39e7fc8f4946f52245cfa86f4367324d0eeb8297
[exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2019 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef SUPPORT_DANE
32 # include "danessl.h"
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44 #if OPENSSL_VERSION_NUMBER >= 0x00908000L
45 # define EXIM_HAVE_RSA_GENKEY_EX
46 #endif
47 #if OPENSSL_VERSION_NUMBER >= 0x10100000L
48 # define EXIM_HAVE_OCSP_RESP_COUNT
49 #else
50 # define EXIM_HAVE_EPHEM_RSA_KEX
51 # define EXIM_HAVE_RAND_PSEUDO
52 #endif
53 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
54 # define EXIM_HAVE_SHA256
55 #endif
56
57 /* X509_check_host provides sane certificate hostname checking, but was added
58 to OpenSSL late, after other projects forked off the code-base.  So in
59 addition to guarding against the base version number, beware that LibreSSL
60 does not (at this time) support this function.
61
62 If LibreSSL gains a different API, perhaps via libtls, then we'll probably
63 opt to disentangle and ask a LibreSSL user to provide glue for a third
64 crypto provider for libtls instead of continuing to tie the OpenSSL glue
65 into even twistier knots.  If LibreSSL gains the same API, we can just
66 change this guard and punt the issue for a while longer. */
67
68 #ifndef LIBRESSL_VERSION_NUMBER
69 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
70 #  define EXIM_HAVE_OPENSSL_CHECKHOST
71 #  define EXIM_HAVE_OPENSSL_DH_BITS
72 #  define EXIM_HAVE_OPENSSL_TLS_METHOD
73 #  define EXIM_HAVE_OPENSSL_KEYLOG
74 #  define EXIM_HAVE_OPENSSL_CIPHER_GET_ID
75 #  define EXIM_HAVE_SESSION_TICKET
76 #  define EXIM_HAVE_OPESSL_TRACE
77 # else
78 #  define EXIM_NEED_OPENSSL_INIT
79 # endif
80 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
81     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
82 #  define EXIM_HAVE_OPENSSL_CHECKHOST
83 # endif
84 #endif
85
86 #if !defined(LIBRESSL_VERSION_NUMBER) \
87     || LIBRESSL_VERSION_NUMBER >= 0x20010000L
88 # if !defined(OPENSSL_NO_ECDH)
89 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
90 #   define EXIM_HAVE_ECDH
91 #  endif
92 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
93 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
94 #  endif
95 # endif
96 #endif
97
98 #ifndef LIBRESSL_VERSION_NUMBER
99 # if OPENSSL_VERSION_NUMBER >= 0x010101000L
100 #  define OPENSSL_HAVE_KEYLOG_CB
101 #  define OPENSSL_HAVE_NUM_TICKETS
102 #  define EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
103 # endif
104 #endif
105
106 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
107 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
108 # define DISABLE_OCSP
109 #endif
110
111 #ifdef EXPERIMENTAL_TLS_RESUME
112 # if OPENSSL_VERSION_NUMBER < 0x0101010L
113 #  error OpenSSL version too old for session-resumption
114 # endif
115 #endif
116
117 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
118 # include <openssl/x509v3.h>
119 #endif
120
121 #ifndef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
122 # ifndef EXIM_HAVE_OPENSSL_CIPHER_GET_ID
123 #  define SSL_CIPHER_get_id(c) (c->id)
124 # endif
125 # ifndef MACRO_PREDEF
126 #  include "tls-cipher-stdname.c"
127 # endif
128 #endif
129
130 /*************************************************
131 *        OpenSSL option parse                    *
132 *************************************************/
133
134 typedef struct exim_openssl_option {
135   uschar *name;
136   long    value;
137 } exim_openssl_option;
138 /* We could use a macro to expand, but we need the ifdef and not all the
139 options document which version they were introduced in.  Policylet: include
140 all options unless explicitly for DTLS, let the administrator choose which
141 to apply.
142
143 This list is current as of:
144   ==>  1.0.1b  <==
145 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
146 Plus SSL_OP_NO_TLSv1_3 for 1.1.2-dev
147 */
148 static exim_openssl_option exim_openssl_options[] = {
149 /* KEEP SORTED ALPHABETICALLY! */
150 #ifdef SSL_OP_ALL
151   { US"all", SSL_OP_ALL },
152 #endif
153 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
154   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
155 #endif
156 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
157   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
158 #endif
159 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
160   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
161 #endif
162 #ifdef SSL_OP_EPHEMERAL_RSA
163   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
164 #endif
165 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
166   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
167 #endif
168 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
169   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
170 #endif
171 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
172   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
173 #endif
174 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
175   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
176 #endif
177 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
178   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
179 #endif
180 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
181   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
182 #endif
183 #ifdef SSL_OP_NO_COMPRESSION
184   { US"no_compression", SSL_OP_NO_COMPRESSION },
185 #endif
186 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
187   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
188 #endif
189 #ifdef SSL_OP_NO_SSLv2
190   { US"no_sslv2", SSL_OP_NO_SSLv2 },
191 #endif
192 #ifdef SSL_OP_NO_SSLv3
193   { US"no_sslv3", SSL_OP_NO_SSLv3 },
194 #endif
195 #ifdef SSL_OP_NO_TICKET
196   { US"no_ticket", SSL_OP_NO_TICKET },
197 #endif
198 #ifdef SSL_OP_NO_TLSv1
199   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
200 #endif
201 #ifdef SSL_OP_NO_TLSv1_1
202 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
203   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
204 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
205 #else
206   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
207 #endif
208 #endif
209 #ifdef SSL_OP_NO_TLSv1_2
210   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
211 #endif
212 #ifdef SSL_OP_NO_TLSv1_3
213   { US"no_tlsv1_3", SSL_OP_NO_TLSv1_3 },
214 #endif
215 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
216   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
217 #endif
218 #ifdef SSL_OP_SINGLE_DH_USE
219   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
220 #endif
221 #ifdef SSL_OP_SINGLE_ECDH_USE
222   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
223 #endif
224 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
225   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
226 #endif
227 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
228   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
229 #endif
230 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
231   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
232 #endif
233 #ifdef SSL_OP_TLS_D5_BUG
234   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
235 #endif
236 #ifdef SSL_OP_TLS_ROLLBACK_BUG
237   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
238 #endif
239 };
240
241 #ifndef MACRO_PREDEF
242 static int exim_openssl_options_size = nelem(exim_openssl_options);
243 #endif
244
245 #ifdef MACRO_PREDEF
246 void
247 options_tls(void)
248 {
249 uschar buf[64];
250
251 for (struct exim_openssl_option * o = exim_openssl_options;
252      o < exim_openssl_options + nelem(exim_openssl_options); o++)
253   {
254   /* Trailing X is workaround for problem with _OPT_OPENSSL_NO_TLSV1
255   being a ".ifdef _OPT_OPENSSL_NO_TLSV1_3" match */
256
257   spf(buf, sizeof(buf), US"_OPT_OPENSSL_%T_X", o->name);
258   builtin_macro_create(buf);
259   }
260
261 # ifdef EXPERIMENTAL_TLS_RESUME
262 builtin_macro_create_var(US"_RESUME_DECODE", RESUME_DECODE_STRING );
263 # endif
264 }
265 #else
266
267 /******************************************************************************/
268
269 /* Structure for collecting random data for seeding. */
270
271 typedef struct randstuff {
272   struct timeval tv;
273   pid_t          p;
274 } randstuff;
275
276 /* Local static variables */
277
278 static BOOL client_verify_callback_called = FALSE;
279 static BOOL server_verify_callback_called = FALSE;
280 static const uschar *sid_ctx = US"exim";
281
282 /* We have three different contexts to care about.
283
284 Simple case: client, `client_ctx`
285  As a client, we can be doing a callout or cut-through delivery while receiving
286  a message.  So we have a client context, which should have options initialised
287  from the SMTP Transport.  We may also concurrently want to make TLS connections
288  to utility daemons, so client-contexts are allocated and passed around in call
289  args rather than using a gobal.
290
291 Server:
292  There are two cases: with and without ServerNameIndication from the client.
293  Given TLS SNI, we can be using different keys, certs and various other
294  configuration settings, because they're re-expanded with $tls_sni set.  This
295  allows vhosting with TLS.  This SNI is sent in the handshake.
296  A client might not send SNI, so we need a fallback, and an initial setup too.
297  So as a server, we start out using `server_ctx`.
298  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
299  `server_sni` from `server_ctx` and then initialise settings by re-expanding
300  configuration.
301 */
302
303 typedef struct {
304   SSL_CTX *     ctx;
305   SSL *         ssl;
306   gstring *     corked;
307 } exim_openssl_client_tls_ctx;
308
309 static SSL_CTX *server_ctx = NULL;
310 static SSL     *server_ssl = NULL;
311
312 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
313 static SSL_CTX *server_sni = NULL;
314 #endif
315
316 static char ssl_errstring[256];
317
318 static int  ssl_session_timeout = 7200;         /* Two hours */
319 static BOOL client_verify_optional = FALSE;
320 static BOOL server_verify_optional = FALSE;
321
322 static BOOL reexpand_tls_files_for_sni = FALSE;
323
324
325 typedef struct tls_ext_ctx_cb {
326   tls_support * tlsp;
327   uschar *certificate;
328   uschar *privatekey;
329   BOOL is_server;
330 #ifndef DISABLE_OCSP
331   STACK_OF(X509) *verify_stack;         /* chain for verifying the proof */
332   union {
333     struct {
334       uschar        *file;
335       uschar        *file_expanded;
336       OCSP_RESPONSE *response;
337     } server;
338     struct {
339       X509_STORE    *verify_store;      /* non-null if status requested */
340       BOOL          verify_required;
341     } client;
342   } u_ocsp;
343 #endif
344   uschar *dhparam;
345   /* these are cached from first expand */
346   uschar *server_cipher_list;
347   /* only passed down to tls_error: */
348   host_item *host;
349   const uschar * verify_cert_hostnames;
350 #ifndef DISABLE_EVENT
351   uschar * event_action;
352 #endif
353 } tls_ext_ctx_cb;
354
355 /* should figure out a cleanup of API to handle state preserved per
356 implementation, for various reasons, which can be void * in the APIs.
357 For now, we hack around it. */
358 tls_ext_ctx_cb *client_static_cbinfo = NULL;    /*XXX should not use static; multiple concurrent clients! */
359 tls_ext_ctx_cb *server_static_cbinfo = NULL;
360
361 static int
362 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
363     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr );
364
365 /* Callbacks */
366 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
367 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
368 #endif
369 #ifndef DISABLE_OCSP
370 static int tls_server_stapling_cb(SSL *s, void *arg);
371 #endif
372
373
374
375 /* Daemon-called, before every connection, key create/rotate */
376 #ifdef EXPERIMENTAL_TLS_RESUME
377 static void tk_init(void);
378 static int tls_exdata_idx = -1;
379 #endif
380
381 void
382 tls_daemon_init(void)
383 {
384 #ifdef EXPERIMENTAL_TLS_RESUME
385 tk_init();
386 #endif
387 return;
388 }
389
390
391 /*************************************************
392 *               Handle TLS error                 *
393 *************************************************/
394
395 /* Called from lots of places when errors occur before actually starting to do
396 the TLS handshake, that is, while the session is still in clear. Always returns
397 DEFER for a server and FAIL for a client so that most calls can use "return
398 tls_error(...)" to do this processing and then give an appropriate return. A
399 single function is used for both server and client, because it is called from
400 some shared functions.
401
402 Argument:
403   prefix    text to include in the logged error
404   host      NULL if setting up a server;
405             the connected host if setting up a client
406   msg       error message or NULL if we should ask OpenSSL
407   errstr    pointer to output error message
408
409 Returns:    OK/DEFER/FAIL
410 */
411
412 static int
413 tls_error(uschar * prefix, const host_item * host, uschar * msg, uschar ** errstr)
414 {
415 if (!msg)
416   {
417   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
418   msg = US ssl_errstring;
419   }
420
421 msg = string_sprintf("(%s): %s", prefix, msg);
422 DEBUG(D_tls) debug_printf("TLS error '%s'\n", msg);
423 if (errstr) *errstr = msg;
424 return host ? FAIL : DEFER;
425 }
426
427
428
429 /*************************************************
430 *        Callback to generate RSA key            *
431 *************************************************/
432
433 /*
434 Arguments:
435   s          SSL connection (not used)
436   export     not used
437   keylength  keylength
438
439 Returns:     pointer to generated key
440 */
441
442 static RSA *
443 rsa_callback(SSL *s, int export, int keylength)
444 {
445 RSA *rsa_key;
446 #ifdef EXIM_HAVE_RSA_GENKEY_EX
447 BIGNUM *bn = BN_new();
448 #endif
449
450 export = export;     /* Shut picky compilers up */
451 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
452
453 #ifdef EXIM_HAVE_RSA_GENKEY_EX
454 if (  !BN_set_word(bn, (unsigned long)RSA_F4)
455    || !(rsa_key = RSA_new())
456    || !RSA_generate_key_ex(rsa_key, keylength, bn, NULL)
457    )
458 #else
459 if (!(rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL)))
460 #endif
461
462   {
463   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
464   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
465     ssl_errstring);
466   return NULL;
467   }
468 return rsa_key;
469 }
470
471
472
473 /* Extreme debug
474 #ifndef DISABLE_OCSP
475 void
476 x509_store_dump_cert_s_names(X509_STORE * store)
477 {
478 STACK_OF(X509_OBJECT) * roots= store->objs;
479 static uschar name[256];
480
481 for (int i= 0; i < sk_X509_OBJECT_num(roots); i++)
482   {
483   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
484   if(tmp_obj->type == X509_LU_X509)
485     {
486     X509_NAME * sn = X509_get_subject_name(tmp_obj->data.x509);
487     if (X509_NAME_oneline(sn, CS name, sizeof(name)))
488       {
489       name[sizeof(name)-1] = '\0';
490       debug_printf(" %s\n", name);
491       }
492     }
493   }
494 }
495 #endif
496 */
497
498
499 #ifndef DISABLE_EVENT
500 static int
501 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
502   BOOL *calledp, const BOOL *optionalp, const uschar * what)
503 {
504 uschar * ev;
505 uschar * yield;
506 X509 * old_cert;
507
508 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
509 if (ev)
510   {
511   DEBUG(D_tls) debug_printf("verify_event: %s %d\n", what, depth);
512   old_cert = tlsp->peercert;
513   tlsp->peercert = X509_dup(cert);
514   /* NB we do not bother setting peerdn */
515   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
516     {
517     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
518                 "depth=%d cert=%s: %s",
519               tlsp == &tls_out ? deliver_host_address : sender_host_address,
520               what, depth, dn, yield);
521     *calledp = TRUE;
522     if (!*optionalp)
523       {
524       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
525       return 1;                     /* reject (leaving peercert set) */
526       }
527     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
528       "(host in tls_try_verify_hosts)\n");
529     tlsp->verify_override = TRUE;
530     }
531   X509_free(tlsp->peercert);
532   tlsp->peercert = old_cert;
533   }
534 return 0;
535 }
536 #endif
537
538 /*************************************************
539 *        Callback for verification               *
540 *************************************************/
541
542 /* The SSL library does certificate verification if set up to do so. This
543 callback has the current yes/no state is in "state". If verification succeeded,
544 we set the certificate-verified flag. If verification failed, what happens
545 depends on whether the client is required to present a verifiable certificate
546 or not.
