9e008e149c5834512e08cc3b5188f7196fde64b2
[exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef EXPERIMENTAL_DANE
32 # include <danessl.h>
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44
45 /*
46  * X509_check_host provides sane certificate hostname checking, but was added
47  * to OpenSSL late, after other projects forked off the code-base.  So in
48  * addition to guarding against the base version number, beware that LibreSSL
49  * does not (at this time) support this function.
50  *
51  * If LibreSSL gains a different API, perhaps via libtls, then we'll probably
52  * opt to disentangle and ask a LibreSSL user to provide glue for a third
53  * crypto provider for libtls instead of continuing to tie the OpenSSL glue
54  * into even twistier knots.  If LibreSSL gains the same API, we can just
55  * change this guard and punt the issue for a while longer.
56  */
57 #ifndef LIBRESSL_VERSION_NUMBER
58 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
59 #  define EXIM_HAVE_OPENSSL_CHECKHOST
60 # endif
61 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
62     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
63 #  define EXIM_HAVE_OPENSSL_CHECKHOST
64 # endif
65 #endif
66
67 #if !defined(LIBRESSL_VERSION_NUMBER) \
68     || LIBRESSL_VERSION_NUMBER >= 0x20010000L
69 # if !defined(OPENSSL_NO_ECDH)
70 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
71 #   define EXIM_HAVE_ECDH
72 #  endif
73 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
74 #   define EXIM_HAVE_OPENSSL_ECDH_AUTO
75 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
76 #  endif
77 # endif
78 #endif
79
80 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
81 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
82 # define DISABLE_OCSP
83 #endif
84
85 /* Structure for collecting random data for seeding. */
86
87 typedef struct randstuff {
88   struct timeval tv;
89   pid_t          p;
90 } randstuff;
91
92 /* Local static variables */
93
94 static BOOL client_verify_callback_called = FALSE;
95 static BOOL server_verify_callback_called = FALSE;
96 static const uschar *sid_ctx = US"exim";
97
98 /* We have three different contexts to care about.
99
100 Simple case: client, `client_ctx`
101  As a client, we can be doing a callout or cut-through delivery while receiving
102  a message.  So we have a client context, which should have options initialised
103  from the SMTP Transport.
104
105 Server:
106  There are two cases: with and without ServerNameIndication from the client.
107  Given TLS SNI, we can be using different keys, certs and various other
108  configuration settings, because they're re-expanded with $tls_sni set.  This
109  allows vhosting with TLS.  This SNI is sent in the handshake.
110  A client might not send SNI, so we need a fallback, and an initial setup too.
111  So as a server, we start out using `server_ctx`.
112  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
113  `server_sni` from `server_ctx` and then initialise settings by re-expanding
114  configuration.
115 */
116
117 static SSL_CTX *client_ctx = NULL;
118 static SSL_CTX *server_ctx = NULL;
119 static SSL     *client_ssl = NULL;
120 static SSL     *server_ssl = NULL;
121
122 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
123 static SSL_CTX *server_sni = NULL;
124 #endif
125
126 static char ssl_errstring[256];
127
128 static int  ssl_session_timeout = 200;
129 static BOOL client_verify_optional = FALSE;
130 static BOOL server_verify_optional = FALSE;
131
132 static BOOL reexpand_tls_files_for_sni = FALSE;
133
134
135 typedef struct tls_ext_ctx_cb {
136   uschar *certificate;
137   uschar *privatekey;
138 #ifndef DISABLE_OCSP
139   BOOL is_server;
140   union {
141     struct {
142       uschar        *file;
143       uschar        *file_expanded;
144       OCSP_RESPONSE *response;
145     } server;
146     struct {
147       X509_STORE    *verify_store;      /* non-null if status requested */
148       BOOL          verify_required;
149     } client;
150   } u_ocsp;
151 #endif
152   uschar *dhparam;
153   /* these are cached from first expand */
154   uschar *server_cipher_list;
155   /* only passed down to tls_error: */
156   host_item *host;
157   const uschar * verify_cert_hostnames;
158 #ifndef DISABLE_EVENT
159   uschar * event_action;
160 #endif
161 } tls_ext_ctx_cb;
162
163 /* should figure out a cleanup of API to handle state preserved per
164 implementation, for various reasons, which can be void * in the APIs.
165 For now, we hack around it. */
166 tls_ext_ctx_cb *client_static_cbinfo = NULL;
167 tls_ext_ctx_cb *server_static_cbinfo = NULL;
168
169 static int
170 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
171     int (*cert_vfy_cb)(int, X509_STORE_CTX *) );
172
173 /* Callbacks */
174 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
175 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
176 #endif
177 #ifndef DISABLE_OCSP
178 static int tls_server_stapling_cb(SSL *s, void *arg);
179 #endif
180
181
182 /*************************************************
183 *               Handle TLS error                 *
184 *************************************************/
185
186 /* Called from lots of places when errors occur before actually starting to do
187 the TLS handshake, that is, while the session is still in clear. Always returns
188 DEFER for a server and FAIL for a client so that most calls can use "return
189 tls_error(...)" to do this processing and then give an appropriate return. A
190 single function is used for both server and client, because it is called from
191 some shared functions.
192
193 Argument:
194   prefix    text to include in the logged error
195   host      NULL if setting up a server;
196             the connected host if setting up a client
197   msg       error message or NULL if we should ask OpenSSL
198
199 Returns:    OK/DEFER/FAIL
200 */
201
202 static int
203 tls_error(uschar * prefix, const host_item * host, uschar *  msg)
204 {
205 if (!msg)
206   {
207   ERR_error_string(ERR_get_error(), ssl_errstring);
208   msg = (uschar *)ssl_errstring;
209   }
210
211 if (host)
212   {
213   log_write(0, LOG_MAIN, "H=%s [%s] TLS error on connection (%s): %s",
214     host->name, host->address, prefix, msg);
215   return FAIL;
216   }
217 else
218   {
219   uschar *conn_info = smtp_get_connection_info();
220   if (Ustrncmp(conn_info, US"SMTP ", 5) == 0)
221     conn_info += 5;
222   /* I'd like to get separated H= here, but too hard for now */
223   log_write(0, LOG_MAIN, "TLS error on %s (%s): %s",
224     conn_info, prefix, msg);
225   return DEFER;
226   }
227 }
228
229
230
231 /*************************************************
232 *        Callback to generate RSA key            *
233 *************************************************/
234
235 /*
236 Arguments:
237   s          SSL connection
238   export     not used
239   keylength  keylength
240
241 Returns:     pointer to generated key
242 */
243
244 static RSA *
245 rsa_callback(SSL *s, int export, int keylength)
246 {
247 RSA *rsa_key;
248 export = export;     /* Shut picky compilers up */
249 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
250 rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL);
251 if (rsa_key == NULL)
252   {
253   ERR_error_string(ERR_get_error(), ssl_errstring);
254   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
255     ssl_errstring);
256   return NULL;
257   }
258 return rsa_key;
259 }
260
261
262
263 /* Extreme debug
264 #ifndef DISABLE_OCSP
265 void
266 x509_store_dump_cert_s_names(X509_STORE * store)
267 {
268 STACK_OF(X509_OBJECT) * roots= store->objs;
269 int i;
270 static uschar name[256];
271
272 for(i= 0; i<sk_X509_OBJECT_num(roots); i++)
273   {
274   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
275   if(tmp_obj->type == X509_LU_X509)
276     {
277     X509 * current_cert= tmp_obj->data.x509;
278     X509_NAME_oneline(X509_get_subject_name(current_cert), CS name, sizeof(name));
279         name[sizeof(name)-1] = '\0';
280     debug_printf(" %s\n", name);
281     }
282   }
283 }
284 #endif
285 */
286
287
288 #ifndef DISABLE_EVENT
289 static int
290 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
291   BOOL *calledp, const BOOL *optionalp, const uschar * what)
292 {
293 uschar * ev;
294 uschar * yield;
295 X509 * old_cert;
296
297 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
298 if (ev)
299   {
300   DEBUG(D_tls) debug_printf("verify_event: %s %d\n", what, depth);
301   old_cert = tlsp->peercert;
302   tlsp->peercert = X509_dup(cert);
303   /* NB we do not bother setting peerdn */
304   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
305     {
306     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
307                 "depth=%d cert=%s: %s",
308               tlsp == &tls_out ? deliver_host_address : sender_host_address,
309               what, depth, dn, yield);
310     *calledp = TRUE;
311     if (!*optionalp)
312       {
313       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
314       return 1;                     /* reject (leaving peercert set) */
315       }
316     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
317       "(host in tls_try_verify_hosts)\n");
318     }
319   X509_free(tlsp->peercert);
320   tlsp->peercert = old_cert;
321   }
322 return 0;
323 }
324 #endif
325
326 /*************************************************
327 *        Callback for verification               *
328 *************************************************/
329
330 /* The SSL library does certificate verification if set up to do so. This
331 callback has the current yes/no state is in "state". If verification succeeded,
332 we set the certificate-verified flag. If verification failed, what happens
333 depends on whether the client is required to present a verifiable certificate
334 or not.
335
336 If verification is optional, we change the state to yes, but still log the
337 verification error. For some reason (it really would help to have proper
338 documentation of OpenSSL), this callback function then gets called again, this
339 time with state = 1.  We must take care not to set the private verified flag on
340 the second time through.
341
342 Note: this function is not called if the client fails to present a certificate
343 when asked. We get here only if a certificate has been received. Handling of
344 optional verification for this case is done when requesting SSL to verify, by
345 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
346
347 May be called multiple times for different issues with a certificate, even
348 for a given "depth" in the certificate chain.
349
350 Arguments:
351   preverify_ok current yes/no state as 1/0
352   x509ctx      certificate information.
