rsa,dh_dsa);
  #endif
  
         if (rsa_enc || (rsa_tmp && rsa_sign))
                 mask|=SSL_kRSA;
-       if (rsa_enc_export || (rsa_tmp_export && rsa_sign))
+       if (rsa_enc_export || (rsa_tmp_export && (rsa_sign || rsa_enc)))
                 emask|=SSL_kRSA;
  
  #if 0
@@ -1234,15 +1167,14 @@ SSL_CIPHER *cipher;
         }
  
  /* THIS NEEDS CLEANING UP */
-X509 *ssl_get_server_send_cert(s)
-SSL *s;
+X509 *ssl_get_server_send_cert(SSL *s)
         {
         unsigned long alg,mask,kalg;
         CERT *c;
         int i,export;
  
         c=s->cert;
-       ssl_set_cert_masks(c,s->s3->tmp.new_cipher);
+       ssl_set_cert_masks(c,s->ctx->default_cert,s->s3->tmp.new_cipher);
         alg=s->s3->tmp.new_cipher->algorithms;
         export=SSL_IS_EXPORT(alg);
         mask=export?c->export_mask:c->mask;
@@ -1270,9 +1202,7 @@ SSL *s;
         return(c->pkeys[i].x509);
         }
  
-EVP_PKEY *ssl_get_sign_pkey(s,cipher)
-SSL *s;
-SSL_CIPHER *cipher;
+EVP_PKEY *ssl_get_sign_pkey(SSL *s,SSL_CIPHER *cipher)
         {
         unsigned long alg;
         CERT *c;
@@ -1299,9 +1229,7 @@ SSL_CIPHER *cipher;
                 }
         }
  
-void ssl_update_cache(s,mode)
-SSL *s;
-int mode;
+void ssl_update_cache(SSL *s,int mode)
         {
         int i;
  
@@ -1333,15 +1261,12 @@ int mode;
                 }
         }
  
-SSL_METHOD *SSL_get_ssl_method(s)
-SSL *s;
+SSL_METHOD *SSL_get_ssl_method(SSL *s)
         {
         return(s->method);
         }
  
-int SSL_set_ssl_method(s,meth)
-SSL *s;
-SSL_METHOD *meth;
+int SSL_set_ssl_method(SSL *s,SSL_METHOD *meth)
         {
         int conn= -1;
         int ret=1;
@@ -1368,9 +1293,7 @@ SSL_METHOD *meth;
         return(ret);
         }
  
-int SSL_get_error(s,i)
-SSL *s;
-int i;
+int SSL_get_error(SSL *s,int i)
         {
         int reason;
         unsigned long l;
@@ -1443,8 +1366,7 @@ int i;
         return(SSL_ERROR_SYSCALL);
         }
  
-int SSL_do_handshake(s)
-SSL *s;
+int SSL_do_handshake(SSL *s)
         {
         int ret=1;
  
@@ -1465,8 +1387,7 @@ SSL *s;
  
  /* For the next 2 functions, SSL_clear() sets shutdown and so
   * one of these calls will reset it */
-void SSL_set_accept_state(s)
-SSL *s;
+void SSL_set_accept_state(SSL *s)
         {
         s->server=1;
         s->shutdown=0;
@@ -1476,8 +1397,7 @@ SSL *s;
         ssl_clear_cipher_ctx(s);
         }
  
-void SSL_set_connect_state(s)
-SSL *s;
+void SSL_set_connect_state(SSL *s)
         {
         s->server=0;
         s->shutdown=0;
@@ -1487,22 +1407,19 @@ SSL *s;
         ssl_clear_cipher_ctx(s);
         }
  
-int ssl_undefined_function(s)
-SSL *s;
+int ssl_undefined_function(SSL *s)
         {
         SSLerr(SSL_F_SSL_UNDEFINED_FUNCTION,ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
         return(0);
         }
  
-SSL_METHOD *ssl_bad_method(ver)
-int ver;
+SSL_METHOD *ssl_bad_method(int ver)
         {
         SSLerr(SSL_F_SSL_BAD_METHOD,ERR_R_SHOULD_NOT_HAVE_BEEN_CALLED);
         return(NULL);
         }
  
-char *SSL_get_version(s)
-SSL *s;
+char *SSL_get_version(SSL *s)
         {
         if (s->version == TLS1_VERSION)
                 return("TLSv1");
@@ -1514,15 +1431,15 @@ SSL *s;
                 return("unknown");
         }
  