547
548 If verification is optional, we change the state to yes, but still log the
549 verification error. For some reason (it really would help to have proper
550 documentation of OpenSSL), this callback function then gets called again, this
551 time with state = 1.  We must take care not to set the private verified flag on
552 the second time through.
553
554 Note: this function is not called if the client fails to present a certificate
555 when asked. We get here only if a certificate has been received. Handling of
556 optional verification for this case is done when requesting SSL to verify, by
557 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
558
559 May be called multiple times for different issues with a certificate, even
560 for a given "depth" in the certificate chain.
561
562 Arguments:
563   preverify_ok current yes/no state as 1/0
564   x509ctx      certificate information.
565   tlsp         per-direction (client vs. server) support data
566   calledp      has-been-called flag
567   optionalp    verification-is-optional flag
568
569 Returns:     0 if verification should fail, otherwise 1
570 */
571
572 static int
573 verify_callback(int preverify_ok, X509_STORE_CTX * x509ctx,
574   tls_support * tlsp, BOOL * calledp, BOOL * optionalp)
575 {
576 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
577 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
578 uschar dn[256];
579
580 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
581   {
582   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
583   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
584     tlsp == &tls_out ? deliver_host_address : sender_host_address);
585   return 0;
586   }
587 dn[sizeof(dn)-1] = '\0';
588
589 tlsp->verify_override = FALSE;
590 if (preverify_ok == 0)
591   {
592   uschar * extra = verify_mode ? string_sprintf(" (during %c-verify for [%s])",
593       *verify_mode, sender_host_address)
594     : US"";
595   log_write(0, LOG_MAIN, "[%s] SSL verify error%s: depth=%d error=%s cert=%s",
596     tlsp == &tls_out ? deliver_host_address : sender_host_address,
597     extra, depth,
598     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)), dn);
599   *calledp = TRUE;
600   if (!*optionalp)
601     {
602     if (!tlsp->peercert)
603       tlsp->peercert = X509_dup(cert);  /* record failing cert */
604     return 0;                           /* reject */
605     }
606   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
607     "tls_try_verify_hosts)\n");
608   tlsp->verify_override = TRUE;
609   }
610
611 else if (depth != 0)
612   {
613   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
614 #ifndef DISABLE_OCSP
615   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
616     {   /* client, wanting stapling  */
617     /* Add the server cert's signing chain as the one
618     for the verification of the OCSP stapled information. */
619
620     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
621                              cert))
622       ERR_clear_error();
623     sk_X509_push(client_static_cbinfo->verify_stack, cert);
624     }
625 #endif
626 #ifndef DISABLE_EVENT
627     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
628       return 0;                         /* reject, with peercert set */
629 #endif
630   }
631 else
632   {
633   const uschar * verify_cert_hostnames;
634
635   if (  tlsp == &tls_out
636      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
637         /* client, wanting hostname check */
638     {
639
640 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
641 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
642 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
643 # endif
644 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
645 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
646 # endif
647     int sep = 0;
648     const uschar * list = verify_cert_hostnames;
649     uschar * name;
650     int rc;
651     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
652       if ((rc = X509_check_host(cert, CCS name, 0,
653                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
654                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
655                   NULL)))
656         {
657         if (rc < 0)
658           {
659           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
660             tlsp == &tls_out ? deliver_host_address : sender_host_address);
661           name = NULL;
662           }
663         break;
664         }
665     if (!name)
666 #else
667     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
668 #endif
669       {
670       uschar * extra = verify_mode
671         ? string_sprintf(" (during %c-verify for [%s])",
672           *verify_mode, sender_host_address)
673         : US"";
674       log_write(0, LOG_MAIN,
675         "[%s] SSL verify error%s: certificate name mismatch: DN=\"%s\" H=\"%s\"",
676         tlsp == &tls_out ? deliver_host_address : sender_host_address,
677         extra, dn, verify_cert_hostnames);
678       *calledp = TRUE;
679       if (!*optionalp)
680         {
681         if (!tlsp->peercert)
682           tlsp->peercert = X509_dup(cert);      /* record failing cert */
683         return 0;                               /* reject */
684         }
685       DEBUG(D_tls) debug_printf("SSL verify name failure overridden (host in "
686         "tls_try_verify_hosts)\n");
687       tlsp->verify_override = TRUE;
688       }
689     }
690
691 #ifndef DISABLE_EVENT
692   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
693     return 0;                           /* reject, with peercert set */
694 #endif
695
696   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
697     *calledp ? "" : " authenticated", dn);
698   *calledp = TRUE;
699   }
700
701 return 1;   /* accept, at least for this level */
702 }
703
704 static int
705 verify_callback_client(int preverify_ok, X509_STORE_CTX *x509ctx)
706 {
707 return verify_callback(preverify_ok, x509ctx, &tls_out,
708   &client_verify_callback_called, &client_verify_optional);
709 }
710
711 static int
712 verify_callback_server(int preverify_ok, X509_STORE_CTX *x509ctx)
713 {
714 return verify_callback(preverify_ok, x509ctx, &tls_in,
715   &server_verify_callback_called, &server_verify_optional);
716 }
717
718
719 #ifdef SUPPORT_DANE
720
721 /* This gets called *by* the dane library verify callback, which interposes
722 itself.
723 */
724 static int
725 verify_callback_client_dane(int preverify_ok, X509_STORE_CTX * x509ctx)
726 {
727 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
728 uschar dn[256];
729 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
730 #ifndef DISABLE_EVENT
731 BOOL dummy_called, optional = FALSE;
732 #endif
733
734 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
735   {
736   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
737   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
738     deliver_host_address);
739   return 0;
740   }
741 dn[sizeof(dn)-1] = '\0';
742
743 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
744   preverify_ok ? "ok":"BAD", depth, dn);
745
746 #ifndef DISABLE_EVENT
747   if (verify_event(&tls_out, cert, depth, dn,
748           &dummy_called, &optional, US"DANE"))
749     return 0;                           /* reject, with peercert set */
750 #endif
751
752 if (preverify_ok == 1)
753   {
754   tls_out.dane_verified = TRUE;
755 #ifndef DISABLE_OCSP
756   if (client_static_cbinfo->u_ocsp.client.verify_store)
757     {   /* client, wanting stapling  */
758     /* Add the server cert's signing chain as the one
759     for the verification of the OCSP stapled information. */
760
761     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
762                              cert))
763       ERR_clear_error();
764     sk_X509_push(client_static_cbinfo->verify_stack, cert);
765     }
766 #endif
767   }
768 else
769   {
770   int err = X509_STORE_CTX_get_error(x509ctx);
771   DEBUG(D_tls)
772     debug_printf(" - err %d '%s'\n", err, X509_verify_cert_error_string(err));
773   if (err == X509_V_ERR_APPLICATION_VERIFICATION)
774     preverify_ok = 1;
775   }
776 return preverify_ok;
777 }
778
779 #endif  /*SUPPORT_DANE*/
780
781
782 /*************************************************
783 *           Information callback                 *
784 *************************************************/
785
786 /* The SSL library functions call this from time to time to indicate what they
787 are doing. We copy the string to the debugging output when TLS debugging has
788 been requested.
789
790 Arguments:
791   s         the SSL connection
792   where
793   ret
794
795 Returns:    nothing
796 */
797
798 static void
799 info_callback(SSL *s, int where, int ret)
800 {
801 DEBUG(D_tls)
802   {
803   const uschar * str;
804
805   if (where & SSL_ST_CONNECT)
806      str = US"SSL_connect";
807   else if (where & SSL_ST_ACCEPT)
808      str = US"SSL_accept";
809   else
810      str = US"SSL info (undefined)";
811
812   if (where & SSL_CB_LOOP)
813      debug_printf("%s: %s\n", str, SSL_state_string_long(s));
814   else if (where & SSL_CB_ALERT)
815     debug_printf("SSL3 alert %s:%s:%s\n",
816           str = where & SSL_CB_READ ? US"read" : US"write",
817           SSL_alert_type_string_long(ret), SSL_alert_desc_string_long(ret));
818   else if (where & SSL_CB_EXIT)
819      if (ret == 0)
820         debug_printf("%s: failed in %s\n", str, SSL_state_string_long(s));
821      else if (ret < 0)
822         debug_printf("%s: error in %s\n", str, SSL_state_string_long(s));
823   else if (where & SSL_CB_HANDSHAKE_START)
824      debug_printf("%s: hshake start: %s\n", str, SSL_state_string_long(s));
825   else if (where & SSL_CB_HANDSHAKE_DONE)
826      debug_printf("%s: hshake done: %s\n", str, SSL_state_string_long(s));
827   }
828 }
829
830 #ifdef OPENSSL_HAVE_KEYLOG_CB
831 static void
832 keylog_callback(const SSL *ssl, const char *line)
833 {
834 DEBUG(D_tls) debug_printf("%.200s\n", line);
835 }
836 #endif
837
838
839 #ifdef EXPERIMENTAL_TLS_RESUME
840 /* Manage the keysets used for encrypting the session tickets, on the server. */
841
842 typedef struct {                        /* Session ticket encryption key */
843   uschar        name[16];
844
845   const EVP_CIPHER *    aes_cipher;
846   uschar                aes_key[32];    /* size needed depends on cipher. aes_128 implies 128/8 = 16? */
847   const EVP_MD *        hmac_hash;
848   uschar                hmac_key[16];
849   time_t                renew;
850   time_t                expire;
851 } exim_stek;
852
853 static exim_stek exim_tk;       /* current key */
854 static exim_stek exim_tk_old;   /* previous key */
855
856 static void
857 tk_init(void)
858 {
859 time_t t = time(NULL);
860
861 if (exim_tk.name[0])
862   {
863   if (exim_tk.renew >= t) return;
864   exim_tk_old = exim_tk;
865   }
866
867 if (f.running_in_test_harness) ssl_session_timeout = 6;
868
869 DEBUG(D_tls) debug_printf("OpenSSL: %s STEK\n", exim_tk.name[0] ? "rotating" : "creating");
870 if (RAND_bytes(exim_tk.aes_key, sizeof(exim_tk.aes_key)) <= 0) return;
871 if (RAND_bytes(exim_tk.hmac_key, sizeof(exim_tk.hmac_key)) <= 0) return;
872 if (RAND_bytes(exim_tk.name+1, sizeof(exim_tk.name)-1) <= 0) return;
873
874 exim_tk.name[0] = 'E';
875 exim_tk.aes_cipher = EVP_aes_256_cbc();
876 exim_tk.hmac_hash = EVP_sha256();
877 exim_tk.expire = t + ssl_session_timeout;
878 exim_tk.renew = t + ssl_session_timeout/2;
879 }
880
881 static exim_stek *
882 tk_current(void)
883 {
884 if (!exim_tk.name[0]) return NULL;
885 return &exim_tk;
886 }
887
888 static exim_stek *
889 tk_find(const uschar * name)
890 {
891 return memcmp(name, exim_tk.name, sizeof(exim_tk.name)) == 0 ? &exim_tk
892   : memcmp(name, exim_tk_old.name, sizeof(exim_tk_old.name)) == 0 ? &exim_tk_old
893   : NULL;
894 }
895
896 /* Callback for session tickets, on server */
897 static int
898 ticket_key_callback(SSL * ssl, uschar key_name[16],
899   uschar * iv, EVP_CIPHER_CTX * ctx, HMAC_CTX * hctx, int enc)
900 {
901 tls_support * tlsp = server_static_cbinfo->tlsp;
902 exim_stek * key;
903
904 if (enc)
905   {
906   DEBUG(D_tls) debug_printf("ticket_key_callback: create new session\n");
907   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
908
909   if (RAND_bytes(iv, EVP_MAX_IV_LENGTH) <= 0)
910     return -1; /* insufficient random */
911
912   if (!(key = tk_current()))    /* current key doesn't exist or isn't valid */
913      return 0;                  /* key couldn't be created */
914   memcpy(key_name, key->name, 16);
915   DEBUG(D_tls) debug_printf("STEK expire %ld\n", key->expire - time(NULL));
916
917   /*XXX will want these dependent on the ssl session strength */
918   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
919                 key->hmac_hash, NULL);
920   EVP_EncryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
921
922   DEBUG(D_tls) debug_printf("ticket created\n");
923   return 1;
924   }
925 else
926   {
927   time_t now = time(NULL);
928
929   DEBUG(D_tls) debug_printf("ticket_key_callback: retrieve session\n");
930   tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
931
932   if (!(key = tk_find(key_name)) || key->expire < now)
933     {
934     DEBUG(D_tls)
935       {
936       debug_printf("ticket not usable (%s)\n", key ? "expired" : "not found");
937       if (key) debug_printf("STEK expire %ld\n", key->expire - now);
938       }
939     return 0;
940     }
941
942   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
943                 key->hmac_hash, NULL);
944   EVP_DecryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
945
946   DEBUG(D_tls) debug_printf("ticket usable, STEK expire %ld\n", key->expire - now);
947
948   /* The ticket lifetime and renewal are the same as the STEK lifetime and
949   renewal, which is overenthusiastic.  A factor of, say, 3x longer STEK would
950   be better.  To do that we'd have to encode ticket lifetime in the name as
951   we don't yet see the restored session.  Could check posthandshake for TLS1.3
952   and trigger a new ticket then, but cannot do that for TLS1.2 */
953   return key->renew < now ? 2 : 1;
954   }
955 }
956 #endif
957
958
959
960 /*************************************************
961 *                Initialize for DH               *
962 *************************************************/
963
964 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
965
966 Arguments:
967   sctx      The current SSL CTX (inbound or outbound)
968   dhparam   DH parameter file or fixed parameter identity string
969   host      connected host, if client; NULL if server
970   errstr    error string pointer
971
972 Returns:    TRUE if OK (nothing to set up, or setup worked)
973 */
974
975 static BOOL
976 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host, uschar ** errstr)
977 {
978 BIO *bio;
979 DH *dh;
980 uschar *dhexpanded;
981 const char *pem;
982 int dh_bitsize;
983
984 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded, errstr))
985   return FALSE;
986
987 if (!dhexpanded || !*dhexpanded)
988   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
989 else if (dhexpanded[0] == '/')
990   {
991   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
992     {
993     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
994           host, US strerror(errno), errstr);
995     return FALSE;
996     }
997   }
998 else
999   {
1000   if (Ustrcmp(dhexpanded, "none") == 0)
1001     {
1002     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
1003     return TRUE;
1004     }
1005
1006   if (!(pem = std_dh_prime_named(dhexpanded)))
1007     {
1008     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
1009         host, US strerror(errno), errstr);
1010     return FALSE;
1011     }
1012   bio = BIO_new_mem_buf(CS pem, -1);
1013   }
1014
1015 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
1016   {
1017   BIO_free(bio);
1018   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
1019       host, NULL, errstr);
1020   return FALSE;
1021   }
1022
1023 /* note: our default limit of 2236 is not a multiple of 8; the limit comes from
1024  * an NSS limit, and the GnuTLS APIs handle bit-sizes fine, so we went with
1025  * 2236.  But older OpenSSL can only report in bytes (octets), not bits.