353   tlsp         per-direction (client vs. server) support data
354   calledp      has-been-called flag
355   optionalp    verification-is-optional flag
356
357 Returns:     0 if verification should fail, otherwise 1
358 */
359
360 static int
361 verify_callback(int preverify_ok, X509_STORE_CTX *x509ctx,
362   tls_support *tlsp, BOOL *calledp, BOOL *optionalp)
363 {
364 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
365 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
366 uschar dn[256];
367
368 X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn));
369 dn[sizeof(dn)-1] = '\0';
370
371 if (preverify_ok == 0)
372   {
373   log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
374         tlsp == &tls_out ? deliver_host_address : sender_host_address,
375     depth,
376     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)),
377     dn);
378   *calledp = TRUE;
379   if (!*optionalp)
380     {
381     if (!tlsp->peercert)
382       tlsp->peercert = X509_dup(cert);  /* record failing cert */
383     return 0;                           /* reject */
384     }
385   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
386     "tls_try_verify_hosts)\n");
387   }
388
389 else if (depth != 0)
390   {
391   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
392 #ifndef DISABLE_OCSP
393   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
394     {   /* client, wanting stapling  */
395     /* Add the server cert's signing chain as the one
396     for the verification of the OCSP stapled information. */
397
398     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
399                              cert))
400       ERR_clear_error();
401     }
402 #endif
403 #ifndef DISABLE_EVENT
404     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
405       return 0;                         /* reject, with peercert set */
406 #endif
407   }
408 else
409   {
410   const uschar * verify_cert_hostnames;
411
412   if (  tlsp == &tls_out
413      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
414         /* client, wanting hostname check */
415     {
416
417 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
418 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
419 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
420 # endif
421 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
422 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
423 # endif
424     int sep = 0;
425     const uschar * list = verify_cert_hostnames;
426     uschar * name;
427     int rc;
428     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
429       if ((rc = X509_check_host(cert, CCS name, 0,
430                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
431                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
432                   NULL)))
433         {
434         if (rc < 0)
435           {
436           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
437                 tlsp == &tls_out ? deliver_host_address : sender_host_address);
438           name = NULL;
439           }
440         break;
441         }
442     if (!name)
443 #else
444     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
445 #endif
446       {
447       log_write(0, LOG_MAIN,
448                 "[%s] SSL verify error: certificate name mismatch: \"%s\"",
449                 tlsp == &tls_out ? deliver_host_address : sender_host_address,
450                 dn);
451       *calledp = TRUE;
452       if (!*optionalp)
453         {
454         if (!tlsp->peercert)
455           tlsp->peercert = X509_dup(cert);      /* record failing cert */
456         return 0;                               /* reject */
457         }
458       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
459         "tls_try_verify_hosts)\n");
460       }
461     }
462
463 #ifndef DISABLE_EVENT
464   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
465     return 0;                           /* reject, with peercert set */
466 #endif
467
468   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
469     *calledp ? "" : " authenticated", dn);
470   if (!*calledp) tlsp->certificate_verified = TRUE;
471   *calledp = TRUE;
472   }
473
474 return 1;   /* accept, at least for this level */
475 }
476
477 static int
478 verify_callback_client(int preverify_ok, X509_STORE_CTX *x509ctx)
479 {
480 return verify_callback(preverify_ok, x509ctx, &tls_out,
481   &client_verify_callback_called, &client_verify_optional);
482 }
483
484 static int
485 verify_callback_server(int preverify_ok, X509_STORE_CTX *x509ctx)
486 {
487 return verify_callback(preverify_ok, x509ctx, &tls_in,
488   &server_verify_callback_called, &server_verify_optional);
489 }
490
491
492 #ifdef EXPERIMENTAL_DANE
493
494 /* This gets called *by* the dane library verify callback, which interposes
495 itself.
496 */
497 static int
498 verify_callback_client_dane(int preverify_ok, X509_STORE_CTX * x509ctx)
499 {
500 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
501 uschar dn[256];
502 #ifndef DISABLE_EVENT
503 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
504 BOOL dummy_called, optional = FALSE;
505 #endif
506
507 X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn));
508 dn[sizeof(dn)-1] = '\0';
509
510 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
511   preverify_ok ? "ok":"BAD", depth, dn);
512
513 #ifndef DISABLE_EVENT
514   if (verify_event(&tls_out, cert, depth, dn,
515           &dummy_called, &optional, US"DANE"))
516     return 0;                           /* reject, with peercert set */
517 #endif
518
519 if (preverify_ok == 1)
520   tls_out.dane_verified =
521   tls_out.certificate_verified = TRUE;
522 else
523   {
524   int err = X509_STORE_CTX_get_error(x509ctx);
525   DEBUG(D_tls)
526     debug_printf(" - err %d '%s'\n", err, X509_verify_cert_error_string(err));
527   if (err == X509_V_ERR_APPLICATION_VERIFICATION)
528     preverify_ok = 1;
529   }
530 return preverify_ok;
531 }
532
533 #endif  /*EXPERIMENTAL_DANE*/
534
535
536 /*************************************************
537 *           Information callback                 *
538 *************************************************/
539
540 /* The SSL library functions call this from time to time to indicate what they
541 are doing. We copy the string to the debugging output when TLS debugging has
542 been requested.
543
544 Arguments:
545   s         the SSL connection
546   where
547   ret
548
549 Returns:    nothing
550 */
551
552 static void
553 info_callback(SSL *s, int where, int ret)
554 {
555 where = where;
556 ret = ret;
557 DEBUG(D_tls) debug_printf("SSL info: %s\n", SSL_state_string_long(s));
558 }
559
560
561
562 /*************************************************
563 *                Initialize for DH               *
564 *************************************************/
565
566 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
567
568 Arguments:
569   sctx      The current SSL CTX (inbound or outbound)
570   dhparam   DH parameter file or fixed parameter identity string
571   host      connected host, if client; NULL if server
572
573 Returns:    TRUE if OK (nothing to set up, or setup worked)
574 */
575
576 static BOOL
577 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host)
578 {
579 BIO *bio;
580 DH *dh;
581 uschar *dhexpanded;
582 const char *pem;
583
584 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded))
585   return FALSE;
586
587 if (!dhexpanded || !*dhexpanded)
588   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
589 else if (dhexpanded[0] == '/')
590   {
591   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
592     {
593     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
594           host, US strerror(errno));
595     return FALSE;
596     }
597   }
598 else
599   {
600   if (Ustrcmp(dhexpanded, "none") == 0)
601     {
602     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
603     return TRUE;
604     }
605
606   if (!(pem = std_dh_prime_named(dhexpanded)))
607     {
608     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
609         host, US strerror(errno));
610     return FALSE;
611     }
612   bio = BIO_new_mem_buf(CS pem, -1);
613   }
614
615 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
616   {
617   BIO_free(bio);
618   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
619       host, NULL);
620   return FALSE;
621   }
622
623 /* Even if it is larger, we silently return success rather than cause things
624  * to fail out, so that a too-large DH will not knock out all TLS; it's a
625  * debatable choice. */
626 if ((8*DH_size(dh)) > tls_dh_max_bits)
627   {
628   DEBUG(D_tls)
629     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d",
630         8*DH_size(dh), tls_dh_max_bits);
631   }
632 else
633   {
634   SSL_CTX_set_tmp_dh(sctx, dh);
635   DEBUG(D_tls)
636     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
637       dhexpanded ? dhexpanded : US"default", 8*DH_size(dh));
638   }
639
640 DH_free(dh);
641 BIO_free(bio);
642
643 return TRUE;
644 }
645
646
647
648
649 /*************************************************
650 *               Initialize for ECDH              *
651 *************************************************/
652
653 /* Load parameters for ECDH encryption.
654
655 For now, we stick to NIST P-256 because: it's simple and easy to configure;
656 it avoids any patent issues that might bite redistributors; despite events in
657 the news and concerns over curve choices, we're not cryptographers, we're not
658 pretending to be, and this is "good enough" to be better than no support,
659 protecting against most adversaries.  Given another year or two, there might
660 be sufficient clarity about a "right" way forward to let us make an informed
661 decision, instead of a knee-jerk reaction.
662
663 Longer-term, we should look at supporting both various named curves and
664 external files generated with "openssl ecparam", much as we do for init_dh().
665 We should also support "none" as a value, to explicitly avoid initialisation.
666
667 Patches welcome.
668
669 Arguments:
670   sctx      The current SSL CTX (inbound or outbound)
671   host      connected host, if client; NULL if server
672
673 Returns:    TRUE if OK (nothing to set up, or setup worked)
674 */
675
676 static BOOL
677 init_ecdh(SSL_CTX * sctx, host_item * host)
678 {
679 #ifdef OPENSSL_NO_ECDH
680 return TRUE;
681 #else
682
683 EC_KEY * ecdh;
684 uschar * exp_curve;
685 int nid;
686 BOOL rv;
687
688 if (host)       /* No ECDH setup for clients, only for servers */
689   return TRUE;
690
691 # ifndef EXIM_HAVE_ECDH
692 DEBUG(D_tls)
693   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
694 return TRUE;
695 # else
696
697 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve))
698   return FALSE;
699 if (!exp_curve || !*exp_curve)
700   return TRUE;
701
702 #  ifdef EXIM_HAVE_OPENSSL_ECDH_AUTO
703 /* check if new enough library to support auto ECDH temp key parameter selection */
704 if (Ustrcmp(exp_curve, "auto") == 0)
705   {
706   DEBUG(D_tls) debug_printf(
707     "ECDH temp key parameter settings: OpenSSL 1.2+ autoselection\n");
708   SSL_CTX_set_ecdh_auto(sctx, 1);
709   return TRUE;
710   }
711 #  endif
712
713 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
714 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
715 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
716    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
717 #   endif
718    )
719   {
720   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'",
721       exp_curve),
722     host, NULL);
723   return FALSE;
724   }
725
726 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
727   {
728   tls_error(US"Unable to create ec curve", host, NULL);
729   return FALSE;
730   }
731
732 /* The "tmp" in the name here refers to setting a temporary key
733 not to the stability of the interface. */
734
735 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
736   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL);
737 else
738   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
739
740 EC_KEY_free(ecdh);
741 return !rv;
742
743 # endif /*EXIM_HAVE_ECDH*/
744 #endif /*OPENSSL_NO_ECDH*/
745 }
746
747
748
749
750 #ifndef DISABLE_OCSP
751 /*************************************************
752 *       Load OCSP information into state         *
753 *************************************************/
754
755 /* Called to load the server OCSP response from the given file into memory, once
756 caller has determined this is needed.  Checks validity.  Debugs a message
757 if invalid.
