tidying

[exim.git] / src / src / tls-openssl.c
diff --git a/src/src/tls-openssl.c b/src/src/tls-openssl.c

index 0d692c79e33a31e90c2eb65491cc65901b4218da..eabe34f3159584a7801c238fd8edd3680e143805 100644 (file)
--- a/src/src/tls-openssl.c
+++ b/src/src/tls-openssl.c
@@ -2,9 +2,10 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
+/* Copyright (c) The Exim Maintainers 2020 - 2022 */
  /* Copyright (c) University of Cambridge 1995 - 2019 */
  /* Copyright (c) University of Cambridge 1995 - 2019 */
-/* Copyright (c) The Exim Maintainers 2020 - 2021 */
  /* See the file NOTICE for conditions of use and distribution. */
  /* See the file NOTICE for conditions of use and distribution. */
+/* SPDX-License-Identifier: GPL-2.0-or-later */
  
  /* Portions Copyright (c) The OpenSSL Project 1999 */
  
  
  /* Portions Copyright (c) The OpenSSL Project 1999 */
  
@@ -48,6 +49,7 @@ functions from the OpenSSL library. */
  #if OPENSSL_VERSION_NUMBER >= 0x10100000L
  # define EXIM_HAVE_OCSP_RESP_COUNT
  # define OPENSSL_AUTO_SHA256
  #if OPENSSL_VERSION_NUMBER >= 0x10100000L
  # define EXIM_HAVE_OCSP_RESP_COUNT
  # define OPENSSL_AUTO_SHA256
+# define OPENSSL_MIN_PROTO_VERSION
  #else
  # define EXIM_HAVE_EPHEM_RSA_KEX
  # define EXIM_HAVE_RAND_PSEUDO
  #else
  # define EXIM_HAVE_EPHEM_RSA_KEX
  # define EXIM_HAVE_RAND_PSEUDO
@@ -77,6 +79,8 @@ change this guard and punt the issue for a while longer. */
  #  define EXIM_HAVE_SESSION_TICKET
  #  define EXIM_HAVE_OPESSL_TRACE
  #  define EXIM_HAVE_OPESSL_GET0_SERIAL
  #  define EXIM_HAVE_SESSION_TICKET
  #  define EXIM_HAVE_OPESSL_TRACE
  #  define EXIM_HAVE_OPESSL_GET0_SERIAL
+#  define EXIM_HAVE_OPESSL_OCSP_RESP_GET0_CERTS
+#  define EXIM_HAVE_SSL_GET0_VERIFIED_CHAIN
  #  ifndef DISABLE_OCSP
  #   define EXIM_HAVE_OCSP
  #  endif
  #  ifndef DISABLE_OCSP
  #   define EXIM_HAVE_OCSP
  #  endif
@@ -94,6 +98,11 @@ change this guard and punt the issue for a while longer. */
  # define EXIM_HAVE_OPENSSL_CIPHER_GET_ID
  #endif
  
  # define EXIM_HAVE_OPENSSL_CIPHER_GET_ID
  #endif
  
+#if !defined(LIBRESSL_VERSION_NUMBER) && (OPENSSL_VERSION_NUMBER >= 0x030000000L)
+# define EXIM_HAVE_EXPORT_CHNL_BNGNG
+# define EXIM_HAVE_OPENSSL_X509_STORE_GET1_ALL_CERTS
+#endif
+
  #if !defined(LIBRESSL_VERSION_NUMBER) \
      || LIBRESSL_VERSION_NUMBER >= 0x20010000L
  # if !defined(OPENSSL_NO_ECDH)
  #if !defined(LIBRESSL_VERSION_NUMBER) \
      || LIBRESSL_VERSION_NUMBER >= 0x20010000L
  # if !defined(OPENSSL_NO_ECDH)
@@ -111,11 +120,17 @@ change this guard and punt the issue for a while longer. */
  #  define OPENSSL_HAVE_KEYLOG_CB
  #  define OPENSSL_HAVE_NUM_TICKETS
  #  define EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
  #  define OPENSSL_HAVE_KEYLOG_CB
  #  define OPENSSL_HAVE_NUM_TICKETS
  #  define EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
+#  define EXIM_HAVE_EXP_CHNL_BNGNG
+#  define EXIM_HAVE_OPENSSL_OCSP_RESP_GET0_SIGNER
  # else
  #  define OPENSSL_BAD_SRVR_OURCERT
  # endif
  #endif
  
  # else
  #  define OPENSSL_BAD_SRVR_OURCERT
  # endif
  #endif
  
+#if !defined(LIBRESSL_VERSION_NUMBER) && (OPENSSL_VERSION_NUMBER >= 0x010002000L)
+# define EXIM_HAVE_EXPORT_CHNL_BNGNG
+#endif
+
  #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
  # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
  # define DISABLE_OCSP
  #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
  # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
  # define DISABLE_OCSP
@@ -398,15 +413,16 @@ typedef struct exim_openssl_state {
    uschar *     privatekey;
    BOOL         is_server;
  #ifndef DISABLE_OCSP
    uschar *     privatekey;
    BOOL         is_server;
  #ifndef DISABLE_OCSP
-  STACK_OF(X509) *verify_stack;                /* chain for verifying the proof */
    union {
      struct {
        uschar        *file;
        const uschar  *file_expanded;
        ocsp_resplist *olist;
    union {
      struct {
        uschar        *file;
        const uschar  *file_expanded;
        ocsp_resplist *olist;
+      STACK_OF(X509) *verify_stack;    /* chain for verifying the proof */
      } server;
      struct {
        X509_STORE    *verify_store;     /* non-null if status requested */
      } server;
      struct {
        X509_STORE    *verify_store;     /* non-null if status requested */
+      uschar       *verify_errstr;     /* only if _required */
        BOOL         verify_required;
      } client;
    } u_ocsp;
        BOOL         verify_required;
      } client;
    } u_ocsp;
@@ -429,12 +445,14 @@ exim_openssl_state_st *client_static_state = NULL;        /*XXX should not use static;
  exim_openssl_state_st state_server = {.is_server = TRUE};
  
  static int
  exim_openssl_state_st state_server = {.is_server = TRUE};
  
  static int
-setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host,
-    uschar ** errstr );
+setup_certs(SSL_CTX * sctx, uschar ** certs, uschar * crl, host_item * host,
+    uschar ** errstr);
  
  /* Callbacks */
  #ifndef DISABLE_OCSP
  static int tls_server_stapling_cb(SSL *s, void *arg);
  
  /* Callbacks */
  #ifndef DISABLE_OCSP
  static int tls_server_stapling_cb(SSL *s, void *arg);
+static void x509_stack_dump_cert_s_names(const STACK_OF(X509) * sk);
+static void x509_store_dump_cert_s_names(X509_STORE * store);
  #endif
  
  
  #endif
  
  
@@ -942,36 +960,35 @@ Returns:    nothing
  */
  
  static void
  */
  
  static void
-info_callback(SSL *s, int where, int ret)
+info_callback(SSL * s, int where, int ret)
  {
  DEBUG(D_tls)
    {
  {
  DEBUG(D_tls)
    {
-  const uschar * str;
-
-  if (where & SSL_ST_CONNECT)
-     str = US"SSL_connect";
-  else if (where & SSL_ST_ACCEPT)
-     str = US"SSL_accept";
-  else
-     str = US"SSL info (undefined)";
+  gstring * g = NULL;
+
+  if (where & SSL_ST_CONNECT) g = string_append_listele(g, ',', US"SSL_connect");
+  if (where & SSL_ST_ACCEPT)  g = string_append_listele(g, ',', US"SSL_accept");
+  if (where & SSL_CB_LOOP)    g = string_append_listele(g, ',', US"state_chg");
+  if (where & SSL_CB_EXIT)    g = string_append_listele(g, ',', US"hshake_exit");
+  if (where & SSL_CB_READ)    g = string_append_listele(g, ',', US"read");
+  if (where & SSL_CB_WRITE)   g = string_append_listele(g, ',', US"write");
+  if (where & SSL_CB_ALERT)   g = string_append_listele(g, ',', US"alert");
+  if (where & SSL_CB_HANDSHAKE_START) g = string_append_listele(g, ',', US"hshake_start");
+  if (where & SSL_CB_HANDSHAKE_DONE)  g = string_append_listele(g, ',', US"hshake_done");
  
    if (where & SSL_CB_LOOP)
  
    if (where & SSL_CB_LOOP)
-     debug_printf("%s: %s\n", str, SSL_state_string_long(s));
+     debug_printf("SSL %s: %s\n", g->s, SSL_state_string_long(s));
    else if (where & SSL_CB_ALERT)
    else if (where & SSL_CB_ALERT)
-    debug_printf("SSL3 alert %s:%s:%s\n",
-         str = where & SSL_CB_READ ? US"read" : US"write",
+    debug_printf("SSL %s %s:%s\n", g->s,
           SSL_alert_type_string_long(ret), SSL_alert_desc_string_long(ret));
    else if (where & SSL_CB_EXIT)
      {
           SSL_alert_type_string_long(ret), SSL_alert_desc_string_long(ret));
    else if (where & SSL_CB_EXIT)
      {
-    if (ret == 0)
-      debug_printf("%s: failed in %s\n", str, SSL_state_string_long(s));
-    else if (ret < 0)
-      debug_printf("%s: error in %s\n", str, SSL_state_string_long(s));
+    if (ret <= 0)
+      debug_printf("SSL %s: %s in %s\n", g->s,
+       ret == 0 ? "failed" : "error", SSL_state_string_long(s));
      }
      }
-  else if (where & SSL_CB_HANDSHAKE_START)
-     debug_printf("%s: hshake start: %s\n", str, SSL_state_string_long(s));
-  else if (where & SSL_CB_HANDSHAKE_DONE)
-     debug_printf("%s: hshake done: %s\n", str, SSL_state_string_long(s));
+  else if (where & (SSL_CB_HANDSHAKE_START | SSL_CB_HANDSHAKE_DONE))
+     debug_printf("SSL %s: %s\n", g->s, SSL_state_string_long(s));
    }
  }
  