1026  * If someone wants to dance at the edge, then they can raise the limit or use
1027  * current libraries. */
1028 #ifdef EXIM_HAVE_OPENSSL_DH_BITS
1029 /* Added in commit 26c79d5641d; `git describe --contains` says OpenSSL_1_1_0-pre1~1022
1030  * This predates OpenSSL_1_1_0 (before a, b, ...) so is in all 1.1.0 */
1031 dh_bitsize = DH_bits(dh);
1032 #else
1033 dh_bitsize = 8 * DH_size(dh);
1034 #endif
1035
1036 /* Even if it is larger, we silently return success rather than cause things
1037  * to fail out, so that a too-large DH will not knock out all TLS; it's a
1038  * debatable choice. */
1039 if (dh_bitsize > tls_dh_max_bits)
1040   {
1041   DEBUG(D_tls)
1042     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d\n",
1043         dh_bitsize, tls_dh_max_bits);
1044   }
1045 else
1046   {
1047   SSL_CTX_set_tmp_dh(sctx, dh);
1048   DEBUG(D_tls)
1049     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
1050       dhexpanded ? dhexpanded : US"default", dh_bitsize);
1051   }
1052
1053 DH_free(dh);
1054 BIO_free(bio);
1055
1056 return TRUE;
1057 }
1058
1059
1060
1061
1062 /*************************************************
1063 *               Initialize for ECDH              *
1064 *************************************************/
1065
1066 /* Load parameters for ECDH encryption.
1067
1068 For now, we stick to NIST P-256 because: it's simple and easy to configure;
1069 it avoids any patent issues that might bite redistributors; despite events in
1070 the news and concerns over curve choices, we're not cryptographers, we're not
1071 pretending to be, and this is "good enough" to be better than no support,
1072 protecting against most adversaries.  Given another year or two, there might
1073 be sufficient clarity about a "right" way forward to let us make an informed
1074 decision, instead of a knee-jerk reaction.
1075
1076 Longer-term, we should look at supporting both various named curves and
1077 external files generated with "openssl ecparam", much as we do for init_dh().
1078 We should also support "none" as a value, to explicitly avoid initialisation.
1079
1080 Patches welcome.
1081
1082 Arguments:
1083   sctx      The current SSL CTX (inbound or outbound)
1084   host      connected host, if client; NULL if server
1085   errstr    error string pointer
1086
1087 Returns:    TRUE if OK (nothing to set up, or setup worked)
1088 */
1089
1090 static BOOL
1091 init_ecdh(SSL_CTX * sctx, host_item * host, uschar ** errstr)
1092 {
1093 #ifdef OPENSSL_NO_ECDH
1094 return TRUE;
1095 #else
1096
1097 EC_KEY * ecdh;
1098 uschar * exp_curve;
1099 int nid;
1100 BOOL rv;
1101
1102 if (host)       /* No ECDH setup for clients, only for servers */
1103   return TRUE;
1104
1105 # ifndef EXIM_HAVE_ECDH
1106 DEBUG(D_tls)
1107   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
1108 return TRUE;
1109 # else
1110
1111 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve, errstr))
1112   return FALSE;
1113 if (!exp_curve || !*exp_curve)
1114   return TRUE;
1115
1116 /* "auto" needs to be handled carefully.
1117  * OpenSSL <  1.0.2: we do not select anything, but fallback to prime256v1
1118  * OpenSSL <  1.1.0: we have to call SSL_CTX_set_ecdh_auto
1119  *                   (openssl/ssl.h defines SSL_CTRL_SET_ECDH_AUTO)
1120  * OpenSSL >= 1.1.0: we do not set anything, the libray does autoselection
1121  *                   https://github.com/openssl/openssl/commit/fe6ef2472db933f01b59cad82aa925736935984b
1122  */
1123 if (Ustrcmp(exp_curve, "auto") == 0)
1124   {
1125 #if OPENSSL_VERSION_NUMBER < 0x10002000L
1126   DEBUG(D_tls) debug_printf(
1127     "ECDH OpenSSL < 1.0.2: temp key parameter settings: overriding \"auto\" with \"prime256v1\"\n");
1128   exp_curve = US"prime256v1";
1129 #else
1130 # if defined SSL_CTRL_SET_ECDH_AUTO
1131   DEBUG(D_tls) debug_printf(
1132     "ECDH OpenSSL 1.0.2+ temp key parameter settings: autoselection\n");
1133   SSL_CTX_set_ecdh_auto(sctx, 1);
1134   return TRUE;
1135 # else
1136   DEBUG(D_tls) debug_printf(
1137     "ECDH OpenSSL 1.1.0+ temp key parameter settings: default selection\n");
1138   return TRUE;
1139 # endif
1140 #endif
1141   }
1142
1143 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
1144 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
1145 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
1146    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
1147 #   endif
1148    )
1149   {
1150   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'", exp_curve),
1151     host, NULL, errstr);
1152   return FALSE;
1153   }
1154
1155 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
1156   {
1157   tls_error(US"Unable to create ec curve", host, NULL, errstr);
1158   return FALSE;
1159   }
1160
1161 /* The "tmp" in the name here refers to setting a temporary key
1162 not to the stability of the interface. */
1163
1164 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
1165   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL, errstr);
1166 else
1167   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
1168
1169 EC_KEY_free(ecdh);
1170 return !rv;
1171
1172 # endif /*EXIM_HAVE_ECDH*/
1173 #endif /*OPENSSL_NO_ECDH*/
1174 }
1175
1176
1177
1178
1179 #ifndef DISABLE_OCSP
1180 /*************************************************
1181 *       Load OCSP information into state         *
1182 *************************************************/
1183 /* Called to load the server OCSP response from the given file into memory, once
1184 caller has determined this is needed.  Checks validity.  Debugs a message
1185 if invalid.
1186
1187 ASSUMES: single response, for single cert.
1188
1189 Arguments:
1190   sctx            the SSL_CTX* to update
1191   cbinfo          various parts of session state
1192   expanded        the filename putatively holding an OCSP response
1193
1194 */
1195
1196 static void
1197 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
1198 {
1199 BIO * bio;
1200 OCSP_RESPONSE * resp;
1201 OCSP_BASICRESP * basic_response;
1202 OCSP_SINGLERESP * single_response;
1203 ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
1204 STACK_OF(X509) * sk;
1205 unsigned long verify_flags;
1206 int status, reason, i;
1207
1208 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
1209 if (cbinfo->u_ocsp.server.response)
1210   {
1211   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
1212   cbinfo->u_ocsp.server.response = NULL;
1213   }
1214
1215 if (!(bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb")))
1216   {
1217   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
1218       cbinfo->u_ocsp.server.file_expanded);
1219   return;
1220   }
1221
1222 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
1223 BIO_free(bio);
1224 if (!resp)
1225   {
1226   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
1227   return;
1228   }
1229
1230 if ((status = OCSP_response_status(resp)) != OCSP_RESPONSE_STATUS_SUCCESSFUL)
1231   {
1232   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
1233       OCSP_response_status_str(status), status);
1234   goto bad;
1235   }
1236
1237 if (!(basic_response = OCSP_response_get1_basic(resp)))
1238   {
1239   DEBUG(D_tls)
1240     debug_printf("OCSP response parse error: unable to extract basic response.\n");
1241   goto bad;
1242   }
1243
1244 sk = cbinfo->verify_stack;
1245 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
1246
1247 /* May need to expose ability to adjust those flags?
1248 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
1249 OCSP_TRUSTOTHER OCSP_NOINTERN */
1250
1251 /* This does a full verify on the OCSP proof before we load it for serving
1252 up; possibly overkill - just date-checks might be nice enough.
1253
1254 OCSP_basic_verify takes a "store" arg, but does not
1255 use it for the chain verification, which is all we do
1256 when OCSP_NOVERIFY is set.  The content from the wire
1257 "basic_response" and a cert-stack "sk" are all that is used.
1258
1259 We have a stack, loaded in setup_certs() if tls_verify_certificates
1260 was a file (not a directory, or "system").  It is unfortunate we
1261 cannot used the connection context store, as that would neatly
1262 handle the "system" case too, but there seems to be no library
1263 function for getting a stack from a store.
1264 [ In OpenSSL 1.1 - ?  X509_STORE_CTX_get0_chain(ctx) ? ]
1265 We do not free the stack since it could be needed a second time for
1266 SNI handling.
1267
1268 Separately we might try to replace using OCSP_basic_verify() - which seems to not
1269 be a public interface into the OpenSSL library (there's no manual entry) -
1270 But what with?  We also use OCSP_basic_verify in the client stapling callback.
1271 And there we NEED it; we must verify that status... unless the
1272 library does it for us anyway?  */
1273
1274 if ((i = OCSP_basic_verify(basic_response, sk, NULL, verify_flags)) < 0)
1275   {
1276   DEBUG(D_tls)
1277     {
1278     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1279     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
1280     }
1281   goto bad;
1282   }
1283
1284 /* Here's the simplifying assumption: there's only one response, for the
1285 one certificate we use, and nothing for anything else in a chain.  If this
1286 proves false, we need to extract a cert id from our issued cert
1287 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
1288 right cert in the stack and then calls OCSP_single_get0_status()).
1289
1290 I'm hoping to avoid reworking a bunch more of how we handle state here. */
1291
1292 if (!(single_response = OCSP_resp_get0(basic_response, 0)))
1293   {
1294   DEBUG(D_tls)
1295     debug_printf("Unable to get first response from OCSP basic response.\n");
1296   goto bad;
1297   }
1298
1299 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
1300 if (status != V_OCSP_CERTSTATUS_GOOD)
1301   {
1302   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
1303       OCSP_cert_status_str(status), status,
1304       OCSP_crl_reason_str(reason), reason);
1305   goto bad;
1306   }
1307
1308 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1309   {
1310   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
1311   goto bad;
1312   }
1313
1314 supply_response:
1315   cbinfo->u_ocsp.server.response = resp;        /*XXX stack?*/
1316 return;
1317
1318 bad:
1319   if (f.running_in_test_harness)
1320     {
1321     extern char ** environ;
1322     if (environ) for (uschar ** p = USS environ; *p; p++)
1323       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
1324         {
1325         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
1326         goto supply_response;
1327         }
1328     }
1329 return;
1330 }
1331 #endif  /*!DISABLE_OCSP*/
1332
1333
1334
1335
1336 /* Create and install a selfsigned certificate, for use in server mode */
1337
1338 static int
1339 tls_install_selfsign(SSL_CTX * sctx, uschar ** errstr)
1340 {
1341 X509 * x509 = NULL;
1342 EVP_PKEY * pkey;
1343 RSA * rsa;
1344 X509_NAME * name;
1345 uschar * where;
1346
1347 where = US"allocating pkey";
1348 if (!(pkey = EVP_PKEY_new()))
1349   goto err;
1350
1351 where = US"allocating cert";
1352 if (!(x509 = X509_new()))
1353   goto err;
1354
1355 where = US"generating pkey";
1356 if (!(rsa = rsa_callback(NULL, 0, 2048)))
1357   goto err;
1358
1359 where = US"assigning pkey";
1360 if (!EVP_PKEY_assign_RSA(pkey, rsa))
1361   goto err;
1362
1363 X509_set_version(x509, 2);                              /* N+1 - version 3 */
1364 ASN1_INTEGER_set(X509_get_serialNumber(x509), 1);
1365 X509_gmtime_adj(X509_get_notBefore(x509), 0);
1366 X509_gmtime_adj(X509_get_notAfter(x509), (long)60 * 60);        /* 1 hour */
1367 X509_set_pubkey(x509, pkey);
1368
1369 name = X509_get_subject_name(x509);
1370 X509_NAME_add_entry_by_txt(name, "C",
1371                           MBSTRING_ASC, CUS "UK", -1, -1, 0);
1372 X509_NAME_add_entry_by_txt(name, "O",
1373                           MBSTRING_ASC, CUS "Exim Developers", -1, -1, 0);
1374 X509_NAME_add_entry_by_txt(name, "CN",
1375                           MBSTRING_ASC, CUS smtp_active_hostname, -1, -1, 0);
1376 X509_set_issuer_name(x509, name);
1377
1378 where = US"signing cert";
1379 if (!X509_sign(x509, pkey, EVP_md5()))
1380   goto err;
1381
1382 where = US"installing selfsign cert";
1383 if (!SSL_CTX_use_certificate(sctx, x509))
1384   goto err;
1385
1386 where = US"installing selfsign key";
1387 if (!SSL_CTX_use_PrivateKey(sctx, pkey))
1388   goto err;
1389
1390 return OK;
1391
1392 err:
1393   (void) tls_error(where, NULL, NULL, errstr);
1394   if (x509) X509_free(x509);
1395   if (pkey) EVP_PKEY_free(pkey);
1396   return DEFER;
1397 }
1398
1399
1400
1401
1402 static int
1403 tls_add_certfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1404   uschar ** errstr)
1405 {
1406 DEBUG(D_tls) debug_printf("tls_certificate file %s\n", file);
1407 if (!SSL_CTX_use_certificate_chain_file(sctx, CS file))
1408   return tls_error(string_sprintf(
1409     "SSL_CTX_use_certificate_chain_file file=%s", file),
1410       cbinfo->host, NULL, errstr);
1411 return 0;
1412 }
1413
1414 static int
1415 tls_add_pkeyfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1416   uschar ** errstr)
1417 {
1418 DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", file);
1419 if (!SSL_CTX_use_PrivateKey_file(sctx, CS file, SSL_FILETYPE_PEM))
1420   return tls_error(string_sprintf(
1421     "SSL_CTX_use_PrivateKey_file file=%s", file), cbinfo->host, NULL, errstr);
1422 return 0;
1423 }
1424
1425
1426 /*************************************************
1427 *        Expand key and cert file specs          *
1428 *************************************************/
1429
1430 /* Called once during tls_init and possibly again during TLS setup, for a
1431 new context, if Server Name Indication was used and tls_sni was seen in
1432 the certificate string.