758
759 ASSUMES: single response, for single cert.
760
761 Arguments:
762   sctx            the SSL_CTX* to update
763   cbinfo          various parts of session state
764   expanded        the filename putatively holding an OCSP response
765
766 */
767
768 static void
769 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
770 {
771 BIO *bio;
772 OCSP_RESPONSE *resp;
773 OCSP_BASICRESP *basic_response;
774 OCSP_SINGLERESP *single_response;
775 ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
776 X509_STORE *store;
777 unsigned long verify_flags;
778 int status, reason, i;
779
780 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
781 if (cbinfo->u_ocsp.server.response)
782   {
783   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
784   cbinfo->u_ocsp.server.response = NULL;
785   }
786
787 bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb");
788 if (!bio)
789   {
790   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
791       cbinfo->u_ocsp.server.file_expanded);
792   return;
793   }
794
795 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
796 BIO_free(bio);
797 if (!resp)
798   {
799   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
800   return;
801   }
802
803 status = OCSP_response_status(resp);
804 if (status != OCSP_RESPONSE_STATUS_SUCCESSFUL)
805   {
806   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
807       OCSP_response_status_str(status), status);
808   goto bad;
809   }
810
811 basic_response = OCSP_response_get1_basic(resp);
812 if (!basic_response)
813   {
814   DEBUG(D_tls)
815     debug_printf("OCSP response parse error: unable to extract basic response.\n");
816   goto bad;
817   }
818
819 store = SSL_CTX_get_cert_store(sctx);
820 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
821
822 /* May need to expose ability to adjust those flags?
823 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
824 OCSP_TRUSTOTHER OCSP_NOINTERN */
825
826 i = OCSP_basic_verify(basic_response, NULL, store, verify_flags);
827 if (i <= 0)
828   {
829   DEBUG(D_tls) {
830     ERR_error_string(ERR_get_error(), ssl_errstring);
831     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
832     }
833   goto bad;
834   }
835
836 /* Here's the simplifying assumption: there's only one response, for the
837 one certificate we use, and nothing for anything else in a chain.  If this
838 proves false, we need to extract a cert id from our issued cert
839 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
840 right cert in the stack and then calls OCSP_single_get0_status()).
841
842 I'm hoping to avoid reworking a bunch more of how we handle state here. */
843 single_response = OCSP_resp_get0(basic_response, 0);
844 if (!single_response)
845   {
846   DEBUG(D_tls)
847     debug_printf("Unable to get first response from OCSP basic response.\n");
848   goto bad;
849   }
850
851 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
852 if (status != V_OCSP_CERTSTATUS_GOOD)
853   {
854   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
855       OCSP_cert_status_str(status), status,
856       OCSP_crl_reason_str(reason), reason);
857   goto bad;
858   }
859
860 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
861   {
862   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
863   goto bad;
864   }
865
866 supply_response:
867   cbinfo->u_ocsp.server.response = resp;
868 return;
869
870 bad:
871   if (running_in_test_harness)
872     {
873     extern char ** environ;
874     uschar ** p;
875     for (p = USS environ; *p != NULL; p++)
876       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
877         {
878         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
879         goto supply_response;
880         }
881     }
882 return;
883 }
884 #endif  /*!DISABLE_OCSP*/
885
886
887
888
889 /*************************************************
890 *        Expand key and cert file specs          *
891 *************************************************/
892
893 /* Called once during tls_init and possibly again during TLS setup, for a
894 new context, if Server Name Indication was used and tls_sni was seen in
895 the certificate string.
896
897 Arguments:
898   sctx            the SSL_CTX* to update
899   cbinfo          various parts of session state
900
901 Returns:          OK/DEFER/FAIL
902 */
903
904 static int
905 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo)
906 {
907 uschar *expanded;
908
909 if (cbinfo->certificate == NULL)
910   return OK;
911
912 if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
913     Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
914     Ustrstr(cbinfo->certificate, US"tls_out_sni")
915    )
916   reexpand_tls_files_for_sni = TRUE;
917
918 if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded))
919   return DEFER;
920
921 if (expanded != NULL)
922   {
923   DEBUG(D_tls) debug_printf("tls_certificate file %s\n", expanded);
924   if (!SSL_CTX_use_certificate_chain_file(sctx, CS expanded))
925     return tls_error(string_sprintf(
926       "SSL_CTX_use_certificate_chain_file file=%s", expanded),
927         cbinfo->host, NULL);
928   }
929
930 if (cbinfo->privatekey != NULL &&
931     !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded))
932   return DEFER;
933
934 /* If expansion was forced to fail, key_expanded will be NULL. If the result
935 of the expansion is an empty string, ignore it also, and assume the private
936 key is in the same file as the certificate. */
937
938 if (expanded && *expanded)
939   {
940   DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", expanded);
941   if (!SSL_CTX_use_PrivateKey_file(sctx, CS expanded, SSL_FILETYPE_PEM))
942     return tls_error(string_sprintf(
943       "SSL_CTX_use_PrivateKey_file file=%s", expanded), cbinfo->host, NULL);
944   }
945
946 #ifndef DISABLE_OCSP
947 if (cbinfo->is_server && cbinfo->u_ocsp.server.file)
948   {
949   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded))
950     return DEFER;
951
952   if (expanded && *expanded)
953     {
954     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
955     if (  cbinfo->u_ocsp.server.file_expanded
956        && (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
957       {
958       DEBUG(D_tls) debug_printf(" - value unchanged, using existing values\n");
959       }
960     else
961       {
962       ocsp_load_response(sctx, cbinfo, expanded);
963       }
964     }
965   }
966 #endif
967
968 return OK;
969 }
970
971
972
973
974 /*************************************************
975 *            Callback to handle SNI              *
976 *************************************************/
977
978 /* Called when acting as server during the TLS session setup if a Server Name
979 Indication extension was sent by the client.
980
981 API documentation is OpenSSL s_server.c implementation.
982
983 Arguments:
984   s               SSL* of the current session
985   ad              unknown (part of OpenSSL API) (unused)
986   arg             Callback of "our" registered data
987
988 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
989 */
990
991 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
992 static int
993 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
994 {
995 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
996 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
997 int rc;
998 int old_pool = store_pool;
999
1000 if (!servername)
1001   return SSL_TLSEXT_ERR_OK;
1002
1003 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
1004     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
1005
1006 /* Make the extension value available for expansion */
1007 store_pool = POOL_PERM;
1008 tls_in.sni = string_copy(US servername);
1009 store_pool = old_pool;
1010
1011 if (!reexpand_tls_files_for_sni)
1012   return SSL_TLSEXT_ERR_OK;
1013
1014 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
1015 not confident that memcpy wouldn't break some internal reference counting.
1016 Especially since there's a references struct member, which would be off. */
1017
1018 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1019   {
1020   ERR_error_string(ERR_get_error(), ssl_errstring);
1021   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1022   return SSL_TLSEXT_ERR_NOACK;
1023   }
1024
1025 /* Not sure how many of these are actually needed, since SSL object
1026 already exists.  Might even need this selfsame callback, for reneg? */
1027
1028 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1029 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1030 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1031 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1032 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1033 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1034
1035 if (  !init_dh(server_sni, cbinfo->dhparam, NULL)
1036    || !init_ecdh(server_sni, NULL)
1037    )
1038   return SSL_TLSEXT_ERR_NOACK;
1039
1040 if (cbinfo->server_cipher_list)
1041   SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list);
1042 #ifndef DISABLE_OCSP
1043 if (cbinfo->u_ocsp.server.file)
1044   {
1045   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1046   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1047   }
1048 #endif
1049
1050 rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE, verify_callback_server);
1051 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
1052
1053 /* do this after setup_certs, because this can require the certs for verifying
1054 OCSP information. */
1055 if ((rc = tls_expand_session_files(server_sni, cbinfo)) != OK)
1056   return SSL_TLSEXT_ERR_NOACK;
1057
1058 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1059 SSL_set_SSL_CTX(s, server_sni);
1060
1061 return SSL_TLSEXT_ERR_OK;
1062 }
1063 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1064
1065
1066
1067
1068 #ifndef DISABLE_OCSP
1069
1070 /*************************************************
1071 *        Callback to handle OCSP Stapling        *
1072 *************************************************/
1073
1074 /* Called when acting as server during the TLS session setup if the client
1075 requests OCSP information with a Certificate Status Request.
1076
1077 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1078 project.
