9aa655e8251f79a177d4f9b73135554989e33ba2
[exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2014 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef DISABLE_OCSP
26 # include <openssl/ocsp.h>
27 #endif
28 #ifdef EXPERIMENTAL_DANE
29 # include <danessl.h>
30 #endif
31
32
33 #ifndef DISABLE_OCSP
34 # define EXIM_OCSP_SKEW_SECONDS (300L)
35 # define EXIM_OCSP_MAX_AGE (-1L)
36 #endif
37
38 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
39 # define EXIM_HAVE_OPENSSL_TLSEXT
40 #endif
41 #if OPENSSL_VERSION_NUMBER >= 0x010100000L
42 # define EXIM_HAVE_OPENSSL_CHECKHOST
43 #endif
44 #if OPENSSL_VERSION_NUMBER >= 0x010000000L \
45     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
46 # define EXIM_HAVE_OPENSSL_CHECKHOST
47 #endif
48
49 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
50 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
51 # define DISABLE_OCSP
52 #endif
53
54 /* Structure for collecting random data for seeding. */
55
56 typedef struct randstuff {
57   struct timeval tv;
58   pid_t          p;
59 } randstuff;
60
61 /* Local static variables */
62
63 static BOOL client_verify_callback_called = FALSE;
64 static BOOL server_verify_callback_called = FALSE;
65 static const uschar *sid_ctx = US"exim";
66
67 /* We have three different contexts to care about.
68
69 Simple case: client, `client_ctx`
70  As a client, we can be doing a callout or cut-through delivery while receiving
71  a message.  So we have a client context, which should have options initialised
72  from the SMTP Transport.
73
74 Server:
75  There are two cases: with and without ServerNameIndication from the client.
76  Given TLS SNI, we can be using different keys, certs and various other
77  configuration settings, because they're re-expanded with $tls_sni set.  This
78  allows vhosting with TLS.  This SNI is sent in the handshake.
79  A client might not send SNI, so we need a fallback, and an initial setup too.
80  So as a server, we start out using `server_ctx`.
81  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
82  `server_sni` from `server_ctx` and then initialise settings by re-expanding
83  configuration.
84 */
85
86 static SSL_CTX *client_ctx = NULL;
87 static SSL_CTX *server_ctx = NULL;
88 static SSL     *client_ssl = NULL;
89 static SSL     *server_ssl = NULL;
90
91 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
92 static SSL_CTX *server_sni = NULL;
93 #endif
94
95 static char ssl_errstring[256];
96
97 static int  ssl_session_timeout = 200;
98 static BOOL client_verify_optional = FALSE;
99 static BOOL server_verify_optional = FALSE;
100
101 static BOOL reexpand_tls_files_for_sni = FALSE;
102
103
104 typedef struct tls_ext_ctx_cb {
105   uschar *certificate;
106   uschar *privatekey;
107 #ifndef DISABLE_OCSP
108   BOOL is_server;
109   union {
110     struct {
111       uschar        *file;
112       uschar        *file_expanded;
113       OCSP_RESPONSE *response;
114     } server;
115     struct {
116       X509_STORE    *verify_store;      /* non-null if status requested */
117       BOOL          verify_required;
118     } client;
119   } u_ocsp;
120 #endif
121   uschar *dhparam;
122   /* these are cached from first expand */
123   uschar *server_cipher_list;
124   /* only passed down to tls_error: */
125   host_item *host;
126
127 #ifdef EXPERIMENTAL_CERTNAMES
128   uschar * verify_cert_hostnames;
129 #endif
130 #ifdef EXPERIMENTAL_EVENT
131   uschar * event_action;
132 #endif
133 } tls_ext_ctx_cb;
134
135 /* should figure out a cleanup of API to handle state preserved per
136 implementation, for various reasons, which can be void * in the APIs.
137 For now, we hack around it. */
138 tls_ext_ctx_cb *client_static_cbinfo = NULL;
139 tls_ext_ctx_cb *server_static_cbinfo = NULL;
140
141 static int
142 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
143     int (*cert_vfy_cb)(int, X509_STORE_CTX *) );
144
145 /* Callbacks */
146 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
147 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
148 #endif
149 #ifndef DISABLE_OCSP
150 static int tls_server_stapling_cb(SSL *s, void *arg);
151 #endif
152
153
154 /*************************************************
155 *               Handle TLS error                 *
156 *************************************************/
157
158 /* Called from lots of places when errors occur before actually starting to do
159 the TLS handshake, that is, while the session is still in clear. Always returns
160 DEFER for a server and FAIL for a client so that most calls can use "return
161 tls_error(...)" to do this processing and then give an appropriate return. A
162 single function is used for both server and client, because it is called from
163 some shared functions.
164
165 Argument:
166   prefix    text to include in the logged error
167   host      NULL if setting up a server;
168             the connected host if setting up a client
169   msg       error message or NULL if we should ask OpenSSL
170
171 Returns:    OK/DEFER/FAIL
172 */
173
174 static int
175 tls_error(uschar * prefix, const host_item * host, uschar *  msg)
176 {
177 if (!msg)
178   {
179   ERR_error_string(ERR_get_error(), ssl_errstring);
180   msg = (uschar *)ssl_errstring;
181   }
182
183 if (host)
184   {
185   log_write(0, LOG_MAIN, "H=%s [%s] TLS error on connection (%s): %s",
186     host->name, host->address, prefix, msg);
187   return FAIL;
188   }
189 else
190   {
191   uschar *conn_info = smtp_get_connection_info();
192   if (Ustrncmp(conn_info, US"SMTP ", 5) == 0)
193     conn_info += 5;
194   /* I'd like to get separated H= here, but too hard for now */
195   log_write(0, LOG_MAIN, "TLS error on %s (%s): %s",
196     conn_info, prefix, msg);
197   return DEFER;
198   }
199 }
200
201
202
203 /*************************************************
204 *        Callback to generate RSA key            *
205 *************************************************/
206
207 /*
208 Arguments:
209   s          SSL connection
210   export     not used
211   keylength  keylength
212
213 Returns:     pointer to generated key
214 */
215
216 static RSA *
217 rsa_callback(SSL *s, int export, int keylength)
218 {
219 RSA *rsa_key;
220 export = export;     /* Shut picky compilers up */
221 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
222 rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL);
223 if (rsa_key == NULL)
224   {
225   ERR_error_string(ERR_get_error(), ssl_errstring);
226   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
227     ssl_errstring);
228   return NULL;
229   }
230 return rsa_key;
231 }
232
233
234
235 /* Extreme debug
236 #ifndef DISABLE_OCSP
237 void
238 x509_store_dump_cert_s_names(X509_STORE * store)
239 {
240 STACK_OF(X509_OBJECT) * roots= store->objs;
241 int i;
242 static uschar name[256];
243
244 for(i= 0; i<sk_X509_OBJECT_num(roots); i++)
245   {
246   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
247   if(tmp_obj->type == X509_LU_X509)
248     {
249     X509 * current_cert= tmp_obj->data.x509;
250     X509_NAME_oneline(X509_get_subject_name(current_cert), CS name, sizeof(name));
251     debug_printf(" %s\n", name);
252     }
253   }
254 }
255 #endif
256 */
257
258
259 /*************************************************
260 *        Callback for verification               *
261 *************************************************/
262
263 /* The SSL library does certificate verification if set up to do so. This
264 callback has the current yes/no state is in "state". If verification succeeded,
265 we set up the tls_peerdn string. If verification failed, what happens depends
266 on whether the client is required to present a verifiable certificate or not.
267
268 If verification is optional, we change the state to yes, but still log the
269 verification error. For some reason (it really would help to have proper
270 documentation of OpenSSL), this callback function then gets called again, this
271 time with state = 1. In fact, that's useful, because we can set up the peerdn
272 value, but we must take care not to set the private verified flag on the second
273 time through.
274
275 Note: this function is not called if the client fails to present a certificate
276 when asked. We get here only if a certificate has been received. Handling of
277 optional verification for this case is done when requesting SSL to verify, by
278 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
279
280 May be called multiple times for different issues with a certificate, even
281 for a given "depth" in the certificate chain.
282
283 Arguments:
284   state      current yes/no state as 1/0
285   x509ctx    certificate information.