    }
  }
  
@@ -1009,7 +1026,7 @@ if (ev)
    old_cert = tlsp->peercert;
    tlsp->peercert = X509_dup(cert);
    /* NB we do not bother setting peerdn */
    old_cert = tlsp->peercert;
    tlsp->peercert = X509_dup(cert);
    /* NB we do not bother setting peerdn */
-  if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
+  if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth), &errno)))
      {
      log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
                 "depth=%d cert=%s: %s",
      {
      log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
                 "depth=%d cert=%s: %s",
@@ -1108,18 +1125,6 @@ if (preverify_ok == 0)
  else if (depth != 0)
    {
    DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
  else if (depth != 0)
    {
    DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
-#ifndef DISABLE_OCSP
-  if (tlsp == &tls_out && client_static_state->u_ocsp.client.verify_store)
-    {  /* client, wanting stapling  */
-    /* Add the server cert's signing chain as the one
-    for the verification of the OCSP stapled information. */
-
-    if (!X509_STORE_add_cert(client_static_state->u_ocsp.client.verify_store,
-                             cert))
-      ERR_clear_error();
-    sk_X509_push(client_static_state->verify_stack, cert);
-    }
-#endif
  #ifndef DISABLE_EVENT
      if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
        return 0;                                /* reject, with peercert set */
  #ifndef DISABLE_EVENT
      if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
        return 0;                                /* reject, with peercert set */
@@ -1247,21 +1252,7 @@ DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
  #endif
  
  if (preverify_ok == 1)
  #endif
  
  if (preverify_ok == 1)
-  {
    tls_out.dane_verified = TRUE;
    tls_out.dane_verified = TRUE;
-#ifndef DISABLE_OCSP
-  if (client_static_state->u_ocsp.client.verify_store)
-    {  /* client, wanting stapling  */
-    /* Add the server cert's signing chain as the one
-    for the verification of the OCSP stapled information. */
-
-    if (!X509_STORE_add_cert(client_static_state->u_ocsp.client.verify_store,
-                             cert))
-      ERR_clear_error();
-    sk_X509_push(client_static_state->verify_stack, cert);
-    }
-#endif
-  }
  else
    {
    int err = X509_STORE_CTX_get_error(x509ctx);
  else
    {
    int err = X509_STORE_CTX_get_error(x509ctx);
@@ -1277,6 +1268,14 @@ return preverify_ok;
  
  
  #ifndef DISABLE_OCSP
  
  
  #ifndef DISABLE_OCSP
+static void
+time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
+{
+BIO_printf(bp, "\t%s: ", str);
+ASN1_GENERALIZEDTIME_print(bp, time);
+BIO_puts(bp, "\n");
+}
+
  /*************************************************
  *       Load OCSP information into state         *
  *************************************************/
  /*************************************************
  *       Load OCSP information into state         *
  *************************************************/
@@ -1302,7 +1301,6 @@ OCSP_BASICRESP * basic_response;
  OCSP_SINGLERESP * single_response;
  ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
  STACK_OF(X509) * sk;
  OCSP_SINGLERESP * single_response;
  ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
  STACK_OF(X509) * sk;
-unsigned long verify_flags;
  int status, reason, i;
  
  DEBUG(D_tls)
  int status, reason, i;
  
  DEBUG(D_tls)
@@ -1367,20 +1365,20 @@ if (!(basic_response = OCSP_response_get1_basic(resp)))
    goto bad;
    }
  
    goto bad;
    }
  
-sk = state->verify_stack;
-verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
+sk = state->u_ocsp.server.verify_stack;        /* set by setup_certs() / chain_from_pem_file() */
  
  /* May need to expose ability to adjust those flags?
  OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
  OCSP_TRUSTOTHER OCSP_NOINTERN */
  
  
  /* May need to expose ability to adjust those flags?
  OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
  OCSP_TRUSTOTHER OCSP_NOINTERN */
  
-/* This does a full verify on the OCSP proof before we load it for serving
-up; possibly overkill - just date-checks might be nice enough.
+/* This does a partial verify (only the signer link, not the whole chain-to-CA)
+on the OCSP proof before we load it for serving up; possibly overkill -
+just date-checks might be nice enough.
  
  OCSP_basic_verify takes a "store" arg, but does not
  
  OCSP_basic_verify takes a "store" arg, but does not
-use it for the chain verification, which is all we do
-when OCSP_NOVERIFY is set.  The content from the wire
-"basic_response" and a cert-stack "sk" are all that is used.
+use it for the chain verification, when OCSP_NOVERIFY is set.
+The content from the wire "basic_response" and a cert-stack "sk" are all
+that is used.
  
  We have a stack, loaded in setup_certs() if tls_verify_certificates
  was a file (not a directory, or "system").  It is unfortunate we
  
  We have a stack, loaded in setup_certs() if tls_verify_certificates
  was a file (not a directory, or "system").  It is unfortunate we
@@ -1388,21 +1386,23 @@ cannot used the connection context store, as that would neatly
  handle the "system" case too, but there seems to be no library
  function for getting a stack from a store.
  [ In OpenSSL 1.1 - ?  X509_STORE_CTX_get0_chain(ctx) ? ]
  handle the "system" case too, but there seems to be no library
  function for getting a stack from a store.
  [ In OpenSSL 1.1 - ?  X509_STORE_CTX_get0_chain(ctx) ? ]
+[ 3.0.0 - sk = X509_STORE_get1_all_certs(store) ]
  We do not free the stack since it could be needed a second time for
  SNI handling.
  
  Separately we might try to replace using OCSP_basic_verify() - which seems to not
  be a public interface into the OpenSSL library (there's no manual entry) -
  We do not free the stack since it could be needed a second time for
  SNI handling.
  
  Separately we might try to replace using OCSP_basic_verify() - which seems to not
  be a public interface into the OpenSSL library (there's no manual entry) -
+(in 3.0.0 + is is public)
  But what with?  We also use OCSP_basic_verify in the client stapling callback.
  And there we NEED it; we must verify that status... unless the
  library does it for us anyway?  */
  
  But what with?  We also use OCSP_basic_verify in the client stapling callback.
  And there we NEED it; we must verify that status... unless the
  library does it for us anyway?  */
  
-if ((i = OCSP_basic_verify(basic_response, sk, NULL, verify_flags)) < 0)
+if ((i = OCSP_basic_verify(basic_response, sk, NULL, OCSP_NOVERIFY)) < 0)
    {
    DEBUG(D_tls)
      {
      ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
    {
    DEBUG(D_tls)
      {
      ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
-    debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
+    debug_printf("OCSP response has bad signature: %s\n", US ssl_errstring);
      }
    goto bad;
    }
      }
    goto bad;
    }
@@ -1436,7 +1436,16 @@ if (status != V_OCSP_CERTSTATUS_GOOD)
  
  if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
    {
  
  if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
    {
-  DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
+  DEBUG(D_tls)
+    {
+    BIO * bp = BIO_new(BIO_s_mem());
+    uschar * s = NULL;
+    int len;
+    time_print(bp, "This OCSP Update", thisupd);
+    if (nextupd) time_print(bp, "Next OCSP Update", nextupd);
+    if ((len = (int) BIO_get_mem_data(bp, CSS &s)) > 0) debug_printf("%.*s", len, s);
+    debug_printf("OCSP status invalid times.\n");
+    }
    goto bad;
    }
  
    goto bad;
    }
  
@@ -1446,7 +1455,7 @@ supply_response:
    ocsp_resplist ** op = &state->u_ocsp.server.olist, * oentry;
    while (oentry = *op)
      op = &oentry->next;
    ocsp_resplist ** op = &state->u_ocsp.server.olist, * oentry;
    while (oentry = *op)
      op = &oentry->next;
-  *op = oentry = store_get(sizeof(ocsp_resplist), FALSE);
+  *op = oentry = store_get(sizeof(ocsp_resplist), GET_UNTAINTED);
    oentry->next = NULL;
    oentry->resp = resp;
    }
    oentry->next = NULL;
    oentry->resp = resp;
    }
@@ -1468,12 +1477,12 @@ return;
  
  
  static void
  
  
  static void
-ocsp_free_response_list(exim_openssl_state_st * cbinfo)
+ocsp_free_response_list(exim_openssl_state_st * state)
  {
  {
-for (ocsp_resplist * olist = cbinfo->u_ocsp.server.olist; olist;
+for (ocsp_resplist * olist = state->u_ocsp.server.olist; olist;
       olist = olist->next)
    OCSP_RESPONSE_free(olist->resp);
       olist = olist->next)
    OCSP_RESPONSE_free(olist->resp);
-cbinfo->u_ocsp.server.olist = NULL;
+state->u_ocsp.server.olist = NULL;
  }
  #endif /*!DISABLE_OCSP*/
  
  }
  #endif /*!DISABLE_OCSP*/
  
@@ -1565,6 +1574,11 @@ else
        if (olist && !*olist)
         olist = NULL;
  
        if (olist && !*olist)
         olist = NULL;
  
+      /* If doing a re-expand after SNI, avoid reloading the OCSP
+      responses when the list of filenames has not changed.
+      The creds-invali on content change wipes file_expanded, so that
+      always reloads here. */
+
        if (  state->u_ocsp.server.file_expanded && olist
          && (Ustrcmp(olist, state->u_ocsp.server.file_expanded) == 0))
         {
        if (  state->u_ocsp.server.file_expanded && olist
          && (Ustrcmp(olist, state->u_ocsp.server.file_expanded) == 0))
         {
@@ -1737,53 +1751,10 @@ else
    DEBUG(D_tls) debug_printf("TLS: not preloading ECDH curve for server\n");
  
  #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
    DEBUG(D_tls) debug_printf("TLS: not preloading ECDH curve for server\n");
  
  #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
-/* If we can, preload the server-side cert, key and ocsp */
-
-if (  opt_set_and_noexpand(tls_certificate)
-# ifndef DISABLE_OCSP
-   && opt_unset_or_noexpand(tls_ocsp_file)
-#endif
-   && opt_unset_or_noexpand(tls_privatekey))
-  {
-  /* Set watches on the filenames.  The implementation does de-duplication
-  so we can just blindly do them all.  */
-
-  if (  tls_set_watch(tls_certificate, TRUE)
-# ifndef DISABLE_OCSP
-     && tls_set_watch(tls_ocsp_file, TRUE)
-#endif
-     && tls_set_watch(tls_privatekey, TRUE))
-    {
-    state_server.certificate = tls_certificate;
-    state_server.privatekey = tls_privatekey;
-#ifndef DISABLE_OCSP
-    state_server.u_ocsp.server.file = tls_ocsp_file;
-#endif
-
-    DEBUG(D_tls) debug_printf("TLS: preloading server certs\n");
-    if (tls_expand_session_files(ctx, &state_server, &dummy_errstr) == OK)
-      state_server.lib_state.conn_certs = TRUE;
-    }
-  }
-else if (  !tls_certificate && !tls_privatekey
-# ifndef DISABLE_OCSP
-       && !tls_ocsp_file
-#endif
-   )
-  {            /* Generate & preload a selfsigned cert. No files to watch. */
-  if (tls_expand_session_files(ctx, &state_server, &dummy_errstr) == OK)
-    {
-    state_server.lib_state.conn_certs = TRUE;
-    lifetime = f.running_in_test_harness ? 2 : 60 * 60;                /* 1 hour */
-    }
-  }
-else
-  DEBUG(D_tls) debug_printf("TLS: not preloading server certs\n");
-
-
  /* If we can, preload the Authorities for checking client certs against.
  Actual choice to do verify is made (tls_{,try_}verify_hosts)
  /* If we can, preload the Authorities for checking client certs against.
  Actual choice to do verify is made (tls_{,try_}verify_hosts)
-at TLS conn startup */
+at TLS conn startup.
+Do this before the server ocsp so that its info can verify the ocsp. */
  
  if (  opt_set_and_noexpand(tls_verify_certificates)
     && opt_unset_or_noexpand(tls_crl))
  
  if (  opt_set_and_noexpand(tls_verify_certificates)
     && opt_unset_or_noexpand(tls_crl))
@@ -1794,15 +1765,60 @@ if (  opt_set_and_noexpand(tls_verify_certificates)
       && tls_set_watch(tls_verify_certificates, FALSE)
       && tls_set_watch(tls_crl, FALSE))
      {
       && tls_set_watch(tls_verify_certificates, FALSE)
       && tls_set_watch(tls_crl, FALSE))
      {
+    uschar * v_certs = tls_verify_certificates;
      DEBUG(D_tls) debug_printf("TLS: preloading CA bundle for server\n");
  