1433
1434 Arguments:
1435   sctx            the SSL_CTX* to update
1436   cbinfo          various parts of session state
1437   errstr          error string pointer
1438
1439 Returns:          OK/DEFER/FAIL
1440 */
1441
1442 static int
1443 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo,
1444   uschar ** errstr)
1445 {
1446 uschar *expanded;
1447
1448 if (!cbinfo->certificate)
1449   {
1450   if (!cbinfo->is_server)               /* client */
1451     return OK;
1452                                         /* server */
1453   if (tls_install_selfsign(sctx, errstr) != OK)
1454     return DEFER;
1455   }
1456 else
1457   {
1458   int err;
1459
1460   if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
1461       Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
1462       Ustrstr(cbinfo->certificate, US"tls_out_sni")
1463      )
1464     reexpand_tls_files_for_sni = TRUE;
1465
1466   if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded, errstr))
1467     return DEFER;
1468
1469   if (expanded)
1470     if (cbinfo->is_server)
1471       {
1472       const uschar * file_list = expanded;
1473       int sep = 0;
1474       uschar * file;
1475
1476       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1477         if ((err = tls_add_certfile(sctx, cbinfo, file, errstr)))
1478           return err;
1479       }
1480     else        /* would there ever be a need for multiple client certs? */
1481       if ((err = tls_add_certfile(sctx, cbinfo, expanded, errstr)))
1482         return err;
1483
1484   if (  cbinfo->privatekey
1485      && !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded, errstr))
1486     return DEFER;
1487
1488   /* If expansion was forced to fail, key_expanded will be NULL. If the result
1489   of the expansion is an empty string, ignore it also, and assume the private
1490   key is in the same file as the certificate. */
1491
1492   if (expanded && *expanded)
1493     if (cbinfo->is_server)
1494       {
1495       const uschar * file_list = expanded;
1496       int sep = 0;
1497       uschar * file;
1498
1499       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1500         if ((err = tls_add_pkeyfile(sctx, cbinfo, file, errstr)))
1501           return err;
1502       }
1503     else        /* would there ever be a need for multiple client certs? */
1504       if ((err = tls_add_pkeyfile(sctx, cbinfo, expanded, errstr)))
1505         return err;
1506   }
1507
1508 #ifndef DISABLE_OCSP
1509 if (cbinfo->is_server && cbinfo->u_ocsp.server.file)
1510   {
1511   /*XXX stack*/
1512   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded, errstr))
1513     return DEFER;
1514
1515   if (expanded && *expanded)
1516     {
1517     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
1518     if (  cbinfo->u_ocsp.server.file_expanded
1519        && (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
1520       {
1521       DEBUG(D_tls) debug_printf(" - value unchanged, using existing values\n");
1522       }
1523     else
1524       ocsp_load_response(sctx, cbinfo, expanded);
1525     }
1526   }
1527 #endif
1528
1529 return OK;
1530 }
1531
1532
1533
1534
1535 /*************************************************
1536 *            Callback to handle SNI              *
1537 *************************************************/
1538
1539 /* Called when acting as server during the TLS session setup if a Server Name
1540 Indication extension was sent by the client.
1541
1542 API documentation is OpenSSL s_server.c implementation.
1543
1544 Arguments:
1545   s               SSL* of the current session
1546   ad              unknown (part of OpenSSL API) (unused)
1547   arg             Callback of "our" registered data
1548
1549 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
1550
1551 XXX might need to change to using ClientHello callback,
1552 per https://www.openssl.org/docs/manmaster/man3/SSL_client_hello_cb_fn.html
1553 */
1554
1555 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1556 static int
1557 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
1558 {
1559 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
1560 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1561 int rc;
1562 int old_pool = store_pool;
1563 uschar * dummy_errstr;
1564
1565 if (!servername)
1566   return SSL_TLSEXT_ERR_OK;
1567
1568 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
1569     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
1570
1571 /* Make the extension value available for expansion */
1572 store_pool = POOL_PERM;
1573 tls_in.sni = string_copy(US servername);
1574 store_pool = old_pool;
1575
1576 if (!reexpand_tls_files_for_sni)
1577   return SSL_TLSEXT_ERR_OK;
1578
1579 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
1580 not confident that memcpy wouldn't break some internal reference counting.
1581 Especially since there's a references struct member, which would be off. */
1582
1583 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
1584 if (!(server_sni = SSL_CTX_new(TLS_server_method())))
1585 #else
1586 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1587 #endif
1588   {
1589   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1590   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1591   goto bad;
1592   }
1593
1594 /* Not sure how many of these are actually needed, since SSL object
1595 already exists.  Might even need this selfsame callback, for reneg? */
1596
1597 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1598 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1599 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1600 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1601 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1602 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1603
1604 if (  !init_dh(server_sni, cbinfo->dhparam, NULL, &dummy_errstr)
1605    || !init_ecdh(server_sni, NULL, &dummy_errstr)
1606    )
1607   goto bad;
1608
1609 if (  cbinfo->server_cipher_list
1610    && !SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list))
1611   goto bad;
1612
1613 #ifndef DISABLE_OCSP
1614 if (cbinfo->u_ocsp.server.file)
1615   {
1616   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1617   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1618   }
1619 #endif
1620
1621 if ((rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE,
1622                       verify_callback_server, &dummy_errstr)) != OK)
1623   goto bad;
1624
1625 /* do this after setup_certs, because this can require the certs for verifying
1626 OCSP information. */
1627 if ((rc = tls_expand_session_files(server_sni, cbinfo, &dummy_errstr)) != OK)
1628   goto bad;
1629
1630 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1631 SSL_set_SSL_CTX(s, server_sni);
1632 return SSL_TLSEXT_ERR_OK;
1633
1634 bad: return SSL_TLSEXT_ERR_ALERT_FATAL;
1635 }
1636 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1637
1638
1639
1640
1641 #ifndef DISABLE_OCSP
1642
1643 /*************************************************
1644 *        Callback to handle OCSP Stapling        *
1645 *************************************************/
1646
1647 /* Called when acting as server during the TLS session setup if the client
1648 requests OCSP information with a Certificate Status Request.
1649
1650 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1651 project.
1652
1653 */
1654
1655 static int
1656 tls_server_stapling_cb(SSL *s, void *arg)
1657 {
1658 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1659 uschar *response_der;   /*XXX blob */
1660 int response_der_len;
1661
1662 /*XXX stack: use SSL_get_certificate() to see which cert; from that work
1663 out which ocsp blob to send.  Unfortunately, SSL_get_certificate is known
1664 buggy in current OpenSSL; it returns the last cert loaded always rather than
1665 the one actually presented.  So we can't support a stack of OCSP proofs at
1666 this time. */
1667
1668 DEBUG(D_tls)
1669   debug_printf("Received TLS status request (OCSP stapling); %s response\n",
1670     cbinfo->u_ocsp.server.response ? "have" : "lack");
1671
1672 tls_in.ocsp = OCSP_NOT_RESP;
1673 if (!cbinfo->u_ocsp.server.response)
1674   return SSL_TLSEXT_ERR_NOACK;
1675
1676 response_der = NULL;
1677 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,    /*XXX stack*/
1678                       &response_der);
1679 if (response_der_len <= 0)
1680   return SSL_TLSEXT_ERR_NOACK;
1681
1682 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1683 tls_in.ocsp = OCSP_VFIED;
1684 return SSL_TLSEXT_ERR_OK;
1685 }
1686
1687
1688 static void
1689 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1690 {
1691 BIO_printf(bp, "\t%s: ", str);
1692 ASN1_GENERALIZEDTIME_print(bp, time);
1693 BIO_puts(bp, "\n");
1694 }
1695
1696 static int
1697 tls_client_stapling_cb(SSL *s, void *arg)
1698 {
1699 tls_ext_ctx_cb * cbinfo = arg;
1700 const unsigned char * p;
1701 int len;
1702 OCSP_RESPONSE * rsp;
1703 OCSP_BASICRESP * bs;
1704 int i;
1705
1706 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
1707 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1708 if(!p)
1709  {
1710   /* Expect this when we requested ocsp but got none */
1711   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1712     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
1713   else
1714     DEBUG(D_tls) debug_printf(" null\n");
1715   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1716  }
1717
1718 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1719  {
1720   tls_out.ocsp = OCSP_FAILED;
1721   if (LOGGING(tls_cipher))
1722     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1723   else
1724     DEBUG(D_tls) debug_printf(" parse error\n");
1725   return 0;
1726  }
1727
1728 if(!(bs = OCSP_response_get1_basic(rsp)))
1729   {
1730   tls_out.ocsp = OCSP_FAILED;
1731   if (LOGGING(tls_cipher))
1732     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1733   else
1734     DEBUG(D_tls) debug_printf(" error parsing response\n");
1735   OCSP_RESPONSE_free(rsp);
1736   return 0;
1737   }
1738
1739 /* We'd check the nonce here if we'd put one in the request. */
1740 /* However that would defeat cacheability on the server so we don't. */
1741
1742 /* This section of code reworked from OpenSSL apps source;
1743    The OpenSSL Project retains copyright:
1744    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1745 */
1746   {
1747     BIO * bp = NULL;
1748     int status, reason;
1749     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1750
1751     DEBUG(D_tls) bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
1752
1753     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1754
1755     /* Use the chain that verified the server cert to verify the stapled info */
1756     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1757
1758     if ((i = OCSP_basic_verify(bs, cbinfo->verify_stack,
1759               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1760       {
1761       tls_out.ocsp = OCSP_FAILED;
1762       if (LOGGING(tls_cipher)) log_write(0, LOG_MAIN,
1763               "Received TLS cert status response, itself unverifiable: %s",
1764               ERR_reason_error_string(ERR_peek_error()));
1765       BIO_printf(bp, "OCSP response verify failure\n");
1766       ERR_print_errors(bp);
1767       OCSP_RESPONSE_print(bp, rsp, 0);
1768       goto failed;
1769       }
1770
1771     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1772
1773     /*XXX So we have a good stapled OCSP status.  How do we know
1774     it is for the cert of interest?  OpenSSL 1.1.0 has a routine
1775     OCSP_resp_find_status() which matches on a cert id, which presumably
1776     we should use. Making an id needs OCSP_cert_id_new(), which takes
1777     issuerName, issuerKey, serialNumber.  Are they all in the cert?
1778
1779     For now, carry on blindly accepting the resp. */
1780
1781       {
1782       OCSP_SINGLERESP * single;
1783
1784 #ifdef EXIM_HAVE_OCSP_RESP_COUNT
1785       if (OCSP_resp_count(bs) != 1)
1786 #else
1787       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1788       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1789 #endif
1790         {
1791         tls_out.ocsp = OCSP_FAILED;
1792         log_write(0, LOG_MAIN, "OCSP stapling "
1793             "with multiple responses not handled");
1794         goto failed;
1795         }
1796       single = OCSP_resp_get0(bs, 0);
1797       status = OCSP_single_get0_status(single, &reason, &rev,
1798                   &thisupd, &nextupd);
1799       }
1800
1801     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1802     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1803     if (!OCSP_check_validity(thisupd, nextupd,
1804           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1805       {
1806       tls_out.ocsp = OCSP_FAILED;
1807       DEBUG(D_tls) ERR_print_errors(bp);
1808       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1809       }
1810     else
1811       {
1812       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1813                     OCSP_cert_status_str(status));
1814       switch(status)
1815         {
1816         case V_OCSP_CERTSTATUS_GOOD:
1817           tls_out.ocsp = OCSP_VFIED;
1818           i = 1;
1819           goto good;
1820         case V_OCSP_CERTSTATUS_REVOKED:
1821           tls_out.ocsp = OCSP_FAILED;
1822           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1823               reason != -1 ? "; reason: " : "",
1824               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1825           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1826           break;
1827         default:
1828           tls_out.ocsp = OCSP_FAILED;
1829           log_write(0, LOG_MAIN,
1830               "Server certificate status unknown, in OCSP stapling");
1831           break;
1832         }
1833       }
1834   failed:
1835     i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1836   good:
1837     BIO_free(bp);
1838   }
1839
1840 OCSP_RESPONSE_free(rsp);
1841 return i;
1842 }
1843 #endif  /*!DISABLE_OCSP*/
1844
1845
1846 /*************************************************
1847 *            Initialize for TLS                  *
1848 *************************************************/
1849
1850 /* Called from both server and client code, to do preliminary initialization
1851 of the library.  We allocate and return a context structure.
1852
1853 Arguments:
1854   ctxp            returned SSL context
1855   host            connected host, if client; NULL if server
1856   dhparam         DH parameter file
1857   certificate     certificate file
1858   privatekey      private key
1859   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1860   addr            address if client; NULL if server (for some randomness)
1861   cbp             place to put allocated callback context
1862   errstr          error string pointer
1863
1864 Returns:          OK/DEFER/FAIL
1865 */
1866
1867 static int
1868 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1869   uschar *privatekey,
1870 #ifndef DISABLE_OCSP
1871   uschar *ocsp_file,    /*XXX stack, in server*/
1872 #endif
1873   address_item *addr, tls_ext_ctx_cb ** cbp,
1874   tls_support * tlsp,
1875   uschar ** errstr)
1876 {
1877 SSL_CTX * ctx;
1878 long init_options;
1879 int rc;
1880 tls_ext_ctx_cb * cbinfo;
1881
1882 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1883 cbinfo->tlsp = tlsp;
1884 cbinfo->certificate = certificate;
1885 cbinfo->privatekey = privatekey;
1886 cbinfo->is_server = host==NULL;
1887 #ifndef DISABLE_OCSP
1888 cbinfo->verify_stack = NULL;
1889 if (!host)
1890   {
1891   cbinfo->u_ocsp.server.file = ocsp_file;
1892   cbinfo->u_ocsp.server.file_expanded = NULL;
1893   cbinfo->u_ocsp.server.response = NULL;
1894   }
1895 else
1896   cbinfo->u_ocsp.client.verify_store = NULL;
1897 #endif
1898 cbinfo->dhparam = dhparam;
1899 cbinfo->server_cipher_list = NULL;
1900 cbinfo->host = host;
1901 #ifndef DISABLE_EVENT
1902 cbinfo->event_action = NULL;
1903 #endif
1904
1905 #ifdef EXIM_NEED_OPENSSL_INIT
1906 SSL_load_error_strings();          /* basic set up */
1907 OpenSSL_add_ssl_algorithms();
1908 #endif
1909
1910 #ifdef EXIM_HAVE_SHA256
1911 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1912 list of available digests. */
1913 EVP_add_digest(EVP_sha256());
1914 #endif
1915
1916 /* Create a context.
1917 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1918 negotiation in the different methods; as far as I can tell, the only
1919 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1920 when OpenSSL is built without SSLv2 support.
1921 By disabling with openssl_options, we can let admins re-enable with the
1922 existing knob. */
1923
1924 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
1925 if (!(ctx = SSL_CTX_new(host ? TLS_client_method() : TLS_server_method())))
1926 #else
1927 if (!(ctx = SSL_CTX_new(host ? SSLv23_client_method() : SSLv23_server_method())))
1928 #endif
1929   return tls_error(US"SSL_CTX_new", host, NULL, errstr);
1930
1931 /* It turns out that we need to seed the random number generator this early in
1932 order to get the full complement of ciphers to work. It took me roughly a day
1933 of work to discover this by experiment.
1934
1935 On systems that have /dev/urandom, SSL may automatically seed itself from
1936 there. Otherwise, we have to make something up as best we can. Double check
1937 afterwards. */
1938
1939 if (!RAND_status())
1940   {
1941   randstuff r;
1942   gettimeofday(&r.tv, NULL);
1943   r.p = getpid();
1944
1945   RAND_seed(US (&r), sizeof(r));
1946   RAND_seed(US big_buffer, big_buffer_size);
1947   if (addr != NULL) RAND_seed(US addr, sizeof(addr));
1948
1949   if (!RAND_status())
1950     return tls_error(US"RAND_status", host,
1951       US"unable to seed random number generator", errstr);
1952   }
1953
1954 /* Set up the information callback, which outputs if debugging is at a suitable
1955 level. */
1956
1957 DEBUG(D_tls)
1958   {
1959   SSL_CTX_set_info_callback(ctx, (void (*)())info_callback);
1960 #if defined(EXIM_HAVE_OPESSL_TRACE) && !defined(OPENSSL_NO_SSL_TRACE)
1961   /* this needs a debug build of OpenSSL */
1962   SSL_CTX_set_msg_callback(ctx, (void (*)())SSL_trace);
1963 #endif
1964 #ifdef OPENSSL_HAVE_KEYLOG_CB
1965   SSL_CTX_set_keylog_callback(ctx, (void (*)())keylog_callback);
1966 #endif
1967   }
1968
1969 /* Automatically re-try reads/writes after renegotiation. */
1970 (void) SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
1971
1972 /* Apply administrator-supplied work-arounds.
1973 Historically we applied just one requested option,
1974 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1975 moved to an administrator-controlled list of options to specify and
1976 grandfathered in the first one as the default value for "openssl_options".