286   client     TRUE for client startup, FALSE for server startup
287
288 Returns:     1 if verified, 0 if not
289 */
290
291 static int
292 verify_callback(int state, X509_STORE_CTX *x509ctx,
293   tls_support *tlsp, BOOL *calledp, BOOL *optionalp)
294 {
295 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
296 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
297 static uschar txt[256];
298 #ifdef EXPERIMENTAL_EVENT
299 uschar * ev;
300 uschar * yield;
301 #endif
302
303 X509_NAME_oneline(X509_get_subject_name(cert), CS txt, sizeof(txt));
304
305 if (state == 0)
306   {
307   log_write(0, LOG_MAIN, "SSL verify error: depth=%d error=%s cert=%s",
308     depth,
309     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)),
310     txt);
311   *calledp = TRUE;
312   if (!*optionalp)
313     {
314     tlsp->peercert = X509_dup(cert);
315     return 0;                       /* reject */
316     }
317   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
318     "tls_try_verify_hosts)\n");
319   }
320
321 else if (depth != 0)
322   {
323   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, txt);
324 #ifndef DISABLE_OCSP
325   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
326     {   /* client, wanting stapling  */
327     /* Add the server cert's signing chain as the one
328     for the verification of the OCSP stapled information. */
329   
330     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
331                              cert))
332       ERR_clear_error();
333     }
334 #endif
335 #ifdef EXPERIMENTAL_EVENT
336   ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
337   if (ev)
338     {
339     tlsp->peercert = X509_dup(cert);
340     if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
341       {
342       log_write(0, LOG_MAIN, "SSL verify denied by event-action: "
343                               "depth=%d cert=%s: %s", depth, txt, yield);
344       *calledp = TRUE;
345       if (!*optionalp)
346         return 0;                           /* reject */
347       DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
348         "(host in tls_try_verify_hosts)\n");
349       }
350     X509_free(tlsp->peercert);
351     tlsp->peercert = NULL;
352     }
353 #endif
354   }
355 else
356   {
357 #ifdef EXPERIMENTAL_CERTNAMES
358   uschar * verify_cert_hostnames;
359 #endif
360
361   tlsp->peerdn = txt;
362   tlsp->peercert = X509_dup(cert);
363
364 #ifdef EXPERIMENTAL_CERTNAMES
365   if (  tlsp == &tls_out
366      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
367         /* client, wanting hostname check */
368
369 # if EXIM_HAVE_OPENSSL_CHECKHOST
370 #  ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
371 #   define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
372 #  endif
373 #  ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
374 #   define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
375 #  endif
376     {
377     int sep = 0;
378     uschar * list = verify_cert_hostnames;
379     uschar * name;
380     int rc;
381     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
382       if ((rc = X509_check_host(cert, name, 0,
383                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
384                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS)))
385         {
386         if (rc < 0)
387           {
388           log_write(0, LOG_MAIN, "SSL verify error: internal error\n");
389           name = NULL;
390           }
391         break;
392         }
393     if (!name)
394       {
395       log_write(0, LOG_MAIN,
396         "SSL verify error: certificate name mismatch: \"%s\"\n", txt);
397       *calledp = TRUE;
398       if (!*optionalp)
399         return 0;                           /* reject */
400       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
401         "tls_try_verify_hosts)\n");
402       }
403     }
404 # else
405     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
406       {
407       log_write(0, LOG_MAIN,
408         "SSL verify error: certificate name mismatch: \"%s\"\n", txt);
409       *calledp = TRUE;
410       if (!*optionalp)
411         return 0;                           /* reject */
412       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
413         "tls_try_verify_hosts)\n");
414       }
415 # endif
416 #endif  /*EXPERIMENTAL_CERTNAMES*/
417
418 #ifdef EXPERIMENTAL_EVENT
419   ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
420   if (ev)
421     if ((yield = event_raise(ev, US"tls:cert", US"0")))
422       {
423       log_write(0, LOG_MAIN, "SSL verify denied by event-action: "
424                               "depth=0 cert=%s: %s", txt, yield);
425       *calledp = TRUE;
426       if (!*optionalp)
427         return 0;                           /* reject */
428       DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
429         "(host in tls_try_verify_hosts)\n");
430       }
431 #endif
432
433   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
434     *calledp ? "" : " authenticated", txt);
435   if (!*calledp) tlsp->certificate_verified = TRUE;
436   *calledp = TRUE;
437   }
438
439 return 1;   /* accept, at least for this level */
440 }
441
442 static int
443 verify_callback_client(int state, X509_STORE_CTX *x509ctx)
444 {
445 return verify_callback(state, x509ctx, &tls_out, &client_verify_callback_called, &client_verify_optional);
446 }
447
448 static int
449 verify_callback_server(int state, X509_STORE_CTX *x509ctx)
450 {
451 return verify_callback(state, x509ctx, &tls_in, &server_verify_callback_called, &server_verify_optional);
452 }
453
454
455 #ifdef EXPERIMENTAL_DANE
456
457 /* This gets called *by* the dane library verify callback, which interposes
458 itself.
459 */
460 static int
461 verify_callback_client_dane(int state, X509_STORE_CTX * x509ctx)
462 {
463 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
464 static uschar txt[256];
465 #ifdef EXPERIMENTAL_EVENT
466 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
467 uschar * yield;
468 #endif
469
470 X509_NAME_oneline(X509_get_subject_name(cert), CS txt, sizeof(txt));
471
472 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s\n", txt);
473 tls_out.peerdn = txt;
474 tls_out.peercert = X509_dup(cert);
475
476 #ifdef EXPERIMENTAL_EVENT
477   if (client_static_cbinfo->event_action)
478     {
479     if ((yield = event_raise(client_static_cbinfo->event_action,
480                     US"tls:cert", string_sprintf("%d", depth))))
481       {
482       log_write(0, LOG_MAIN, "DANE verify denied by event-action: "
483                               "depth=%d cert=%s: %s", depth, txt, yield);
484       tls_out.certificate_verified = FALSE;
485       return 0;                     /* reject */
486       }
487     if (depth != 0)
488       {
489       X509_free(tls_out.peercert);
490       tls_out.peercert = NULL;
491       }
492     }
493 #endif
494
495 if (state == 1)
496   tls_out.dane_verified =
497   tls_out.certificate_verified = TRUE;
498 return 1;
499 }
500
501 #endif  /*EXPERIMENTAL_DANE*/
502
503
504 /*************************************************
505 *           Information callback                 *
506 *************************************************/
507
508 /* The SSL library functions call this from time to time to indicate what they
509 are doing. We copy the string to the debugging output when TLS debugging has
510 been requested.
511
512 Arguments:
513   s         the SSL connection
514   where
515   ret
516
517 Returns:    nothing
518 */
519
520 static void
521 info_callback(SSL *s, int where, int ret)
522 {
523 where = where;
524 ret = ret;
525 DEBUG(D_tls) debug_printf("SSL info: %s\n", SSL_state_string_long(s));
526 }
527
528
529
530 /*************************************************
531 *                Initialize for DH               *
532 *************************************************/
533
534 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
535
536 Arguments:
537   dhparam   DH parameter file or fixed parameter identity string
538   host      connected host, if client; NULL if server
539
540 Returns:    TRUE if OK (nothing to set up, or setup worked)
541 */
542
543 static BOOL
544 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host)
545 {
546 BIO *bio;
547 DH *dh;
548 uschar *dhexpanded;
549 const char *pem;
550
551 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded))
552   return FALSE;
553
554 if (!dhexpanded || !*dhexpanded)
555   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
556 else if (dhexpanded[0] == '/')
557   {
558   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
559     {
560     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
561           host, US strerror(errno));
562     return FALSE;
563     }
564   }
565 else
566   {
567   if (Ustrcmp(dhexpanded, "none") == 0)
568     {
569     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
570     return TRUE;
571     }
572
573   if (!(pem = std_dh_prime_named(dhexpanded)))
574     {
575     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
576         host, US strerror(errno));
577     return FALSE;
578     }
579   bio = BIO_new_mem_buf(CS pem, -1);
580   }
581
582 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
583   {
584   BIO_free(bio);
585   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
586       host, NULL);
587   return FALSE;
588   }
589
590 /* Even if it is larger, we silently return success rather than cause things
591  * to fail out, so that a too-large DH will not knock out all TLS; it's a
592  * debatable choice. */
593 if ((8*DH_size(dh)) > tls_dh_max_bits)
594   {
595   DEBUG(D_tls)
596     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d",
597         8*DH_size(dh), tls_dh_max_bits);
598   }
599 else
600   {
601   SSL_CTX_set_tmp_dh(sctx, dh);
602   DEBUG(D_tls)
603     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
604       dhexpanded ? dhexpanded : US"default", 8*DH_size(dh));
605   }
606
607 DH_free(dh);
608 BIO_free(bio);
609
610 return TRUE;
611 }
612
613
614
615
616 #ifndef DISABLE_OCSP
617 /*************************************************
618 *       Load OCSP information into state         *
619 *************************************************/
620
621 /* Called to load the server OCSP response from the given file into memory, once
622 caller has determined this is needed.  Checks validity.  Debugs a message
623 if invalid.
624
625 ASSUMES: single response, for single cert.
626
627 Arguments:
628   sctx            the SSL_CTX* to update
629   cbinfo          various parts of session state
630   expanded        the filename putatively holding an OCSP response
631
632 */
633
634 static void
635 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
636 {
637 BIO *bio;
638 OCSP_RESPONSE *resp;
639 OCSP_BASICRESP *basic_response;
640 OCSP_SINGLERESP *single_response;
641 ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
642 X509_STORE *store;
643 unsigned long verify_flags;
644 int status, reason, i;
645
646 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
647 if (cbinfo->u_ocsp.server.response)
648   {
649   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
650   cbinfo->u_ocsp.server.response = NULL;
651   }
652
653 bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb");
654 if (!bio)
655   {
656   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
657       cbinfo->u_ocsp.server.file_expanded);
658   return;
659   }
660
661 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
662 BIO_free(bio);
663 if (!resp)
664   {
665   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
666   return;
667   }
668
669 status = OCSP_response_status(resp);
670 if (status != OCSP_RESPONSE_STATUS_SUCCESSFUL)
671   {
672   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
673       OCSP_response_status_str(status), status);
674   goto bad;
675   }
676
677 basic_response = OCSP_response_get1_basic(resp);
678 if (!basic_response)
679   {
680   DEBUG(D_tls)
681     debug_printf("OCSP response parse error: unable to extract basic response.\n");
682   goto bad;
683   }
684
685 store = SSL_CTX_get_cert_store(sctx);
686 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
687
688 /* May need to expose ability to adjust those flags?
689 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
690 OCSP_TRUSTOTHER OCSP_NOINTERN */
691
692 i = OCSP_basic_verify(basic_response, NULL, store, verify_flags);
693 if (i <= 0)
694   {
695   DEBUG(D_tls) {
696     ERR_error_string(ERR_get_error(), ssl_errstring);
697     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
698     }
699   goto bad;
700   }
701
702 /* Here's the simplifying assumption: there's only one response, for the
703 one certificate we use, and nothing for anything else in a chain.  If this
704 proves false, we need to extract a cert id from our issued cert
705 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
706 right cert in the stack and then calls OCSP_single_get0_status()).
