24ae3ea7eabd51725908594800026f7d2bbe0a3b
[users/heiko/exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2014 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef DISABLE_OCSP
26 # include <openssl/ocsp.h>
27 #endif
28 #ifdef EXPERIMENTAL_DANE
29 # include <danessl.h>
30 #endif
31
32
33 #ifndef DISABLE_OCSP
34 # define EXIM_OCSP_SKEW_SECONDS (300L)
35 # define EXIM_OCSP_MAX_AGE (-1L)
36 #endif
37
38 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
39 # define EXIM_HAVE_OPENSSL_TLSEXT
40 #endif
41 #if OPENSSL_VERSION_NUMBER >= 0x010100000L
42 # define EXIM_HAVE_OPENSSL_CHECKHOST
43 #endif
44 #if OPENSSL_VERSION_NUMBER >= 0x010000000L \
45     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
46 # define EXIM_HAVE_OPENSSL_CHECKHOST
47 #endif
48
49 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
50 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
51 # define DISABLE_OCSP
52 #endif
53
54 /* Structure for collecting random data for seeding. */
55
56 typedef struct randstuff {
57   struct timeval tv;
58   pid_t          p;
59 } randstuff;
60
61 /* Local static variables */
62
63 static BOOL client_verify_callback_called = FALSE;
64 static BOOL server_verify_callback_called = FALSE;
65 static const uschar *sid_ctx = US"exim";
66
67 /* We have three different contexts to care about.
68
69 Simple case: client, `client_ctx`
70  As a client, we can be doing a callout or cut-through delivery while receiving
71  a message.  So we have a client context, which should have options initialised
72  from the SMTP Transport.
73
74 Server:
75  There are two cases: with and without ServerNameIndication from the client.
76  Given TLS SNI, we can be using different keys, certs and various other
77  configuration settings, because they're re-expanded with $tls_sni set.  This
78  allows vhosting with TLS.  This SNI is sent in the handshake.
79  A client might not send SNI, so we need a fallback, and an initial setup too.
80  So as a server, we start out using `server_ctx`.
81  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
82  `server_sni` from `server_ctx` and then initialise settings by re-expanding
83  configuration.
84 */
85
86 static SSL_CTX *client_ctx = NULL;
87 static SSL_CTX *server_ctx = NULL;
88 static SSL     *client_ssl = NULL;
89 static SSL     *server_ssl = NULL;
90
91 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
92 static SSL_CTX *server_sni = NULL;
93 #endif
94
95 static char ssl_errstring[256];
96
97 static int  ssl_session_timeout = 200;
98 static BOOL client_verify_optional = FALSE;
99 static BOOL server_verify_optional = FALSE;
100
101 static BOOL reexpand_tls_files_for_sni = FALSE;
102
103
104 typedef struct tls_ext_ctx_cb {
105   uschar *certificate;
106   uschar *privatekey;
107 #ifndef DISABLE_OCSP
108   BOOL is_server;
109   union {
110     struct {
111       uschar        *file;
112       uschar        *file_expanded;
113       OCSP_RESPONSE *response;
114     } server;
115     struct {
116       X509_STORE    *verify_store;      /* non-null if status requested */
117       BOOL          verify_required;
118     } client;
119   } u_ocsp;
120 #endif
121   uschar *dhparam;
122   /* these are cached from first expand */
123   uschar *server_cipher_list;
124   /* only passed down to tls_error: */
125   host_item *host;
126   uschar * verify_cert_hostnames;
127 #ifdef EXPERIMENTAL_EVENT
128   uschar * event_action;
129 #endif
130 } tls_ext_ctx_cb;
131
132 /* should figure out a cleanup of API to handle state preserved per
133 implementation, for various reasons, which can be void * in the APIs.