1079
1080 */
1081
1082 static int
1083 tls_server_stapling_cb(SSL *s, void *arg)
1084 {
1085 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1086 uschar *response_der;
1087 int response_der_len;
1088
1089 DEBUG(D_tls)
1090   debug_printf("Received TLS status request (OCSP stapling); %s response\n",
1091     cbinfo->u_ocsp.server.response ? "have" : "lack");
1092
1093 tls_in.ocsp = OCSP_NOT_RESP;
1094 if (!cbinfo->u_ocsp.server.response)
1095   return SSL_TLSEXT_ERR_NOACK;
1096
1097 response_der = NULL;
1098 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,
1099                       &response_der);
1100 if (response_der_len <= 0)
1101   return SSL_TLSEXT_ERR_NOACK;
1102
1103 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1104 tls_in.ocsp = OCSP_VFIED;
1105 return SSL_TLSEXT_ERR_OK;
1106 }
1107
1108
1109 static void
1110 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1111 {
1112 BIO_printf(bp, "\t%s: ", str);
1113 ASN1_GENERALIZEDTIME_print(bp, time);
1114 BIO_puts(bp, "\n");
1115 }
1116
1117 static int
1118 tls_client_stapling_cb(SSL *s, void *arg)
1119 {
1120 tls_ext_ctx_cb * cbinfo = arg;
1121 const unsigned char * p;
1122 int len;
1123 OCSP_RESPONSE * rsp;
1124 OCSP_BASICRESP * bs;
1125 int i;
1126
1127 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
1128 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1129 if(!p)
1130  {
1131   /* Expect this when we requested ocsp but got none */
1132   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1133     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
1134   else
1135     DEBUG(D_tls) debug_printf(" null\n");
1136   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1137  }
1138
1139 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1140  {
1141   tls_out.ocsp = OCSP_FAILED;
1142   if (LOGGING(tls_cipher))
1143     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1144   else
1145     DEBUG(D_tls) debug_printf(" parse error\n");
1146   return 0;
1147  }
1148
1149 if(!(bs = OCSP_response_get1_basic(rsp)))
1150   {
1151   tls_out.ocsp = OCSP_FAILED;
1152   if (LOGGING(tls_cipher))
1153     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1154   else
1155     DEBUG(D_tls) debug_printf(" error parsing response\n");
1156   OCSP_RESPONSE_free(rsp);
1157   return 0;
1158   }
1159
1160 /* We'd check the nonce here if we'd put one in the request. */
1161 /* However that would defeat cacheability on the server so we don't. */
1162
1163 /* This section of code reworked from OpenSSL apps source;
1164    The OpenSSL Project retains copyright:
1165    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1166 */
1167   {
1168     BIO * bp = NULL;
1169     int status, reason;
1170     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1171
1172     DEBUG(D_tls) bp = BIO_new_fp(stderr, BIO_NOCLOSE);
1173
1174     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1175
1176     /* Use the chain that verified the server cert to verify the stapled info */
1177     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1178
1179     if ((i = OCSP_basic_verify(bs, NULL,
1180               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1181       {
1182       tls_out.ocsp = OCSP_FAILED;
1183       if (LOGGING(tls_cipher))
1184         log_write(0, LOG_MAIN, "Received TLS cert status response, itself unverifiable");
1185       BIO_printf(bp, "OCSP response verify failure\n");
1186       ERR_print_errors(bp);
1187       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1188       goto out;
1189       }
1190
1191     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1192
1193       {
1194       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1195       OCSP_SINGLERESP * single;
1196
1197       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1198         {
1199         tls_out.ocsp = OCSP_FAILED;
1200         log_write(0, LOG_MAIN, "OCSP stapling "
1201             "with multiple responses not handled");
1202         i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1203         goto out;
1204         }
1205       single = OCSP_resp_get0(bs, 0);
1206       status = OCSP_single_get0_status(single, &reason, &rev,
1207                   &thisupd, &nextupd);
1208       }
1209
1210     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1211     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1212     if (!OCSP_check_validity(thisupd, nextupd,
1213           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1214       {
1215       tls_out.ocsp = OCSP_FAILED;
1216       DEBUG(D_tls) ERR_print_errors(bp);
1217       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1218       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1219       }
1220     else
1221       {
1222       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1223                     OCSP_cert_status_str(status));
1224       switch(status)
1225         {
1226         case V_OCSP_CERTSTATUS_GOOD:
1227           tls_out.ocsp = OCSP_VFIED;
1228           i = 1;
1229           break;
1230         case V_OCSP_CERTSTATUS_REVOKED:
1231           tls_out.ocsp = OCSP_FAILED;
1232           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1233               reason != -1 ? "; reason: " : "",
1234               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1235           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1236           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1237           break;
1238         default:
1239           tls_out.ocsp = OCSP_FAILED;
1240           log_write(0, LOG_MAIN,
1241               "Server certificate status unknown, in OCSP stapling");
1242           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1243           break;
1244         }
1245       }
1246   out:
1247     BIO_free(bp);
1248   }
1249
1250 OCSP_RESPONSE_free(rsp);
1251 return i;
1252 }
1253 #endif  /*!DISABLE_OCSP*/
1254
1255
1256 /*************************************************
1257 *            Initialize for TLS                  *
1258 *************************************************/
1259
1260 /* Called from both server and client code, to do preliminary initialization
1261 of the library.  We allocate and return a context structure.
1262
1263 Arguments:
1264   ctxp            returned SSL context
1265   host            connected host, if client; NULL if server
1266   dhparam         DH parameter file
1267   certificate     certificate file
1268   privatekey      private key
1269   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1270   addr            address if client; NULL if server (for some randomness)
1271   cbp             place to put allocated callback context
1272
1273 Returns:          OK/DEFER/FAIL
1274 */
1275
1276 static int
1277 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1278   uschar *privatekey,
1279 #ifndef DISABLE_OCSP
1280   uschar *ocsp_file,
1281 #endif
1282   address_item *addr, tls_ext_ctx_cb ** cbp)
1283 {
1284 long init_options;
1285 int rc;
1286 BOOL okay;
1287 tls_ext_ctx_cb * cbinfo;
1288
1289 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1290 cbinfo->certificate = certificate;
1291 cbinfo->privatekey = privatekey;
1292 #ifndef DISABLE_OCSP
1293 if ((cbinfo->is_server = host==NULL))
1294   {
1295   cbinfo->u_ocsp.server.file = ocsp_file;
1296   cbinfo->u_ocsp.server.file_expanded = NULL;
1297   cbinfo->u_ocsp.server.response = NULL;
1298   }
1299 else
1300   cbinfo->u_ocsp.client.verify_store = NULL;
1301 #endif
1302 cbinfo->dhparam = dhparam;
1303 cbinfo->server_cipher_list = NULL;
1304 cbinfo->host = host;
1305 #ifndef DISABLE_EVENT
1306 cbinfo->event_action = NULL;
1307 #endif
1308
1309 SSL_load_error_strings();          /* basic set up */
1310 OpenSSL_add_ssl_algorithms();
1311
1312 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
1313 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1314 list of available digests. */
1315 EVP_add_digest(EVP_sha256());
1316 #endif
1317
1318 /* Create a context.
1319 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1320 negotiation in the different methods; as far as I can tell, the only
1321 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1322 when OpenSSL is built without SSLv2 support.
1323 By disabling with openssl_options, we can let admins re-enable with the
1324 existing knob. */
1325
1326 *ctxp = SSL_CTX_new((host == NULL)?
1327   SSLv23_server_method() : SSLv23_client_method());
1328
1329 if (*ctxp == NULL) return tls_error(US"SSL_CTX_new", host, NULL);
1330
1331 /* It turns out that we need to seed the random number generator this early in
1332 order to get the full complement of ciphers to work. It took me roughly a day
1333 of work to discover this by experiment.
1334
1335 On systems that have /dev/urandom, SSL may automatically seed itself from
1336 there. Otherwise, we have to make something up as best we can. Double check
1337 afterwards. */
1338
1339 if (!RAND_status())
1340   {
1341   randstuff r;
1342   gettimeofday(&r.tv, NULL);
1343   r.p = getpid();
1344
1345   RAND_seed((uschar *)(&r), sizeof(r));
1346   RAND_seed((uschar *)big_buffer, big_buffer_size);
1347   if (addr != NULL) RAND_seed((uschar *)addr, sizeof(addr));
1348
1349   if (!RAND_status())
1350     return tls_error(US"RAND_status", host,
1351       US"unable to seed random number generator");
1352   }
1353
1354 /* Set up the information callback, which outputs if debugging is at a suitable
1355 level. */
1356
1357 DEBUG(D_tls) SSL_CTX_set_info_callback(*ctxp, (void (*)())info_callback);
1358
1359 /* Automatically re-try reads/writes after renegotiation. */
1360 (void) SSL_CTX_set_mode(*ctxp, SSL_MODE_AUTO_RETRY);
1361
1362 /* Apply administrator-supplied work-arounds.
1363 Historically we applied just one requested option,
1364 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1365 moved to an administrator-controlled list of options to specify and
1366 grandfathered in the first one as the default value for "openssl_options".
1367
1368 No OpenSSL version number checks: the options we accept depend upon the
1369 availability of the option value macros from OpenSSL.  */
1370
1371 okay = tls_openssl_options_parse(openssl_options, &init_options);
1372 if (!okay)
1373   return tls_error(US"openssl_options parsing failed", host, NULL);
1374
1375 if (init_options)
1376   {
1377   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
1378   if (!(SSL_CTX_set_options(*ctxp, init_options)))
1379     return tls_error(string_sprintf(
1380           "SSL_CTX_set_option(%#lx)", init_options), host, NULL);
1381   }
1382 else
1383   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
1384
1385 /* Initialize with DH parameters if supplied */
1386 /* Initialize ECDH temp key parameter selection */
1387
1388 if (  !init_dh(*ctxp, dhparam, host)
1389    || !init_ecdh(*ctxp, host)
1390    )
1391   return DEFER;
1392
1393 /* Set up certificate and key (and perhaps OCSP info) */
1394
1395 rc = tls_expand_session_files(*ctxp, cbinfo);
1396 if (rc != OK) return rc;
1397
1398 /* If we need to handle SNI, do so */
1399 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1400 if (host == NULL)               /* server */
1401   {
1402 # ifndef DISABLE_OCSP
1403   /* We check u_ocsp.server.file, not server.response, because we care about if
1404   the option exists, not what the current expansion might be, as SNI might
1405   change the certificate and OCSP file in use between now and the time the
1406   callback is invoked. */
1407   if (cbinfo->u_ocsp.server.file)
1408     {
1409     SSL_CTX_set_tlsext_status_cb(server_ctx, tls_server_stapling_cb);
1410     SSL_CTX_set_tlsext_status_arg(server_ctx, cbinfo);
1411     }
1412 # endif
1413   /* We always do this, so that $tls_sni is available even if not used in
1414   tls_certificate */
1415   SSL_CTX_set_tlsext_servername_callback(*ctxp, tls_servername_cb);
1416   SSL_CTX_set_tlsext_servername_arg(*ctxp, cbinfo);
1417   }
1418 # ifndef DISABLE_OCSP
1419 else                    /* client */
1420   if(ocsp_file)         /* wanting stapling */
1421     {
1422     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
1423       {
1424       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
1425       return FAIL;
1426       }
1427     SSL_CTX_set_tlsext_status_cb(*ctxp, tls_client_stapling_cb);
1428     SSL_CTX_set_tlsext_status_arg(*ctxp, cbinfo);
1429     }
1430 # endif
1431 #endif
1432
1433 cbinfo->verify_cert_hostnames = NULL;
1434
1435 /* Set up the RSA callback */
1436
1437 SSL_CTX_set_tmp_rsa_callback(*ctxp, rsa_callback);
1438
1439 /* Finally, set the timeout, and we are done */
1440
1441 SSL_CTX_set_timeout(*ctxp, ssl_session_timeout);
1442 DEBUG(D_tls) debug_printf("Initialized TLS\n");
1443
1444 *cbp = cbinfo;
1445
1446 return OK;
1447 }
1448
1449
1450
1451
1452 /*************************************************
1453 *           Get name of cipher in use            *
1454 *************************************************/
1455
1456 /*
1457 Argument:   pointer to an SSL structure for the connection
1458             buffer to use for answer
1459             size of buffer
1460             pointer to number of bits for cipher
1461 Returns:    nothing
1462 */
1463
1464 static void
1465 construct_cipher_name(SSL *ssl, uschar *cipherbuf, int bsize, int *bits)
1466 {
1467 /* With OpenSSL 1.0.0a, this needs to be const but the documentation doesn't
1468 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
1469 the accessor functions use const in the prototype. */
1470 const SSL_CIPHER *c;
1471 const uschar *ver;
1472
1473 ver = (const uschar *)SSL_get_version(ssl);
1474
1475 c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
1476 SSL_CIPHER_get_bits(c, bits);
1477
1478 string_format(cipherbuf, bsize, "%s:%s:%u", ver,
1479   SSL_CIPHER_get_name(c), *bits);
1480
1481 DEBUG(D_tls) debug_printf("Cipher: %s\n", cipherbuf);
1482 }
1483
1484
1485 static void
1486 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned bsize)
1487 {
1488 /*XXX we might consider a list-of-certs variable for the cert chain.