707
708 I'm hoping to avoid reworking a bunch more of how we handle state here. */
709 single_response = OCSP_resp_get0(basic_response, 0);
710 if (!single_response)
711   {
712   DEBUG(D_tls)
713     debug_printf("Unable to get first response from OCSP basic response.\n");
714   goto bad;
715   }
716
717 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
718 if (status != V_OCSP_CERTSTATUS_GOOD)
719   {
720   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
721       OCSP_cert_status_str(status), status,
722       OCSP_crl_reason_str(reason), reason);
723   goto bad;
724   }
725
726 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
727   {
728   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
729   goto bad;
730   }
731
732 supply_response:
733   cbinfo->u_ocsp.server.response = resp;
734 return;
735
736 bad:
737   if (running_in_test_harness)
738     {
739     extern char ** environ;
740     uschar ** p;
741     for (p = USS environ; *p != NULL; p++)
742       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
743         {
744         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
745         goto supply_response;
746         }
747     }
748 return;
749 }
750 #endif  /*!DISABLE_OCSP*/
751
752
753
754
755 /*************************************************
756 *        Expand key and cert file specs          *
757 *************************************************/
758
759 /* Called once during tls_init and possibly again during TLS setup, for a
760 new context, if Server Name Indication was used and tls_sni was seen in
761 the certificate string.
762
763 Arguments:
764   sctx            the SSL_CTX* to update
765   cbinfo          various parts of session state
766
767 Returns:          OK/DEFER/FAIL
768 */
769
770 static int
771 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo)
772 {
773 uschar *expanded;
774
775 if (cbinfo->certificate == NULL)
776   return OK;
777
778 if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
779     Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
780     Ustrstr(cbinfo->certificate, US"tls_out_sni")
781    )
782   reexpand_tls_files_for_sni = TRUE;
783
784 if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded))
785   return DEFER;
786
787 if (expanded != NULL)
788   {
789   DEBUG(D_tls) debug_printf("tls_certificate file %s\n", expanded);
790   if (!SSL_CTX_use_certificate_chain_file(sctx, CS expanded))
791     return tls_error(string_sprintf(
792       "SSL_CTX_use_certificate_chain_file file=%s", expanded),
793         cbinfo->host, NULL);
794   }
795
796 if (cbinfo->privatekey != NULL &&
797     !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded))
798   return DEFER;
799
800 /* If expansion was forced to fail, key_expanded will be NULL. If the result
801 of the expansion is an empty string, ignore it also, and assume the private
802 key is in the same file as the certificate. */
803
804 if (expanded != NULL && *expanded != 0)
805   {
806   DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", expanded);
807   if (!SSL_CTX_use_PrivateKey_file(sctx, CS expanded, SSL_FILETYPE_PEM))
808     return tls_error(string_sprintf(
809       "SSL_CTX_use_PrivateKey_file file=%s", expanded), cbinfo->host, NULL);
810   }
811
812 #ifndef DISABLE_OCSP
813 if (cbinfo->is_server &&  cbinfo->u_ocsp.server.file != NULL)
814   {
815   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded))
816     return DEFER;
817
818   if (expanded != NULL && *expanded != 0)
819     {
820     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
821     if (cbinfo->u_ocsp.server.file_expanded &&
822         (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
823       {
824       DEBUG(D_tls)
825         debug_printf("tls_ocsp_file value unchanged, using existing values.\n");
826       } else {
827         ocsp_load_response(sctx, cbinfo, expanded);
828       }
829     }
830   }
831 #endif
832
833 return OK;
834 }
835
836
837
838
839 /*************************************************
840 *            Callback to handle SNI              *
841 *************************************************/
842
843 /* Called when acting as server during the TLS session setup if a Server Name
844 Indication extension was sent by the client.
845
846 API documentation is OpenSSL s_server.c implementation.
847
848 Arguments:
849   s               SSL* of the current session
850   ad              unknown (part of OpenSSL API) (unused)
851   arg             Callback of "our" registered data
852
853 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
854 */
855
856 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
857 static int
858 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
859 {
860 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
861 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
862 int rc;
863 int old_pool = store_pool;
864
865 if (!servername)
866   return SSL_TLSEXT_ERR_OK;
867
868 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
869     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
870
871 /* Make the extension value available for expansion */
872 store_pool = POOL_PERM;
873 tls_in.sni = string_copy(US servername);
874 store_pool = old_pool;
875
876 if (!reexpand_tls_files_for_sni)
877   return SSL_TLSEXT_ERR_OK;
878
879 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
880 not confident that memcpy wouldn't break some internal reference counting.
881 Especially since there's a references struct member, which would be off. */
882
883 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
884   {
885   ERR_error_string(ERR_get_error(), ssl_errstring);
886   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
887   return SSL_TLSEXT_ERR_NOACK;
888   }
889
890 /* Not sure how many of these are actually needed, since SSL object
891 already exists.  Might even need this selfsame callback, for reneg? */
892
893 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
894 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
895 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
896 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
897 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
898 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
899 if (cbinfo->server_cipher_list)
900   SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list);
901 #ifndef DISABLE_OCSP
902 if (cbinfo->u_ocsp.server.file)
903   {
904   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
905   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
906   }
907 #endif
908
909 rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE, verify_callback_server);
910 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
911
912 /* do this after setup_certs, because this can require the certs for verifying
913 OCSP information. */
914 rc = tls_expand_session_files(server_sni, cbinfo);
915 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
916
917 if (!init_dh(server_sni, cbinfo->dhparam, NULL))
918   return SSL_TLSEXT_ERR_NOACK;
919
920 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
921 SSL_set_SSL_CTX(s, server_sni);
922
923 return SSL_TLSEXT_ERR_OK;
924 }
925 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
926
927
928
929
930 #ifndef DISABLE_OCSP
931
932 /*************************************************
933 *        Callback to handle OCSP Stapling        *
934 *************************************************/
935
936 /* Called when acting as server during the TLS session setup if the client
937 requests OCSP information with a Certificate Status Request.
938
939 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
940 project.
941
942 */
943
944 static int
945 tls_server_stapling_cb(SSL *s, void *arg)
946 {
947 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
948 uschar *response_der;
949 int response_der_len;
950
951 DEBUG(D_tls)
952   debug_printf("Received TLS status request (OCSP stapling); %s response.",
953     cbinfo->u_ocsp.server.response ? "have" : "lack");
954
955 tls_in.ocsp = OCSP_NOT_RESP;
956 if (!cbinfo->u_ocsp.server.response)
957   return SSL_TLSEXT_ERR_NOACK;
958
959 response_der = NULL;
960 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,
961                       &response_der);
962 if (response_der_len <= 0)
963   return SSL_TLSEXT_ERR_NOACK;
964
965 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
966 tls_in.ocsp = OCSP_VFIED;
967 return SSL_TLSEXT_ERR_OK;
968 }
969
970
971 static void
972 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
973 {
974 BIO_printf(bp, "\t%s: ", str);
975 ASN1_GENERALIZEDTIME_print(bp, time);
976 BIO_puts(bp, "\n");
977 }
978
979 static int
980 tls_client_stapling_cb(SSL *s, void *arg)
981 {
982 tls_ext_ctx_cb * cbinfo = arg;
983 const unsigned char * p;
984 int len;
985 OCSP_RESPONSE * rsp;
986 OCSP_BASICRESP * bs;
987 int i;
988
989 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
990 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
991 if(!p)
992  {
993   /* Expect this when we requested ocsp but got none */
994   if (  cbinfo->u_ocsp.client.verify_required
995      && log_extra_selector & LX_tls_cipher)
996     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
997   else
998     DEBUG(D_tls) debug_printf(" null\n");
999   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1000  }
1001
1002 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1003  {
1004   tls_out.ocsp = OCSP_FAILED;
1005   if (log_extra_selector & LX_tls_cipher)
1006     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1007   else
1008     DEBUG(D_tls) debug_printf(" parse error\n");
1009   return 0;
1010  }
1011
1012 if(!(bs = OCSP_response_get1_basic(rsp)))
1013   {
1014   tls_out.ocsp = OCSP_FAILED;
1015   if (log_extra_selector & LX_tls_cipher)
1016     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1017   else
1018     DEBUG(D_tls) debug_printf(" error parsing response\n");
1019   OCSP_RESPONSE_free(rsp);
1020   return 0;
1021   }
1022
1023 /* We'd check the nonce here if we'd put one in the request. */
1024 /* However that would defeat cacheability on the server so we don't. */
1025
1026 /* This section of code reworked from OpenSSL apps source;
1027    The OpenSSL Project retains copyright:
1028    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1029 */
1030   {
1031     BIO * bp = NULL;
1032     int status, reason;
1033     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1034
1035     DEBUG(D_tls) bp = BIO_new_fp(stderr, BIO_NOCLOSE);
1036
1037     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1038
1039     /* Use the chain that verified the server cert to verify the stapled info */
1040     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1041
1042     if ((i = OCSP_basic_verify(bs, NULL,
1043               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1044       {
1045       tls_out.ocsp = OCSP_FAILED;
1046       if (log_extra_selector & LX_tls_cipher)
1047         log_write(0, LOG_MAIN, "Received TLS cert status response, itself unverifiable");
1048       BIO_printf(bp, "OCSP response verify failure\n");
1049       ERR_print_errors(bp);
1050       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1051       goto out;
1052       }
1053
1054     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1055
1056       {
1057       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1058       OCSP_SINGLERESP * single;
1059
1060       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1061         {
1062         tls_out.ocsp = OCSP_FAILED;
1063         log_write(0, LOG_MAIN, "OCSP stapling "
1064             "with multiple responses not handled");
1065         i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1066         goto out;
1067         }
1068       single = OCSP_resp_get0(bs, 0);
1069       status = OCSP_single_get0_status(single, &reason, &rev,
1070                   &thisupd, &nextupd);
1071       }
1072
1073     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1074     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1075     if (!OCSP_check_validity(thisupd, nextupd,
1076           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1077       {
1078       tls_out.ocsp = OCSP_FAILED;
1079       DEBUG(D_tls) ERR_print_errors(bp);
1080       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1081       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1082       }
1083     else
1084       {
1085       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1086                     OCSP_cert_status_str(status));
1087       switch(status)
1088         {
1089         case V_OCSP_CERTSTATUS_GOOD:
1090           tls_out.ocsp = OCSP_VFIED;
1091           i = 1;
1092           break;
1093         case V_OCSP_CERTSTATUS_REVOKED:
1094           tls_out.ocsp = OCSP_FAILED;
1095           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1096               reason != -1 ? "; reason: " : "",
1097               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1098           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1099           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1100           break;
1101         default:
1102           tls_out.ocsp = OCSP_FAILED;
1103           log_write(0, LOG_MAIN,
1104               "Server certificate status unknown, in OCSP stapling");
1105           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1106           break;
1107         }
1108       }
1109   out:
1110     BIO_free(bp);
1111   }
1112
1113 OCSP_RESPONSE_free(rsp);
1114 return i;
1115 }
1116 #endif  /*!DISABLE_OCSP*/
1117
1118
1119 /*************************************************
1120 *            Initialize for TLS                  *
1121 *************************************************/
1122
1123 /* Called from both server and client code, to do preliminary initialization
1124 of the library.  We allocate and return a context structure.