134 For now, we hack around it. */
135 tls_ext_ctx_cb *client_static_cbinfo = NULL;
136 tls_ext_ctx_cb *server_static_cbinfo = NULL;
137
138 static int
139 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
140     int (*cert_vfy_cb)(int, X509_STORE_CTX *) );
141
142 /* Callbacks */
143 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
144 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
145 #endif
146 #ifndef DISABLE_OCSP
147 static int tls_server_stapling_cb(SSL *s, void *arg);
148 #endif
149
150
151 /*************************************************
152 *               Handle TLS error                 *
153 *************************************************/
154
155 /* Called from lots of places when errors occur before actually starting to do
156 the TLS handshake, that is, while the session is still in clear. Always returns
157 DEFER for a server and FAIL for a client so that most calls can use "return
158 tls_error(...)" to do this processing and then give an appropriate return. A
159 single function is used for both server and client, because it is called from
160 some shared functions.
161
162 Argument:
163   prefix    text to include in the logged error
164   host      NULL if setting up a server;
165             the connected host if setting up a client
166   msg       error message or NULL if we should ask OpenSSL
167
168 Returns:    OK/DEFER/FAIL
169 */
170
171 static int
172 tls_error(uschar * prefix, const host_item * host, uschar *  msg)
173 {
174 if (!msg)
175   {
176   ERR_error_string(ERR_get_error(), ssl_errstring);
177   msg = (uschar *)ssl_errstring;
178   }
179
180 if (host)
181   {
182   log_write(0, LOG_MAIN, "H=%s [%s] TLS error on connection (%s): %s",
183     host->name, host->address, prefix, msg);
184   return FAIL;
185   }
186 else
187   {
188   uschar *conn_info = smtp_get_connection_info();
189   if (Ustrncmp(conn_info, US"SMTP ", 5) == 0)
190     conn_info += 5;
191   /* I'd like to get separated H= here, but too hard for now */
192   log_write(0, LOG_MAIN, "TLS error on %s (%s): %s",
193     conn_info, prefix, msg);
194   return DEFER;
195   }
196 }
197
198
199
200 /*************************************************
201 *        Callback to generate RSA key            *
202 *************************************************/
203
204 /*
205 Arguments:
206   s          SSL connection
207   export     not used
208   keylength  keylength
209
210 Returns:     pointer to generated key
211 */
212
213 static RSA *
214 rsa_callback(SSL *s, int export, int keylength)
215 {
216 RSA *rsa_key;
217 export = export;     /* Shut picky compilers up */
218 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
219 rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL);
220 if (rsa_key == NULL)
221   {
222   ERR_error_string(ERR_get_error(), ssl_errstring);
223   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
224     ssl_errstring);
225   return NULL;
226   }
227 return rsa_key;
228 }
229
230
231
232 /* Extreme debug
233 #ifndef DISABLE_OCSP
234 void
235 x509_store_dump_cert_s_names(X509_STORE * store)
236 {
237 STACK_OF(X509_OBJECT) * roots= store->objs;
238 int i;
239 static uschar name[256];
240
241 for(i= 0; i<sk_X509_OBJECT_num(roots); i++)
242   {
243   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
244   if(tmp_obj->type == X509_LU_X509)
245     {
246     X509 * current_cert= tmp_obj->data.x509;
247     X509_NAME_oneline(X509_get_subject_name(current_cert), CS name, sizeof(name));
248     debug_printf(" %s\n", name);
249     }
250   }
251 }
252 #endif
253 */
254
255
256 /*************************************************
257 *        Callback for verification               *
258 *************************************************/
259
260 /* The SSL library does certificate verification if set up to do so. This
261 callback has the current yes/no state is in "state". If verification succeeded,
262 we set up the tls_peerdn string. If verification failed, what happens depends
263 on whether the client is required to present a verifiable certificate or not.
264
265 If verification is optional, we change the state to yes, but still log the
266 verification error. For some reason (it really would help to have proper
267 documentation of OpenSSL), this callback function then gets called again, this
268 time with state = 1. In fact, that's useful, because we can set up the peerdn
269 value, but we must take care not to set the private verified flag on the second
270 time through.