      DEBUG(D_tls) debug_printf("TLS: preloading CA bundle for server\n");
  
-    if (setup_certs(ctx, tls_verify_certificates, tls_crl, NULL, &dummy_errstr)
-       == OK)
+    if (setup_certs(ctx, &v_certs, tls_crl, NULL, &dummy_errstr) == OK)
        state_server.lib_state.cabundle = TRUE;
        state_server.lib_state.cabundle = TRUE;
-    }
+
+    /* If we can, preload the server-side cert, key and ocsp */
+
+    if (  opt_set_and_noexpand(tls_certificate)
+# ifndef DISABLE_OCSP
+       && opt_unset_or_noexpand(tls_ocsp_file)
+# endif
+       && opt_unset_or_noexpand(tls_privatekey))
+      {
+      /* Set watches on the filenames.  The implementation does de-duplication
+      so we can just blindly do them all.  */
+
+      if (  tls_set_watch(tls_certificate, TRUE)
+# ifndef DISABLE_OCSP
+        && tls_set_watch(tls_ocsp_file, TRUE)
+# endif
+        && tls_set_watch(tls_privatekey, TRUE))
+       {
+       state_server.certificate = tls_certificate;
+       state_server.privatekey = tls_privatekey;
+#ifndef DISABLE_OCSP
+       state_server.u_ocsp.server.file = tls_ocsp_file;
+# endif
+
+       DEBUG(D_tls) debug_printf("TLS: preloading server certs\n");
+       if (tls_expand_session_files(ctx, &state_server, &dummy_errstr) == OK)
+         state_server.lib_state.conn_certs = TRUE;
+       }
+      }
+    else if (  !tls_certificate && !tls_privatekey
+# ifndef DISABLE_OCSP
+           && !tls_ocsp_file
+# endif
+       )
+      {                /* Generate & preload a selfsigned cert. No files to watch. */
+      if (tls_expand_session_files(ctx, &state_server, &dummy_errstr) == OK)
+       {
+       state_server.lib_state.conn_certs = TRUE;
+       lifetime = f.running_in_test_harness ? 2 : 60 * 60;             /* 1 hour */
+       }
+      }
+    else
+      DEBUG(D_tls) debug_printf("TLS: not preloading server certs\n");
+       }
    }
  else
    DEBUG(D_tls) debug_printf("TLS: not preloading CA bundle for server\n");
    }
  else
    DEBUG(D_tls) debug_printf("TLS: not preloading CA bundle for server\n");
+
+
  #endif /* EXIM_HAVE_INOTIFY */
  
  
  #endif /* EXIM_HAVE_INOTIFY */
  
  
@@ -1884,10 +1900,11 @@ if (  opt_set_and_noexpand(ob->tls_verify_certificates)
         && tls_set_watch(ob->tls_crl, FALSE)
       )
      {
         && tls_set_watch(ob->tls_crl, FALSE)
       )
      {
+    uschar * v_certs = ob->tls_verify_certificates;
      DEBUG(D_tls)
        debug_printf("TLS: preloading CA bundle for transport '%s'\n", t->name);
  
      DEBUG(D_tls)
        debug_printf("TLS: preloading CA bundle for transport '%s'\n", t->name);
  
-    if (setup_certs(ctx, ob->tls_verify_certificates,
+    if (setup_certs(ctx, &v_certs,
           ob->tls_crl, dummy_host, &dummy_errstr) == OK)
        ob->tls_preload.cabundle = TRUE;
      }
           ob->tls_crl, dummy_host, &dummy_errstr) == OK)
        ob->tls_preload.cabundle = TRUE;
      }
@@ -1903,12 +1920,15 @@ else
  #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
  /* Invalidate the creds cached, by dropping the current ones.
  Call when we notice one of the source files has changed. */
  #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
  /* Invalidate the creds cached, by dropping the current ones.
  Call when we notice one of the source files has changed. */
- 
+
  static void
  tls_server_creds_invalidate(void)
  {
  SSL_CTX_free(state_server.lib_state.lib_ctx);
  state_server.lib_state = null_tls_preload;
  static void
  tls_server_creds_invalidate(void)
  {
  SSL_CTX_free(state_server.lib_state.lib_ctx);
  state_server.lib_state = null_tls_preload;
+#ifndef DISABLE_OCSP
+state_server.u_ocsp.server.file_expanded = NULL;
+#endif
  }
  
  
  }
  
  
@@ -1934,28 +1954,51 @@ tls_client_creds_invalidate(transport_instance * t)
  
  
  /* Extreme debug
  
  
  /* Extreme debug
+ * */
  #ifndef DISABLE_OCSP
  #ifndef DISABLE_OCSP
-void
-x509_store_dump_cert_s_names(X509_STORE * store)
+static void
+debug_print_sn(const X509 * cert)
  {
  {
-STACK_OF(X509_OBJECT) * roots= store->objs;
+X509_NAME * sn = X509_get_subject_name((X509 *)cert);
  static uschar name[256];
  static uschar name[256];
+if (X509_NAME_oneline(sn, CS name, sizeof(name)))
+  {
+  name[sizeof(name)-1] = '\0';
+  debug_printf(" %s\n", name);
+  }
+}
  
  
-for (int i= 0; i < sk_X509_OBJECT_num(roots); i++)
+static void
+x509_stack_dump_cert_s_names(const STACK_OF(X509) * sk)
+{
+if (!sk)
+  debug_printf(" (null)\n");
+else
    {
    {
-  X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
-  if(tmp_obj->type == X509_LU_X509)
-    {
-    X509_NAME * sn = X509_get_subject_name(tmp_obj->data.x509);
-    if (X509_NAME_oneline(sn, CS name, sizeof(name)))
-      {
-      name[sizeof(name)-1] = '\0';
-      debug_printf(" %s\n", name);
-      }
-    }
+  int idx = sk_X509_num(sk);
+  if (!idx)
+    debug_printf(" (empty)\n");
+  else
+    while (--idx >= 0) debug_print_sn(sk_X509_value(sk, idx));
    }
  }
    }
  }
-#endif
+
+static void
+x509_store_dump_cert_s_names(X509_STORE * store)
+{
+# ifdef EXIM_HAVE_OPENSSL_X509_STORE_GET1_ALL_CERTS
+if (!store)
+  debug_printf(" (no store)\n");
+else
+  {
+  STACK_OF(X509) * sk = X509_STORE_get1_all_certs(store);
+  x509_stack_dump_cert_s_names(sk);
+  sk_X509_pop_free(sk, X509_free);
+  }
+# endif
+}
+#endif /*!DISABLE_OCSP*/
+/*
  */
  
  
  */
  
  
@@ -2174,7 +2217,7 @@ DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
  
  /* Make the extension value available for expansion */
  store_pool = POOL_PERM;
  
  /* Make the extension value available for expansion */
  store_pool = POOL_PERM;
-tls_in.sni = string_copy_taint(US servername, TRUE);
+tls_in.sni = string_copy_taint(US servername, GET_TAINTED);
  store_pool = old_pool;
  
  if (!reexpand_tls_files_for_sni)
  store_pool = old_pool;
  
  if (!reexpand_tls_files_for_sni)
@@ -2190,15 +2233,19 @@ if (lib_ctx_new(&server_sni, NULL, &dummy_errstr) != OK)
  /* Not sure how many of these are actually needed, since SSL object
  already exists.  Might even need this selfsame callback, for reneg? */
  
  /* Not sure how many of these are actually needed, since SSL object
  already exists.  Might even need this selfsame callback, for reneg? */
  
-  {
+ {
    SSL_CTX * ctx = state_server.lib_state.lib_ctx;
    SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(ctx));
    SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(ctx));
    SSL_CTX * ctx = state_server.lib_state.lib_ctx;
    SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(ctx));
    SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(ctx));
+#ifdef OPENSSL_MIN_PROTO_VERSION
+  SSL_CTX_set_min_proto_version(server_sni, SSL3_VERSION);
+#endif
    SSL_CTX_set_options(server_sni, SSL_CTX_get_options(ctx));
    SSL_CTX_set_options(server_sni, SSL_CTX_get_options(ctx));
+  SSL_CTX_clear_options(server_sni, ~SSL_CTX_get_options(ctx));
    SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(ctx));
    SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
    SSL_CTX_set_tlsext_servername_arg(server_sni, state);
    SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(ctx));
    SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
    SSL_CTX_set_tlsext_servername_arg(server_sni, state);
-  }
+ }
  
  if (  !init_dh(server_sni, state->dhparam, &dummy_errstr)
     || !init_ecdh(server_sni, &dummy_errstr)
  
  if (  !init_dh(server_sni, state->dhparam, &dummy_errstr)
     || !init_ecdh(server_sni, &dummy_errstr)
@@ -2218,14 +2265,12 @@ if (state->u_ocsp.server.file)
  #endif
  
    {
  #endif
  
    {
-  uschar * expcerts;
-  if (  !expand_check(tls_verify_certificates, US"tls_verify_certificates",
-                 &expcerts, &dummy_errstr)
-     || (rc = setup_certs(server_sni, expcerts, tls_crl, NULL,
+  uschar * v_certs = tls_verify_certificates;
+  if ((rc = setup_certs(server_sni, &v_certs, tls_crl, NULL,
                         &dummy_errstr)) != OK)
      goto bad;
  
                         &dummy_errstr)) != OK)
      goto bad;
  