1125
1126 Arguments:
1127   ctxp            returned SSL context
1128   host            connected host, if client; NULL if server
1129   dhparam         DH parameter file
1130   certificate     certificate file
1131   privatekey      private key
1132   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1133   addr            address if client; NULL if server (for some randomness)
1134   cbp             place to put allocated callback context
1135
1136 Returns:          OK/DEFER/FAIL
1137 */
1138
1139 static int
1140 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1141   uschar *privatekey,
1142 #ifndef DISABLE_OCSP
1143   uschar *ocsp_file,
1144 #endif
1145   address_item *addr, tls_ext_ctx_cb ** cbp)
1146 {
1147 long init_options;
1148 int rc;
1149 BOOL okay;
1150 tls_ext_ctx_cb * cbinfo;
1151
1152 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1153 cbinfo->certificate = certificate;
1154 cbinfo->privatekey = privatekey;
1155 #ifndef DISABLE_OCSP
1156 if ((cbinfo->is_server = host==NULL))
1157   {
1158   cbinfo->u_ocsp.server.file = ocsp_file;
1159   cbinfo->u_ocsp.server.file_expanded = NULL;
1160   cbinfo->u_ocsp.server.response = NULL;
1161   }
1162 else
1163   cbinfo->u_ocsp.client.verify_store = NULL;
1164 #endif
1165 cbinfo->dhparam = dhparam;
1166 cbinfo->server_cipher_list = NULL;
1167 cbinfo->host = host;
1168 #ifdef EXPERIMENTAL_EVENT
1169 cbinfo->event_action = NULL;
1170 #endif
1171
1172 SSL_load_error_strings();          /* basic set up */
1173 OpenSSL_add_ssl_algorithms();
1174
1175 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
1176 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1177 list of available digests. */
1178 EVP_add_digest(EVP_sha256());
1179 #endif
1180
1181 /* Create a context.
1182 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1183 negotiation in the different methods; as far as I can tell, the only
1184 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1185 when OpenSSL is built without SSLv2 support.
1186 By disabling with openssl_options, we can let admins re-enable with the
1187 existing knob. */
1188
1189 *ctxp = SSL_CTX_new((host == NULL)?
1190   SSLv23_server_method() : SSLv23_client_method());
1191
1192 if (*ctxp == NULL) return tls_error(US"SSL_CTX_new", host, NULL);
1193
1194 /* It turns out that we need to seed the random number generator this early in
1195 order to get the full complement of ciphers to work. It took me roughly a day
1196 of work to discover this by experiment.
1197
1198 On systems that have /dev/urandom, SSL may automatically seed itself from
1199 there. Otherwise, we have to make something up as best we can. Double check
1200 afterwards. */
1201
1202 if (!RAND_status())
1203   {
1204   randstuff r;
1205   gettimeofday(&r.tv, NULL);
1206   r.p = getpid();
1207
1208   RAND_seed((uschar *)(&r), sizeof(r));
1209   RAND_seed((uschar *)big_buffer, big_buffer_size);
1210   if (addr != NULL) RAND_seed((uschar *)addr, sizeof(addr));
1211
1212   if (!RAND_status())
1213     return tls_error(US"RAND_status", host,
1214       US"unable to seed random number generator");
1215   }
1216
1217 /* Set up the information callback, which outputs if debugging is at a suitable
1218 level. */
1219
1220 SSL_CTX_set_info_callback(*ctxp, (void (*)())info_callback);
1221
1222 /* Automatically re-try reads/writes after renegotiation. */
1223 (void) SSL_CTX_set_mode(*ctxp, SSL_MODE_AUTO_RETRY);
1224
1225 /* Apply administrator-supplied work-arounds.
1226 Historically we applied just one requested option,
1227 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1228 moved to an administrator-controlled list of options to specify and
1229 grandfathered in the first one as the default value for "openssl_options".
1230
1231 No OpenSSL version number checks: the options we accept depend upon the
1232 availability of the option value macros from OpenSSL.  */
1233
1234 okay = tls_openssl_options_parse(openssl_options, &init_options);
1235 if (!okay)
1236   return tls_error(US"openssl_options parsing failed", host, NULL);
1237
1238 if (init_options)
1239   {
1240   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
1241   if (!(SSL_CTX_set_options(*ctxp, init_options)))
1242     return tls_error(string_sprintf(
1243           "SSL_CTX_set_option(%#lx)", init_options), host, NULL);
1244   }
1245 else
1246   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
1247
1248 /* Initialize with DH parameters if supplied */
1249
1250 if (!init_dh(*ctxp, dhparam, host)) return DEFER;
1251
1252 /* Set up certificate and key (and perhaps OCSP info) */
1253
1254 rc = tls_expand_session_files(*ctxp, cbinfo);
1255 if (rc != OK) return rc;
1256
1257 /* If we need to handle SNI, do so */
1258 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1259 if (host == NULL)               /* server */
1260   {
1261 # ifndef DISABLE_OCSP
1262   /* We check u_ocsp.server.file, not server.response, because we care about if
1263   the option exists, not what the current expansion might be, as SNI might
1264   change the certificate and OCSP file in use between now and the time the
1265   callback is invoked. */
1266   if (cbinfo->u_ocsp.server.file)
1267     {
1268     SSL_CTX_set_tlsext_status_cb(server_ctx, tls_server_stapling_cb);
1269     SSL_CTX_set_tlsext_status_arg(server_ctx, cbinfo);
1270     }
1271 # endif
1272   /* We always do this, so that $tls_sni is available even if not used in
1273   tls_certificate */
1274   SSL_CTX_set_tlsext_servername_callback(*ctxp, tls_servername_cb);
1275   SSL_CTX_set_tlsext_servername_arg(*ctxp, cbinfo);
1276   }
1277 # ifndef DISABLE_OCSP
1278 else                    /* client */
1279   if(ocsp_file)         /* wanting stapling */
1280     {
1281     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
1282       {
1283       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
1284       return FAIL;
1285       }
1286     SSL_CTX_set_tlsext_status_cb(*ctxp, tls_client_stapling_cb);
1287     SSL_CTX_set_tlsext_status_arg(*ctxp, cbinfo);
1288     }
1289 # endif
1290 #endif
1291
1292 #ifdef EXPERIMENTAL_CERTNAMES
1293 cbinfo->verify_cert_hostnames = NULL;
1294 #endif
1295
1296 /* Set up the RSA callback */
1297
1298 SSL_CTX_set_tmp_rsa_callback(*ctxp, rsa_callback);
1299
1300 /* Finally, set the timeout, and we are done */
1301
1302 SSL_CTX_set_timeout(*ctxp, ssl_session_timeout);
1303 DEBUG(D_tls) debug_printf("Initialized TLS\n");
1304
1305 *cbp = cbinfo;
1306
1307 return OK;
1308 }
1309
1310
1311
1312
1313 /*************************************************
1314 *           Get name of cipher in use            *
1315 *************************************************/
1316
1317 /*
1318 Argument:   pointer to an SSL structure for the connection
1319             buffer to use for answer
1320             size of buffer
1321             pointer to number of bits for cipher
1322 Returns:    nothing
1323 */
1324
1325 static void
1326 construct_cipher_name(SSL *ssl, uschar *cipherbuf, int bsize, int *bits)
1327 {
1328 /* With OpenSSL 1.0.0a, this needs to be const but the documentation doesn't
1329 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
1330 the accessor functions use const in the prototype. */
1331 const SSL_CIPHER *c;
1332 const uschar *ver;
1333
1334 ver = (const uschar *)SSL_get_version(ssl);
1335
1336 c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
1337 SSL_CIPHER_get_bits(c, bits);
1338
1339 string_format(cipherbuf, bsize, "%s:%s:%u", ver,
1340   SSL_CIPHER_get_name(c), *bits);
1341
1342 DEBUG(D_tls) debug_printf("Cipher: %s\n", cipherbuf);
1343 }
1344
1345
1346
1347
1348
1349 /*************************************************
1350 *        Set up for verifying certificates       *
1351 *************************************************/
1352
1353 /* Called by both client and server startup
1354
1355 Arguments:
1356   sctx          SSL_CTX* to initialise
1357   certs         certs file or NULL
1358   crl           CRL file or NULL
1359   host          NULL in a server; the remote host in a client
1360   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
1361                 otherwise passed as FALSE
1362   cert_vfy_cb   Callback function for certificate verification
1363
1364 Returns:        OK/DEFER/FAIL
1365 */
1366
1367 static int
1368 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
1369     int (*cert_vfy_cb)(int, X509_STORE_CTX *) )
1370 {
1371 uschar *expcerts, *expcrl;
1372
1373 if (!expand_check(certs, US"tls_verify_certificates", &expcerts))
1374   return DEFER;
1375
1376 if (expcerts != NULL && *expcerts != '\0')
1377   {
1378   struct stat statbuf;
1379   if (!SSL_CTX_set_default_verify_paths(sctx))
1380     return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1381
1382   if (Ustat(expcerts, &statbuf) < 0)
1383     {
1384     log_write(0, LOG_MAIN|LOG_PANIC,
1385       "failed to stat %s for certificates", expcerts);
1386     return DEFER;
1387     }
1388   else
1389     {
1390     uschar *file, *dir;
1391     if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1392       { file = NULL; dir = expcerts; }
1393     else
1394       { file = expcerts; dir = NULL; }
1395
1396     /* If a certificate file is empty, the next function fails with an
1397     unhelpful error message. If we skip it, we get the correct behaviour (no
1398     certificates are recognized, but the error message is still misleading (it
1399     says no certificate was supplied.) But this is better. */
1400
1401     if ((file == NULL || statbuf.st_size > 0) &&
1402           !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
1403       return tls_error(US"SSL_CTX_load_verify_locations", host, NULL);
1404
1405     /* Load the list of CAs for which we will accept certs, for sending
1406     to the client.  This is only for the one-file tls_verify_certificates
1407     variant.