271
272 Note: this function is not called if the client fails to present a certificate
273 when asked. We get here only if a certificate has been received. Handling of
274 optional verification for this case is done when requesting SSL to verify, by
275 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
276
277 May be called multiple times for different issues with a certificate, even
278 for a given "depth" in the certificate chain.
279
280 Arguments:
281   state      current yes/no state as 1/0
282   x509ctx    certificate information.
283   client     TRUE for client startup, FALSE for server startup
284
285 Returns:     1 if verified, 0 if not
286 */
287
288 static int
289 verify_callback(int state, X509_STORE_CTX *x509ctx,
290   tls_support *tlsp, BOOL *calledp, BOOL *optionalp)
291 {
292 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
293 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
294 static uschar txt[256];
295 #ifdef EXPERIMENTAL_EVENT
296 uschar * ev;
297 uschar * yield;
298 #endif
299
300 X509_NAME_oneline(X509_get_subject_name(cert), CS txt, sizeof(txt));
301
302 if (state == 0)
303   {
304   log_write(0, LOG_MAIN, "SSL verify error: depth=%d error=%s cert=%s",
305     depth,
306     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)),
307     txt);
308   *calledp = TRUE;
309   if (!*optionalp)
310     {
311     tlsp->peercert = X509_dup(cert);
312     return 0;                       /* reject */
313     }
314   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
315     "tls_try_verify_hosts)\n");
316   }
317
318 else if (depth != 0)
319   {
320   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, txt);
321 #ifndef DISABLE_OCSP
322   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
323     {   /* client, wanting stapling  */
324     /* Add the server cert's signing chain as the one
325     for the verification of the OCSP stapled information. */
326   
327     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
328                              cert))
329       ERR_clear_error();
330     }
331 #endif
332 #ifdef EXPERIMENTAL_EVENT
333   ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
334   if (ev)
335     {
336     tlsp->peercert = X509_dup(cert);
337     if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
338       {
339       log_write(0, LOG_MAIN, "SSL verify denied by event-action: "
340                               "depth=%d cert=%s: %s", depth, txt, yield);
341       *calledp = TRUE;
342       if (!*optionalp)
343         return 0;                           /* reject */
344       DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
345         "(host in tls_try_verify_hosts)\n");
346       }
347     X509_free(tlsp->peercert);
348     tlsp->peercert = NULL;
349     }
350 #endif
351   }
352 else
353   {
354   uschar * verify_cert_hostnames;
355
356   tlsp->peerdn = txt;
357   tlsp->peercert = X509_dup(cert);
358
359   if (  tlsp == &tls_out
360      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
361         /* client, wanting hostname check */
362
363 # if EXIM_HAVE_OPENSSL_CHECKHOST
364 #  ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
365 #   define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
366 #  endif
367 #  ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
368 #   define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
369 #  endif
370     {
371     int sep = 0;
372     uschar * list = verify_cert_hostnames;
373     uschar * name;
374     int rc;
375     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
376       if ((rc = X509_check_host(cert, name, 0,
377                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
378                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS)))
379         {
380         if (rc < 0)
381           {
382           log_write(0, LOG_MAIN, "SSL verify error: internal error\n");
383           name = NULL;