-SSL *SSL_dup(s)
-SSL *s;
+SSL *SSL_dup(SSL *s)
          {
-       STACK *sk;
+       STACK_OF(X509_NAME) *sk;
         X509_NAME *xn;
          SSL *ret;
         int i;
                  
-       if ((ret=SSL_new(SSL_get_SSL_CTX(s))) == NULL) return(NULL);
+       if ((ret=SSL_new(SSL_get_SSL_CTX(s))) == NULL)
+           return(NULL);
                           
         /* This copies version, session-id, SSL_METHOD and 'cert' */
         SSL_copy_session_id(ret,s);
@@ -1560,23 +1477,23 @@ SSL *s;
         /* dup the cipher_list and cipher_list_by_id stacks */
         if (s->cipher_list != NULL)
                 {
-               if ((ret->cipher_list=sk_dup(s->cipher_list)) == NULL)
+               if ((ret->cipher_list=sk_SSL_CIPHER_dup(s->cipher_list)) == NULL)
                         goto err;
                 }
         if (s->cipher_list_by_id != NULL)
-               if ((ret->cipher_list_by_id=sk_dup(s->cipher_list_by_id))
+               if ((ret->cipher_list_by_id=sk_SSL_CIPHER_dup(s->cipher_list_by_id))
                         == NULL)
                         goto err;
  
         /* Dup the client_CA list */
         if (s->client_CA != NULL)
                 {
-               if ((sk=sk_dup(s->client_CA)) == NULL) goto err;
+               if ((sk=sk_X509_NAME_dup(s->client_CA)) == NULL) goto err;
                 ret->client_CA=sk;
-               for (i=0; i<sk_num(sk); i++)
+               for (i=0; i<sk_X509_NAME_num(sk); i++)
                         {
-                       xn=(X509_NAME *)sk_value(sk,i);
-                       if ((sk_value(sk,i)=(char *)X509_NAME_dup(xn)) == NULL)
+                       xn=sk_X509_NAME_value(sk,i);
+                       if (sk_X509_NAME_set(sk,i,X509_NAME_dup(xn)) == NULL)
                                 {
                                 X509_NAME_free(xn);
                                 goto err;
@@ -1598,8 +1515,7 @@ err:
         return(ret);
         }
  
-void ssl_clear_cipher_ctx(s)
-SSL *s;
+void ssl_clear_cipher_ctx(SSL *s)
         {
          if (s->enc_read_ctx != NULL)
                  {
@@ -1626,8 +1542,7 @@ SSL *s;
         }
  
  /* Fix this function so that it takes an optional type parameter */
-X509 *SSL_get_certificate(s)
-SSL *s;
+X509 *SSL_get_certificate(SSL *s)
         {
         if (s->cert != NULL)
                 return(s->cert->key->x509);
@@ -1636,8 +1551,7 @@ SSL *s;
         }
  
  /* Fix this function so that it takes an optional type parameter */
-EVP_PKEY *SSL_get_privatekey(s)
-SSL *s;
+EVP_PKEY *SSL_get_privatekey(SSL *s)
         {
         if (s->cert != NULL)
                 return(s->cert->key->privatekey);
@@ -1645,17 +1559,14 @@ SSL *s;
                 return(NULL);
         }
  
-SSL_CIPHER *SSL_get_current_cipher(s)
-SSL *s;
+SSL_CIPHER *SSL_get_current_cipher(SSL *s)
         {
          if ((s->session != NULL) && (s->session->cipher != NULL))
                  return(s->session->cipher);
          return(NULL);
         }
  
-int ssl_init_wbio_buffer(s,push)
-SSL *s;
-int push;
+int ssl_init_wbio_buffer(SSL *s,int push)
         {
         BIO *bbio;
  
@@ -1691,8 +1602,7 @@ int push;
         return(1);
         }
  
-void ssl_free_wbio_buffer(s)
-SSL *s;
+void ssl_free_wbio_buffer(SSL *s)
         {
         BIO *under;
  
@@ -1711,195 +1621,193 @@ SSL *s;
         s->bbio=NULL;
         }
         
-void SSL_CTX_set_quiet_shutdown(ctx,mode)
-SSL_CTX *ctx;
-int mode;
+void SSL_CTX_set_quiet_shutdown(SSL_CTX *ctx,int mode)
         {
         ctx->quiet_shutdown=mode;
         }
  