1408     If a list isn't loaded into the server, but
1409     some verify locations are set, the server end appears to make
1410     a wildcard reqest for client certs.
1411     Meanwhile, the client library as deafult behaviour *ignores* the list
1412     we send over the wire - see man SSL_CTX_set_client_cert_cb.
1413     Because of this, and that the dir variant is likely only used for
1414     the public-CA bundle (not for a private CA), not worth fixing.
1415     */
1416     if (file != NULL)
1417       {
1418       STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
1419 DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
1420                                   sk_X509_NAME_num(names));
1421       SSL_CTX_set_client_CA_list(sctx, names);
1422       }
1423     }
1424
1425   /* Handle a certificate revocation list. */
1426
1427   #if OPENSSL_VERSION_NUMBER > 0x00907000L
1428
1429   /* This bit of code is now the version supplied by Lars Mainka. (I have
1430    * merely reformatted it into the Exim code style.)
1431
1432    * "From here I changed the code to add support for multiple crl's
1433    * in pem format in one file or to support hashed directory entries in
1434    * pem format instead of a file. This method now uses the library function
1435    * X509_STORE_load_locations to add the CRL location to the SSL context.
1436    * OpenSSL will then handle the verify against CA certs and CRLs by
1437    * itself in the verify callback." */
1438
1439   if (!expand_check(crl, US"tls_crl", &expcrl)) return DEFER;
1440   if (expcrl != NULL && *expcrl != 0)
1441     {
1442     struct stat statbufcrl;
1443     if (Ustat(expcrl, &statbufcrl) < 0)
1444       {
1445       log_write(0, LOG_MAIN|LOG_PANIC,
1446         "failed to stat %s for certificates revocation lists", expcrl);
1447       return DEFER;
1448       }
1449     else
1450       {
1451       /* is it a file or directory? */
1452       uschar *file, *dir;
1453       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
1454       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
1455         {
1456         file = NULL;
1457         dir = expcrl;
1458         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
1459         }
1460       else
1461         {
1462         file = expcrl;
1463         dir = NULL;
1464         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
1465         }
1466       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
1467         return tls_error(US"X509_STORE_load_locations", host, NULL);
1468
1469       /* setting the flags to check against the complete crl chain */
1470
1471       X509_STORE_set_flags(cvstore,
1472         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
1473       }
1474     }
1475
1476   #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
1477
1478   /* If verification is optional, don't fail if no certificate */
1479
1480   SSL_CTX_set_verify(sctx,
1481     SSL_VERIFY_PEER | (optional? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
1482     cert_vfy_cb);
1483   }
1484
1485 return OK;
1486 }
1487
1488
1489
1490 /*************************************************
1491 *       Start a TLS session in a server          *
1492 *************************************************/
1493
1494 /* This is called when Exim is running as a server, after having received
1495 the STARTTLS command. It must respond to that command, and then negotiate
1496 a TLS session.
1497
1498 Arguments:
1499   require_ciphers   allowed ciphers
1500
1501 Returns:            OK on success
1502                     DEFER for errors before the start of the negotiation
1503                     FAIL for errors during the negotation; the server can't
1504                       continue running.
1505 */
1506
1507 int
1508 tls_server_start(const uschar *require_ciphers)
1509 {
1510 int rc;
1511 uschar *expciphers;
1512 tls_ext_ctx_cb *cbinfo;
1513 static uschar cipherbuf[256];
1514
1515 /* Check for previous activation */
1516
1517 if (tls_in.active >= 0)
1518   {
1519   tls_error(US"STARTTLS received after TLS started", NULL, US"");
1520   smtp_printf("554 Already in TLS\r\n");
1521   return FAIL;
1522   }
1523
1524 /* Initialize the SSL library. If it fails, it will already have logged
1525 the error. */
1526
1527 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
1528 #ifndef DISABLE_OCSP
1529     tls_ocsp_file,
1530 #endif
1531     NULL, &server_static_cbinfo);
1532 if (rc != OK) return rc;
1533 cbinfo = server_static_cbinfo;
1534
1535 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers))
1536   return FAIL;
1537
1538 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1539 were historically separated by underscores. So that I can use either form in my
1540 tests, and also for general convenience, we turn underscores into hyphens here.
1541 */
1542
1543 if (expciphers != NULL)
1544   {
1545   uschar *s = expciphers;
1546   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1547   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1548   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
1549     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL);
1550   cbinfo->server_cipher_list = expciphers;
1551   }
1552
1553 /* If this is a host for which certificate verification is mandatory or
1554 optional, set up appropriately. */
1555
1556 tls_in.certificate_verified = FALSE;
1557 #ifdef EXPERIMENTAL_DANE
1558 tls_in.dane_verified = FALSE;
1559 #endif
1560 server_verify_callback_called = FALSE;
1561
1562 if (verify_check_host(&tls_verify_hosts) == OK)
1563   {
1564   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1565                         FALSE, verify_callback_server);
1566   if (rc != OK) return rc;
1567   server_verify_optional = FALSE;
1568   }
1569 else if (verify_check_host(&tls_try_verify_hosts) == OK)
1570   {
1571   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1572                         TRUE, verify_callback_server);
1573   if (rc != OK) return rc;
1574   server_verify_optional = TRUE;
1575   }
1576
1577 /* Prepare for new connection */
1578
1579 if ((server_ssl = SSL_new(server_ctx)) == NULL) return tls_error(US"SSL_new", NULL, NULL);
1580
1581 /* Warning: we used to SSL_clear(ssl) here, it was removed.
1582  *
1583  * With the SSL_clear(), we get strange interoperability bugs with
1584  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
1585  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
1586  *
1587  * The SSL_clear() call is to let an existing SSL* be reused, typically after
1588  * session shutdown.  In this case, we have a brand new object and there's no
1589  * obvious reason to immediately clear it.  I'm guessing that this was
1590  * originally added because of incomplete initialisation which the clear fixed,
1591  * in some historic release.
1592  */
1593
1594 /* Set context and tell client to go ahead, except in the case of TLS startup
1595 on connection, where outputting anything now upsets the clients and tends to
1596 make them disconnect. We need to have an explicit fflush() here, to force out
1597 the response. Other smtp_printf() calls do not need it, because in non-TLS
1598 mode, the fflush() happens when smtp_getc() is called. */
1599
1600 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
1601 if (!tls_in.on_connect)
1602   {
1603   smtp_printf("220 TLS go ahead\r\n");
1604   fflush(smtp_out);
1605   }
1606
1607 /* Now negotiate the TLS session. We put our own timer on it, since it seems
1608 that the OpenSSL library doesn't. */
1609
1610 SSL_set_wfd(server_ssl, fileno(smtp_out));
1611 SSL_set_rfd(server_ssl, fileno(smtp_in));
1612 SSL_set_accept_state(server_ssl);
1613
1614 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
1615
1616 sigalrm_seen = FALSE;
1617 if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
1618 rc = SSL_accept(server_ssl);
1619 alarm(0);
1620
1621 if (rc <= 0)
1622   {
1623   tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL);
1624   if (ERR_get_error() == 0)
1625     log_write(0, LOG_MAIN,
1626         "TLS client disconnected cleanly (rejected our certificate?)");
1627   return FAIL;
1628   }
1629
1630 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
1631
1632 /* TLS has been set up. Adjust the input functions to read via TLS,
1633 and initialize things. */
1634
1635 construct_cipher_name(server_ssl, cipherbuf, sizeof(cipherbuf), &tls_in.bits);
1636 tls_in.cipher = cipherbuf;
1637
1638 DEBUG(D_tls)
1639   {
1640   uschar buf[2048];
1641   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)) != NULL)
1642     debug_printf("Shared ciphers: %s\n", buf);
1643   }
1644
1645 /* Record the certificate we presented */
1646   {
1647   X509 * crt = SSL_get_certificate(server_ssl);
1648   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
1649   }
1650
1651 /* Only used by the server-side tls (tls_in), including tls_getc.
1652    Client-side (tls_out) reads (seem to?) go via
1653    smtp_read_response()/ip_recv().