-  if (expcerts && *expcerts)
+  if (v_certs && *v_certs)
      setup_cert_verify(server_sni, FALSE, verify_callback_server);
    }
  
      setup_cert_verify(server_sni, FALSE, verify_callback_server);
    }
  
@@ -2397,15 +2442,25 @@ return SSL_TLSEXT_ERR_OK;
  
  
  static void
  
  
  static void
-time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
+add_chain_to_store(X509_STORE * store, STACK_OF(X509) * sk,
+  const char * debug_text)
  {
  {
-BIO_printf(bp, "\t%s: ", str);
-ASN1_GENERALIZEDTIME_print(bp, time);
-BIO_puts(bp, "\n");
+int idx;
+
+DEBUG(D_tls)
+  {
+  debug_printf("chain for %s:\n", debug_text);
+  x509_stack_dump_cert_s_names(sk);
+  }
+if (sk)
+  if ((idx = sk_X509_num(sk)) > 0)
+    while (--idx >= 0)
+      X509_STORE_add_cert(store, sk_X509_value(sk, idx));
+
  }
  
  static int
  }
  
  static int
-tls_client_stapling_cb(SSL *s, void *arg)
+tls_client_stapling_cb(SSL * ssl, void * arg)
  {
  exim_openssl_state_st * cbinfo = arg;
  const unsigned char * p;
  {
  exim_openssl_state_st * cbinfo = arg;
  const unsigned char * p;
@@ -2415,16 +2470,26 @@ OCSP_BASICRESP * bs;
  int i;
  
  DEBUG(D_tls) debug_printf("Received TLS status callback (OCSP stapling):\n");
  int i;
  
  DEBUG(D_tls) debug_printf("Received TLS status callback (OCSP stapling):\n");
-len = SSL_get_tlsext_status_ocsp_resp(s, &p);
+len = SSL_get_tlsext_status_ocsp_resp(ssl, &p);
  if(!p)
  if(!p)
- {
-  /* Expect this when we requested ocsp but got none */
+  {                            /* Expect this when we requested ocsp but got none */
+  if (SSL_session_reused(ssl) && tls_out.ocsp == OCSP_VFIED)
+    {
+    DEBUG(D_tls) debug_printf(" null, but resumed; ocsp vfy stored with session is good\n");
+    return 1;
+    }
+
    if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
      log_write(0, LOG_MAIN, "Required TLS certificate status not received");
    else
      DEBUG(D_tls) debug_printf(" null\n");
    if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
      log_write(0, LOG_MAIN, "Required TLS certificate status not received");
    else
      DEBUG(D_tls) debug_printf(" null\n");
-  return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
- }
+
+  if (!cbinfo->u_ocsp.client.verify_required)
+    return 1;
+  cbinfo->u_ocsp.client.verify_errstr =
+                       US"(SSL_connect) Required TLS certificate status not received";
+  return 0;
+  }
  
  if (!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
    {
  
  if (!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
    {
@@ -2456,33 +2521,160 @@ if (!(bs = OCSP_response_get1_basic(rsp)))
  */
    {
      BIO * bp = NULL;
  */
    {
      BIO * bp = NULL;
+    X509_STORE * verify_store = NULL;
+    BOOL have_verified_OCSP_signer = FALSE;
  #ifndef EXIM_HAVE_OCSP_RESP_COUNT
      STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
  #endif
  
  #ifndef EXIM_HAVE_OCSP_RESP_COUNT
      STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
  #endif
  
-    DEBUG(D_tls) bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
+    DEBUG(D_tls) bp = BIO_new(BIO_s_mem());
  
  
-    /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
+    /* Use the CA & chain that verified the server cert to verify the stapled info */
+    /*XXX could we do an event here, for observability of ocsp?  What reasonable data could we give access to? */
+    /* Dates would be a start. Do we need another opaque variable type, as for certs, plus an extract expansion? */
  
  
-    /* Use the chain that verified the server cert to verify the stapled info */
-    /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
+   {
+    /* If this routine is not available, we've avoided [in tls_client_start()]
+    asking for certificate-status under DANE, so this callback won't run for
+    that combination. It still will for non-DANE. */
  
  
-    if ((i = OCSP_basic_verify(bs, cbinfo->verify_stack,
-             cbinfo->u_ocsp.client.verify_store, OCSP_NOEXPLICIT)) <= 0)
+#ifdef EXIM_HAVE_OPENSSL_OCSP_RESP_GET0_SIGNER
+    X509 * signer;
+
+    if (  tls_out.dane_verified
+       && (have_verified_OCSP_signer =
+       OCSP_resp_get0_signer(bs, &signer, SSL_get0_verified_chain(ssl)) == 1))
+      {
+      DEBUG(D_tls)
+       debug_printf("signer for OCSP basicres is in the verified chain;"
+                     " shortcut its verification\n");
+      }
+    else
+#endif
+      {
+      STACK_OF(X509) * verified_chain;
+
+      verify_store = X509_STORE_new();
+
+      SSL_get0_chain_certs(ssl, &verified_chain);
+      add_chain_to_store(verify_store, verified_chain,
+                             "'current cert' per SSL_get0_chain_certs()");
+#ifdef EXIM_HAVE_SSL_GET0_VERIFIED_CHAIN
+      verified_chain = SSL_get0_verified_chain(ssl);
+      add_chain_to_store(verify_store, verified_chain,
+                             "SSL_get0_verified_chain()");
+#endif
+      }
+   }
+
+    DEBUG(D_tls)
+      {
+      debug_printf("Untrusted intermediate cert stack (from SSL_get_peer_cert_chain()):\n");
+      x509_stack_dump_cert_s_names(SSL_get_peer_cert_chain(ssl));
+
+      debug_printf("will use this CA store for verifying basicresp:\n");
+      x509_store_dump_cert_s_names(verify_store);
+
+      /* OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
+
+      debug_printf("certs contained in basicresp:\n");
+      x509_stack_dump_cert_s_names(
+#ifdef EXIM_HAVE_OPESSL_OCSP_RESP_GET0_CERTS
+       OCSP_resp_get0_certs(bs)
+#else
+       bs->certs
+#endif
+       );
+
+#ifdef EXIM_HAVE_OPENSSL_X509_STORE_GET1_ALL_CERTS
+/* could do via X509_STORE_get0_objects(); not worth it just for debug info */
+       {
+       X509 * signer;
+       if (OCSP_resp_get0_signer(bs, &signer, X509_STORE_get1_all_certs(verify_store)) == 1)
+         {
+         debug_printf("found signer for basicres:\n");
+         debug_print_sn(signer);
+         }
+       else
+         {
+         debug_printf("failed to find signer for basicres:\n");
+         ERR_print_errors(bp);
+         }
+       }
+#endif
+
+      }
+
+    ERR_clear_error();
+
+    /* Under DANE the trust-anchor (at least in TA mode) is indicated by the TLSA
+    record in DNS, and probably is not the root of the chain of certificates. So
+    accept a partial chain for that case (and hope that anchor is visible for
+    verifying the OCSP stapling).
+    XXX for EE mode it won't even be that.  Does that make OCSP useless for EE?
+
+    Worse, for LetsEncrypt-mode (ocsp signer is leaf-signer) under DANE, the
+    data used within OpenSSL for the signer has nil pointers for signing
+    algorithms - and a crash results.  Avoid this by shortcutting verification,
+    having determined that the OCSP signer is in the (DANE-)validated set.
+    */
+
+#ifndef OCSP_PARTIAL_CHAIN     /* defined for 3.0.0 onwards */
+# define OCSP_PARTIAL_CHAIN 0
+#endif
+
+    if ((i = OCSP_basic_verify(bs, SSL_get_peer_cert_chain(ssl),
+               verify_store,
+#ifdef SUPPORT_DANE
+               tls_out.dane_verified
+               ? have_verified_OCSP_signer
+                 ? OCSP_NOVERIFY | OCSP_NOEXPLICIT
+                 : OCSP_PARTIAL_CHAIN | OCSP_NOEXPLICIT
+               :
+#endif
+               OCSP_NOEXPLICIT)) <= 0)
+      {
+      DEBUG(D_tls) debug_printf("OCSP_basic_verify() fail: returned %d\n", i);
        if (ERR_peek_error())
         {
         tls_out.ocsp = OCSP_FAILED;
        if (ERR_peek_error())
         {
         tls_out.ocsp = OCSP_FAILED;
-       if (LOGGING(tls_cipher)) log_write(0, LOG_MAIN,
-               "Received TLS cert status response, itself unverifiable: %s",
-               ERR_reason_error_string(ERR_peek_error()));
-       BIO_printf(bp, "OCSP response verify failure\n");
-       ERR_print_errors(bp);
-       OCSP_RESPONSE_print(bp, rsp, 0);
+       if (LOGGING(tls_cipher))
+         {
+         static uschar peerdn[256];
+         const uschar * errstr;;
+
+#if OPENSSL_VERSION_NUMBER >= 0x30000000L
+         ERR_peek_error_all(NULL, NULL, NULL, CCSS &errstr, NULL);
+         if (!errstr)
+#endif
+           errstr = CUS ERR_reason_error_string(ERR_peek_error());
+
+         X509_NAME_oneline(X509_get_subject_name(SSL_get_peer_certificate(ssl)),
+                                                 CS peerdn, sizeof(peerdn));
+         log_write(0, LOG_MAIN,
+               "[%s] %s Received TLS cert (DN: '%.*s') status response, "
+               "itself unverifiable: %s",
+               deliver_host_address, deliver_host,
+               (int)sizeof(peerdn), peerdn, errstr);
+         }
+       DEBUG(D_tls)
+         {
+         BIO_printf(bp, "OCSP response verify failure\n");
+         ERR_print_errors(bp);
+  {
+  uschar * s = NULL;
+  int len = (int) BIO_get_mem_data(bp, CSS &s);
+  if (len > 0) debug_printf("%.*s", len, s);
+  BIO_reset(bp);
+  }
+         OCSP_RESPONSE_print(bp, rsp, 0);
+         }
         goto failed;
         }
        else
         DEBUG(D_tls) debug_printf("no explicit trust for OCSP signing"
           " in the root CA certificate; ignoring\n");
         goto failed;
         }
        else
         DEBUG(D_tls) debug_printf("no explicit trust for OCSP signing"
           " in the root CA certificate; ignoring\n");
+      }
  
      DEBUG(D_tls) debug_printf("OCSP response well-formed and signed OK\n");
  
  
      DEBUG(D_tls) debug_printf("OCSP response well-formed and signed OK\n");
  
@@ -2515,14 +2707,19 @@ if (!(bs = OCSP_response_get1_basic(rsp)))
        status = OCSP_single_get0_status(single, &reason, &rev,
                   &thisupd, &nextupd);
  
        status = OCSP_single_get0_status(single, &reason, &rev,
                   &thisupd, &nextupd);
  