1977
1978 No OpenSSL version number checks: the options we accept depend upon the
1979 availability of the option value macros from OpenSSL.  */
1980
1981 if (!tls_openssl_options_parse(openssl_options, &init_options))
1982   return tls_error(US"openssl_options parsing failed", host, NULL, errstr);
1983
1984 #ifdef EXPERIMENTAL_TLS_RESUME
1985 tlsp->resumption = RESUME_SUPPORTED;
1986 #endif
1987 if (init_options)
1988   {
1989 #ifdef EXPERIMENTAL_TLS_RESUME
1990   /* Should the server offer session resumption? */
1991   if (!host && verify_check_host(&tls_resumption_hosts) == OK)
1992     {
1993     DEBUG(D_tls) debug_printf("tls_resumption_hosts overrides openssl_options\n");
1994     init_options &= ~SSL_OP_NO_TICKET;
1995     tlsp->resumption |= RESUME_SERVER_TICKET; /* server will give ticket on request */
1996     tlsp->host_resumable = TRUE;
1997     }
1998 #endif
1999
2000   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
2001   if (!(SSL_CTX_set_options(ctx, init_options)))
2002     return tls_error(string_sprintf(
2003           "SSL_CTX_set_option(%#lx)", init_options), host, NULL, errstr);
2004   }
2005 else
2006   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
2007
2008 /* We'd like to disable session cache unconditionally, but foolish Outlook
2009 Express clients then give up the first TLS connection and make a second one
2010 (which works).  Only when there is an IMAP service on the same machine.
2011 Presumably OE is trying to use the cache for A on B.  Leave it enabled for
2012 now, until we work out a decent way of presenting control to the config.  It
2013 will never be used because we use a new context every time. */
2014 #ifdef notdef
2015 (void) SSL_CTX_set_session_cache_mode(ctx, SSL_SESS_CACHE_OFF);
2016 #endif
2017
2018 /* Initialize with DH parameters if supplied */
2019 /* Initialize ECDH temp key parameter selection */
2020
2021 if (  !init_dh(ctx, dhparam, host, errstr)
2022    || !init_ecdh(ctx, host, errstr)
2023    )
2024   return DEFER;
2025
2026 /* Set up certificate and key (and perhaps OCSP info) */
2027
2028 if ((rc = tls_expand_session_files(ctx, cbinfo, errstr)) != OK)
2029   return rc;
2030
2031 /* If we need to handle SNI or OCSP, do so */
2032
2033 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2034 # ifndef DISABLE_OCSP
2035   if (!(cbinfo->verify_stack = sk_X509_new_null()))
2036     {
2037     DEBUG(D_tls) debug_printf("failed to create stack for stapling verify\n");
2038     return FAIL;
2039     }
2040 # endif
2041
2042 if (!host)              /* server */
2043   {
2044 # ifndef DISABLE_OCSP
2045   /* We check u_ocsp.server.file, not server.response, because we care about if
2046   the option exists, not what the current expansion might be, as SNI might
2047   change the certificate and OCSP file in use between now and the time the
2048   callback is invoked. */
2049   if (cbinfo->u_ocsp.server.file)
2050     {
2051     SSL_CTX_set_tlsext_status_cb(ctx, tls_server_stapling_cb);
2052     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2053     }
2054 # endif
2055   /* We always do this, so that $tls_sni is available even if not used in
2056   tls_certificate */
2057   SSL_CTX_set_tlsext_servername_callback(ctx, tls_servername_cb);
2058   SSL_CTX_set_tlsext_servername_arg(ctx, cbinfo);
2059   }
2060 # ifndef DISABLE_OCSP
2061 else                    /* client */
2062   if(ocsp_file)         /* wanting stapling */
2063     {
2064     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
2065       {
2066       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
2067       return FAIL;
2068       }
2069     SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
2070     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2071     }
2072 # endif
2073 #endif
2074
2075 cbinfo->verify_cert_hostnames = NULL;
2076
2077 #ifdef EXIM_HAVE_EPHEM_RSA_KEX
2078 /* Set up the RSA callback */
2079 SSL_CTX_set_tmp_rsa_callback(ctx, rsa_callback);
2080 #endif
2081
2082 /* Finally, set the session cache timeout, and we are done.
2083 The period appears to be also used for (server-generated) session tickets */
2084
2085 SSL_CTX_set_timeout(ctx, ssl_session_timeout);
2086 DEBUG(D_tls) debug_printf("Initialized TLS\n");
2087
2088 *cbp = cbinfo;
2089 *ctxp = ctx;
2090
2091 return OK;
2092 }
2093
2094
2095
2096
2097 /*************************************************
2098 *           Get name of cipher in use            *
2099 *************************************************/
2100
2101 /*
2102 Argument:   pointer to an SSL structure for the connection
2103             pointer to number of bits for cipher
2104 Returns:    pointer to allocated string in perm-pool
2105 */
2106
2107 static uschar *
2108 construct_cipher_name(SSL * ssl, int * bits)
2109 {
2110 int pool = store_pool;
2111 /* With OpenSSL 1.0.0a, 'c' needs to be const but the documentation doesn't
2112 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
2113 the accessor functions use const in the prototype. */
2114
2115 const uschar * ver = CUS SSL_get_version(ssl);
2116 const SSL_CIPHER * c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
2117 uschar * s;
2118
2119 SSL_CIPHER_get_bits(c, bits);
2120
2121 store_pool = POOL_PERM;
2122 s = string_sprintf("%s:%s:%u", ver, SSL_CIPHER_get_name(c), *bits);
2123 store_pool = pool;
2124 DEBUG(D_tls) debug_printf("Cipher: %s\n", s);
2125 return s;
2126 }
2127
2128
2129 /* Get IETF-standard name for ciphersuite.
2130 Argument:   pointer to an SSL structure for the connection
2131 Returns:    pointer to string
2132 */
2133
2134 static const uschar *
2135 cipher_stdname_ssl(SSL * ssl)
2136 {
2137 #ifdef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
2138 return CUS SSL_CIPHER_standard_name(SSL_get_current_cipher(ssl));
2139 #else
2140 ushort id = 0xffff & SSL_CIPHER_get_id(SSL_get_current_cipher(ssl));
2141 return cipher_stdname(id >> 8, id & 0xff);
2142 #endif
2143 }
2144
2145
2146 static void
2147 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned siz)
2148 {
2149 /*XXX we might consider a list-of-certs variable for the cert chain.
2150 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
2151 in list-handling functions, also consider the difference between the entire
2152 chain and the elements sent by the peer. */
2153
2154 tlsp->peerdn = NULL;
2155
2156 /* Will have already noted peercert on a verify fail; possibly not the leaf */
2157 if (!tlsp->peercert)
2158   tlsp->peercert = SSL_get_peer_certificate(ssl);
2159 /* Beware anonymous ciphers which lead to server_cert being NULL */
2160 if (tlsp->peercert)
2161   if (!X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, siz))
2162     { DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n"); }
2163   else
2164     {
2165     int oldpool = store_pool;
2166
2167     peerdn[siz-1] = '\0';               /* paranoia */
2168     store_pool = POOL_PERM;
2169     tlsp->peerdn = string_copy(peerdn);
2170     store_pool = oldpool;
2171
2172     /* We used to set CV in the cert-verify callbacks (either plain or dane)
2173     but they don't get called on session-resumption.  So use the official
2174     interface, which uses the resumed value.  Unfortunately this claims verified
2175     when it actually failed but we're in try-verify mode, due to us wanting the
2176     knowlege that it failed so needing to have the callback and forcing a
2177     permissive return.  If we don't force it, the TLS startup is failed.
2178     The extra bit of information is set in verify_override in the cb, stashed
2179     for resumption next to the TLS session, and used here. */
2180
2181     if (!tlsp->verify_override)
2182       tlsp->certificate_verified = SSL_get_verify_result(ssl) == X509_V_OK;
2183     }
2184 }
2185
2186
2187
2188
2189
2190 /*************************************************
2191 *        Set up for verifying certificates       *
2192 *************************************************/
2193
2194 #ifndef DISABLE_OCSP
2195 /* Load certs from file, return TRUE on success */
2196
2197 static BOOL
2198 chain_from_pem_file(const uschar * file, STACK_OF(X509) * verify_stack)
2199 {
2200 BIO * bp;
2201 X509 * x;
2202
2203 while (sk_X509_num(verify_stack) > 0)
2204   X509_free(sk_X509_pop(verify_stack));
2205
2206 if (!(bp = BIO_new_file(CS file, "r"))) return FALSE;
2207 while ((x = PEM_read_bio_X509(bp, NULL, 0, NULL)))
2208   sk_X509_push(verify_stack, x);
2209 BIO_free(bp);
2210 return TRUE;
2211 }
2212 #endif
2213
2214
2215
2216 /* Called by both client and server startup; on the server possibly
2217 repeated after a Server Name Indication.
2218
2219 Arguments:
2220   sctx          SSL_CTX* to initialise
2221   certs         certs file or NULL
2222   crl           CRL file or NULL
2223   host          NULL in a server; the remote host in a client
2224   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
2225                 otherwise passed as FALSE
2226   cert_vfy_cb   Callback function for certificate verification
2227   errstr        error string pointer
2228
2229 Returns:        OK/DEFER/FAIL
2230 */
2231
2232 static int
2233 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
2234     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr)
2235 {
2236 uschar *expcerts, *expcrl;
2237
2238 if (!expand_check(certs, US"tls_verify_certificates", &expcerts, errstr))
2239   return DEFER;
2240 DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
2241
2242 if (expcerts && *expcerts)
2243   {
2244   /* Tell the library to use its compiled-in location for the system default
2245   CA bundle. Then add the ones specified in the config, if any. */
2246
2247   if (!SSL_CTX_set_default_verify_paths(sctx))
2248     return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL, errstr);
2249
2250   if (Ustrcmp(expcerts, "system") != 0)
2251     {
2252     struct stat statbuf;
2253
2254     if (Ustat(expcerts, &statbuf) < 0)
2255       {
2256       log_write(0, LOG_MAIN|LOG_PANIC,
2257         "failed to stat %s for certificates", expcerts);
2258       return DEFER;
2259       }
2260     else
2261       {
2262       uschar *file, *dir;
2263       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
2264         { file = NULL; dir = expcerts; }
2265       else
2266         {
2267         file = expcerts; dir = NULL;
2268 #ifndef DISABLE_OCSP
2269         /* In the server if we will be offering an OCSP proof, load chain from
2270         file for verifying the OCSP proof at load time. */
2271
2272         if (  !host
2273            && statbuf.st_size > 0
2274            && server_static_cbinfo->u_ocsp.server.file
2275            && !chain_from_pem_file(file, server_static_cbinfo->verify_stack)
2276            )
2277           {
2278           log_write(0, LOG_MAIN|LOG_PANIC,
2279             "failed to load cert chain from %s", file);
2280           return DEFER;
2281           }
2282 #endif
2283         }
2284
2285       /* If a certificate file is empty, the next function fails with an
2286       unhelpful error message. If we skip it, we get the correct behaviour (no
2287       certificates are recognized, but the error message is still misleading (it
2288       says no certificate was supplied).  But this is better. */
2289
2290       if (  (!file || statbuf.st_size > 0)
2291          && !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
2292         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL, errstr);
2293
2294       /* Load the list of CAs for which we will accept certs, for sending
2295       to the client.  This is only for the one-file tls_verify_certificates
2296       variant.
2297       If a list isn't loaded into the server, but some verify locations are set,
2298       the server end appears to make a wildcard request for client certs.
2299       Meanwhile, the client library as default behaviour *ignores* the list
2300       we send over the wire - see man SSL_CTX_set_client_cert_cb.
2301       Because of this, and that the dir variant is likely only used for
2302       the public-CA bundle (not for a private CA), not worth fixing.  */
2303
2304       if (file)
2305         {
2306         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
2307
2308         SSL_CTX_set_client_CA_list(sctx, names);
2309         DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
2310                                     sk_X509_NAME_num(names));
2311         }
2312       }
2313     }
2314
2315   /* Handle a certificate revocation list. */
2316
2317 #if OPENSSL_VERSION_NUMBER > 0x00907000L
2318
2319   /* This bit of code is now the version supplied by Lars Mainka. (I have
2320   merely reformatted it into the Exim code style.)
2321
2322   "From here I changed the code to add support for multiple crl's
2323   in pem format in one file or to support hashed directory entries in
2324   pem format instead of a file. This method now uses the library function
2325   X509_STORE_load_locations to add the CRL location to the SSL context.
2326   OpenSSL will then handle the verify against CA certs and CRLs by
2327   itself in the verify callback." */
2328
2329   if (!expand_check(crl, US"tls_crl", &expcrl, errstr)) return DEFER;
2330   if (expcrl && *expcrl)
2331     {
2332     struct stat statbufcrl;
2333     if (Ustat(expcrl, &statbufcrl) < 0)
2334       {
2335       log_write(0, LOG_MAIN|LOG_PANIC,
2336         "failed to stat %s for certificates revocation lists", expcrl);
2337       return DEFER;
2338       }
2339     else
2340       {
2341       /* is it a file or directory? */
2342       uschar *file, *dir;
2343       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
2344       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
2345         {
2346         file = NULL;
2347         dir = expcrl;
2348         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
2349         }
2350       else
2351         {
2352         file = expcrl;
2353         dir = NULL;
2354         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
2355         }
2356       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
2357         return tls_error(US"X509_STORE_load_locations", host, NULL, errstr);
2358
2359       /* setting the flags to check against the complete crl chain */
2360
2361       X509_STORE_set_flags(cvstore,
2362         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
2363       }
2364     }
2365
2366 #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
2367
2368   /* If verification is optional, don't fail if no certificate */
2369
2370   SSL_CTX_set_verify(sctx,
2371     SSL_VERIFY_PEER | (optional ? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
2372     cert_vfy_cb);
2373   }
2374
2375 return OK;
2376 }
2377
2378
2379
2380 /*************************************************
2381 *       Start a TLS session in a server          *
2382 *************************************************/
2383
2384 /* This is called when Exim is running as a server, after having received
2385 the STARTTLS command. It must respond to that command, and then negotiate
2386 a TLS session.
2387
2388 Arguments:
2389   require_ciphers   allowed ciphers
2390   errstr            pointer to error message
2391
2392 Returns:            OK on success
2393                     DEFER for errors before the start of the negotiation
2394                     FAIL for errors during the negotiation; the server can't
2395                       continue running.
2396 */
2397
2398 int
2399 tls_server_start(const uschar * require_ciphers, uschar ** errstr)
2400 {
2401 int rc;
2402 uschar * expciphers;
2403 tls_ext_ctx_cb * cbinfo;
2404 static uschar peerdn[256];
2405
2406 /* Check for previous activation */
2407
2408 if (tls_in.active.sock >= 0)
2409   {
2410   tls_error(US"STARTTLS received after TLS started", NULL, US"", errstr);
2411   smtp_printf("554 Already in TLS\r\n", FALSE);
2412   return FAIL;
2413   }
2414
2415 /* Initialize the SSL library. If it fails, it will already have logged
2416 the error. */
2417
2418 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
2419 #ifndef DISABLE_OCSP
2420     tls_ocsp_file,      /*XXX stack*/
2421 #endif
2422     NULL, &server_static_cbinfo, &tls_in, errstr);
2423 if (rc != OK) return rc;
2424 cbinfo = server_static_cbinfo;
2425
2426 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers, errstr))
2427   return FAIL;
2428
2429 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2430 were historically separated by underscores. So that I can use either form in my
2431 tests, and also for general convenience, we turn underscores into hyphens here.