384           }
385         break;
386         }
387     if (!name)
388       {
389       log_write(0, LOG_MAIN,
390         "SSL verify error: certificate name mismatch: \"%s\"\n", txt);
391       *calledp = TRUE;
392       if (!*optionalp)
393         return 0;                           /* reject */
394       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
395         "tls_try_verify_hosts)\n");
396       }
397     }
398 # else
399     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
400       {
401       log_write(0, LOG_MAIN,
402         "SSL verify error: certificate name mismatch: \"%s\"\n", txt);
403       *calledp = TRUE;
404       if (!*optionalp)
405         return 0;                           /* reject */
406       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
407         "tls_try_verify_hosts)\n");
408       }
409 # endif
410
411 #ifdef EXPERIMENTAL_EVENT
412   ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
413   if (ev)
414     if ((yield = event_raise(ev, US"tls:cert", US"0")))
415       {
416       log_write(0, LOG_MAIN, "SSL verify denied by event-action: "
417                               "depth=0 cert=%s: %s", txt, yield);
418       *calledp = TRUE;
419       if (!*optionalp)
420         return 0;                           /* reject */
421       DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
422         "(host in tls_try_verify_hosts)\n");
423       }
424 #endif
425
426   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
427     *calledp ? "" : " authenticated", txt);
428   if (!*calledp) tlsp->certificate_verified = TRUE;
429   *calledp = TRUE;
430   }
431
432 return 1;   /* accept, at least for this level */
433 }
434
435 static int
436 verify_callback_client(int state, X509_STORE_CTX *x509ctx)
437 {
438 return verify_callback(state, x509ctx, &tls_out, &client_verify_callback_called, &client_verify_optional);
439 }
440
441 static int
442 verify_callback_server(int state, X509_STORE_CTX *x509ctx)
443 {
444 return verify_callback(state, x509ctx, &tls_in, &server_verify_callback_called, &server_verify_optional);
445 }
446
447
448 #ifdef EXPERIMENTAL_DANE
449
450 /* This gets called *by* the dane library verify callback, which interposes
451 itself.
452 */
453 static int
454 verify_callback_client_dane(int state, X509_STORE_CTX * x509ctx)
455 {
456 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
457 static uschar txt[256];
458 #ifdef EXPERIMENTAL_EVENT
459 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
460 uschar * yield;
461 #endif
462
463 X509_NAME_oneline(X509_get_subject_name(cert), CS txt, sizeof(txt));
464
465 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s\n", txt);
466 tls_out.peerdn = txt;
467 tls_out.peercert = X509_dup(cert);
468
469 #ifdef EXPERIMENTAL_EVENT
470   if (client_static_cbinfo->event_action)
471     {
472     if ((yield = event_raise(client_static_cbinfo->event_action,
473                     US"tls:cert", string_sprintf("%d", depth))))
474       {
475       log_write(0, LOG_MAIN, "DANE verify denied by event-action: "
476                               "depth=%d cert=%s: %s", depth, txt, yield);
477       tls_out.certificate_verified = FALSE;
478       return 0;                     /* reject */
479       }
480     if (depth != 0)
481       {
482       X509_free(tls_out.peercert);
483       tls_out.peercert = NULL;
484       }
485     }
486 #endif
487
488 if (state == 1)
489   tls_out.dane_verified =
490   tls_out.certificate_verified = TRUE;
491 return 1;
492 }
493
494 #endif  /*EXPERIMENTAL_DANE*/
495
496
497 /*************************************************
498 *           Information callback                 *
499 *************************************************/
500
501 /* The SSL library functions call this from time to time to indicate what they
502 are doing. We copy the string to the debugging output when TLS debugging has
503 been requested.