1489 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
1490 in list-handling functions, also consider the difference between the entire
1491 chain and the elements sent by the peer. */
1492
1493 /* Will have already noted peercert on a verify fail; possibly not the leaf */
1494 if (!tlsp->peercert)
1495   tlsp->peercert = SSL_get_peer_certificate(ssl);
1496 /* Beware anonymous ciphers which lead to server_cert being NULL */
1497 if (tlsp->peercert)
1498   {
1499   X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, bsize);
1500   peerdn[bsize-1] = '\0';
1501   tlsp->peerdn = peerdn;                /*XXX a static buffer... */
1502   }
1503 else
1504   tlsp->peerdn = NULL;
1505 }
1506
1507
1508
1509
1510
1511 /*************************************************
1512 *        Set up for verifying certificates       *
1513 *************************************************/
1514
1515 /* Called by both client and server startup
1516
1517 Arguments:
1518   sctx          SSL_CTX* to initialise
1519   certs         certs file or NULL
1520   crl           CRL file or NULL
1521   host          NULL in a server; the remote host in a client
1522   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
1523                 otherwise passed as FALSE
1524   cert_vfy_cb   Callback function for certificate verification
1525
1526 Returns:        OK/DEFER/FAIL
1527 */
1528
1529 static int
1530 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
1531     int (*cert_vfy_cb)(int, X509_STORE_CTX *) )
1532 {
1533 uschar *expcerts, *expcrl;
1534
1535 if (!expand_check(certs, US"tls_verify_certificates", &expcerts))
1536   return DEFER;
1537
1538 if (expcerts && *expcerts)
1539   {
1540   /* Tell the library to use its compiled-in location for the system default
1541   CA bundle. Then add the ones specified in the config, if any. */
1542
1543   if (!SSL_CTX_set_default_verify_paths(sctx))
1544     return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1545
1546   if (Ustrcmp(expcerts, "system") != 0)
1547     {
1548     struct stat statbuf;
1549
1550     if (Ustat(expcerts, &statbuf) < 0)
1551       {
1552       log_write(0, LOG_MAIN|LOG_PANIC,
1553         "failed to stat %s for certificates", expcerts);
1554       return DEFER;
1555       }
1556     else
1557       {
1558       uschar *file, *dir;
1559       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1560         { file = NULL; dir = expcerts; }
1561       else
1562         { file = expcerts; dir = NULL; }
1563
1564       /* If a certificate file is empty, the next function fails with an
1565       unhelpful error message. If we skip it, we get the correct behaviour (no
1566       certificates are recognized, but the error message is still misleading (it
1567       says no certificate was supplied.) But this is better. */
1568
1569       if (  (!file || statbuf.st_size > 0)
1570          && !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
1571         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL);
1572
1573       /* Load the list of CAs for which we will accept certs, for sending
1574       to the client.  This is only for the one-file tls_verify_certificates
1575       variant.
1576       If a list isn't loaded into the server, but
1577       some verify locations are set, the server end appears to make
1578       a wildcard reqest for client certs.
1579       Meanwhile, the client library as default behaviour *ignores* the list
1580       we send over the wire - see man SSL_CTX_set_client_cert_cb.
1581       Because of this, and that the dir variant is likely only used for
1582       the public-CA bundle (not for a private CA), not worth fixing.
1583       */
1584       if (file)
1585         {
1586         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
1587
1588         DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
1589                                     sk_X509_NAME_num(names));
1590         SSL_CTX_set_client_CA_list(sctx, names);
1591         }
1592       }
1593     }
1594
1595   /* Handle a certificate revocation list. */
1596
1597 #if OPENSSL_VERSION_NUMBER > 0x00907000L
1598
1599   /* This bit of code is now the version supplied by Lars Mainka. (I have
1600   merely reformatted it into the Exim code style.)
1601
1602   "From here I changed the code to add support for multiple crl's
1603   in pem format in one file or to support hashed directory entries in
1604   pem format instead of a file. This method now uses the library function
1605   X509_STORE_load_locations to add the CRL location to the SSL context.
1606   OpenSSL will then handle the verify against CA certs and CRLs by
1607   itself in the verify callback." */
1608
1609   if (!expand_check(crl, US"tls_crl", &expcrl)) return DEFER;
1610   if (expcrl && *expcrl)
1611     {
1612     struct stat statbufcrl;
1613     if (Ustat(expcrl, &statbufcrl) < 0)
1614       {
1615       log_write(0, LOG_MAIN|LOG_PANIC,
1616         "failed to stat %s for certificates revocation lists", expcrl);
1617       return DEFER;
1618       }
1619     else
1620       {
1621       /* is it a file or directory? */
1622       uschar *file, *dir;
1623       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
1624       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
1625         {
1626         file = NULL;
1627         dir = expcrl;
1628         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
1629         }
1630       else
1631         {
1632         file = expcrl;
1633         dir = NULL;
1634         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
1635         }
1636       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
1637         return tls_error(US"X509_STORE_load_locations", host, NULL);
1638
1639       /* setting the flags to check against the complete crl chain */
1640
1641       X509_STORE_set_flags(cvstore,
1642         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
1643       }
1644     }
1645
1646 #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
1647
1648   /* If verification is optional, don't fail if no certificate */
1649
1650   SSL_CTX_set_verify(sctx,
1651     SSL_VERIFY_PEER | (optional? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
1652     cert_vfy_cb);
1653   }
1654
1655 return OK;
1656 }
1657
1658
1659
1660 /*************************************************
1661 *       Start a TLS session in a server          *
1662 *************************************************/
1663
1664 /* This is called when Exim is running as a server, after having received
1665 the STARTTLS command. It must respond to that command, and then negotiate
1666 a TLS session.
1667
1668 Arguments:
1669   require_ciphers   allowed ciphers
1670
1671 Returns:            OK on success
1672                     DEFER for errors before the start of the negotiation
1673                     FAIL for errors during the negotation; the server can't
1674                       continue running.
1675 */
1676
1677 int
1678 tls_server_start(const uschar *require_ciphers)
1679 {
1680 int rc;
1681 uschar *expciphers;
1682 tls_ext_ctx_cb *cbinfo;
1683 static uschar peerdn[256];
1684 static uschar cipherbuf[256];
1685
1686 /* Check for previous activation */
1687
1688 if (tls_in.active >= 0)
1689   {
1690   tls_error(US"STARTTLS received after TLS started", NULL, US"");
1691   smtp_printf("554 Already in TLS\r\n");
1692   return FAIL;
1693   }
1694
1695 /* Initialize the SSL library. If it fails, it will already have logged
1696 the error. */
1697
1698 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
1699 #ifndef DISABLE_OCSP
1700     tls_ocsp_file,
1701 #endif
1702     NULL, &server_static_cbinfo);
1703 if (rc != OK) return rc;
1704 cbinfo = server_static_cbinfo;
1705
1706 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers))
1707   return FAIL;
1708
1709 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1710 were historically separated by underscores. So that I can use either form in my
1711 tests, and also for general convenience, we turn underscores into hyphens here.
1712 */
1713
1714 if (expciphers != NULL)
1715   {
1716   uschar *s = expciphers;
1717   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1718   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1719   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
1720     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL);
1721   cbinfo->server_cipher_list = expciphers;
1722   }
1723
1724 /* If this is a host for which certificate verification is mandatory or
1725 optional, set up appropriately. */
1726
1727 tls_in.certificate_verified = FALSE;
1728 #ifdef EXPERIMENTAL_DANE
1729 tls_in.dane_verified = FALSE;
1730 #endif
1731 server_verify_callback_called = FALSE;
1732
1733 if (verify_check_host(&tls_verify_hosts) == OK)
1734   {
1735   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1736                         FALSE, verify_callback_server);
1737   if (rc != OK) return rc;
1738   server_verify_optional = FALSE;
1739   }
1740 else if (verify_check_host(&tls_try_verify_hosts) == OK)
1741   {
1742   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1743                         TRUE, verify_callback_server);
1744   if (rc != OK) return rc;
1745   server_verify_optional = TRUE;
1746   }
1747
1748 /* Prepare for new connection */
1749
1750 if ((server_ssl = SSL_new(server_ctx)) == NULL) return tls_error(US"SSL_new", NULL, NULL);
1751
1752 /* Warning: we used to SSL_clear(ssl) here, it was removed.
1753  *
1754  * With the SSL_clear(), we get strange interoperability bugs with
1755  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
1756  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
1757  *
1758  * The SSL_clear() call is to let an existing SSL* be reused, typically after
1759  * session shutdown.  In this case, we have a brand new object and there's no
1760  * obvious reason to immediately clear it.  I'm guessing that this was
1761  * originally added because of incomplete initialisation which the clear fixed,
1762  * in some historic release.