1654    Hence no need to duplicate for _in and _out.
1655  */
1656 ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
1657 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
1658 ssl_xfer_eof = ssl_xfer_error = 0;
1659
1660 receive_getc = tls_getc;
1661 receive_ungetc = tls_ungetc;
1662 receive_feof = tls_feof;
1663 receive_ferror = tls_ferror;
1664 receive_smtp_buffered = tls_smtp_buffered;
1665
1666 tls_in.active = fileno(smtp_out);
1667 return OK;
1668 }
1669
1670
1671
1672
1673 static int
1674 tls_client_basic_ctx_init(SSL_CTX * ctx,
1675     host_item * host, smtp_transport_options_block * ob
1676 #ifdef EXPERIMENTAL_CERTNAMES
1677     , tls_ext_ctx_cb * cbinfo
1678 #endif
1679                           )
1680 {
1681 int rc;
1682 /* stick to the old behaviour for compatibility if tls_verify_certificates is 
1683    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
1684    the specified host patterns if one of them is defined */
1685
1686 if (  (!ob->tls_verify_hosts && !ob->tls_try_verify_hosts)
1687    || (verify_check_this_host(&ob->tls_verify_hosts, NULL,
1688                 host->name, host->address, NULL) == OK)
1689    )
1690   client_verify_optional = FALSE;
1691 else if (verify_check_this_host(&ob->tls_try_verify_hosts, NULL,
1692                 host->name, host->address, NULL) == OK)
1693   client_verify_optional = TRUE;
1694 else
1695   return OK;
1696
1697 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
1698       ob->tls_crl, host, client_verify_optional, verify_callback_client)) != OK)
1699   return rc;
1700
1701 #ifdef EXPERIMENTAL_CERTNAMES
1702 if (verify_check_this_host(&ob->tls_verify_cert_hostnames, NULL,
1703               host->name, host->address, NULL) == OK)
1704   {
1705   cbinfo->verify_cert_hostnames = host->name;
1706   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
1707                     cbinfo->verify_cert_hostnames);
1708   }
1709 #endif
1710 return OK;
1711 }
1712
1713
1714 #ifdef EXPERIMENTAL_DANE
1715 static int
1716 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa)
1717 {
1718 dns_record * rr;
1719 dns_scan dnss;
1720 const char * hostnames[2] = { CS host->name, NULL };
1721 int found = 0;
1722
1723 if (DANESSL_init(ssl, NULL, hostnames) != 1)
1724   return tls_error(US"hostnames load", host, NULL);
1725
1726 for (rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS);
1727      rr;
1728      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
1729     ) if (rr->type == T_TLSA)
1730   {
1731   uschar * p = rr->data;
1732   uint8_t usage, selector, mtype;
1733   const char * mdname;
1734
1735   usage = *p++;
1736
1737   /* Only DANE-TA(2) and DANE-EE(3) are supported */
1738   if (usage != 2 && usage != 3) continue;
1739
1740   selector = *p++;
1741   mtype = *p++;
1742
1743   switch (mtype)
1744     {
1745     default: continue;  /* Only match-types 0, 1, 2 are supported */
1746     case 0:  mdname = NULL; break;
1747     case 1:  mdname = "sha256"; break;
1748     case 2:  mdname = "sha512"; break;
1749     }
1750
1751   found++;
1752   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
1753     {
1754     default:
1755     case 0:     /* action not taken */
1756       return tls_error(US"tlsa load", host, NULL);
1757     case 1:     break;
1758     }
1759
1760   tls_out.tlsa_usage |= 1<<usage;
1761   }
1762
1763 if (found)
1764   return OK;
1765
1766 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
1767 return FAIL;
1768 }
1769 #endif  /*EXPERIMENTAL_DANE*/
1770
1771
1772
1773 /*************************************************
1774 *    Start a TLS session in a client             *
1775 *************************************************/
1776
1777 /* Called from the smtp transport after STARTTLS has been accepted.
1778
1779 Argument:
1780   fd               the fd of the connection
1781   host             connected host (for messages)
1782   addr             the first address
1783   tb               transport (always smtp)
1784   tlsa_dnsa        tlsa lookup, if DANE, else null
1785
1786 Returns:           OK on success
1787                    FAIL otherwise - note that tls_error() will not give DEFER
1788                      because this is not a server
1789 */
1790
1791 int
1792 tls_client_start(int fd, host_item *host, address_item *addr,
1793   transport_instance *tb
1794 #ifdef EXPERIMENTAL_DANE
1795   , dns_answer * tlsa_dnsa
1796 #endif
1797   )
1798 {
1799 smtp_transport_options_block * ob =
1800   (smtp_transport_options_block *)tb->options_block;
1801 static uschar txt[256];
1802 uschar * expciphers;
1803 X509 * server_cert;
1804 int rc;
1805 static uschar cipherbuf[256];
1806
1807 #ifndef DISABLE_OCSP
1808 BOOL request_ocsp = FALSE;
1809 BOOL require_ocsp = FALSE;
1810 #endif
1811
1812 #ifdef EXPERIMENTAL_DANE
1813 tls_out.tlsa_usage = 0;
1814 #endif
1815
1816 #ifndef DISABLE_OCSP
1817   {
1818 # ifdef EXPERIMENTAL_DANE
1819   if (  tlsa_dnsa
1820      && ob->hosts_request_ocsp[0] == '*'
1821      && ob->hosts_request_ocsp[1] == '\0'
1822      )
1823     {
1824     /* Unchanged from default.  Use a safer one under DANE */
1825     request_ocsp = TRUE;
1826     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
1827                                       "   {= {4}{$tls_out_tlsa_usage}} } "
1828                                  " {*}{}}";
1829     }
1830 # endif
1831
1832   if ((require_ocsp = verify_check_this_host(&ob->hosts_require_ocsp,
1833     NULL, host->name, host->address, NULL) == OK))
1834     request_ocsp = TRUE;
1835   else
1836 # ifdef EXPERIMENTAL_DANE
1837     if (!request_ocsp)
1838 # endif
1839       request_ocsp = verify_check_this_host(&ob->hosts_request_ocsp,
1840           NULL, host->name, host->address, NULL) == OK;
1841   }
1842 #endif
1843
1844 rc = tls_init(&client_ctx, host, NULL,
1845     ob->tls_certificate, ob->tls_privatekey,
1846 #ifndef DISABLE_OCSP
1847     (void *)(long)request_ocsp,
1848 #endif
1849     addr, &client_static_cbinfo);
1850 if (rc != OK) return rc;
1851
1852 tls_out.certificate_verified = FALSE;
1853 client_verify_callback_called = FALSE;
1854
1855 if (!expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
1856     &expciphers))
1857   return FAIL;
1858
1859 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1860 are separated by underscores. So that I can use either form in my tests, and
1861 also for general convenience, we turn underscores into hyphens here. */
1862
1863 if (expciphers != NULL)
1864   {
1865   uschar *s = expciphers;
1866   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1867   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1868   if (!SSL_CTX_set_cipher_list(client_ctx, CS expciphers))
1869     return tls_error(US"SSL_CTX_set_cipher_list", host, NULL);
1870   }
1871
1872 #ifdef EXPERIMENTAL_DANE
1873 if (tlsa_dnsa)
1874   {
1875   SSL_CTX_set_verify(client_ctx, SSL_VERIFY_PEER, verify_callback_client_dane);
1876
1877   if (!DANESSL_library_init())
1878     return tls_error(US"library init", host, NULL);
1879   if (DANESSL_CTX_init(client_ctx) <= 0)
1880     return tls_error(US"context init", host, NULL);
1881   }
1882 else
1883
1884 #endif
1885
1886   if ((rc = tls_client_basic_ctx_init(client_ctx, host, ob
1887 #ifdef EXPERIMENTAL_CERTNAMES
1888                                 , client_static_cbinfo
1889 #endif
1890                                 )) != OK)
1891     return rc;
1892
1893 if ((client_ssl = SSL_new(client_ctx)) == NULL)
1894   return tls_error(US"SSL_new", host, NULL);
1895 SSL_set_session_id_context(client_ssl, sid_ctx, Ustrlen(sid_ctx));
1896 SSL_set_fd(client_ssl, fd);
1897 SSL_set_connect_state(client_ssl);
1898
1899 if (ob->tls_sni)
1900   {
1901   if (!expand_check(ob->tls_sni, US"tls_sni", &tls_out.sni))
1902     return FAIL;
1903   if (tls_out.sni == NULL)
1904     {
1905     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
1906     }
1907   else if (!Ustrlen(tls_out.sni))
1908     tls_out.sni = NULL;
1909   else
1910     {
1911 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1912     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tls_out.sni);
1913     SSL_set_tlsext_host_name(client_ssl, tls_out.sni);
1914 #else
1915     DEBUG(D_tls)
1916       debug_printf("OpenSSL at build-time lacked SNI support, ignoring \"%s\"\n",
1917           tls_out.sni);
1918 #endif
1919     }
1920   }
1921
1922 #ifdef EXPERIMENTAL_DANE
1923 if (tlsa_dnsa)
1924   if ((rc = dane_tlsa_load(client_ssl, host, tlsa_dnsa)) != OK)
1925     return rc;
1926 #endif
1927
1928 #ifndef DISABLE_OCSP
1929 /* Request certificate status at connection-time.  If the server
1930 does OCSP stapling we will get the callback (set in tls_init()) */
1931 # ifdef EXPERIMENTAL_DANE
1932 if (request_ocsp)
1933   {
1934   const uschar * s;
1935   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
1936      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
1937      )
1938     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
1939         this means we avoid the OCSP request, we wasted the setup
1940         cost in tls_init(). */
1941     require_ocsp = verify_check_this_host(&ob->hosts_require_ocsp,
1942       NULL, host->name, host->address, NULL) == OK;
1943     request_ocsp = require_ocsp ? TRUE
1944       : verify_check_this_host(&ob->hosts_request_ocsp,
1945           NULL, host->name, host->address, NULL) == OK;
1946     }
1947   }
1948 # endif
1949
1950 if (request_ocsp)
1951   {
1952   SSL_set_tlsext_status_type(client_ssl, TLSEXT_STATUSTYPE_ocsp);
1953   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
1954   tls_out.ocsp = OCSP_NOT_RESP;
1955   }
1956 #endif
1957
1958 #ifdef EXPERIMENTAL_EVENT
1959 client_static_cbinfo->event_action = tb->event_action;
1960 #endif
1961
1962 /* There doesn't seem to be a built-in timeout on connection. */
1963
1964 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
1965 sigalrm_seen = FALSE;
1966 alarm(ob->command_timeout);
1967 rc = SSL_connect(client_ssl);
1968 alarm(0);
1969
1970 #ifdef EXPERIMENTAL_DANE
1971 if (tlsa_dnsa)
1972   DANESSL_cleanup(client_ssl);
1973 #endif
1974
1975 if (rc <= 0)
1976   return tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL);
1977
1978 DEBUG(D_tls) debug_printf("SSL_connect succeeded\n");
1979
1980 /* Beware anonymous ciphers which lead to server_cert being NULL */
1981 /*XXX server_cert is never freed... use X509_free() */
1982 server_cert = SSL_get_peer_certificate (client_ssl);
1983 if (server_cert)
1984   {
1985   tls_out.peerdn = US X509_NAME_oneline(X509_get_subject_name(server_cert),
1986     CS txt, sizeof(txt));
1987   tls_out.peerdn = txt;         /*XXX a static buffer... */
1988   }
1989 else
1990   tls_out.peerdn = NULL;
1991
1992 construct_cipher_name(client_ssl, cipherbuf, sizeof(cipherbuf), &tls_out.bits);
1993 tls_out.cipher = cipherbuf;
1994
1995 /* Record the certificate we presented */
1996   {
1997   X509 * crt = SSL_get_certificate(client_ssl);
1998   tls_out.ourcert = crt ? X509_dup(crt) : NULL;
1999   }
2000
2001 tls_out.active = fd;
2002 return OK;
2003 }
2004
2005
2006
2007
2008
2009 /*************************************************
2010 *            TLS version of getc                 *
2011 *************************************************/
2012
2013 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
2014 it refills the buffer via the SSL reading function.