-      DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
-      DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
+      DEBUG(D_tls)
+       {
+       time_print(bp, "This OCSP Update", thisupd);
+       if (nextupd) time_print(bp, "Next OCSP Update", nextupd);
+       }
        if (!OCSP_check_validity(thisupd, nextupd,
             EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
         {
         tls_out.ocsp = OCSP_FAILED;
         DEBUG(D_tls) ERR_print_errors(bp);
        if (!OCSP_check_validity(thisupd, nextupd,
             EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
         {
         tls_out.ocsp = OCSP_FAILED;
         DEBUG(D_tls) ERR_print_errors(bp);
-       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
+       cbinfo->u_ocsp.client.verify_errstr =
+                   US"(SSL_connect) Server certificate status is out-of-date";
+       log_write(0, LOG_MAIN, "OCSP dates invalid");
         goto failed;
         }
  
         goto failed;
         }
  
@@ -2533,12 +2730,16 @@ if (!(bs = OCSP_response_get1_basic(rsp)))
         case V_OCSP_CERTSTATUS_GOOD:
           continue;     /* the idx loop */
         case V_OCSP_CERTSTATUS_REVOKED:
         case V_OCSP_CERTSTATUS_GOOD:
           continue;     /* the idx loop */
         case V_OCSP_CERTSTATUS_REVOKED:
+         cbinfo->u_ocsp.client.verify_errstr =
+                       US"(SSL_connect) Server certificate revoked";
           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
               reason != -1 ? "; reason: " : "",
               reason != -1 ? OCSP_crl_reason_str(reason) : "");
           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
           break;
         default:
           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
               reason != -1 ? "; reason: " : "",
               reason != -1 ? OCSP_crl_reason_str(reason) : "");
           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
           break;
         default:
+         cbinfo->u_ocsp.client.verify_errstr =
+                       US"(SSL_connect) Server certificate has unknown status";
           log_write(0, LOG_MAIN,
               "Server certificate status unknown, in OCSP stapling");
           break;
           log_write(0, LOG_MAIN,
               "Server certificate status unknown, in OCSP stapling");
           break;
@@ -2555,6 +2756,11 @@ if (!(bs = OCSP_response_get1_basic(rsp)))
      tls_out.ocsp = OCSP_FAILED;
      i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
    good:
      tls_out.ocsp = OCSP_FAILED;
      i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
    good:
+    {
+    uschar * s = NULL;
+    int len = (int) BIO_get_mem_data(bp, CSS &s);
+    if (len > 0) debug_printf("%.*s", len, s);
+    }
      BIO_free(bp);
    }
  
      BIO_free(bp);
    }
  
@@ -2587,8 +2793,7 @@ tls_init(host_item * host, smtp_transport_options_block * ob,
    uschar *ocsp_file,
  #endif
    address_item *addr, exim_openssl_state_st ** caller_state,
    uschar *ocsp_file,
  #endif
    address_item *addr, exim_openssl_state_st ** caller_state,
-  tls_support * tlsp,
-  uschar ** errstr)
+  tls_support * tlsp, uschar ** errstr)
  {
  SSL_CTX * ctx;
  exim_openssl_state_st * state;
  {
  SSL_CTX * ctx;
  exim_openssl_state_st * state;
@@ -2685,10 +2890,17 @@ if (init_options)
      }
  #endif
  
      }
  #endif
  
-  DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
-  if (!(SSL_CTX_set_options(ctx, init_options)))
-    return tls_error(string_sprintf(
+#ifdef OPENSSL_MIN_PROTO_VERSION
+  SSL_CTX_set_min_proto_version(ctx, SSL3_VERSION);
+#endif
+  DEBUG(D_tls) debug_printf("setting  SSL CTX options: %016lx\n", init_options);
+  SSL_CTX_set_options(ctx, init_options);
+   {
+    uint64_t readback = SSL_CTX_clear_options(ctx, ~init_options);
+    if (readback != init_options)
+      return tls_error(string_sprintf(
            "SSL_CTX_set_option(%#lx)", init_options), host, NULL, errstr);
            "SSL_CTX_set_option(%#lx)", init_options), host, NULL, errstr);
+   }
    }
  else
    DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
    }
  else
    DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
@@ -2729,7 +2941,7 @@ if (state->lib_state.conn_certs)
  else
    {
  #ifndef DISABLE_OCSP
  else
    {
  #ifndef DISABLE_OCSP
-  if (!host)
+  if (!host)                                   /* server */
      {
      state->u_ocsp.server.file = ocsp_file;
      state->u_ocsp.server.file_expanded = NULL;
      {
      state->u_ocsp.server.file = ocsp_file;
      state->u_ocsp.server.file_expanded = NULL;
@@ -2743,7 +2955,7 @@ else
  
  #ifdef EXIM_HAVE_OPENSSL_TLSEXT
  # ifndef DISABLE_OCSP
  
  #ifdef EXIM_HAVE_OPENSSL_TLSEXT
  # ifndef DISABLE_OCSP
-  if (!(state->verify_stack = sk_X509_new_null()))
+  if (!host && !(state->u_ocsp.server.verify_stack = sk_X509_new_null()))
      {
      DEBUG(D_tls) debug_printf("failed to create stack for stapling verify\n");
      return FAIL;
      {
      DEBUG(D_tls) debug_printf("failed to create stack for stapling verify\n");
      return FAIL;
@@ -2792,11 +3004,12 @@ else                    /* client */
        DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
        return FAIL;
        }
        DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
        return FAIL;
        }
+
      SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
      SSL_CTX_set_tlsext_status_arg(ctx, state);
      }
  # endif
      SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
      SSL_CTX_set_tlsext_status_arg(ctx, state);
      }
  # endif
-#endif
+#endif /*EXIM_HAVE_OPENSSL_TLSEXT*/
  
  state->verify_cert_hostnames = NULL;
  
  
  state->verify_cert_hostnames = NULL;
  
@@ -2935,7 +3148,7 @@ if (tlsp->peercert)
  *************************************************/
  
  #ifndef DISABLE_OCSP
  *************************************************/
  
  #ifndef DISABLE_OCSP
-/* Load certs from file, return TRUE on success */
+/* In the server, load certs from file, return TRUE on success */
  
  static BOOL
  chain_from_pem_file(const uschar * file, STACK_OF(X509) ** vp)
  
  static BOOL
  chain_from_pem_file(const uschar * file, STACK_OF(X509) ** vp)
@@ -2965,7 +3178,7 @@ repeated after a Server Name Indication.
  
  Arguments:
    sctx          SSL_CTX* to initialise
  
  Arguments:
    sctx          SSL_CTX* to initialise
-  certs         certs file, expanded
+  certsp        certs file, returned expanded
    crl           CRL file or NULL
    host          NULL in a server; the remote host in a client
    errstr       error string pointer
    crl           CRL file or NULL
    host          NULL in a server; the remote host in a client
    errstr       error string pointer
@@ -2974,15 +3187,16 @@ Returns:        OK/DEFER/FAIL
  */
  
  static int
  */
  
  static int
-setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host,
+setup_certs(SSL_CTX * sctx, uschar ** certsp, uschar * crl, host_item * host,
      uschar ** errstr)
  {
      uschar ** errstr)
  {
-uschar *expcerts, *expcrl;
+uschar * expcerts, * expcrl;
  
  
-if (!expand_check(certs, US"tls_verify_certificates", &expcerts, errstr))
+if (!expand_check(*certsp, US"tls_verify_certificates", &expcerts, errstr))
    return DEFER;
  DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
  
    return DEFER;
  DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
  
+*certsp = expcerts;
  if (expcerts && *expcerts)
    {
    /* Tell the library to use its compiled-in location for the system default
  if (expcerts && *expcerts)
    {
    /* Tell the library to use its compiled-in location for the system default
@@ -3010,19 +3224,20 @@ if (expcerts && *expcerts)
         {
         STACK_OF(X509) * verify_stack =
  #ifndef DISABLE_OCSP
         {
         STACK_OF(X509) * verify_stack =
  #ifndef DISABLE_OCSP
-         !host ? state_server.verify_stack :
+         !host ? state_server.u_ocsp.server.verify_stack :
  #endif
           NULL;
         STACK_OF(X509) ** vp = &verify_stack;
  
         file = expcerts; dir = NULL;
  #ifndef DISABLE_OCSP
  #endif
           NULL;
         STACK_OF(X509) ** vp = &verify_stack;
  
         file = expcerts; dir = NULL;
  #ifndef DISABLE_OCSP
-       /* In the server if we will be offering an OCSP proof, load chain from
+       /* In the server if we will be offering an OCSP proof; load chain from
         file for verifying the OCSP proof at load time. */
  
  /*XXX Glitch!   The file here is tls_verify_certs: the chain for verifying the client cert.
  This is inconsistent with the need to verify the OCSP proof of the server cert.
  */
         file for verifying the OCSP proof at load time. */
  
  /*XXX Glitch!   The file here is tls_verify_certs: the chain for verifying the client cert.
  This is inconsistent with the need to verify the OCSP proof of the server cert.
  */
+/* *debug_printf("file for checking server ocsp stapling is: %s\n", file); */
         if (  !host
            && statbuf.st_size > 0
            && state_server.u_ocsp.server.file
         if (  !host
            && statbuf.st_size > 0
            && state_server.u_ocsp.server.file
@@ -3130,6 +3345,67 @@ return OK;
  
  
  
  
  