1763  */
1764
1765 /* Set context and tell client to go ahead, except in the case of TLS startup
1766 on connection, where outputting anything now upsets the clients and tends to
1767 make them disconnect. We need to have an explicit fflush() here, to force out
1768 the response. Other smtp_printf() calls do not need it, because in non-TLS
1769 mode, the fflush() happens when smtp_getc() is called. */
1770
1771 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
1772 if (!tls_in.on_connect)
1773   {
1774   smtp_printf("220 TLS go ahead\r\n");
1775   fflush(smtp_out);
1776   }
1777
1778 /* Now negotiate the TLS session. We put our own timer on it, since it seems
1779 that the OpenSSL library doesn't. */
1780
1781 SSL_set_wfd(server_ssl, fileno(smtp_out));
1782 SSL_set_rfd(server_ssl, fileno(smtp_in));
1783 SSL_set_accept_state(server_ssl);
1784
1785 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
1786
1787 sigalrm_seen = FALSE;
1788 if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
1789 rc = SSL_accept(server_ssl);
1790 alarm(0);
1791
1792 if (rc <= 0)
1793   {
1794   tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL);
1795   if (ERR_get_error() == 0)
1796     log_write(0, LOG_MAIN,
1797         "TLS client disconnected cleanly (rejected our certificate?)");
1798   return FAIL;
1799   }
1800
1801 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
1802
1803 /* TLS has been set up. Adjust the input functions to read via TLS,
1804 and initialize things. */
1805
1806 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
1807
1808 construct_cipher_name(server_ssl, cipherbuf, sizeof(cipherbuf), &tls_in.bits);
1809 tls_in.cipher = cipherbuf;
1810
1811 DEBUG(D_tls)
1812   {
1813   uschar buf[2048];
1814   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)) != NULL)
1815     debug_printf("Shared ciphers: %s\n", buf);
1816   }
1817
1818 /* Record the certificate we presented */
1819   {
1820   X509 * crt = SSL_get_certificate(server_ssl);
1821   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
1822   }
1823
1824 /* Only used by the server-side tls (tls_in), including tls_getc.
1825    Client-side (tls_out) reads (seem to?) go via
1826    smtp_read_response()/ip_recv().
1827    Hence no need to duplicate for _in and _out.
1828  */
1829 ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
1830 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
1831 ssl_xfer_eof = ssl_xfer_error = 0;
1832
1833 receive_getc = tls_getc;
1834 receive_ungetc = tls_ungetc;
1835 receive_feof = tls_feof;
1836 receive_ferror = tls_ferror;
1837 receive_smtp_buffered = tls_smtp_buffered;
1838
1839 tls_in.active = fileno(smtp_out);
1840 return OK;
1841 }
1842
1843
1844
1845
1846 static int
1847 tls_client_basic_ctx_init(SSL_CTX * ctx,
1848     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo
1849                           )
1850 {
1851 int rc;
1852 /* stick to the old behaviour for compatibility if tls_verify_certificates is
1853    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
1854    the specified host patterns if one of them is defined */
1855
1856 if (  (  !ob->tls_verify_hosts
1857       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
1858       )
1859    || (verify_check_given_host(&ob->tls_verify_hosts, host) == OK)
1860    )
1861   client_verify_optional = FALSE;
1862 else if (verify_check_given_host(&ob->tls_try_verify_hosts, host) == OK)
1863   client_verify_optional = TRUE;
1864 else
1865   return OK;
1866
1867 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
1868       ob->tls_crl, host, client_verify_optional, verify_callback_client)) != OK)
1869   return rc;
1870
1871 if (verify_check_given_host(&ob->tls_verify_cert_hostnames, host) == OK)
1872   {
1873   cbinfo->verify_cert_hostnames =
1874 #ifdef SUPPORT_I18N
1875     string_domain_utf8_to_alabel(host->name, NULL);
1876 #else
1877     host->name;
1878 #endif
1879   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
1880                     cbinfo->verify_cert_hostnames);
1881   }
1882 return OK;
1883 }
1884
1885
1886 #ifdef EXPERIMENTAL_DANE
1887 static int
1888 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa)
1889 {
1890 dns_record * rr;
1891 dns_scan dnss;
1892 const char * hostnames[2] = { CS host->name, NULL };
1893 int found = 0;
1894
1895 if (DANESSL_init(ssl, NULL, hostnames) != 1)
1896   return tls_error(US"hostnames load", host, NULL);
1897
1898 for (rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS);
1899      rr;
1900      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
1901     ) if (rr->type == T_TLSA)
1902   {
1903   uschar * p = rr->data;
1904   uint8_t usage, selector, mtype;
1905   const char * mdname;
1906
1907   usage = *p++;
1908
1909   /* Only DANE-TA(2) and DANE-EE(3) are supported */
1910   if (usage != 2 && usage != 3) continue;
1911
1912   selector = *p++;
1913   mtype = *p++;
1914
1915   switch (mtype)
1916     {
1917     default: continue;  /* Only match-types 0, 1, 2 are supported */
1918     case 0:  mdname = NULL; break;
1919     case 1:  mdname = "sha256"; break;
1920     case 2:  mdname = "sha512"; break;
1921     }
1922
1923   found++;
1924   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
1925     {
1926     default:
1927     case 0:     /* action not taken */
1928       return tls_error(US"tlsa load", host, NULL);
1929     case 1:     break;
1930     }
1931
1932   tls_out.tlsa_usage |= 1<<usage;
1933   }
1934
1935 if (found)
1936   return OK;
1937
1938 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
1939 return DEFER;
1940 }
1941 #endif  /*EXPERIMENTAL_DANE*/
1942
1943
1944
1945 /*************************************************
1946 *    Start a TLS session in a client             *
1947 *************************************************/
1948
1949 /* Called from the smtp transport after STARTTLS has been accepted.
1950
1951 Argument:
1952   fd               the fd of the connection
1953   host             connected host (for messages)
1954   addr             the first address
1955   tb               transport (always smtp)
1956   tlsa_dnsa        tlsa lookup, if DANE, else null
1957
1958 Returns:           OK on success
1959                    FAIL otherwise - note that tls_error() will not give DEFER
1960                      because this is not a server
1961 */
1962
1963 int
1964 tls_client_start(int fd, host_item *host, address_item *addr,
1965   transport_instance *tb
1966 #ifdef EXPERIMENTAL_DANE
1967   , dns_answer * tlsa_dnsa
1968 #endif
1969   )
1970 {
1971 smtp_transport_options_block * ob =
1972   (smtp_transport_options_block *)tb->options_block;
1973 static uschar peerdn[256];
1974 uschar * expciphers;
1975 int rc;
1976 static uschar cipherbuf[256];
1977
1978 #ifndef DISABLE_OCSP
1979 BOOL request_ocsp = FALSE;
1980 BOOL require_ocsp = FALSE;
1981 #endif
1982
1983 #ifdef EXPERIMENTAL_DANE
1984 tls_out.tlsa_usage = 0;
1985 #endif
1986
1987 #ifndef DISABLE_OCSP
1988   {
1989 # ifdef EXPERIMENTAL_DANE
1990   if (  tlsa_dnsa
1991      && ob->hosts_request_ocsp[0] == '*'
1992      && ob->hosts_request_ocsp[1] == '\0'
1993      )
1994     {
1995     /* Unchanged from default.  Use a safer one under DANE */
1996     request_ocsp = TRUE;
1997     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
1998                                       "   {= {4}{$tls_out_tlsa_usage}} } "
1999                                  " {*}{}}";
2000     }
2001 # endif
2002
2003   if ((require_ocsp =
2004         verify_check_given_host(&ob->hosts_require_ocsp, host) == OK))
2005     request_ocsp = TRUE;
2006   else
2007 # ifdef EXPERIMENTAL_DANE
2008     if (!request_ocsp)
2009 # endif
2010       request_ocsp =
2011         verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
2012   }
2013 #endif
2014
2015 rc = tls_init(&client_ctx, host, NULL,
2016     ob->tls_certificate, ob->tls_privatekey,
2017 #ifndef DISABLE_OCSP
2018     (void *)(long)request_ocsp,
2019 #endif
2020     addr, &client_static_cbinfo);
2021 if (rc != OK) return rc;
2022
2023 tls_out.certificate_verified = FALSE;
2024 client_verify_callback_called = FALSE;
2025
2026 if (!expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
2027     &expciphers))
2028   return FAIL;
2029
2030 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2031 are separated by underscores. So that I can use either form in my tests, and
2032 also for general convenience, we turn underscores into hyphens here. */
2033
2034 if (expciphers != NULL)
2035   {
2036   uschar *s = expciphers;
2037   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2038   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2039   if (!SSL_CTX_set_cipher_list(client_ctx, CS expciphers))
2040     return tls_error(US"SSL_CTX_set_cipher_list", host, NULL);
2041   }
2042
2043 #ifdef EXPERIMENTAL_DANE
2044 if (tlsa_dnsa)
2045   {
2046   SSL_CTX_set_verify(client_ctx,
2047     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
2048     verify_callback_client_dane);
2049
2050   if (!DANESSL_library_init())
2051     return tls_error(US"library init", host, NULL);
2052   if (DANESSL_CTX_init(client_ctx) <= 0)
2053     return tls_error(US"context init", host, NULL);
2054   }
2055 else
2056
2057 #endif
2058
2059   if ((rc = tls_client_basic_ctx_init(client_ctx, host, ob, client_static_cbinfo))
2060       != OK)
2061     return rc;
2062
2063 if ((client_ssl = SSL_new(client_ctx)) == NULL)
2064   return tls_error(US"SSL_new", host, NULL);
2065 SSL_set_session_id_context(client_ssl, sid_ctx, Ustrlen(sid_ctx));
2066 SSL_set_fd(client_ssl, fd);
2067 SSL_set_connect_state(client_ssl);
2068
2069 if (ob->tls_sni)
2070   {
2071   if (!expand_check(ob->tls_sni, US"tls_sni", &tls_out.sni))
2072     return FAIL;
2073   if (tls_out.sni == NULL)
2074     {
2075     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
2076     }
2077   else if (!Ustrlen(tls_out.sni))
2078     tls_out.sni = NULL;
2079   else
2080     {
2081 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2082     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tls_out.sni);
2083     SSL_set_tlsext_host_name(client_ssl, tls_out.sni);
2084 #else
2085     DEBUG(D_tls)
2086       debug_printf("OpenSSL at build-time lacked SNI support, ignoring \"%s\"\n",
2087           tls_out.sni);
2088 #endif
2089     }
2090   }
2091
2092 #ifdef EXPERIMENTAL_DANE
2093 if (tlsa_dnsa)
2094   if ((rc = dane_tlsa_load(client_ssl, host, tlsa_dnsa)) != OK)
2095     return rc;
2096 #endif
2097
2098 #ifndef DISABLE_OCSP
2099 /* Request certificate status at connection-time.  If the server
2100 does OCSP stapling we will get the callback (set in tls_init()) */
2101 # ifdef EXPERIMENTAL_DANE
2102 if (request_ocsp)
2103   {
2104   const uschar * s;
2105   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
2106      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
2107      )
2108     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
2109         this means we avoid the OCSP request, we wasted the setup
2110         cost in tls_init(). */
2111     require_ocsp = verify_check_given_host(&ob->hosts_require_ocsp, host) == OK;
2112     request_ocsp = require_ocsp
2113       || verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
2114     }
2115   }
2116 # endif
2117
2118 if (request_ocsp)
2119   {
2120   SSL_set_tlsext_status_type(client_ssl, TLSEXT_STATUSTYPE_ocsp);
2121   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
2122   tls_out.ocsp = OCSP_NOT_RESP;
2123   }
2124 #endif
2125
2126 #ifndef DISABLE_EVENT
2127 client_static_cbinfo->event_action = tb->event_action;
2128 #endif
2129
2130 /* There doesn't seem to be a built-in timeout on connection. */
2131
2132 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
2133 sigalrm_seen = FALSE;
2134 alarm(ob->command_timeout);
2135 rc = SSL_connect(client_ssl);
2136 alarm(0);
2137
2138 #ifdef EXPERIMENTAL_DANE
2139 if (tlsa_dnsa)
2140   DANESSL_cleanup(client_ssl);
2141 #endif
2142
2143 if (rc <= 0)
2144   return tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL);
2145
2146 DEBUG(D_tls) debug_printf("SSL_connect succeeded\n");
2147
2148 peer_cert(client_ssl, &tls_out, peerdn, sizeof(peerdn));
2149
2150 construct_cipher_name(client_ssl, cipherbuf, sizeof(cipherbuf), &tls_out.bits);
2151 tls_out.cipher = cipherbuf;
2152
2153 /* Record the certificate we presented */
2154   {
2155   X509 * crt = SSL_get_certificate(client_ssl);
2156   tls_out.ourcert = crt ? X509_dup(crt) : NULL;
2157   }
2158
2159 tls_out.active = fd;
2160 return OK;
2161 }
2162
2163
2164
2165
2166
2167 /*************************************************
2168 *            TLS version of getc                 *
2169 *************************************************/
2170
2171 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
2172 it refills the buffer via the SSL reading function.