2015
2016 Arguments:  none
2017 Returns:    the next character or EOF
2018
2019 Only used by the server-side TLS.
2020 */
2021
2022 int
2023 tls_getc(void)
2024 {
2025 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
2026   {
2027   int error;
2028   int inbytes;
2029
2030   DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
2031     ssl_xfer_buffer, ssl_xfer_buffer_size);
2032
2033   if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
2034   inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer, ssl_xfer_buffer_size);
2035   error = SSL_get_error(server_ssl, inbytes);
2036   alarm(0);
2037
2038   /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
2039   closed down, not that the socket itself has been closed down. Revert to
2040   non-SSL handling. */
2041
2042   if (error == SSL_ERROR_ZERO_RETURN)
2043     {
2044     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2045
2046     receive_getc = smtp_getc;
2047     receive_ungetc = smtp_ungetc;
2048     receive_feof = smtp_feof;
2049     receive_ferror = smtp_ferror;
2050     receive_smtp_buffered = smtp_buffered;
2051
2052     SSL_free(server_ssl);
2053     server_ssl = NULL;
2054     tls_in.active = -1;
2055     tls_in.bits = 0;
2056     tls_in.cipher = NULL;
2057     tls_in.peerdn = NULL;
2058     tls_in.sni = NULL;
2059
2060     return smtp_getc();
2061     }
2062
2063   /* Handle genuine errors */
2064
2065   else if (error == SSL_ERROR_SSL)
2066     {
2067     ERR_error_string(ERR_get_error(), ssl_errstring);
2068     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
2069     ssl_xfer_error = 1;
2070     return EOF;
2071     }
2072
2073   else if (error != SSL_ERROR_NONE)
2074     {
2075     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2076     ssl_xfer_error = 1;
2077     return EOF;
2078     }
2079
2080 #ifndef DISABLE_DKIM
2081   dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
2082 #endif
2083   ssl_xfer_buffer_hwm = inbytes;
2084   ssl_xfer_buffer_lwm = 0;
2085   }
2086
2087 /* Something in the buffer; return next uschar */
2088
2089 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
2090 }
2091
2092
2093
2094 /*************************************************
2095 *          Read bytes from TLS channel           *
2096 *************************************************/
2097
2098 /*
2099 Arguments:
2100   buff      buffer of data
2101   len       size of buffer
2102
2103 Returns:    the number of bytes read
2104             -1 after a failed read
2105
2106 Only used by the client-side TLS.
2107 */
2108
2109 int
2110 tls_read(BOOL is_server, uschar *buff, size_t len)
2111 {
2112 SSL *ssl = is_server ? server_ssl : client_ssl;
2113 int inbytes;
2114 int error;
2115
2116 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
2117   buff, (unsigned int)len);
2118
2119 inbytes = SSL_read(ssl, CS buff, len);
2120 error = SSL_get_error(ssl, inbytes);
2121
2122 if (error == SSL_ERROR_ZERO_RETURN)
2123   {
2124   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2125   return -1;
2126   }
2127 else if (error != SSL_ERROR_NONE)
2128   {
2129   return -1;
2130   }
2131
2132 return inbytes;
2133 }
2134
2135
2136
2137
2138
2139 /*************************************************
2140 *         Write bytes down TLS channel           *
2141 *************************************************/
2142
2143 /*
2144 Arguments:
2145   is_server channel specifier
2146   buff      buffer of data
2147   len       number of bytes
2148
2149 Returns:    the number of bytes after a successful write,
2150             -1 after a failed write
2151
2152 Used by both server-side and client-side TLS.
2153 */
2154
2155 int
2156 tls_write(BOOL is_server, const uschar *buff, size_t len)
2157 {
2158 int outbytes;
2159 int error;
2160 int left = len;
2161 SSL *ssl = is_server ? server_ssl : client_ssl;
2162
2163 DEBUG(D_tls) debug_printf("tls_do_write(%p, %d)\n", buff, left);
2164 while (left > 0)
2165   {
2166   DEBUG(D_tls) debug_printf("SSL_write(SSL, %p, %d)\n", buff, left);
2167   outbytes = SSL_write(ssl, CS buff, left);
2168   error = SSL_get_error(ssl, outbytes);
2169   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
2170   switch (error)
2171     {
2172     case SSL_ERROR_SSL:
2173     ERR_error_string(ERR_get_error(), ssl_errstring);
2174     log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
2175     return -1;
2176
2177     case SSL_ERROR_NONE:
2178     left -= outbytes;
2179     buff += outbytes;
2180     break;
2181
2182     case SSL_ERROR_ZERO_RETURN:
2183     log_write(0, LOG_MAIN, "SSL channel closed on write");
2184     return -1;
2185
2186     case SSL_ERROR_SYSCALL:
2187     log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
2188       sender_fullhost ? sender_fullhost : US"<unknown>",
2189       strerror(errno));
2190
2191     default:
2192     log_write(0, LOG_MAIN, "SSL_write error %d", error);
2193     return -1;
2194     }
2195   }
2196 return len;
2197 }
2198
2199
2200
2201 /*************************************************
2202 *         Close down a TLS session               *
2203 *************************************************/
2204
2205 /* This is also called from within a delivery subprocess forked from the
2206 daemon, to shut down the TLS library, without actually doing a shutdown (which
2207 would tamper with the SSL session in the parent process).
2208
2209 Arguments:   TRUE if SSL_shutdown is to be called
2210 Returns:     nothing
2211
2212 Used by both server-side and client-side TLS.
2213 */
2214
2215 void
2216 tls_close(BOOL is_server, BOOL shutdown)
2217 {
2218 SSL **sslp = is_server ? &server_ssl : &client_ssl;
2219 int *fdp = is_server ? &tls_in.active : &tls_out.active;
2220
2221 if (*fdp < 0) return;  /* TLS was not active */
2222
2223 if (shutdown)
2224   {
2225   DEBUG(D_tls) debug_printf("tls_close(): shutting down SSL\n");
2226   SSL_shutdown(*sslp);
2227   }
2228
2229 SSL_free(*sslp);
2230 *sslp = NULL;
2231
2232 *fdp = -1;
2233 }
2234
2235
2236
2237
2238 /*************************************************
2239 *  Let tls_require_ciphers be checked at startup *
2240 *************************************************/
2241
2242 /* The tls_require_ciphers option, if set, must be something which the
2243 library can parse.
2244
2245 Returns:     NULL on success, or error message
2246 */
2247
2248 uschar *
2249 tls_validate_require_cipher(void)
2250 {
2251 SSL_CTX *ctx;
2252 uschar *s, *expciphers, *err;
2253
2254 /* this duplicates from tls_init(), we need a better "init just global
2255 state, for no specific purpose" singleton function of our own */
2256
2257 SSL_load_error_strings();
2258 OpenSSL_add_ssl_algorithms();
2259 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
2260 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2261 list of available digests. */
2262 EVP_add_digest(EVP_sha256());
2263 #endif
2264
2265 if (!(tls_require_ciphers && *tls_require_ciphers))
2266   return NULL;
2267
2268 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers))
2269   return US"failed to expand tls_require_ciphers";
2270
2271 if (!(expciphers && *expciphers))
2272   return NULL;
2273
2274 /* normalisation ripped from above */
2275 s = expciphers;
2276 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2277
2278 err = NULL;
2279
2280 ctx = SSL_CTX_new(SSLv23_server_method());
2281 if (!ctx)
2282   {
2283   ERR_error_string(ERR_get_error(), ssl_errstring);
2284   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
2285   }
2286
2287 DEBUG(D_tls)
2288   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
2289
2290 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
2291   {
2292   ERR_error_string(ERR_get_error(), ssl_errstring);
2293   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed", expciphers);
2294   }
2295
2296 SSL_CTX_free(ctx);
2297
2298 return err;
2299 }
2300
2301
2302
2303
2304 /*************************************************
2305 *         Report the library versions.           *
2306 *************************************************/
2307
2308 /* There have historically been some issues with binary compatibility in
2309 OpenSSL libraries; if Exim (like many other applications) is built against
2310 one version of OpenSSL but the run-time linker picks up another version,
2311 it can result in serious failures, including crashing with a SIGSEGV.  So
2312 report the version found by the compiler and the run-time version.