  
+static void
+tls_dump_keylog(SSL * ssl)
+{
+#ifdef EXIM_HAVE_OPENSSL_KEYLOG
+  BIO * bp = BIO_new(BIO_s_mem());
+  uschar * s = NULL;
+  int len;
+  SSL_SESSION_print_keylog(bp, SSL_get_session(ssl));
+  len = (int) BIO_get_mem_data(bp, CSS &s);
+  if (len > 0) debug_printf("%.*s", len, s);
+  BIO_free(bp);
+#endif
+}
+
+
+/* Channel-binding info for authenticators
+See description in https://paquier.xyz/postgresql-2/channel-binding-openssl/
+for pre-TLS1.3
+*/
+
+static void
+tls_get_channel_binding(SSL * ssl, tls_support * tlsp, const void * taintval)
+{
+uschar c, * s;
+size_t len;
+
+#ifdef EXIM_HAVE_EXPORT_CHNL_BNGNG
+if (SSL_version(ssl) > TLS1_2_VERSION)
+  {
+  /* It's not documented by OpenSSL how big the output buffer must be.
+  The OpenSSL testcases use 80 bytes but don't say why. The GnuTLS impl only
+  serves out 32B.  RFC 9266 says it is 32B.
+  Interop fails unless we use the same each end. */
+  len = 32;
+
+  tlsp->channelbind_exporter = TRUE;
+  taintval = GET_UNTAINTED;
+  if (SSL_export_keying_material(ssl,
+       s = store_get((int)len, taintval), len,
+       "EXPORTER-Channel-Binding", (size_t) 24,
+       NULL, 0, 0) != 1)
+    len = 0;
+  }
+else
+#endif
+  {
+  len = SSL_get_peer_finished(ssl, &c, 0);
+  len = SSL_get_peer_finished(ssl, s = store_get((int)len, taintval), len);
+  }
+
+if (len > 0)
+  {
+  int old_pool = store_pool;
+  store_pool = POOL_PERM;
+    tlsp->channelbinding = b64encode_taint(CUS s, (int)len, taintval);
+  store_pool = old_pool;
+  DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p %p\n", tlsp->channelbinding, tlsp);
+  }
+}
+
+
  /*************************************************
  *       Start a TLS session in a server          *
  *************************************************/
  /*************************************************
  *       Start a TLS session in a server          *
  *************************************************/
@@ -3187,7 +3463,7 @@ TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
  
  if (state_server.lib_state.pri_string)
    { DEBUG(D_tls) debug_printf("TLS: cipher list was preloaded\n"); }
  
  if (state_server.lib_state.pri_string)
    { DEBUG(D_tls) debug_printf("TLS: cipher list was preloaded\n"); }
-else 
+else
    {
    if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers, errstr))
      return FAIL;
    {
    if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers, errstr))
      return FAIL;
@@ -3217,20 +3493,20 @@ else
    goto skip_certs;
  
   {
    goto skip_certs;
  
   {
-  uschar * expcerts;
-  if (!expand_check(tls_verify_certificates, US"tls_verify_certificates",
-                   &expcerts, errstr))
-    return DEFER;
-  DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
+  uschar * v_certs = tls_verify_certificates;
  
    if (state_server.lib_state.cabundle)
  
    if (state_server.lib_state.cabundle)
-    { DEBUG(D_tls) debug_printf("TLS: CA bundle for server was preloaded\n"); }
+    {
+    DEBUG(D_tls) debug_printf("TLS: CA bundle for server was preloaded\n");
+    setup_cert_verify(ctx, server_verify_optional, verify_callback_server);
+    }
    else
    else
-    if ((rc = setup_certs(ctx, expcerts, tls_crl, NULL, errstr)) != OK)
+    {
+    if ((rc = setup_certs(ctx, &v_certs, tls_crl, NULL, errstr)) != OK)
        return rc;
        return rc;
-
-  if (expcerts && *expcerts)
-    setup_cert_verify(ctx, server_verify_optional, verify_callback_server);
+    if (v_certs && *v_certs)
+      setup_cert_verify(ctx, server_verify_optional, verify_callback_server);
+    }
   }
  skip_certs: ;
  
   }
  skip_certs: ;
  
@@ -3311,9 +3587,11 @@ if (rc <= 0)
      case SSL_ERROR_ZERO_RETURN:
        DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
        (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
      case SSL_ERROR_ZERO_RETURN:
        DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
        (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
-
+#ifndef DISABLE_EVENT
+      (void) event_raise(event_action, US"tls:fail:connect", *errstr, NULL);
+#endif
        if (SSL_get_shutdown(ssl) == SSL_RECEIVED_SHUTDOWN)
        if (SSL_get_shutdown(ssl) == SSL_RECEIVED_SHUTDOWN)
-           SSL_shutdown(ssl);
+       SSL_shutdown(ssl);
  
        tls_close(NULL, TLS_NO_SHUTDOWN);
        return FAIL;
  
        tls_close(NULL, TLS_NO_SHUTDOWN);
        return FAIL;
@@ -3328,8 +3606,11 @@ if (rc <= 0)
           || r == SSL_R_VERSION_TOO_LOW
  #endif
           || r == SSL_R_UNKNOWN_PROTOCOL || r == SSL_R_UNSUPPORTED_PROTOCOL)
           || r == SSL_R_VERSION_TOO_LOW
  #endif
           || r == SSL_R_UNKNOWN_PROTOCOL || r == SSL_R_UNSUPPORTED_PROTOCOL)
-       s = string_sprintf("%s (%s)", s, SSL_get_version(ssl));
+       s = string_sprintf("(%s)", SSL_get_version(ssl));
        (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : s, errstr);
        (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : s, errstr);
+#ifndef DISABLE_EVENT
+      (void) event_raise(event_action, US"tls:fail:connect", *errstr, NULL);
+#endif
        return FAIL;
        }
  
        return FAIL;
        }
  
@@ -3340,6 +3621,9 @@ if (rc <= 0)
         if (!errno)
           {
           *errstr = US"SSL_accept: TCP connection closed by peer";
         if (!errno)
           {
           *errstr = US"SSL_accept: TCP connection closed by peer";
+#ifndef DISABLE_EVENT
+         (void) event_raise(event_action, US"tls:fail:connect", *errstr, NULL);
+#endif
           return FAIL;
           }
         DEBUG(D_tls) debug_printf(" - syscall %s\n", strerror(errno));
           return FAIL;
           }
         DEBUG(D_tls) debug_printf(" - syscall %s\n", strerror(errno));
@@ -3348,6 +3632,9 @@ if (rc <= 0)
                       sigalrm_seen ? US"timed out"
                       : ERR_peek_error() ? NULL : string_sprintf("ret %d", error),
                       errstr);
                       sigalrm_seen ? US"timed out"
                       : ERR_peek_error() ? NULL : string_sprintf("ret %d", error),
                       errstr);
+#ifndef DISABLE_EVENT
+      (void) event_raise(event_action, US"tls:fail:connect", *errstr, NULL);
+#endif
        return FAIL;
      }
    }
        return FAIL;
      }
    }
@@ -3395,6 +3682,7 @@ else DEBUG(D_tls)
  adjust the input functions to read via TLS, and initialize things. */
  
  #ifdef SSL_get_extms_support
  adjust the input functions to read via TLS, and initialize things. */
  
  #ifdef SSL_get_extms_support
+/*XXX what does this return for tls1.3 ? */
  tls_in.ext_master_secret = SSL_get_extms_support(ssl) == 1;
  #endif
  peer_cert(ssl, &tls_in, peerdn, sizeof(peerdn));
  tls_in.ext_master_secret = SSL_get_extms_support(ssl) == 1;
  #endif
  peer_cert(ssl, &tls_in, peerdn, sizeof(peerdn));
@@ -3409,13 +3697,7 @@ DEBUG(D_tls)
    if (SSL_get_shared_ciphers(ssl, CS buf, sizeof(buf)))
      debug_printf("Shared ciphers: %s\n", buf);
  
    if (SSL_get_shared_ciphers(ssl, CS buf, sizeof(buf)))
      debug_printf("Shared ciphers: %s\n", buf);
  
-#ifdef EXIM_HAVE_OPENSSL_KEYLOG
-  {
-  BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
-  SSL_SESSION_print_keylog(bp, SSL_get_session(ssl));
-  BIO_free(bp);
-  }
-#endif
+  tls_dump_keylog(ssl);
  
  #ifdef EXIM_HAVE_SESSION_TICKET
    {
  
  #ifdef EXIM_HAVE_SESSION_TICKET
    {
@@ -3433,19 +3715,7 @@ DEBUG(D_tls)
    tls_in.ourcert = crt ? X509_dup(crt) : NULL;
    }
  
    tls_in.ourcert = crt ? X509_dup(crt) : NULL;
    }
  
-/* Channel-binding info for authenticators
-See description in https://paquier.xyz/postgresql-2/channel-binding-openssl/ */
-  {
-  uschar c, * s;
-  size_t len = SSL_get_peer_finished(ssl, &c, 0);
-  int old_pool = store_pool;
-
-  SSL_get_peer_finished(ssl, s = store_get((int)len, FALSE), len);
-  store_pool = POOL_PERM;
-    tls_in.channelbinding = b64encode_taint(CUS s, (int)len, FALSE);
-  store_pool = old_pool;
-  DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p\n", tls_in.channelbinding);
-  }
+tls_get_channel_binding(ssl, &tls_in, GET_UNTAINTED);
  
  /* Only used by the server-side tls (tls_in), including tls_getc.
     Client-side (tls_out) reads (seem to?) go via
  
  /* Only used by the server-side tls (tls_in), including tls_getc.
     Client-side (tls_out) reads (seem to?) go via
@@ -3499,20 +3769,20 @@ else
    return OK;
  
   {
    return OK;
  
   {
-  uschar * expcerts;
-  if (!expand_check(ob->tls_verify_certificates, US"tls_verify_certificates",
-                   &expcerts, errstr))
-    return DEFER;
-  DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
+  uschar * v_certs = ob->tls_verify_certificates;
  
    if (state->lib_state.cabundle)
  
    if (state->lib_state.cabundle)
-    { DEBUG(D_tls) debug_printf("TLS: CA bundle was preloaded\n"); }
+    {
+    DEBUG(D_tls) debug_printf("TLS: CA bundle for tpt was preloaded\n");
+    setup_cert_verify(ctx, client_verify_optional, verify_callback_client);
+    }
    else
    else
-    if ((rc = setup_certs(ctx, expcerts, ob->tls_crl, host, errstr)) != OK)
+    {
+    if ((rc = setup_certs(ctx, &v_certs, ob->tls_crl, host, errstr)) != OK)
        return rc;
        return rc;
-
-  if (expcerts && *expcerts)
-    setup_cert_verify(ctx, client_verify_optional, verify_callback_client);
+    if (v_certs && *v_certs)
+      setup_cert_verify(ctx, client_verify_optional, verify_callback_client);
+    }
   }
  
  if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
   }
  
  if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
@@ -3592,9 +3862,8 @@ return DEFER;
  and apply it to the ssl-connection for attempted resumption. */
  
  static void
  and apply it to the ssl-connection for attempted resumption. */
  
  static void
-tls_retrieve_session(tls_support * tlsp, SSL * ssl, const uschar * key)
+tls_retrieve_session(tls_support * tlsp, SSL * ssl)
  {
  {
-tlsp->resumption |= RESUME_SUPPORTED;
  if (tlsp->host_resumable)
    {
    dbdata_tls_session * dt;
  if (tlsp->host_resumable)
    {
    dbdata_tls_session * dt;
@@ -3602,11 +3871,11 @@ if (tlsp->host_resumable)
    open_db dbblock, * dbm_file;
  
    tlsp->resumption |= RESUME_CLIENT_REQUESTED;
    open_db dbblock, * dbm_file;
  