-int SSL_CTX_get_quiet_shutdown(ctx)
-SSL_CTX *ctx;
+int SSL_CTX_get_quiet_shutdown(SSL_CTX *ctx)
         {
         return(ctx->quiet_shutdown);
         }
  
-void SSL_set_quiet_shutdown(s,mode)
-SSL *s;
-int mode;
+void SSL_set_quiet_shutdown(SSL *s,int mode)
         {
         s->quiet_shutdown=mode;
         }
  
-int SSL_get_quiet_shutdown(s)
-SSL *s;
+int SSL_get_quiet_shutdown(SSL *s)
         {
         return(s->quiet_shutdown);
         }
  
-void SSL_set_shutdown(s,mode)
-SSL *s;
-int mode;
+void SSL_set_shutdown(SSL *s,int mode)
         {
         s->shutdown=mode;
         }
  
-int SSL_get_shutdown(s)
-SSL *s;
+int SSL_get_shutdown(SSL *s)
         {
         return(s->shutdown);
         }
  
-int SSL_version(s)
-SSL *s;
+int SSL_version(SSL *s)
         {
         return(s->version);
         }
  
-SSL_CTX *SSL_get_SSL_CTX(ssl)
-SSL *ssl;
+SSL_CTX *SSL_get_SSL_CTX(SSL *ssl)
         {
         return(ssl->ctx);
         }
  
  #ifndef NO_STDIO
-int SSL_CTX_set_default_verify_paths(ctx)
-SSL_CTX *ctx;
+int SSL_CTX_set_default_verify_paths(SSL_CTX *ctx)
         {
         return(X509_STORE_set_default_paths(ctx->cert_store));
         }
  
-int SSL_CTX_load_verify_locations(ctx,CAfile,CApath)
-SSL_CTX *ctx;
-char *CAfile;
-char *CApath;
+int SSL_CTX_load_verify_locations(SSL_CTX *ctx,char *CAfile,char *CApath)
         {
         return(X509_STORE_load_locations(ctx->cert_store,CAfile,CApath));
         }
  #endif
  
-void SSL_set_info_callback(ssl,cb)
-SSL *ssl;
-void (*cb)();
+void SSL_set_info_callback(SSL *ssl,void (*cb)())
         {
         ssl->info_callback=cb;
         }
  
-void (*SSL_get_info_callback(ssl))()
-SSL *ssl;
+void (*SSL_get_info_callback(SSL *ssl))(void)
         {
         return((void (*)())ssl->info_callback);
         }
  
-int SSL_state(ssl)
-SSL *ssl;
+int SSL_state(SSL *ssl)
         {
         return(ssl->state);
         }
  
-void SSL_set_verify_result(ssl,arg)
-SSL *ssl;
-long arg;
+void SSL_set_verify_result(SSL *ssl,long arg)
         {
         ssl->verify_result=arg;
         }
  
-long SSL_get_verify_result(ssl)
-SSL *ssl;
+long SSL_get_verify_result(SSL *ssl)
         {
         return(ssl->verify_result);
         }
  
-int SSL_get_ex_new_index(argl,argp,new_func,dup_func,free_func)
-long argl;
-char *argp;
-int (*new_func)();
-int (*dup_func)();
-void (*free_func)();
+int SSL_get_ex_new_index(long argl,char *argp,int (*new_func)(),
+                        int (*dup_func)(),void (*free_func)())
          {
         ssl_meth_num++;
         return(CRYPTO_get_ex_new_index(ssl_meth_num-1,
                 &ssl_meth,argl,argp,new_func,dup_func,free_func));
          }
  
-int SSL_set_ex_data(s,idx,arg)
-SSL *s;
-int idx;
-void *arg;
+int SSL_set_ex_data(SSL *s,int idx,void *arg)
         {
         return(CRYPTO_set_ex_data(&s->ex_data,idx,arg));
         }
  
-void *SSL_get_ex_data(s,idx)
-SSL *s;
-int idx;
+void *SSL_get_ex_data(SSL *s,int idx)
         {
         return(CRYPTO_get_ex_data(&s->ex_data,idx));
         }
  