2432
2433 XXX SSL_CTX_set_cipher_list() is replaced by SSL_CTX_set_ciphersuites()
2434 for TLS 1.3 .  Since we do not call it at present we get the default list:
2435 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
2436 */
2437
2438 if (expciphers)
2439   {
2440   for (uschar * s = expciphers; *s; s++ ) if (*s == '_') *s = '-';
2441   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2442   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
2443     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL, errstr);
2444   cbinfo->server_cipher_list = expciphers;
2445   }
2446
2447 /* If this is a host for which certificate verification is mandatory or
2448 optional, set up appropriately. */
2449
2450 tls_in.certificate_verified = FALSE;
2451 #ifdef SUPPORT_DANE
2452 tls_in.dane_verified = FALSE;
2453 #endif
2454 server_verify_callback_called = FALSE;
2455
2456 if (verify_check_host(&tls_verify_hosts) == OK)
2457   {
2458   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2459                         FALSE, verify_callback_server, errstr);
2460   if (rc != OK) return rc;
2461   server_verify_optional = FALSE;
2462   }
2463 else if (verify_check_host(&tls_try_verify_hosts) == OK)
2464   {
2465   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2466                         TRUE, verify_callback_server, errstr);
2467   if (rc != OK) return rc;
2468   server_verify_optional = TRUE;
2469   }
2470
2471 #ifdef EXPERIMENTAL_TLS_RESUME
2472 SSL_CTX_set_tlsext_ticket_key_cb(server_ctx, ticket_key_callback);
2473 /* despite working, appears to always return failure, so ignoring */
2474 #endif
2475 #ifdef OPENSSL_HAVE_NUM_TICKETS
2476 # ifdef EXPERIMENTAL_TLS_RESUME
2477 SSL_CTX_set_num_tickets(server_ctx, tls_in.host_resumable ? 1 : 0);
2478 # else
2479 SSL_CTX_set_num_tickets(server_ctx, 0); /* send no TLS1.3 stateful-tickets */
2480 # endif
2481 #endif
2482
2483
2484 /* Prepare for new connection */
2485
2486 if (!(server_ssl = SSL_new(server_ctx)))
2487   return tls_error(US"SSL_new", NULL, NULL, errstr);
2488
2489 /* Warning: we used to SSL_clear(ssl) here, it was removed.
2490  *
2491  * With the SSL_clear(), we get strange interoperability bugs with
2492  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
2493  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
2494  *
2495  * The SSL_clear() call is to let an existing SSL* be reused, typically after
2496  * session shutdown.  In this case, we have a brand new object and there's no
2497  * obvious reason to immediately clear it.  I'm guessing that this was
2498  * originally added because of incomplete initialisation which the clear fixed,
2499  * in some historic release.
2500  */
2501
2502 /* Set context and tell client to go ahead, except in the case of TLS startup
2503 on connection, where outputting anything now upsets the clients and tends to
2504 make them disconnect. We need to have an explicit fflush() here, to force out
2505 the response. Other smtp_printf() calls do not need it, because in non-TLS
2506 mode, the fflush() happens when smtp_getc() is called. */
2507
2508 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
2509 if (!tls_in.on_connect)
2510   {
2511   smtp_printf("220 TLS go ahead\r\n", FALSE);
2512   fflush(smtp_out);
2513   }
2514
2515 /* Now negotiate the TLS session. We put our own timer on it, since it seems
2516 that the OpenSSL library doesn't. */
2517
2518 SSL_set_wfd(server_ssl, fileno(smtp_out));
2519 SSL_set_rfd(server_ssl, fileno(smtp_in));
2520 SSL_set_accept_state(server_ssl);
2521
2522 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
2523
2524 sigalrm_seen = FALSE;
2525 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
2526 rc = SSL_accept(server_ssl);
2527 ALARM_CLR(0);
2528
2529 if (rc <= 0)
2530   {
2531   (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2532   return FAIL;
2533   }
2534
2535 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
2536 ERR_clear_error();      /* Even success can leave errors in the stack. Seen with
2537                         anon-authentication ciphersuite negotiated. */
2538
2539 #ifdef EXPERIMENTAL_TLS_RESUME
2540 if (SSL_session_reused(server_ssl))
2541   {
2542   tls_in.resumption |= RESUME_USED;
2543   DEBUG(D_tls) debug_printf("Session reused\n");
2544   }
2545 #endif
2546
2547 /* TLS has been set up. Adjust the input functions to read via TLS,
2548 and initialize things. */
2549
2550 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
2551
2552 tls_in.cipher = construct_cipher_name(server_ssl, &tls_in.bits);
2553 tls_in.cipher_stdname = cipher_stdname_ssl(server_ssl);
2554
2555 DEBUG(D_tls)
2556   {
2557   uschar buf[2048];
2558   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)))
2559     debug_printf("Shared ciphers: %s\n", buf);
2560
2561 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
2562   {
2563   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
2564   SSL_SESSION_print_keylog(bp, SSL_get_session(server_ssl));
2565   BIO_free(bp);
2566   }
2567 #endif
2568
2569 #ifdef EXIM_HAVE_SESSION_TICKET
2570   {
2571   SSL_SESSION * ss = SSL_get_session(server_ssl);
2572   if (SSL_SESSION_has_ticket(ss))       /* 1.1.0 */
2573     debug_printf("The session has a ticket, life %lu seconds\n",
2574       SSL_SESSION_get_ticket_lifetime_hint(ss));
2575   }
2576 #endif
2577   }
2578
2579 /* Record the certificate we presented */
2580   {
2581   X509 * crt = SSL_get_certificate(server_ssl);
2582   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
2583   }
2584
2585 /* Only used by the server-side tls (tls_in), including tls_getc.
2586    Client-side (tls_out) reads (seem to?) go via
2587    smtp_read_response()/ip_recv().
2588    Hence no need to duplicate for _in and _out.
2589  */
2590 if (!ssl_xfer_buffer) ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
2591 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
2592 ssl_xfer_eof = ssl_xfer_error = FALSE;
2593
2594 receive_getc = tls_getc;
2595 receive_getbuf = tls_getbuf;
2596 receive_get_cache = tls_get_cache;
2597 receive_ungetc = tls_ungetc;
2598 receive_feof = tls_feof;
2599 receive_ferror = tls_ferror;
2600 receive_smtp_buffered = tls_smtp_buffered;
2601
2602 tls_in.active.sock = fileno(smtp_out);
2603 tls_in.active.tls_ctx = NULL;   /* not using explicit ctx for server-side */
2604 return OK;
2605 }
2606
2607
2608
2609
2610 static int
2611 tls_client_basic_ctx_init(SSL_CTX * ctx,
2612     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo,
2613     uschar ** errstr)
2614 {
2615 int rc;
2616 /* stick to the old behaviour for compatibility if tls_verify_certificates is
2617    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
2618    the specified host patterns if one of them is defined */
2619
2620 if (  (  !ob->tls_verify_hosts
2621       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
2622       )
2623    || verify_check_given_host(CUSS &ob->tls_verify_hosts, host) == OK
2624    )
2625   client_verify_optional = FALSE;
2626 else if (verify_check_given_host(CUSS &ob->tls_try_verify_hosts, host) == OK)
2627   client_verify_optional = TRUE;
2628 else
2629   return OK;
2630
2631 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
2632       ob->tls_crl, host, client_verify_optional, verify_callback_client,
2633       errstr)) != OK)
2634   return rc;
2635
2636 if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
2637   {
2638   cbinfo->verify_cert_hostnames =
2639 #ifdef SUPPORT_I18N
2640     string_domain_utf8_to_alabel(host->name, NULL);
2641 #else
2642     host->name;
2643 #endif
2644   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
2645                     cbinfo->verify_cert_hostnames);
2646   }
2647 return OK;
2648 }
2649
2650
2651 #ifdef SUPPORT_DANE
2652 static int
2653 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa, uschar ** errstr)
2654 {
2655 dns_scan dnss;
2656 const char * hostnames[2] = { CS host->name, NULL };
2657 int found = 0;
2658
2659 if (DANESSL_init(ssl, NULL, hostnames) != 1)
2660   return tls_error(US"hostnames load", host, NULL, errstr);
2661
2662 for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
2663      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
2664     ) if (rr->type == T_TLSA && rr->size > 3)
2665   {
2666   const uschar * p = rr->data;
2667   uint8_t usage, selector, mtype;
2668   const char * mdname;
2669
2670   usage = *p++;
2671
2672   /* Only DANE-TA(2) and DANE-EE(3) are supported */
2673   if (usage != 2 && usage != 3) continue;
2674
2675   selector = *p++;
2676   mtype = *p++;
2677
2678   switch (mtype)
2679     {
2680     default: continue;  /* Only match-types 0, 1, 2 are supported */
2681     case 0:  mdname = NULL; break;
2682     case 1:  mdname = "sha256"; break;
2683     case 2:  mdname = "sha512"; break;
2684     }
2685
2686   found++;
2687   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
2688     {
2689     default:
2690       return tls_error(US"tlsa load", host, NULL, errstr);
2691     case 0:     /* action not taken */
2692     case 1:     break;
2693     }
2694
2695   tls_out.tlsa_usage |= 1<<usage;
2696   }
2697
2698 if (found)
2699   return OK;
2700
2701 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
2702 return DEFER;
2703 }
2704 #endif  /*SUPPORT_DANE*/
2705
2706
2707
2708 #ifdef EXPERIMENTAL_TLS_RESUME
2709 /* On the client, get any stashed session for the given IP from hints db
2710 and apply it to the ssl-connection for attempted resumption. */
2711
2712 static void
2713 tls_retrieve_session(tls_support * tlsp, SSL * ssl, const uschar * key)
2714 {
2715 tlsp->resumption |= RESUME_SUPPORTED;
2716 if (tlsp->host_resumable)
2717   {
2718   dbdata_tls_session * dt;
2719   int len;
2720   open_db dbblock, * dbm_file;
2721
2722   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
2723   DEBUG(D_tls) debug_printf("checking for resumable session for %s\n", key);
2724   if ((dbm_file = dbfn_open(US"tls", O_RDONLY, &dbblock, FALSE, FALSE)))
2725     {
2726     /* key for the db is the IP */
2727     if ((dt = dbfn_read_with_length(dbm_file, key, &len)))
2728       {
2729       SSL_SESSION * ss = NULL;
2730       const uschar * sess_asn1 = dt->session;
2731
2732       len -= sizeof(dbdata_tls_session);
2733       if (!(d2i_SSL_SESSION(&ss, &sess_asn1, (long)len)))
2734         {
2735         DEBUG(D_tls)
2736           {
2737           ERR_error_string_n(ERR_get_error(),
2738             ssl_errstring, sizeof(ssl_errstring));
2739           debug_printf("decoding session: %s\n", ssl_errstring);
2740           }
2741         }
2742       else if ( SSL_SESSION_get_ticket_lifetime_hint(ss) + dt->time_stamp
2743                < time(NULL))
2744         {
2745         DEBUG(D_tls) debug_printf("session expired\n");
2746         dbfn_delete(dbm_file, key);
2747         }
2748       else if (!SSL_set_session(ssl, ss))
2749         {
2750         DEBUG(D_tls)
2751           {
2752           ERR_error_string_n(ERR_get_error(),
2753             ssl_errstring, sizeof(ssl_errstring));
2754           debug_printf("applying session to ssl: %s\n", ssl_errstring);
2755           }
2756         }
2757       else
2758         {
2759         DEBUG(D_tls) debug_printf("good session\n");
2760         tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
2761         tlsp->verify_override = dt->verify_override;
2762         }
2763       }
2764     else
2765       DEBUG(D_tls) debug_printf("no session record\n");
2766     dbfn_close(dbm_file);
2767     }
2768   }
2769 }
2770
2771
2772 /* On the client, save the session for later resumption */
2773
2774 static int
2775 tls_save_session_cb(SSL * ssl, SSL_SESSION * ss)
2776 {
2777 tls_ext_ctx_cb * cbinfo = SSL_get_ex_data(ssl, tls_exdata_idx);
2778 tls_support * tlsp;
2779
2780 DEBUG(D_tls) debug_printf("tls_save_session_cb\n");
2781
2782 if (!cbinfo || !(tlsp = cbinfo->tlsp)->host_resumable) return 0;
2783
2784 # ifdef OPENSSL_HAVE_NUM_TICKETS
2785 if (SSL_SESSION_is_resumable(ss))       /* 1.1.1 */
2786 # endif
2787   {
2788   int len = i2d_SSL_SESSION(ss, NULL);
2789   int dlen = sizeof(dbdata_tls_session) + len;
2790   dbdata_tls_session * dt = store_get(dlen);
2791   uschar * s = dt->session;
2792   open_db dbblock, * dbm_file;
2793
2794   DEBUG(D_tls) debug_printf("session is resumable\n");
2795   tlsp->resumption |= RESUME_SERVER_TICKET;     /* server gave us a ticket */
2796
2797   dt->verify_override = tlsp->verify_override;
2798   (void) i2d_SSL_SESSION(ss, &s);               /* s gets bumped to end */
2799
2800   if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
2801     {
2802     const uschar * key = cbinfo->host->address;
2803     dbfn_delete(dbm_file, key);
2804     dbfn_write(dbm_file, key, dt, dlen);
2805     dbfn_close(dbm_file);
2806     DEBUG(D_tls) debug_printf("wrote session (len %u) to db\n",
2807                   (unsigned)dlen);
2808     }
2809   }
2810 return 1;
2811 }
2812
2813
2814 static void
2815 tls_client_ctx_resume_prehandshake(
2816   exim_openssl_client_tls_ctx * exim_client_ctx, tls_support * tlsp,
2817   smtp_transport_options_block * ob, host_item * host)
2818 {
2819 /* Should the client request a session resumption ticket? */
2820 if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
2821   {
2822   tlsp->host_resumable = TRUE;
2823
2824   SSL_CTX_set_session_cache_mode(exim_client_ctx->ctx,
2825         SSL_SESS_CACHE_CLIENT
2826         | SSL_SESS_CACHE_NO_INTERNAL | SSL_SESS_CACHE_NO_AUTO_CLEAR);
2827   SSL_CTX_sess_set_new_cb(exim_client_ctx->ctx, tls_save_session_cb);
2828   }
2829 }
2830
2831 static BOOL
2832 tls_client_ssl_resume_prehandshake(SSL * ssl, tls_support * tlsp,
2833   host_item * host, uschar ** errstr)
2834 {
2835 if (tlsp->host_resumable)
2836   {
2837   DEBUG(D_tls)
2838     debug_printf("tls_resumption_hosts overrides openssl_options, enabling tickets\n");
2839   SSL_clear_options(ssl, SSL_OP_NO_TICKET);
2840
2841   tls_exdata_idx = SSL_get_ex_new_index(0, 0, 0, 0, 0);
2842   if (!SSL_set_ex_data(ssl, tls_exdata_idx, client_static_cbinfo))
2843     {
2844     tls_error(US"set ex_data", host, NULL, errstr);
2845     return FALSE;
2846     }
2847   debug_printf("tls_exdata_idx %d cbinfo %p\n", tls_exdata_idx, client_static_cbinfo);
2848   }
2849
2850 tlsp->resumption = RESUME_SUPPORTED;
2851 /* Pick up a previous session, saved on an old ticket */
2852 tls_retrieve_session(tlsp, ssl, host->address);
2853 return TRUE;
2854 }
2855
2856 static void
2857 tls_client_resume_posthandshake(exim_openssl_client_tls_ctx * exim_client_ctx,
2858   tls_support * tlsp)
2859 {
2860 if (SSL_session_reused(exim_client_ctx->ssl))
2861   {
2862   DEBUG(D_tls) debug_printf("The session was reused\n");
2863   tlsp->resumption |= RESUME_USED;
2864   }
2865 }
2866 #endif  /* EXPERIMENTAL_TLS_RESUME */
2867
2868
2869 /*************************************************
2870 *    Start a TLS session in a client             *
2871 *************************************************/
2872
2873 /* Called from the smtp transport after STARTTLS has been accepted.