    tlsp->resumption |= RESUME_CLIENT_REQUESTED;
-  DEBUG(D_tls) debug_printf("checking for resumable session for %s\n", key);
+  DEBUG(D_tls)
+    debug_printf("checking for resumable session for %s\n", tlsp->resume_index);
    if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
      {
    if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
      {
-    /* key for the db is the IP */
-    if ((dt = dbfn_read_with_length(dbm_file, key, &len)))
+    if ((dt = dbfn_read_with_length(dbm_file, tlsp->resume_index, &len)))
        {
        SSL_SESSION * ss = NULL;
        const uschar * sess_asn1 = dt->session;
        {
        SSL_SESSION * ss = NULL;
        const uschar * sess_asn1 = dt->session;
@@ -3632,24 +3901,21 @@ if (tlsp->host_resumable)
         if (lifetime + dt->time_stamp < time(NULL))
           {
           DEBUG(D_tls) debug_printf("session expired\n");
         if (lifetime + dt->time_stamp < time(NULL))
           {
           DEBUG(D_tls) debug_printf("session expired\n");
-         dbfn_delete(dbm_file, key);
+         dbfn_delete(dbm_file, tlsp->resume_index);
           }
           }
-       else if (!SSL_set_session(ssl, ss))
-         {
-         DEBUG(D_tls)
-           {
-           ERR_error_string_n(ERR_get_error(),
-             ssl_errstring, sizeof(ssl_errstring));
-           debug_printf("applying session to ssl: %s\n", ssl_errstring);
-           }
-         }
-       else
+       else if (SSL_set_session(ssl, ss))
           {
           DEBUG(D_tls) debug_printf("good session\n");
           tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
           tlsp->verify_override = dt->verify_override;
           tlsp->ocsp = dt->ocsp;
           }
           {
           DEBUG(D_tls) debug_printf("good session\n");
           tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
           tlsp->verify_override = dt->verify_override;
           tlsp->ocsp = dt->ocsp;
           }
+       else DEBUG(D_tls)
+         {
+         ERR_error_string_n(ERR_get_error(),
+           ssl_errstring, sizeof(ssl_errstring));
+         debug_printf("applying session to ssl: %s\n", ssl_errstring);
+         }
         }
        }
      else
         }
        }
      else
@@ -3678,7 +3944,7 @@ if (SSL_SESSION_is_resumable(ss))         /* 1.1.1 */
    {
    int len = i2d_SSL_SESSION(ss, NULL);
    int dlen = sizeof(dbdata_tls_session) + len;
    {
    int len = i2d_SSL_SESSION(ss, NULL);
    int dlen = sizeof(dbdata_tls_session) + len;
-  dbdata_tls_session * dt = store_get(dlen, TRUE);
+  dbdata_tls_session * dt = store_get(dlen, GET_TAINTED);
    uschar * s = dt->session;
    open_db dbblock, * dbm_file;
  
    uschar * s = dt->session;
    open_db dbblock, * dbm_file;
  
@@ -3691,9 +3957,7 @@ if (SSL_SESSION_is_resumable(ss))         /* 1.1.1 */
  
    if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
      {
  
    if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
      {
-    const uschar * key = cbinfo->host->address;
-    dbfn_delete(dbm_file, key);
-    dbfn_write(dbm_file, key, dt, dlen);
+    dbfn_write(dbm_file, tlsp->resume_index, dt, dlen);
      dbfn_close(dbm_file);
      DEBUG(D_tls) debug_printf("wrote session (len %u) to db\n",
                   (unsigned)dlen);
      dbfn_close(dbm_file);
      DEBUG(D_tls) debug_printf("wrote session (len %u) to db\n",
                   (unsigned)dlen);
@@ -3703,21 +3967,20 @@ return 1;
  }
  
  
  }
  
  
+/* Construct a key for session DB lookup, and setup the SSL_CTX for resumption */
+
  static void
  tls_client_ctx_resume_prehandshake(
  static void
  tls_client_ctx_resume_prehandshake(
-  exim_openssl_client_tls_ctx * exim_client_ctx, tls_support * tlsp,
-  smtp_transport_options_block * ob, host_item * host)
+  exim_openssl_client_tls_ctx * exim_client_ctx, smtp_connect_args * conn_args,
+  tls_support * tlsp, smtp_transport_options_block * ob)
  {
  {
-/* Should the client request a session resumption ticket? */
-if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
-  {
-  tlsp->host_resumable = TRUE;
+tlsp->host_resumable = TRUE;
+tls_client_resmption_key(tlsp, conn_args, ob);
  
  
-  SSL_CTX_set_session_cache_mode(exim_client_ctx->ctx,
-       SSL_SESS_CACHE_CLIENT
-       | SSL_SESS_CACHE_NO_INTERNAL | SSL_SESS_CACHE_NO_AUTO_CLEAR);
-  SSL_CTX_sess_set_new_cb(exim_client_ctx->ctx, tls_save_session_cb);
-  }
+SSL_CTX_set_session_cache_mode(exim_client_ctx->ctx,
+      SSL_SESS_CACHE_CLIENT
+      | SSL_SESS_CACHE_NO_INTERNAL | SSL_SESS_CACHE_NO_AUTO_CLEAR);
+SSL_CTX_sess_set_new_cb(exim_client_ctx->ctx, tls_save_session_cb);
  }
  
  static BOOL
  }
  
  static BOOL
@@ -3741,7 +4004,7 @@ if (tlsp->host_resumable)
  
  tlsp->resumption = RESUME_SUPPORTED;
  /* Pick up a previous session, saved on an old ticket */
  
  tlsp->resumption = RESUME_SUPPORTED;
  /* Pick up a previous session, saved on an old ticket */
-tls_retrieve_session(tlsp, ssl, host->address);
+tls_retrieve_session(tlsp, ssl);
  return TRUE;
  }
  
  return TRUE;
  }
  
@@ -3761,16 +4024,19 @@ if (SSL_session_reused(exim_client_ctx->ssl))
  #ifdef EXIM_HAVE_ALPN
  /* Expand and convert an Exim list to an ALPN list.  False return for fail.
  NULL plist return for silent no-ALPN.
  #ifdef EXIM_HAVE_ALPN
  /* Expand and convert an Exim list to an ALPN list.  False return for fail.
  NULL plist return for silent no-ALPN.
+
+Overwite the passed-in list with the expanded version.
  */
  
  static BOOL
  */
  
  static BOOL
-tls_alpn_plist(const uschar * tls_alpn, const uschar ** plist, unsigned * plen,
+tls_alpn_plist(uschar ** tls_alpn, const uschar ** plist, unsigned * plen,
    uschar ** errstr)
  {
  uschar * exp_alpn;
  
    uschar ** errstr)
  {
  uschar * exp_alpn;
  
-if (!expand_check(tls_alpn, US"tls_alpn", &exp_alpn, errstr))
+if (!expand_check(*tls_alpn, US"tls_alpn", &exp_alpn, errstr))
    return FALSE;
    return FALSE;
+*tls_alpn = exp_alpn;
  
  if (!exp_alpn)
    {
  
  if (!exp_alpn)
    {
@@ -3783,7 +4049,7 @@ else
    but it's little extra code complexity in the client. */
  
    const uschar * list = exp_alpn;
    but it's little extra code complexity in the client. */
  
    const uschar * list = exp_alpn;
-  uschar * p = store_get(Ustrlen(exp_alpn), is_tainted(exp_alpn)), * s, * t;
+  uschar * p = store_get(Ustrlen(exp_alpn), exp_alpn), * s, * t;
    int sep = 0;
    uschar len;
  
    int sep = 0;
    uschar len;
  
@@ -3837,7 +4103,7 @@ BOOL require_ocsp = FALSE;
  
  rc = store_pool;
  store_pool = POOL_PERM;
  
  rc = store_pool;
  store_pool = POOL_PERM;
-exim_client_ctx = store_get(sizeof(exim_openssl_client_tls_ctx), FALSE);
+exim_client_ctx = store_get(sizeof(exim_openssl_client_tls_ctx), GET_UNTAINTED);
  exim_client_ctx->corked = NULL;
  store_pool = rc;
  
  exim_client_ctx->corked = NULL;
  store_pool = rc;
  
@@ -3848,7 +4114,6 @@ tlsp->tlsa_usage = 0;
  #ifndef DISABLE_OCSP
    {
  # ifdef SUPPORT_DANE
  #ifndef DISABLE_OCSP
    {
  # ifdef SUPPORT_DANE
-  /*XXX this should be moved to caller, to be common across gnutls/openssl */
    if (  conn_args->dane
       && ob->hosts_request_ocsp[0] == '*'
       && ob->hosts_request_ocsp[1] == '\0'
    if (  conn_args->dane
       && ob->hosts_request_ocsp[0] == '*'
       && ob->hosts_request_ocsp[1] == '\0'
@@ -3871,6 +4136,15 @@ tlsp->tlsa_usage = 0;
  # endif
        request_ocsp =
         verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
  # endif
        request_ocsp =
         verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
+
+# if defined(SUPPORT_DANE) && !defined(EXIM_HAVE_OPENSSL_OCSP_RESP_GET0_SIGNER)
+  if (conn_args->dane && (require_ocsp || request_ocsp))
+    {
+    DEBUG(D_tls) debug_printf("OpenSSL version to early to combine OCSP"
+                             " and DANE; disabling OCSP\n");
+    require_ocsp = request_ocsp = FALSE;
+    }
+# endif
    }
  #endif
  
    }
  #endif
  
@@ -3942,6 +4216,7 @@ if (conn_args->dane)
      tls_error(US"context init", host, NULL, errstr);
      return FALSE;
      }
      tls_error(US"context init", host, NULL, errstr);
      return FALSE;
      }
+  DEBUG(D_tls) debug_printf("since dane-mode conn, not loading the usual CA bundle\n");
    }
  else
  
    }
  else
  
@@ -3951,39 +4226,20 @@ if (tls_client_basic_ctx_init(exim_client_ctx->ctx, host, ob,
        client_static_state, errstr) != OK)
    return FALSE;
  
        client_static_state, errstr) != OK)
    return FALSE;
  