-int SSL_CTX_get_ex_new_index(argl,argp,new_func,dup_func,free_func)
-long argl;
-char *argp;
-int (*new_func)();
-int (*dup_func)();
-void (*free_func)();
+int SSL_CTX_get_ex_new_index(long argl,char *argp,int (*new_func)(),
+                            int (*dup_func)(),void (*free_func)())
          {
         ssl_ctx_meth_num++;
         return(CRYPTO_get_ex_new_index(ssl_ctx_meth_num-1,
                 &ssl_ctx_meth,argl,argp,new_func,dup_func,free_func));
          }
  
-int SSL_CTX_set_ex_data(s,idx,arg)
-SSL_CTX *s;
-int idx;
-void *arg;
+int SSL_CTX_set_ex_data(SSL_CTX *s,int idx,void *arg)
         {
         return(CRYPTO_set_ex_data(&s->ex_data,idx,arg));
         }
  
-void *SSL_CTX_get_ex_data(s,idx)
-SSL_CTX *s;
-int idx;
+void *SSL_CTX_get_ex_data(SSL_CTX *s,int idx)
         {
         return(CRYPTO_get_ex_data(&s->ex_data,idx));
         }
  
-int ssl_ok(s)
-SSL *s;
+int ssl_ok(SSL *s)
         {
         return(1);
         }
  
-X509_STORE *SSL_CTX_get_cert_store(ctx)
-SSL_CTX *ctx;
+X509_STORE *SSL_CTX_get_cert_store(SSL_CTX *ctx)
         {
         return(ctx->cert_store);
         }
  
-void SSL_CTX_set_cert_store(ctx,store)
-SSL_CTX *ctx;
-X509_STORE *store;
+void SSL_CTX_set_cert_store(SSL_CTX *ctx,X509_STORE *store)
         {
         if (ctx->cert_store != NULL)
                 X509_STORE_free(ctx->cert_store);
         ctx->cert_store=store;
         }
  
-int SSL_want(s)
-SSL *s;
+int SSL_want(SSL *s)
         {
         return(s->rwstate);
         }
  
+/*!
+ * \brief Set the callback for generating temporary RSA keys.
+ * \param ctx the SSL context.
+ * \param cb the callback
+ */
+
+#ifndef NO_RSA
  void SSL_CTX_set_tmp_rsa_callback(SSL_CTX *ctx,RSA *(*cb)(SSL *ssl,int export,
                                                           int keylength))
      { SSL_CTX_ctrl(ctx,SSL_CTRL_SET_TMP_RSA_CB,0,(char *)cb); }
+#endif
+
+#ifndef NO_RSA
+void SSL_set_tmp_rsa_callback(SSL *ssl,RSA *(*cb)(SSL *ssl,int export,
+                                                         int keylength))
+    { SSL_ctrl(ssl,SSL_CTRL_SET_TMP_RSA_CB,0,(char *)cb); }
+#endif
+
+#ifdef DOXYGEN
+/*!
+ * \brief The RSA temporary key callback function.
+ * \param ssl the SSL session.
+ * \param export \c TRUE if the temp RSA key is for an export ciphersuite.
+ * \param keylength if \c export is \c TRUE, then \c keylength is the size of
+ * the required key in bits.
+ * \return the temporary RSA key.
+ * \sa SSL_CTX_set_tmp_rsa_callback, SSL_set_tmp_rsa_callback
+ */
+
+RSA *cb(SSL *ssl,int export,int keylength)
+    {}
+#endif
  
+/*!
+ * \brief Set the callback for generating temporary DH keys.
+ * \param ctx the SSL context.
+ * \param dh the callback
+ */
+
+#ifndef NO_DH
  void SSL_CTX_set_tmp_dh_callback(SSL_CTX *ctx,DH *(*dh)(SSL *ssl,int export,
                                                         int keylength))
      { SSL_CTX_ctrl(ctx,SSL_CTRL_SET_TMP_DH_CB,0,(char *)dh); }
  
+void SSL_set_tmp_dh_callback(SSL *ssl,DH *(*dh)(SSL *ssl,int export,
+                                                       int keylength))
+    { SSL_ctrl(ssl,SSL_CTRL_SET_TMP_DH_CB,0,(char *)dh); }
+#endif
+
  #if defined(_WINDLL) && defined(WIN16)
  #include "../crypto/bio/bss_file.c"
  #endif
  
+IMPLEMENT_STACK_OF(SSL_CIPHER)
+IMPLEMENT_STACK_OF(SSL_COMP)