2313
2314 Note: some OS vendors backport security fixes without changing the version
2315 number/string, and the version date remains unchanged.  The _build_ date
2316 will change, so we can more usefully assist with version diagnosis by also
2317 reporting the build date.
2318
2319 Arguments:   a FILE* to print the results to
2320 Returns:     nothing
2321 */
2322
2323 void
2324 tls_version_report(FILE *f)
2325 {
2326 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
2327            "                          Runtime: %s\n"
2328            "                                 : %s\n",
2329            OPENSSL_VERSION_TEXT,
2330            SSLeay_version(SSLEAY_VERSION),
2331            SSLeay_version(SSLEAY_BUILT_ON));
2332 /* third line is 38 characters for the %s and the line is 73 chars long;
2333 the OpenSSL output includes a "built on: " prefix already. */
2334 }
2335
2336
2337
2338
2339 /*************************************************
2340 *            Random number generation            *
2341 *************************************************/
2342
2343 /* Pseudo-random number generation.  The result is not expected to be
2344 cryptographically strong but not so weak that someone will shoot themselves
2345 in the foot using it as a nonce in input in some email header scheme or
2346 whatever weirdness they'll twist this into.  The result should handle fork()
2347 and avoid repeating sequences.  OpenSSL handles that for us.
2348
2349 Arguments:
2350   max       range maximum
2351 Returns     a random number in range [0, max-1]
2352 */
2353
2354 int
2355 vaguely_random_number(int max)
2356 {
2357 unsigned int r;
2358 int i, needed_len;
2359 static pid_t pidlast = 0;
2360 pid_t pidnow;
2361 uschar *p;
2362 uschar smallbuf[sizeof(r)];
2363
2364 if (max <= 1)
2365   return 0;
2366
2367 pidnow = getpid();
2368 if (pidnow != pidlast)
2369   {
2370   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
2371   is unique for each thread", this doesn't apparently apply across processes,
2372   so our own warning from vaguely_random_number_fallback() applies here too.
2373   Fix per PostgreSQL. */
2374   if (pidlast != 0)
2375     RAND_cleanup();
2376   pidlast = pidnow;
2377   }
2378
2379 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
2380 if (!RAND_status())
2381   {
2382   randstuff r;
2383   gettimeofday(&r.tv, NULL);
2384   r.p = getpid();
2385
2386   RAND_seed((uschar *)(&r), sizeof(r));
2387   }
2388 /* We're after pseudo-random, not random; if we still don't have enough data
2389 in the internal PRNG then our options are limited.  We could sleep and hope
2390 for entropy to come along (prayer technique) but if the system is so depleted
2391 in the first place then something is likely to just keep taking it.  Instead,
2392 we'll just take whatever little bit of pseudo-random we can still manage to
2393 get. */
2394
2395 needed_len = sizeof(r);
2396 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
2397 asked for a number less than 10. */
2398 for (r = max, i = 0; r; ++i)
2399   r >>= 1;
2400 i = (i + 7) / 8;
2401 if (i < needed_len)
2402   needed_len = i;
2403
2404 /* We do not care if crypto-strong */
2405 i = RAND_pseudo_bytes(smallbuf, needed_len);
2406 if (i < 0)
2407   {
2408   DEBUG(D_all)
2409     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
2410   return vaguely_random_number_fallback(max);
2411   }
2412
2413 r = 0;
2414 for (p = smallbuf; needed_len; --needed_len, ++p)
2415   {
2416   r *= 256;
2417   r += *p;
2418   }
2419
2420 /* We don't particularly care about weighted results; if someone wants
2421 smooth distribution and cares enough then they should submit a patch then. */
2422 return r % max;
2423 }
2424
2425
2426
2427
2428 /*************************************************
2429 *        OpenSSL option parse                    *
2430 *************************************************/
2431
2432 /* Parse one option for tls_openssl_options_parse below
2433
2434 Arguments:
2435   name    one option name
2436   value   place to store a value for it
2437 Returns   success or failure in parsing
2438 */
2439
2440 struct exim_openssl_option {
2441   uschar *name;
2442   long    value;
2443 };
2444 /* We could use a macro to expand, but we need the ifdef and not all the
2445 options document which version they were introduced in.  Policylet: include
2446 all options unless explicitly for DTLS, let the administrator choose which
2447 to apply.
2448
2449 This list is current as of:
2450   ==>  1.0.1b  <==
2451 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
2452 */
2453 static struct exim_openssl_option exim_openssl_options[] = {
2454 /* KEEP SORTED ALPHABETICALLY! */
2455 #ifdef SSL_OP_ALL
2456   { US"all", SSL_OP_ALL },
2457 #endif
2458 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
2459   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
2460 #endif
2461 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
2462   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
2463 #endif
2464 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
2465   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
2466 #endif
2467 #ifdef SSL_OP_EPHEMERAL_RSA
2468   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
2469 #endif
2470 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
2471   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
2472 #endif
2473 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
2474   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
2475 #endif
2476 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
2477   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
2478 #endif
2479 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
2480   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
2481 #endif
2482 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
2483   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
2484 #endif
2485 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
2486   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
2487 #endif
2488 #ifdef SSL_OP_NO_COMPRESSION
2489   { US"no_compression", SSL_OP_NO_COMPRESSION },
2490 #endif
2491 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
2492   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
2493 #endif
2494 #ifdef SSL_OP_NO_SSLv2
2495   { US"no_sslv2", SSL_OP_NO_SSLv2 },
2496 #endif
2497 #ifdef SSL_OP_NO_SSLv3
2498   { US"no_sslv3", SSL_OP_NO_SSLv3 },
2499 #endif
2500 #ifdef SSL_OP_NO_TICKET
2501   { US"no_ticket", SSL_OP_NO_TICKET },
2502 #endif
2503 #ifdef SSL_OP_NO_TLSv1
2504   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
2505 #endif
2506 #ifdef SSL_OP_NO_TLSv1_1
2507 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
2508   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
2509 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
2510 #else
2511   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
2512 #endif
2513 #endif
2514 #ifdef SSL_OP_NO_TLSv1_2
2515   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
2516 #endif
2517 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
2518   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
2519 #endif
2520 #ifdef SSL_OP_SINGLE_DH_USE
2521   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
2522 #endif
2523 #ifdef SSL_OP_SINGLE_ECDH_USE
2524   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
2525 #endif
2526 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
2527   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
2528 #endif
2529 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
2530   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
2531 #endif
2532 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
2533   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
2534 #endif
2535 #ifdef SSL_OP_TLS_D5_BUG
2536   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
2537 #endif
2538 #ifdef SSL_OP_TLS_ROLLBACK_BUG
2539   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
2540 #endif
2541 };
2542 static int exim_openssl_options_size =
2543   sizeof(exim_openssl_options)/sizeof(struct exim_openssl_option);
2544
2545
2546 static BOOL
2547 tls_openssl_one_option_parse(uschar *name, long *value)
2548 {
2549 int first = 0;
2550 int last = exim_openssl_options_size;
2551 while (last > first)
2552   {
2553   int middle = (first + last)/2;
2554   int c = Ustrcmp(name, exim_openssl_options[middle].name);
2555   if (c == 0)
2556     {
2557     *value = exim_openssl_options[middle].value;
2558     return TRUE;
2559     }
2560   else if (c > 0)
2561     first = middle + 1;
2562   else
2563     last = middle;
2564   }
2565 return FALSE;
2566 }
2567
2568
2569
2570
2571 /*************************************************
2572 *        OpenSSL option parsing logic            *
2573 *************************************************/
2574
2575 /* OpenSSL has a number of compatibility options which an administrator might
2576 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
2577 we look like log_selector.
2578
2579 Arguments:
2580   option_spec  the administrator-supplied string of options
2581   results      ptr to long storage for the options bitmap
2582 Returns        success or failure
2583 */
2584
2585 BOOL
2586 tls_openssl_options_parse(uschar *option_spec, long *results)
2587 {
2588 long result, item;
2589 uschar *s, *end;
2590 uschar keep_c;
2591 BOOL adding, item_parsed;
2592
2593 result = 0L;
2594 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
2595  * from default because it increases BEAST susceptibility. */
2596 #ifdef SSL_OP_NO_SSLv2
2597 result |= SSL_OP_NO_SSLv2;
2598 #endif
2599
2600 if (option_spec == NULL)
2601   {
2602   *results = result;
2603   return TRUE;
2604   }
2605
2606 for (s=option_spec; *s != '\0'; /**/)
2607   {
2608   while (isspace(*s)) ++s;
2609   if (*s == '\0')
2610     break;
2611   if (*s != '+' && *s != '-')
2612     {
2613     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
2614         "+ or - expected but found \"%s\"\n", s);
2615     return FALSE;
2616     }
2617   adding = *s++ == '+';
2618   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
2619   keep_c = *end;
2620   *end = '\0';
2621   item_parsed = tls_openssl_one_option_parse(s, &item);
2622   if (!item_parsed)
2623     {
2624     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
2625     return FALSE;
2626     }
2627   DEBUG(D_tls) debug_printf("openssl option, %s from %lx: %lx (%s)\n",
2628       adding ? "adding" : "removing", result, item, s);
2629   if (adding)
2630     result |= item;
2631   else
2632     result &= ~item;
2633   *end = keep_c;
2634   s = end;
2635   }
2636
2637 *results = result;
2638 return TRUE;
2639 }
2640
2641 /* vi: aw ai sw=2
2642 */
2643 /* End of tls-openssl.c */