-#ifndef DISABLE_TLS_RESUME
-tls_client_ctx_resume_prehandshake(exim_client_ctx, tlsp, ob, host);
-#endif
-
-
-if (!(exim_client_ctx->ssl = SSL_new(exim_client_ctx->ctx)))
-  {
-  tls_error(US"SSL_new", host, NULL, errstr);
-  return FALSE;
-  }
-SSL_set_session_id_context(exim_client_ctx->ssl, sid_ctx, Ustrlen(sid_ctx));
-
-SSL_set_fd(exim_client_ctx->ssl, cctx->sock);
-SSL_set_connect_state(exim_client_ctx->ssl);
-
  if (ob->tls_sni)
    {
    if (!expand_check(ob->tls_sni, US"tls_sni", &tlsp->sni, errstr))
      return FALSE;
    if (!tlsp->sni)
  if (ob->tls_sni)
    {
    if (!expand_check(ob->tls_sni, US"tls_sni", &tlsp->sni, errstr))
      return FALSE;
    if (!tlsp->sni)
-    {
-    DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
-    }
+    { DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n"); }
    else if (!Ustrlen(tlsp->sni))
      tlsp->sni = NULL;
    else
      {
    else if (!Ustrlen(tlsp->sni))
      tlsp->sni = NULL;
    else
      {
-#ifdef EXIM_HAVE_OPENSSL_TLSEXT
-    DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tlsp->sni);
-    SSL_set_tlsext_host_name(exim_client_ctx->ssl, tlsp->sni);
-#else
+#ifndef EXIM_HAVE_OPENSSL_TLSEXT
      log_write(0, LOG_MAIN, "SNI unusable with this OpenSSL library version; ignoring \"%s\"\n",
            tlsp->sni);
      log_write(0, LOG_MAIN, "SNI unusable with this OpenSSL library version; ignoring \"%s\"\n",
            tlsp->sni);
+    tlsp->sni = NULL;
  #endif
      }
    }
  #endif
      }
    }
@@ -3994,10 +4250,10 @@ if (ob->tls_alpn)
    const uschar * plist;
    unsigned plen;
  
    const uschar * plist;
    unsigned plen;
  
-  if (!tls_alpn_plist(ob->tls_alpn, &plist, &plen, errstr))
+  if (!tls_alpn_plist(&ob->tls_alpn, &plist, &plen, errstr))
      return FALSE;
    if (plist)
      return FALSE;
    if (plist)
-    if (SSL_set_alpn_protos(exim_client_ctx->ssl, plist, plen) != 0)
+    if (SSL_CTX_set_alpn_protos(exim_client_ctx->ctx, plist, plen) != 0)
        {
        tls_error(US"alpn init", host, NULL, errstr);
        return FALSE;
        {
        tls_error(US"alpn init", host, NULL, errstr);
        return FALSE;
@@ -4010,6 +4266,34 @@ if (ob->tls_alpn)
            ob->tls_alpn);
  #endif
  
            ob->tls_alpn);
  #endif
  
+#ifndef DISABLE_TLS_RESUME
+/*XXX have_lbserver: another cmdline arg possibly, for continued-conn, but use
+will be very low. */
+
+if (!conn_args->have_lbserver) /* wanted for tls_client_resmption_key() */
+  { DEBUG(D_tls) debug_printf("resumption not supported on continued-connection\n"); }
+else if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
+  tls_client_ctx_resume_prehandshake(exim_client_ctx, conn_args, tlsp, ob);
+#endif
+
+
+if (!(exim_client_ctx->ssl = SSL_new(exim_client_ctx->ctx)))
+  {
+  tls_error(US"SSL_new", host, NULL, errstr);
+  return FALSE;
+  }
+SSL_set_session_id_context(exim_client_ctx->ssl, sid_ctx, Ustrlen(sid_ctx));
+SSL_set_fd(exim_client_ctx->ssl, cctx->sock);
+SSL_set_connect_state(exim_client_ctx->ssl);
+
+#ifdef EXIM_HAVE_OPENSSL_TLSEXT
+if (tlsp->sni)
+  {
+  DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tlsp->sni);
+  SSL_set_tlsext_host_name(exim_client_ctx->ssl, tlsp->sni);
+  }
+#endif
+
  #ifdef SUPPORT_DANE
  if (conn_args->dane)
    if (dane_tlsa_load(exim_client_ctx->ssl, host, &conn_args->tlsa_dnsa, errstr) != OK)
  #ifdef SUPPORT_DANE
  if (conn_args->dane)
    if (dane_tlsa_load(exim_client_ctx->ssl, host, &conn_args->tlsa_dnsa, errstr) != OK)
@@ -4069,20 +4353,19 @@ if (conn_args->dane)
  
  if (rc <= 0)
    {
  
  if (rc <= 0)
    {
-  tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL, errstr);
+#ifndef DISABLE_OCSP
+  if (client_static_state->u_ocsp.client.verify_errstr)
+    { if (errstr) *errstr = client_static_state->u_ocsp.client.verify_errstr; }
+  else
+#endif
+    tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL, errstr);
    return FALSE;
    }
  
  DEBUG(D_tls)
    {
    debug_printf("SSL_connect succeeded\n");
    return FALSE;
    }
  
  DEBUG(D_tls)
    {
    debug_printf("SSL_connect succeeded\n");
-#ifdef EXIM_HAVE_OPENSSL_KEYLOG
-  {
-  BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
-  SSL_SESSION_print_keylog(bp, SSL_get_session(exim_client_ctx->ssl));
-  BIO_free(bp);
-  }
-#endif
+  tls_dump_keylog(exim_client_ctx->ssl);
    }
  
  #ifndef DISABLE_TLS_RESUME
    }
  
  #ifndef DISABLE_TLS_RESUME
@@ -4123,18 +4406,7 @@ tlsp->cipher_stdname = cipher_stdname_ssl(exim_client_ctx->ssl);
    }
  
  /*XXX will this work with continued-TLS? */
    }
  
  /*XXX will this work with continued-TLS? */
-/* Channel-binding info for authenticators */
-  {
-  uschar c, * s;
-  size_t len = SSL_get_finished(exim_client_ctx->ssl, &c, 0);
-  int old_pool = store_pool;
-
-  SSL_get_finished(exim_client_ctx->ssl, s = store_get((int)len, TRUE), len);
-  store_pool = POOL_PERM;
-    tlsp->channelbinding = b64encode_taint(CUS s, (int)len, TRUE);
-  store_pool = old_pool;
-  DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p %p\n", tlsp->channelbinding, tlsp);
-  }
+tls_get_channel_binding(exim_client_ctx->ssl, tlsp, GET_TAINTED);
  
  tlsp->active.sock = cctx->sock;
  tlsp->active.tls_ctx = exim_client_ctx;
  
  tlsp->active.sock = cctx->sock;
  tlsp->active.tls_ctx = exim_client_ctx;
@@ -4273,7 +4545,6 @@ tls_get_cache(unsigned lim)
  {
  #ifndef DISABLE_DKIM
  int n = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm;
  {
  #ifndef DISABLE_DKIM
  int n = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm;
-debug_printf("tls_get_cache\n");
  if (n > lim)
    n = lim;
  if (n > 0)
  if (n > lim)
    n = lim;
  if (n > 0)
@@ -4501,19 +4772,25 @@ int * fdp = o_ctx ? &tls_out.active.sock : &tls_in.active.sock;
  
  if (*fdp < 0) return;  /* TLS was not active */
  
  
  if (*fdp < 0) return;  /* TLS was not active */
  
-if (do_shutdown)
+if (do_shutdown > TLS_NO_SHUTDOWN)
    {
    int rc;
    DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
    {
    int rc;
    DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
-    do_shutdown > 1 ? " (with response-wait)" : "");
+    do_shutdown > TLS_SHUTDOWN_NOWAIT ? " (with response-wait)" : "");
  
    tls_write(ct_ctx, NULL, 0, FALSE);   /* flush write buffer */
  
  
    tls_write(ct_ctx, NULL, 0, FALSE);   /* flush write buffer */
  
-  if (  (rc = SSL_shutdown(*sslp)) == 0        /* send "close notify" alert */
-     && do_shutdown > 1)
+  if (  (  do_shutdown >= TLS_SHUTDOWN_WONLY
+       || (rc = SSL_shutdown(*sslp)) == 0      /* send "close notify" alert */
+       )
+     && do_shutdown > TLS_SHUTDOWN_NOWAIT
+     )
      {
      {
+#ifdef EXIM_TCP_CORK
+    (void) setsockopt(*fdp, IPPROTO_TCP, EXIM_TCP_CORK, US &off, sizeof(off));
+#endif
      ALARM(2);
      ALARM(2);
-    rc = SSL_shutdown(*sslp);          /* wait for response */
+    rc = SSL_shutdown(*sslp);                  /* wait for response */
      ALARM_CLR(0);
      }
  
      ALARM_CLR(0);
      }
  
@@ -4527,8 +4804,8 @@ if (do_shutdown)
  if (!o_ctx)            /* server side */
    {
  #ifndef DISABLE_OCSP
  if (!o_ctx)            /* server side */
    {
  #ifndef DISABLE_OCSP
-  sk_X509_pop_free(state_server.verify_stack, X509_free);
-  state_server.verify_stack = NULL;
+  sk_X509_pop_free(state_server.u_ocsp.server.verify_stack, X509_free);
+  state_server.u_ocsp.server.verify_stack = NULL;
  #endif
  
    receive_getc =       smtp_getc;
  #endif
  
    receive_getc =       smtp_getc;
@@ -4564,8 +4841,8 @@ Returns:     NULL on success, or error message
  uschar *
  tls_validate_require_cipher(void)
  {
  uschar *
  tls_validate_require_cipher(void)
  {
-SSL_CTX *ctx;
-uschar *s, *expciphers, *err;
+SSL_CTX * ctx;
+uschar * expciphers, * err;
  
  tls_openssl_init();
  
  
  tls_openssl_init();
  
@@ -4617,21 +4894,22 @@ number/string, and the version date remains unchanged.  The _build_ date
  will change, so we can more usefully assist with version diagnosis by also
  reporting the build date.
  
  will change, so we can more usefully assist with version diagnosis by also
  reporting the build date.
  
-Arguments:   a FILE* to print the results to
-Returns:     nothing
+Arguments:   string to append to
+Returns:     string
  */
  
  */
  
-void
-tls_version_report(FILE *f)
+gstring *
+tls_version_report(gstring * g)
  {
  {
-fprintf(f, "Library version: OpenSSL: Compile: %s\n"
-           "                          Runtime: %s\n"
-           "                                 : %s\n",
-           OPENSSL_VERSION_TEXT,
-           SSLeay_version(SSLEAY_VERSION),
-           SSLeay_version(SSLEAY_BUILT_ON));
-/* third line is 38 characters for the %s and the line is 73 chars long;
-the OpenSSL output includes a "built on: " prefix already. */
+return string_fmt_append(g,
+    "Library version: OpenSSL: Compile: %s\n"
+    "                          Runtime: %s\n"
+    "                                 : %s\n",
+            OPENSSL_VERSION_TEXT,
+            SSLeay_version(SSLEAY_VERSION),
+            SSLeay_version(SSLEAY_BUILT_ON));
+  /* third line is 38 characters for the %s and the line is 73 chars long;
+  the OpenSSL output includes a "built on: " prefix already. */
  }
  
  
  }