Merge tag 'exim-4_82_1'

[exim.git] / src / src / tls.c
diff --git a/src/src/tls.c b/src/src/tls.c

index 75c46e9e4560b65f641718bc319cfa15ba5bc3a3..f2ab56706201a8bbc267ea0a031b71366438604a 100644 (file)
--- a/src/src/tls.c
+++ b/src/src/tls.c
@@ -196,6 +196,8 @@ modify_variable(US"tls_sni",                  &dest_tsp->sni);
  #endif
  }
  
+
+#ifdef SUPPORT_TLS
  /************************************************
  *      TLS certificate name operations         *
  ************************************************/
@@ -239,7 +241,7 @@ uschar * match = NULL;
  int len;
  uschar * list = NULL;
  
-while (ele = string_nextinlist(&mod, &insep, NULL, 0))
+while ((ele = string_nextinlist(&mod, &insep, NULL, 0)))
    if (ele[0] != '>')
      match = ele;       /* field tag to match */
    else if (ele[1])
@@ -248,13 +250,87 @@ while (ele = string_nextinlist(&mod, &insep, NULL, 0))
  dn_to_list(dn);
  insep = ',';
  len = Ustrlen(match);
-while (ele = string_nextinlist(&dn, &insep, NULL, 0))
+while ((ele = string_nextinlist(&dn, &insep, NULL, 0)))
    if (Ustrncmp(ele, match, len) == 0 && ele[len] == '=')
      list = string_append_listele(list, outsep, ele+len+1);
  return list;
  }
  
  
+# ifdef EXPERIMENTAL_CERTNAMES
+/* Compare a domain name with a possibly-wildcarded name. Wildcards
+are restricted to a single one, as the first element of patterns
+having at least three dot-separated elements.  Case-independent.
+Return TRUE for a match
+*/
+static BOOL
+is_name_match(const uschar * name, const uschar * pat)
+{
+uschar * cp;
+return *pat == '*'             /* possible wildcard match */
+  ?    *++pat == '.'           /* starts star, dot              */
+    && !Ustrchr(++pat, '*')    /* has no more stars             */
+    && Ustrchr(pat, '.')       /* and has another dot.          */
+    && (cp = Ustrchr(name, '.'))/* The name has at least one dot */
+    && strcmpic(++cp, pat) == 0 /* and we only compare after it. */
+  :    !Ustrchr(pat+1, '*')
+    && strcmpic(name, pat) == 0;
+}
+
+/* Compare a list of names with the dnsname elements
+of the Subject Alternate Name, if any, and the
+Subject otherwise.
+
+Arguments:
+       namelist names to compare
+       cert     certificate
+
+Returns:
+       TRUE/FALSE
+*/
+
+BOOL
+tls_is_name_for_cert(uschar * namelist, void * cert)
+{
+uschar * altnames = tls_cert_subject_altname(cert, US"dns");
+uschar * subjdn;
+uschar * certname;
+int cmp_sep = 0;
+uschar * cmpname;
+
+if ((altnames = tls_cert_subject_altname(cert, US"dns")))
+  {
+  int alt_sep = '\n';
+  while ((cmpname = string_nextinlist(&namelist, &cmp_sep, NULL, 0)))
+    {
+    uschar * an = altnames;
+    while ((certname = string_nextinlist(&an, &alt_sep, NULL, 0)))
+      if (is_name_match(cmpname, certname))
+       return TRUE;
+    }
+  }
+
+else if ((subjdn = tls_cert_subject(cert, NULL)))
+  {
+  int sn_sep = ',';
+
+  dn_to_list(subjdn);
+  while ((cmpname = string_nextinlist(&namelist, &cmp_sep, NULL, 0)))
+    {
+    uschar * sn = subjdn;
+    while ((certname = string_nextinlist(&sn, &sn_sep, NULL, 0)))
+      if (  *certname++ == 'C'
+        && *certname++ == 'N'
+        && *certname++ == '='
+        && is_name_match(cmpname, certname)
+        )
+       return TRUE;
+    }
+  }
+return FALSE;
+}
+# endif        /*EXPERIMENTAL_CERTNAMES*/
+#endif /*SUPPORT_TLS*/
  
  /* vi: aw ai sw=2
  */