2874
2875 Arguments:
2876   cctx          connection context
2877   conn_args     connection details
2878   cookie        datum for randomness; can be NULL
2879   tlsp          record details of TLS channel configuration here; must be non-NULL
2880   errstr        error string pointer
2881
2882 Returns:        TRUE for success with TLS session context set in connection context,
2883                 FALSE on error
2884 */
2885
2886 BOOL
2887 tls_client_start(client_conn_ctx * cctx, smtp_connect_args * conn_args,
2888   void * cookie, tls_support * tlsp, uschar ** errstr)
2889 {
2890 host_item * host = conn_args->host;             /* for msgs and option-tests */
2891 transport_instance * tb = conn_args->tblock;    /* always smtp or NULL */
2892 smtp_transport_options_block * ob = tb
2893   ? (smtp_transport_options_block *)tb->options_block
2894   : &smtp_transport_option_defaults;
2895 exim_openssl_client_tls_ctx * exim_client_ctx;
2896 uschar * expciphers;
2897 int rc;
2898 static uschar peerdn[256];
2899
2900 #ifndef DISABLE_OCSP
2901 BOOL request_ocsp = FALSE;
2902 BOOL require_ocsp = FALSE;
2903 #endif
2904
2905 rc = store_pool;
2906 store_pool = POOL_PERM;
2907 exim_client_ctx = store_get(sizeof(exim_openssl_client_tls_ctx));
2908 exim_client_ctx->corked = NULL;
2909 store_pool = rc;
2910
2911 #ifdef SUPPORT_DANE
2912 tlsp->tlsa_usage = 0;
2913 #endif
2914
2915 #ifndef DISABLE_OCSP
2916   {
2917 # ifdef SUPPORT_DANE
2918   if (  conn_args->dane
2919      && ob->hosts_request_ocsp[0] == '*'
2920      && ob->hosts_request_ocsp[1] == '\0'
2921      )
2922     {
2923     /* Unchanged from default.  Use a safer one under DANE */
2924     request_ocsp = TRUE;
2925     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
2926                                       "   {= {4}{$tls_out_tlsa_usage}} } "
2927                                  " {*}{}}";
2928     }
2929 # endif
2930
2931   if ((require_ocsp =
2932         verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK))
2933     request_ocsp = TRUE;
2934   else
2935 # ifdef SUPPORT_DANE
2936     if (!request_ocsp)
2937 # endif
2938       request_ocsp =
2939         verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
2940   }
2941 #endif
2942
2943 rc = tls_init(&exim_client_ctx->ctx, host, NULL,
2944     ob->tls_certificate, ob->tls_privatekey,
2945 #ifndef DISABLE_OCSP
2946     (void *)(long)request_ocsp,
2947 #endif
2948     cookie, &client_static_cbinfo, tlsp, errstr);
2949 if (rc != OK) return FALSE;
2950
2951 tlsp->certificate_verified = FALSE;
2952 client_verify_callback_called = FALSE;
2953
2954 expciphers = NULL;
2955 #ifdef SUPPORT_DANE
2956 if (conn_args->dane)
2957   {
2958   /* We fall back to tls_require_ciphers if unset, empty or forced failure, but
2959   other failures should be treated as problems. */
2960   if (ob->dane_require_tls_ciphers &&
2961       !expand_check(ob->dane_require_tls_ciphers, US"dane_require_tls_ciphers",
2962         &expciphers, errstr))
2963     return FALSE;
2964   if (expciphers && *expciphers == '\0')
2965     expciphers = NULL;
2966   }
2967 #endif
2968 if (!expciphers &&
2969     !expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
2970       &expciphers, errstr))
2971   return FALSE;
2972
2973 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2974 are separated by underscores. So that I can use either form in my tests, and
2975 also for general convenience, we turn underscores into hyphens here. */
2976
2977 if (expciphers)
2978   {
2979   uschar *s = expciphers;
2980   while (*s) { if (*s == '_') *s = '-'; s++; }
2981   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2982   if (!SSL_CTX_set_cipher_list(exim_client_ctx->ctx, CS expciphers))
2983     {
2984     tls_error(US"SSL_CTX_set_cipher_list", host, NULL, errstr);
2985     return FALSE;
2986     }
2987   }
2988
2989 #ifdef SUPPORT_DANE
2990 if (conn_args->dane)
2991   {
2992   SSL_CTX_set_verify(exim_client_ctx->ctx,
2993     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
2994     verify_callback_client_dane);
2995
2996   if (!DANESSL_library_init())
2997     {
2998     tls_error(US"library init", host, NULL, errstr);
2999     return FALSE;
3000     }
3001   if (DANESSL_CTX_init(exim_client_ctx->ctx) <= 0)
3002     {
3003     tls_error(US"context init", host, NULL, errstr);
3004     return FALSE;
3005     }
3006   }
3007 else
3008
3009 #endif
3010
3011   if (tls_client_basic_ctx_init(exim_client_ctx->ctx, host, ob,
3012         client_static_cbinfo, errstr) != OK)
3013     return FALSE;
3014
3015 #ifdef EXPERIMENTAL_TLS_RESUME
3016 tls_client_ctx_resume_prehandshake(exim_client_ctx, tlsp, ob, host);
3017 #endif
3018
3019
3020 if (!(exim_client_ctx->ssl = SSL_new(exim_client_ctx->ctx)))
3021   {
3022   tls_error(US"SSL_new", host, NULL, errstr);
3023   return FALSE;
3024   }
3025 SSL_set_session_id_context(exim_client_ctx->ssl, sid_ctx, Ustrlen(sid_ctx));
3026
3027 #ifdef EXPERIMENTAL_TLS_RESUME
3028 if (!tls_client_ssl_resume_prehandshake(exim_client_ctx->ssl, tlsp, host,
3029       errstr))
3030   return FALSE;
3031 #endif
3032
3033 SSL_set_fd(exim_client_ctx->ssl, cctx->sock);
3034 SSL_set_connect_state(exim_client_ctx->ssl);
3035
3036 if (ob->tls_sni)
3037   {
3038   if (!expand_check(ob->tls_sni, US"tls_sni", &tlsp->sni, errstr))
3039     return FALSE;
3040   if (!tlsp->sni)
3041     {
3042     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
3043     }
3044   else if (!Ustrlen(tlsp->sni))
3045     tlsp->sni = NULL;
3046   else
3047     {
3048 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
3049     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tlsp->sni);
3050     SSL_set_tlsext_host_name(exim_client_ctx->ssl, tlsp->sni);
3051 #else
3052     log_write(0, LOG_MAIN, "SNI unusable with this OpenSSL library version; ignoring \"%s\"\n",
3053           tlsp->sni);
3054 #endif
3055     }
3056   }
3057
3058 #ifdef SUPPORT_DANE
3059 if (conn_args->dane)
3060   if (dane_tlsa_load(exim_client_ctx->ssl, host, &conn_args->tlsa_dnsa, errstr) != OK)
3061     return FALSE;
3062 #endif
3063
3064 #ifndef DISABLE_OCSP
3065 /* Request certificate status at connection-time.  If the server
3066 does OCSP stapling we will get the callback (set in tls_init()) */
3067 # ifdef SUPPORT_DANE
3068 if (request_ocsp)
3069   {
3070   const uschar * s;
3071   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3072      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3073      )
3074     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
3075         this means we avoid the OCSP request, we wasted the setup
3076         cost in tls_init(). */
3077     require_ocsp = verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK;
3078     request_ocsp = require_ocsp
3079       || verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3080     }
3081   }
3082 # endif
3083
3084 if (request_ocsp)
3085   {
3086   SSL_set_tlsext_status_type(exim_client_ctx->ssl, TLSEXT_STATUSTYPE_ocsp);
3087   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
3088   tlsp->ocsp = OCSP_NOT_RESP;
3089   }
3090 #endif
3091
3092 #ifndef DISABLE_EVENT
3093 client_static_cbinfo->event_action = tb ? tb->event_action : NULL;
3094 #endif
3095
3096 /* There doesn't seem to be a built-in timeout on connection. */
3097
3098 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
3099 sigalrm_seen = FALSE;
3100 ALARM(ob->command_timeout);
3101 rc = SSL_connect(exim_client_ctx->ssl);
3102 ALARM_CLR(0);
3103
3104 #ifdef SUPPORT_DANE
3105 if (conn_args->dane)
3106   DANESSL_cleanup(exim_client_ctx->ssl);
3107 #endif
3108
3109 if (rc <= 0)
3110   {
3111   tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL, errstr);
3112   return FALSE;
3113   }
3114
3115 DEBUG(D_tls)
3116   {
3117   debug_printf("SSL_connect succeeded\n");
3118 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
3119   {
3120   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
3121   SSL_SESSION_print_keylog(bp, SSL_get_session(exim_client_ctx->ssl));
3122   BIO_free(bp);
3123   }
3124 #endif
3125   }
3126
3127 #ifdef EXPERIMENTAL_TLS_RESUME
3128 tls_client_resume_posthandshake(exim_client_ctx, tlsp);
3129 #endif
3130
3131 peer_cert(exim_client_ctx->ssl, tlsp, peerdn, sizeof(peerdn));
3132
3133 tlsp->cipher = construct_cipher_name(exim_client_ctx->ssl, &tlsp->bits);
3134 tlsp->cipher_stdname = cipher_stdname_ssl(exim_client_ctx->ssl);
3135
3136 /* Record the certificate we presented */
3137   {
3138   X509 * crt = SSL_get_certificate(exim_client_ctx->ssl);
3139   tlsp->ourcert = crt ? X509_dup(crt) : NULL;
3140   }
3141
3142 tlsp->active.sock = cctx->sock;
3143 tlsp->active.tls_ctx = exim_client_ctx;
3144 cctx->tls_ctx = exim_client_ctx;
3145 return TRUE;
3146 }
3147
3148
3149
3150
3151
3152 static BOOL
3153 tls_refill(unsigned lim)
3154 {
3155 int error;
3156 int inbytes;
3157
3158 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
3159   ssl_xfer_buffer, ssl_xfer_buffer_size);
3160
3161 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
3162 inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer,
3163                   MIN(ssl_xfer_buffer_size, lim));
3164 error = SSL_get_error(server_ssl, inbytes);
3165 if (smtp_receive_timeout > 0) ALARM_CLR(0);
3166
3167 if (had_command_timeout)                /* set by signal handler */
3168   smtp_command_timeout_exit();          /* does not return */
3169 if (had_command_sigterm)
3170   smtp_command_sigterm_exit();
3171 if (had_data_timeout)
3172   smtp_data_timeout_exit();
3173 if (had_data_sigint)
3174   smtp_data_sigint_exit();
3175
3176 /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
3177 closed down, not that the socket itself has been closed down. Revert to
3178 non-SSL handling. */
3179
3180 switch(error)
3181   {
3182   case SSL_ERROR_NONE:
3183     break;
3184
3185   case SSL_ERROR_ZERO_RETURN:
3186     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3187
3188     receive_getc = smtp_getc;
3189     receive_getbuf = smtp_getbuf;
3190     receive_get_cache = smtp_get_cache;
3191     receive_ungetc = smtp_ungetc;
3192     receive_feof = smtp_feof;
3193     receive_ferror = smtp_ferror;
3194     receive_smtp_buffered = smtp_buffered;
3195
3196     if (SSL_get_shutdown(server_ssl) == SSL_RECEIVED_SHUTDOWN)
3197           SSL_shutdown(server_ssl);
3198
3199 #ifndef DISABLE_OCSP
3200     sk_X509_pop_free(server_static_cbinfo->verify_stack, X509_free);
3201     server_static_cbinfo->verify_stack = NULL;
3202 #endif
3203     SSL_free(server_ssl);
3204     SSL_CTX_free(server_ctx);
3205     server_ctx = NULL;
3206     server_ssl = NULL;
3207     tls_in.active.sock = -1;
3208     tls_in.active.tls_ctx = NULL;
3209     tls_in.bits = 0;
3210     tls_in.cipher = NULL;
3211     tls_in.peerdn = NULL;
3212     tls_in.sni = NULL;
3213
3214     return FALSE;
3215
3216   /* Handle genuine errors */
3217   case SSL_ERROR_SSL:
3218     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3219     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
3220     ssl_xfer_error = TRUE;
3221     return FALSE;
3222
3223   default:
3224     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
3225     DEBUG(D_tls) if (error == SSL_ERROR_SYSCALL)
3226       debug_printf(" - syscall %s\n", strerror(errno));
3227     ssl_xfer_error = TRUE;
3228     return FALSE;
3229   }
3230
3231 #ifndef DISABLE_DKIM
3232 dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
3233 #endif
3234 ssl_xfer_buffer_hwm = inbytes;
3235 ssl_xfer_buffer_lwm = 0;
3236 return TRUE;
3237 }
3238
3239
3240 /*************************************************
3241 *            TLS version of getc                 *
3242 *************************************************/
3243
3244 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
3245 it refills the buffer via the SSL reading function.
3246
3247 Arguments:  lim         Maximum amount to read/buffer
3248 Returns:    the next character or EOF
3249
3250 Only used by the server-side TLS.
3251 */
3252
3253 int
3254 tls_getc(unsigned lim)
3255 {
3256 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3257   if (!tls_refill(lim))
3258     return ssl_xfer_error ? EOF : smtp_getc(lim);
3259
3260 /* Something in the buffer; return next uschar */
3261
3262 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
3263 }
3264
3265 uschar *
3266 tls_getbuf(unsigned * len)
3267 {
3268 unsigned size;
3269 uschar * buf;
3270
3271 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3272   if (!tls_refill(*len))
3273     {
3274     if (!ssl_xfer_error) return smtp_getbuf(len);
3275     *len = 0;
3276     return NULL;
3277     }
3278
3279 if ((size = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm) > *len)
3280   size = *len;
3281 buf = &ssl_xfer_buffer[ssl_xfer_buffer_lwm];
3282 ssl_xfer_buffer_lwm += size;
3283 *len = size;
3284 return buf;
3285 }
3286
3287
3288 void
3289 tls_get_cache()
3290 {
3291 #ifndef DISABLE_DKIM
3292 int n = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm;
3293 if (n > 0)
3294   dkim_exim_verify_feed(ssl_xfer_buffer+ssl_xfer_buffer_lwm, n);
3295 #endif
3296 }
3297
3298
3299 BOOL
3300 tls_could_read(void)
3301 {
3302 return ssl_xfer_buffer_lwm < ssl_xfer_buffer_hwm || SSL_pending(server_ssl) > 0;
3303 }
3304
3305
3306 /*************************************************
3307 *          Read bytes from TLS channel           *
3308 *************************************************/
3309
3310 /*
3311 Arguments:
3312   ct_ctx    client context pointer, or NULL for the one global server context
3313   buff      buffer of data
3314   len       size of buffer
3315
3316 Returns:    the number of bytes read
3317             -1 after a failed read, including EOF
3318
3319 Only used by the client-side TLS.
3320 */
3321
3322 int
3323 tls_read(void * ct_ctx, uschar *buff, size_t len)
3324 {
3325 SSL * ssl = ct_ctx ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3326 int inbytes;
3327 int error;
3328
3329 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
3330   buff, (unsigned int)len);
3331
3332 inbytes = SSL_read(ssl, CS buff, len);
3333 error = SSL_get_error(ssl, inbytes);
3334
3335 if (error == SSL_ERROR_ZERO_RETURN)
3336   {
3337   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3338   return -1;
3339   }
3340 else if (error != SSL_ERROR_NONE)
3341   return -1;
3342
3343 return inbytes;
3344 }
3345
3346
3347
3348
3349
3350 /*************************************************
3351 *         Write bytes down TLS channel           *
3352 *************************************************/
3353
3354 /*
3355 Arguments:
3356   ct_ctx    client context pointer, or NULL for the one global server context
3357   buff      buffer of data
3358   len       number of bytes
3359   more      further data expected soon
3360
3361 Returns:    the number of bytes after a successful write,
3362             -1 after a failed write
3363
3364 Used by both server-side and client-side TLS.
3365 */
3366
3367 int
3368 tls_write(void * ct_ctx, const uschar *buff, size_t len, BOOL more)
3369 {
3370 size_t olen = len;
3371 int outbytes, error;
3372 SSL * ssl = ct_ctx
3373   ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3374 static gstring * server_corked = NULL;
3375 gstring ** corkedp = ct_ctx
3376   ? &((exim_openssl_client_tls_ctx *)ct_ctx)->corked : &server_corked;
3377 gstring * corked = *corkedp;
3378
3379 DEBUG(D_tls) debug_printf("%s(%p, %lu%s)\n", __FUNCTION__,
3380   buff, (unsigned long)len, more ? ", more" : "");
3381
3382 /* Lacking a CORK or MSG_MORE facility (such as GnuTLS has) we copy data when
3383 "more" is notified.  This hack is only ok if small amounts are involved AND only
3384 one stream does it, in one context (i.e. no store reset).  Currently it is used
3385 for the responses to the received SMTP MAIL , RCPT, DATA sequence, only.