2173
2174 Arguments:  none
2175 Returns:    the next character or EOF
2176
2177 Only used by the server-side TLS.
2178 */
2179
2180 int
2181 tls_getc(void)
2182 {
2183 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
2184   {
2185   int error;
2186   int inbytes;
2187
2188   DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
2189     ssl_xfer_buffer, ssl_xfer_buffer_size);
2190
2191   if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
2192   inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer, ssl_xfer_buffer_size);
2193   error = SSL_get_error(server_ssl, inbytes);
2194   alarm(0);
2195
2196   /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
2197   closed down, not that the socket itself has been closed down. Revert to
2198   non-SSL handling. */
2199
2200   if (error == SSL_ERROR_ZERO_RETURN)
2201     {
2202     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2203
2204     receive_getc = smtp_getc;
2205     receive_ungetc = smtp_ungetc;
2206     receive_feof = smtp_feof;
2207     receive_ferror = smtp_ferror;
2208     receive_smtp_buffered = smtp_buffered;
2209
2210     SSL_free(server_ssl);
2211     server_ssl = NULL;
2212     tls_in.active = -1;
2213     tls_in.bits = 0;
2214     tls_in.cipher = NULL;
2215     tls_in.peerdn = NULL;
2216     tls_in.sni = NULL;
2217
2218     return smtp_getc();
2219     }
2220
2221   /* Handle genuine errors */
2222
2223   else if (error == SSL_ERROR_SSL)
2224     {
2225     ERR_error_string(ERR_get_error(), ssl_errstring);
2226     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
2227     ssl_xfer_error = 1;
2228     return EOF;
2229     }
2230
2231   else if (error != SSL_ERROR_NONE)
2232     {
2233     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2234     ssl_xfer_error = 1;
2235     return EOF;
2236     }
2237
2238 #ifndef DISABLE_DKIM
2239   dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
2240 #endif
2241   ssl_xfer_buffer_hwm = inbytes;
2242   ssl_xfer_buffer_lwm = 0;
2243   }
2244
2245 /* Something in the buffer; return next uschar */
2246
2247 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
2248 }
2249
2250
2251
2252 /*************************************************
2253 *          Read bytes from TLS channel           *
2254 *************************************************/
2255
2256 /*
2257 Arguments:
2258   buff      buffer of data
2259   len       size of buffer
2260
2261 Returns:    the number of bytes read
2262             -1 after a failed read
2263
2264 Only used by the client-side TLS.
2265 */
2266
2267 int
2268 tls_read(BOOL is_server, uschar *buff, size_t len)
2269 {
2270 SSL *ssl = is_server ? server_ssl : client_ssl;
2271 int inbytes;
2272 int error;
2273
2274 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
2275   buff, (unsigned int)len);
2276
2277 inbytes = SSL_read(ssl, CS buff, len);
2278 error = SSL_get_error(ssl, inbytes);
2279
2280 if (error == SSL_ERROR_ZERO_RETURN)
2281   {
2282   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2283   return -1;
2284   }
2285 else if (error != SSL_ERROR_NONE)
2286   {
2287   return -1;
2288   }
2289
2290 return inbytes;
2291 }
2292
2293
2294
2295
2296
2297 /*************************************************
2298 *         Write bytes down TLS channel           *
2299 *************************************************/
2300
2301 /*
2302 Arguments:
2303   is_server channel specifier
2304   buff      buffer of data
2305   len       number of bytes
2306
2307 Returns:    the number of bytes after a successful write,
2308             -1 after a failed write
2309
2310 Used by both server-side and client-side TLS.
2311 */
2312
2313 int
2314 tls_write(BOOL is_server, const uschar *buff, size_t len)
2315 {
2316 int outbytes;
2317 int error;
2318 int left = len;
2319 SSL *ssl = is_server ? server_ssl : client_ssl;
2320
2321 DEBUG(D_tls) debug_printf("tls_do_write(%p, %d)\n", buff, left);
2322 while (left > 0)
2323   {
2324   DEBUG(D_tls) debug_printf("SSL_write(SSL, %p, %d)\n", buff, left);
2325   outbytes = SSL_write(ssl, CS buff, left);
2326   error = SSL_get_error(ssl, outbytes);
2327   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
2328   switch (error)
2329     {
2330     case SSL_ERROR_SSL:
2331     ERR_error_string(ERR_get_error(), ssl_errstring);
2332     log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
2333     return -1;
2334
2335     case SSL_ERROR_NONE:
2336     left -= outbytes;
2337     buff += outbytes;
2338     break;
2339
2340     case SSL_ERROR_ZERO_RETURN:
2341     log_write(0, LOG_MAIN, "SSL channel closed on write");
2342     return -1;
2343
2344     case SSL_ERROR_SYSCALL:
2345     log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
2346       sender_fullhost ? sender_fullhost : US"<unknown>",
2347       strerror(errno));
2348
2349     default:
2350     log_write(0, LOG_MAIN, "SSL_write error %d", error);
2351     return -1;
2352     }
2353   }
2354 return len;
2355 }
2356
2357
2358
2359 /*************************************************
2360 *         Close down a TLS session               *
2361 *************************************************/
2362
2363 /* This is also called from within a delivery subprocess forked from the
2364 daemon, to shut down the TLS library, without actually doing a shutdown (which
2365 would tamper with the SSL session in the parent process).
2366
2367 Arguments:   TRUE if SSL_shutdown is to be called
2368 Returns:     nothing
2369
2370 Used by both server-side and client-side TLS.
2371 */
2372
2373 void
2374 tls_close(BOOL is_server, BOOL shutdown)
2375 {
2376 SSL **sslp = is_server ? &server_ssl : &client_ssl;
2377 int *fdp = is_server ? &tls_in.active : &tls_out.active;
2378
2379 if (*fdp < 0) return;  /* TLS was not active */
2380
2381 if (shutdown)
2382   {
2383   DEBUG(D_tls) debug_printf("tls_close(): shutting down SSL\n");
2384   SSL_shutdown(*sslp);
2385   }
2386
2387 SSL_free(*sslp);
2388 *sslp = NULL;
2389
2390 *fdp = -1;
2391 }
2392
2393
2394
2395
2396 /*************************************************
2397 *  Let tls_require_ciphers be checked at startup *
2398 *************************************************/
2399
2400 /* The tls_require_ciphers option, if set, must be something which the
2401 library can parse.
2402
2403 Returns:     NULL on success, or error message
2404 */
2405
2406 uschar *
2407 tls_validate_require_cipher(void)
2408 {
2409 SSL_CTX *ctx;
2410 uschar *s, *expciphers, *err;
2411
2412 /* this duplicates from tls_init(), we need a better "init just global
2413 state, for no specific purpose" singleton function of our own */
2414
2415 SSL_load_error_strings();
2416 OpenSSL_add_ssl_algorithms();
2417 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
2418 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2419 list of available digests. */
2420 EVP_add_digest(EVP_sha256());
2421 #endif
2422
2423 if (!(tls_require_ciphers && *tls_require_ciphers))
2424   return NULL;
2425
2426 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers))
2427   return US"failed to expand tls_require_ciphers";
2428
2429 if (!(expciphers && *expciphers))
2430   return NULL;
2431
2432 /* normalisation ripped from above */
2433 s = expciphers;
2434 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2435
2436 err = NULL;
2437
2438 ctx = SSL_CTX_new(SSLv23_server_method());
2439 if (!ctx)
2440   {
2441   ERR_error_string(ERR_get_error(), ssl_errstring);
2442   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
2443   }
2444
2445 DEBUG(D_tls)
2446   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
2447
2448 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
2449   {
2450   ERR_error_string(ERR_get_error(), ssl_errstring);
2451   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed", expciphers);
2452   }
2453
2454 SSL_CTX_free(ctx);
2455
2456 return err;
2457 }
2458
2459
2460
2461
2462 /*************************************************
2463 *         Report the library versions.           *
2464 *************************************************/
2465
2466 /* There have historically been some issues with binary compatibility in
2467 OpenSSL libraries; if Exim (like many other applications) is built against
2468 one version of OpenSSL but the run-time linker picks up another version,
2469 it can result in serious failures, including crashing with a SIGSEGV.  So
2470 report the version found by the compiler and the run-time version.