3386 We support callouts done by the server process by using a separate client
3387 context for the stashed information. */
3388 /* + if PIPE_COMMAND, banner & ehlo-resp for smmtp-on-connect. Suspect there's
3389 a store reset there, so use POOL_PERM. */
3390 /* + if CHUNKING, cmds EHLO,MAIL,RCPT(s),BDAT */
3391
3392 if ((more || corked))
3393   {
3394 #ifdef EXPERIMENTAL_PIPE_CONNECT
3395   int save_pool = store_pool;
3396   store_pool = POOL_PERM;
3397 #endif
3398
3399   corked = string_catn(corked, buff, len);
3400
3401 #ifdef EXPERIMENTAL_PIPE_CONNECT
3402   store_pool = save_pool;
3403 #endif
3404
3405   if (more)
3406     {
3407     *corkedp = corked;
3408     return len;
3409     }
3410   buff = CUS corked->s;
3411   len = corked->ptr;
3412   *corkedp = NULL;
3413   }
3414
3415 for (int left = len; left > 0;)
3416   {
3417   DEBUG(D_tls) debug_printf("SSL_write(%p, %p, %d)\n", ssl, buff, left);
3418   outbytes = SSL_write(ssl, CS buff, left);
3419   error = SSL_get_error(ssl, outbytes);
3420   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
3421   switch (error)
3422     {
3423     case SSL_ERROR_SSL:
3424       ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3425       log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
3426       return -1;
3427
3428     case SSL_ERROR_NONE:
3429       left -= outbytes;
3430       buff += outbytes;
3431       break;
3432
3433     case SSL_ERROR_ZERO_RETURN:
3434       log_write(0, LOG_MAIN, "SSL channel closed on write");
3435       return -1;
3436
3437     case SSL_ERROR_SYSCALL:
3438       log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
3439         sender_fullhost ? sender_fullhost : US"<unknown>",
3440         strerror(errno));
3441       return -1;
3442
3443     default:
3444       log_write(0, LOG_MAIN, "SSL_write error %d", error);
3445       return -1;
3446     }
3447   }
3448 return olen;
3449 }
3450
3451
3452
3453 /*************************************************
3454 *         Close down a TLS session               *
3455 *************************************************/
3456
3457 /* This is also called from within a delivery subprocess forked from the
3458 daemon, to shut down the TLS library, without actually doing a shutdown (which
3459 would tamper with the SSL session in the parent process).
3460
3461 Arguments:
3462   ct_ctx        client TLS context pointer, or NULL for the one global server context
3463   shutdown      1 if TLS close-alert is to be sent,
3464                 2 if also response to be waited for
3465
3466 Returns:     nothing
3467
3468 Used by both server-side and client-side TLS.
3469 */
3470
3471 void
3472 tls_close(void * ct_ctx, int shutdown)
3473 {
3474 exim_openssl_client_tls_ctx * o_ctx = ct_ctx;
3475 SSL_CTX **ctxp = o_ctx ? &o_ctx->ctx : &server_ctx;
3476 SSL **sslp =     o_ctx ? &o_ctx->ssl : &server_ssl;
3477 int *fdp = o_ctx ? &tls_out.active.sock : &tls_in.active.sock;
3478
3479 if (*fdp < 0) return;  /* TLS was not active */
3480
3481 if (shutdown)
3482   {
3483   int rc;
3484   DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
3485     shutdown > 1 ? " (with response-wait)" : "");
3486
3487   if (  (rc = SSL_shutdown(*sslp)) == 0 /* send "close notify" alert */
3488      && shutdown > 1)
3489     {
3490     ALARM(2);
3491     rc = SSL_shutdown(*sslp);           /* wait for response */
3492     ALARM_CLR(0);
3493     }
3494
3495   if (rc < 0) DEBUG(D_tls)
3496     {
3497     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3498     debug_printf("SSL_shutdown: %s\n", ssl_errstring);
3499     }
3500   }
3501
3502 #ifndef DISABLE_OCSP
3503 if (!o_ctx)             /* server side */
3504   {
3505   sk_X509_pop_free(server_static_cbinfo->verify_stack, X509_free);
3506   server_static_cbinfo->verify_stack = NULL;
3507   }
3508 #endif
3509
3510 SSL_CTX_free(*ctxp);
3511 SSL_free(*sslp);
3512 *ctxp = NULL;
3513 *sslp = NULL;
3514 *fdp = -1;
3515 }
3516
3517
3518
3519
3520 /*************************************************
3521 *  Let tls_require_ciphers be checked at startup *
3522 *************************************************/
3523
3524 /* The tls_require_ciphers option, if set, must be something which the
3525 library can parse.
3526
3527 Returns:     NULL on success, or error message
3528 */
3529
3530 uschar *
3531 tls_validate_require_cipher(void)
3532 {
3533 SSL_CTX *ctx;
3534 uschar *s, *expciphers, *err;
3535
3536 /* this duplicates from tls_init(), we need a better "init just global
3537 state, for no specific purpose" singleton function of our own */
3538
3539 #ifdef EXIM_NEED_OPENSSL_INIT
3540 SSL_load_error_strings();
3541 OpenSSL_add_ssl_algorithms();
3542 #endif
3543 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
3544 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
3545 list of available digests. */
3546 EVP_add_digest(EVP_sha256());
3547 #endif
3548
3549 if (!(tls_require_ciphers && *tls_require_ciphers))
3550   return NULL;
3551
3552 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers,
3553                   &err))
3554   return US"failed to expand tls_require_ciphers";
3555
3556 if (!(expciphers && *expciphers))
3557   return NULL;
3558
3559 /* normalisation ripped from above */
3560 s = expciphers;
3561 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
3562
3563 err = NULL;
3564
3565 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
3566 if (!(ctx = SSL_CTX_new(TLS_server_method())))
3567 #else
3568 if (!(ctx = SSL_CTX_new(SSLv23_server_method())))
3569 #endif
3570   {
3571   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3572   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
3573   }
3574
3575 DEBUG(D_tls)
3576   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
3577
3578 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
3579   {
3580   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3581   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed: %s",
3582                       expciphers, ssl_errstring);
3583   }
3584
3585 SSL_CTX_free(ctx);
3586
3587 return err;
3588 }
3589
3590
3591
3592
3593 /*************************************************
3594 *         Report the library versions.           *
3595 *************************************************/
3596
3597 /* There have historically been some issues with binary compatibility in
3598 OpenSSL libraries; if Exim (like many other applications) is built against
3599 one version of OpenSSL but the run-time linker picks up another version,
3600 it can result in serious failures, including crashing with a SIGSEGV.  So
3601 report the version found by the compiler and the run-time version.
3602
3603 Note: some OS vendors backport security fixes without changing the version
3604 number/string, and the version date remains unchanged.  The _build_ date
3605 will change, so we can more usefully assist with version diagnosis by also
3606 reporting the build date.
3607
3608 Arguments:   a FILE* to print the results to
3609 Returns:     nothing
3610 */
3611
3612 void
3613 tls_version_report(FILE *f)
3614 {
3615 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
3616            "                          Runtime: %s\n"
3617            "                                 : %s\n",
3618            OPENSSL_VERSION_TEXT,
3619            SSLeay_version(SSLEAY_VERSION),
3620            SSLeay_version(SSLEAY_BUILT_ON));
3621 /* third line is 38 characters for the %s and the line is 73 chars long;
3622 the OpenSSL output includes a "built on: " prefix already. */
3623 }
3624
3625
3626
3627
3628 /*************************************************
3629 *            Random number generation            *
3630 *************************************************/
3631
3632 /* Pseudo-random number generation.  The result is not expected to be
3633 cryptographically strong but not so weak that someone will shoot themselves
3634 in the foot using it as a nonce in input in some email header scheme or
3635 whatever weirdness they'll twist this into.  The result should handle fork()
3636 and avoid repeating sequences.  OpenSSL handles that for us.
3637
3638 Arguments:
3639   max       range maximum
3640 Returns     a random number in range [0, max-1]
3641 */
3642
3643 int
3644 vaguely_random_number(int max)
3645 {
3646 unsigned int r;
3647 int i, needed_len;
3648 static pid_t pidlast = 0;
3649 pid_t pidnow;
3650 uschar smallbuf[sizeof(r)];
3651
3652 if (max <= 1)
3653   return 0;
3654
3655 pidnow = getpid();
3656 if (pidnow != pidlast)
3657   {
3658   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
3659   is unique for each thread", this doesn't apparently apply across processes,
3660   so our own warning from vaguely_random_number_fallback() applies here too.
3661   Fix per PostgreSQL. */
3662   if (pidlast != 0)
3663     RAND_cleanup();
3664   pidlast = pidnow;
3665   }
3666
3667 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
3668 if (!RAND_status())
3669   {
3670   randstuff r;
3671   gettimeofday(&r.tv, NULL);
3672   r.p = getpid();
3673
3674   RAND_seed(US (&r), sizeof(r));
3675   }
3676 /* We're after pseudo-random, not random; if we still don't have enough data
3677 in the internal PRNG then our options are limited.  We could sleep and hope
3678 for entropy to come along (prayer technique) but if the system is so depleted
3679 in the first place then something is likely to just keep taking it.  Instead,
3680 we'll just take whatever little bit of pseudo-random we can still manage to
3681 get. */
3682
3683 needed_len = sizeof(r);
3684 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
3685 asked for a number less than 10. */
3686 for (r = max, i = 0; r; ++i)
3687   r >>= 1;
3688 i = (i + 7) / 8;
3689 if (i < needed_len)
3690   needed_len = i;
3691
3692 #ifdef EXIM_HAVE_RAND_PSEUDO
3693 /* We do not care if crypto-strong */
3694 i = RAND_pseudo_bytes(smallbuf, needed_len);
3695 #else
3696 i = RAND_bytes(smallbuf, needed_len);
3697 #endif
3698
3699 if (i < 0)
3700   {
3701   DEBUG(D_all)
3702     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
3703   return vaguely_random_number_fallback(max);
3704   }
3705
3706 r = 0;
3707 for (uschar * p = smallbuf; needed_len; --needed_len, ++p)
3708   r = 256 * r + *p;
3709
3710 /* We don't particularly care about weighted results; if someone wants
3711 smooth distribution and cares enough then they should submit a patch then. */
3712 return r % max;
3713 }
3714
3715
3716
3717
3718 /*************************************************
3719 *        OpenSSL option parse                    *
3720 *************************************************/
3721
3722 /* Parse one option for tls_openssl_options_parse below
3723
3724 Arguments:
3725   name    one option name
3726   value   place to store a value for it
3727 Returns   success or failure in parsing
3728 */
3729
3730
3731
3732 static BOOL
3733 tls_openssl_one_option_parse(uschar *name, long *value)
3734 {
3735 int first = 0;
3736 int last = exim_openssl_options_size;
3737 while (last > first)
3738   {
3739   int middle = (first + last)/2;
3740   int c = Ustrcmp(name, exim_openssl_options[middle].name);
3741   if (c == 0)
3742     {
3743     *value = exim_openssl_options[middle].value;
3744     return TRUE;
3745     }
3746   else if (c > 0)
3747     first = middle + 1;
3748   else
3749     last = middle;
3750   }
3751 return FALSE;
3752 }
3753
3754
3755
3756
3757 /*************************************************
3758 *        OpenSSL option parsing logic            *
3759 *************************************************/
3760
3761 /* OpenSSL has a number of compatibility options which an administrator might
3762 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
3763 we look like log_selector.
3764
3765 Arguments:
3766   option_spec  the administrator-supplied string of options
3767   results      ptr to long storage for the options bitmap
3768 Returns        success or failure
3769 */
3770
3771 BOOL
3772 tls_openssl_options_parse(uschar *option_spec, long *results)
3773 {
3774 long result, item;
3775 uschar *end;
3776 uschar keep_c;
3777 BOOL adding, item_parsed;
3778
3779 /* Server: send no (<= TLS1.2) session tickets */
3780 result = SSL_OP_NO_TICKET;
3781
3782 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
3783  * from default because it increases BEAST susceptibility. */
3784 #ifdef SSL_OP_NO_SSLv2
3785 result |= SSL_OP_NO_SSLv2;
3786 #endif
3787 #ifdef SSL_OP_NO_SSLv3
3788 result |= SSL_OP_NO_SSLv3;
3789 #endif
3790 #ifdef SSL_OP_SINGLE_DH_USE
3791 result |= SSL_OP_SINGLE_DH_USE;
3792 #endif
3793
3794 if (!option_spec)
3795   {
3796   *results = result;
3797   return TRUE;
3798   }
3799
3800 for (uschar * s = option_spec; *s; /**/)
3801   {
3802   while (isspace(*s)) ++s;
3803   if (*s == '\0')
3804     break;
3805   if (*s != '+' && *s != '-')
3806     {
3807     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
3808         "+ or - expected but found \"%s\"\n", s);
3809     return FALSE;
3810     }
3811   adding = *s++ == '+';
3812   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
3813   keep_c = *end;
3814   *end = '\0';
3815   item_parsed = tls_openssl_one_option_parse(s, &item);
3816   *end = keep_c;
3817   if (!item_parsed)
3818     {
3819     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
3820     return FALSE;
3821     }
3822   DEBUG(D_tls) debug_printf("openssl option, %s %8lx: %lx (%s)\n",
3823       adding ? "adding to    " : "removing from", result, item, s);
3824   if (adding)
3825     result |= item;
3826   else
3827     result &= ~item;
3828   s = end;
3829   }
3830
3831 *results = result;
3832 return TRUE;
3833 }
3834
3835 #endif  /*!MACRO_PREDEF*/
3836 /* vi: aw ai sw=2
3837 */
3838 /* End of tls-openssl.c */