2471
2472 Note: some OS vendors backport security fixes without changing the version
2473 number/string, and the version date remains unchanged.  The _build_ date
2474 will change, so we can more usefully assist with version diagnosis by also
2475 reporting the build date.
2476
2477 Arguments:   a FILE* to print the results to
2478 Returns:     nothing
2479 */
2480
2481 void
2482 tls_version_report(FILE *f)
2483 {
2484 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
2485            "                          Runtime: %s\n"
2486            "                                 : %s\n",
2487            OPENSSL_VERSION_TEXT,
2488            SSLeay_version(SSLEAY_VERSION),
2489            SSLeay_version(SSLEAY_BUILT_ON));
2490 /* third line is 38 characters for the %s and the line is 73 chars long;
2491 the OpenSSL output includes a "built on: " prefix already. */
2492 }
2493
2494
2495
2496
2497 /*************************************************
2498 *            Random number generation            *
2499 *************************************************/
2500
2501 /* Pseudo-random number generation.  The result is not expected to be
2502 cryptographically strong but not so weak that someone will shoot themselves
2503 in the foot using it as a nonce in input in some email header scheme or
2504 whatever weirdness they'll twist this into.  The result should handle fork()
2505 and avoid repeating sequences.  OpenSSL handles that for us.
2506
2507 Arguments:
2508   max       range maximum
2509 Returns     a random number in range [0, max-1]
2510 */
2511
2512 int
2513 vaguely_random_number(int max)
2514 {
2515 unsigned int r;
2516 int i, needed_len;
2517 static pid_t pidlast = 0;
2518 pid_t pidnow;
2519 uschar *p;
2520 uschar smallbuf[sizeof(r)];
2521
2522 if (max <= 1)
2523   return 0;
2524
2525 pidnow = getpid();
2526 if (pidnow != pidlast)
2527   {
2528   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
2529   is unique for each thread", this doesn't apparently apply across processes,
2530   so our own warning from vaguely_random_number_fallback() applies here too.
2531   Fix per PostgreSQL. */
2532   if (pidlast != 0)
2533     RAND_cleanup();
2534   pidlast = pidnow;
2535   }
2536
2537 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
2538 if (!RAND_status())
2539   {
2540   randstuff r;
2541   gettimeofday(&r.tv, NULL);
2542   r.p = getpid();
2543
2544   RAND_seed((uschar *)(&r), sizeof(r));
2545   }
2546 /* We're after pseudo-random, not random; if we still don't have enough data
2547 in the internal PRNG then our options are limited.  We could sleep and hope
2548 for entropy to come along (prayer technique) but if the system is so depleted
2549 in the first place then something is likely to just keep taking it.  Instead,
2550 we'll just take whatever little bit of pseudo-random we can still manage to
2551 get. */
2552
2553 needed_len = sizeof(r);
2554 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
2555 asked for a number less than 10. */
2556 for (r = max, i = 0; r; ++i)
2557   r >>= 1;
2558 i = (i + 7) / 8;
2559 if (i < needed_len)
2560   needed_len = i;
2561
2562 /* We do not care if crypto-strong */
2563 i = RAND_pseudo_bytes(smallbuf, needed_len);
2564 if (i < 0)
2565   {
2566   DEBUG(D_all)
2567     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
2568   return vaguely_random_number_fallback(max);
2569   }
2570
2571 r = 0;
2572 for (p = smallbuf; needed_len; --needed_len, ++p)
2573   {
2574   r *= 256;
2575   r += *p;
2576   }
2577
2578 /* We don't particularly care about weighted results; if someone wants
2579 smooth distribution and cares enough then they should submit a patch then. */
2580 return r % max;
2581 }
2582
2583
2584
2585
2586 /*************************************************
2587 *        OpenSSL option parse                    *
2588 *************************************************/
2589
2590 /* Parse one option for tls_openssl_options_parse below
2591
2592 Arguments:
2593   name    one option name
2594   value   place to store a value for it
2595 Returns   success or failure in parsing
2596 */
2597
2598 struct exim_openssl_option {
2599   uschar *name;
2600   long    value;
2601 };
2602 /* We could use a macro to expand, but we need the ifdef and not all the
2603 options document which version they were introduced in.  Policylet: include
2604 all options unless explicitly for DTLS, let the administrator choose which
2605 to apply.
2606
2607 This list is current as of:
2608   ==>  1.0.1b  <==
2609 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
2610 */
2611 static struct exim_openssl_option exim_openssl_options[] = {
2612 /* KEEP SORTED ALPHABETICALLY! */
2613 #ifdef SSL_OP_ALL
2614   { US"all", SSL_OP_ALL },
2615 #endif
2616 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
2617   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
2618 #endif
2619 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
2620   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
2621 #endif
2622 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
2623   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
2624 #endif
2625 #ifdef SSL_OP_EPHEMERAL_RSA
2626   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
2627 #endif
2628 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
2629   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
2630 #endif
2631 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
2632   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
2633 #endif
2634 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
2635   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
2636 #endif
2637 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
2638   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
2639 #endif
2640 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
2641   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
2642 #endif
2643 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
2644   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
2645 #endif
2646 #ifdef SSL_OP_NO_COMPRESSION
2647   { US"no_compression", SSL_OP_NO_COMPRESSION },
2648 #endif
2649 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
2650   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
2651 #endif
2652 #ifdef SSL_OP_NO_SSLv2
2653   { US"no_sslv2", SSL_OP_NO_SSLv2 },
2654 #endif
2655 #ifdef SSL_OP_NO_SSLv3
2656   { US"no_sslv3", SSL_OP_NO_SSLv3 },
2657 #endif
2658 #ifdef SSL_OP_NO_TICKET
2659   { US"no_ticket", SSL_OP_NO_TICKET },
2660 #endif
2661 #ifdef SSL_OP_NO_TLSv1
2662   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
2663 #endif
2664 #ifdef SSL_OP_NO_TLSv1_1
2665 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
2666   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
2667 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
2668 #else
2669   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
2670 #endif
2671 #endif
2672 #ifdef SSL_OP_NO_TLSv1_2
2673   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
2674 #endif
2675 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
2676   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
2677 #endif
2678 #ifdef SSL_OP_SINGLE_DH_USE
2679   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
2680 #endif
2681 #ifdef SSL_OP_SINGLE_ECDH_USE
2682   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
2683 #endif
2684 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
2685   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
2686 #endif
2687 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
2688   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
2689 #endif
2690 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
2691   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
2692 #endif
2693 #ifdef SSL_OP_TLS_D5_BUG
2694   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
2695 #endif
2696 #ifdef SSL_OP_TLS_ROLLBACK_BUG
2697   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
2698 #endif
2699 };
2700 static int exim_openssl_options_size =
2701   sizeof(exim_openssl_options)/sizeof(struct exim_openssl_option);
2702
2703
2704 static BOOL
2705 tls_openssl_one_option_parse(uschar *name, long *value)
2706 {
2707 int first = 0;
2708 int last = exim_openssl_options_size;
2709 while (last > first)
2710   {
2711   int middle = (first + last)/2;
2712   int c = Ustrcmp(name, exim_openssl_options[middle].name);
2713   if (c == 0)
2714     {
2715     *value = exim_openssl_options[middle].value;
2716     return TRUE;
2717     }
2718   else if (c > 0)
2719     first = middle + 1;
2720   else
2721     last = middle;
2722   }
2723 return FALSE;
2724 }
2725
2726
2727
2728
2729 /*************************************************
2730 *        OpenSSL option parsing logic            *
2731 *************************************************/
2732
2733 /* OpenSSL has a number of compatibility options which an administrator might
2734 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
2735 we look like log_selector.
2736
2737 Arguments:
2738   option_spec  the administrator-supplied string of options
2739   results      ptr to long storage for the options bitmap
2740 Returns        success or failure
2741 */
2742
2743 BOOL
2744 tls_openssl_options_parse(uschar *option_spec, long *results)
2745 {
2746 long result, item;
2747 uschar *s, *end;
2748 uschar keep_c;
2749 BOOL adding, item_parsed;
2750
2751 result = 0L;
2752 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
2753  * from default because it increases BEAST susceptibility. */
2754 #ifdef SSL_OP_NO_SSLv2
2755 result |= SSL_OP_NO_SSLv2;
2756 #endif
2757 #ifdef SSL_OP_SINGLE_DH_USE
2758 result |= SSL_OP_SINGLE_DH_USE;
2759 #endif
2760
2761 if (option_spec == NULL)
2762   {
2763   *results = result;
2764   return TRUE;
2765   }
2766
2767 for (s=option_spec; *s != '\0'; /**/)
2768   {
2769   while (isspace(*s)) ++s;
2770   if (*s == '\0')
2771     break;
2772   if (*s != '+' && *s != '-')
2773     {
2774     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
2775         "+ or - expected but found \"%s\"\n", s);
2776     return FALSE;
2777     }
2778   adding = *s++ == '+';
2779   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
2780   keep_c = *end;
2781   *end = '\0';
2782   item_parsed = tls_openssl_one_option_parse(s, &item);
2783   if (!item_parsed)
2784     {
2785     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
2786     return FALSE;
2787     }
2788   DEBUG(D_tls) debug_printf("openssl option, %s from %lx: %lx (%s)\n",
2789       adding ? "adding" : "removing", result, item, s);
2790   if (adding)
2791     result |= item;
2792   else
2793     result &= ~item;
2794   *end = keep_c;
2795   s = end;
2796   }
2797
2798 *results = result;
2799 return TRUE;
2800 }
2801
2802 /* vi: aw ai sw=2
2803 */
2804 /* End of tls-openssl.c */