504
505 Arguments:
506   s         the SSL connection
507   where
508   ret
509
510 Returns:    nothing
511 */
512
513 static void
514 info_callback(SSL *s, int where, int ret)
515 {
516 where = where;
517 ret = ret;
518 DEBUG(D_tls) debug_printf("SSL info: %s\n", SSL_state_string_long(s));
519 }
520
521
522
523 /*************************************************
524 *                Initialize for DH               *
525 *************************************************/
526
527 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
528
529 Arguments:
530   dhparam   DH parameter file or fixed parameter identity string
531   host      connected host, if client; NULL if server
532
533 Returns:    TRUE if OK (nothing to set up, or setup worked)
534 */
535
536 static BOOL
537 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host)
538 {
539 BIO *bio;
540 DH *dh;
541 uschar *dhexpanded;
542 const char *pem;
543
544 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded))
545   return FALSE;
546
547 if (!dhexpanded || !*dhexpanded)
548   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
549 else if (dhexpanded[0] == '/')
550   {
551   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
552     {
553     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
554           host, US strerror(errno));
555     return FALSE;
556     }
557   }
558 else
559   {
560   if (Ustrcmp(dhexpanded, "none") == 0)
561     {
562     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
563     return TRUE;
564     }
565
566   if (!(pem = std_dh_prime_named(dhexpanded)))
567     {
568     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
569         host, US strerror(errno));
570     return FALSE;
571     }
572   bio = BIO_new_mem_buf(CS pem, -1);
573   }
574
575 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
576   {
577   BIO_free(bio);
578   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
579       host, NULL);
580   return FALSE;
581   }
582
583 /* Even if it is larger, we silently return success rather than cause things
584  * to fail out, so that a too-large DH will not knock out all TLS; it's a
585  * debatable choice. */
586 if ((8*DH_size(dh)) > tls_dh_max_bits)
587   {
588   DEBUG(D_tls)
589     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d",
590         8*DH_size(dh), tls_dh_max_bits);
591   }
592 else
593   {
594   SSL_CTX_set_tmp_dh(sctx, dh);
595   DEBUG(D_tls)
596     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
597       dhexpanded ? dhexpanded : US"default", 8*DH_size(dh));
598   }
599
600 DH_free(dh);
601 BIO_free(bio);
602
603 return TRUE;
604 }
605
606
607
608
609 #ifndef DISABLE_OCSP
610 /*************************************************
611 *       Load OCSP information into state         *
612 *************************************************/
613
614 /* Called to load the server OCSP response from the given file into memory, once
615 caller has determined this is needed.  Checks validity.  Debugs a message
616 if invalid.
617
618 ASSUMES: single response, for single cert.
619
620 Arguments:
621   sctx            the SSL_CTX* to update
622   cbinfo          various parts of session state
623   expanded        the filename putatively holding an OCSP response
624
625 */
626
627 static void
628 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
629 {
630 BIO *bio;
631 OCSP_RESPONSE *resp;
632 OCSP_BASICRESP *basic_response;
633 OCSP_SINGLERESP *single_response;
634 ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
635 X509_STORE *store;
636 unsigned long verify_flags;
637 int status, reason, i;
638
639 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
640 if (cbinfo->u_ocsp.server.response)
641   {
642   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
643   cbinfo->u_ocsp.server.response = NULL;
644   }
645
646 bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb");
647 if (!bio)
648   {
649   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
650       cbinfo->u_ocsp.server.file_expanded);
651   return;
652   }
653
654 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
655 BIO_free(bio);
656 if (!resp)
657   {
658   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
659   return;
660   }
661
662 status = OCSP_response_status(resp);
663 if (status != OCSP_RESPONSE_STATUS_SUCCESSFUL)
664   {
665   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
666       OCSP_response_status_str(status), status);
667   goto bad;
668   }
669
670 basic_response = OCSP_response_get1_basic(resp);
671 if (!basic_response)
672   {
673   DEBUG(D_tls)
674     debug_printf("OCSP response parse error: unable to extract basic response.\n");
675   goto bad;
676   }
677
678 store = SSL_CTX_get_cert_store(sctx);
679 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
680
681 /* May need to expose ability to adjust those flags?
682 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
683 OCSP_TRUSTOTHER OCSP_NOINTERN */
684
685 i = OCSP_basic_verify(basic_response, NULL, store, verify_flags);
686 if (i <= 0)
687   {
688   DEBUG(D_tls) {
689     ERR_error_string(ERR_get_error(), ssl_errstring);
690     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
691     }
692   goto bad;
693   }
694
695 /* Here's the simplifying assumption: there's only one response, for the
696 one certificate we use, and nothing for anything else in a chain.  If this
697 proves false, we need to extract a cert id from our issued cert
698 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
699 right cert in the stack and then calls OCSP_single_get0_status()).
700
701 I'm hoping to avoid reworking a bunch more of how we handle state here. */
702 single_response = OCSP_resp_get0(basic_response, 0);
703 if (!single_response)
704   {
705   DEBUG(D_tls)
706     debug_printf("Unable to get first response from OCSP basic response.\n");
707   goto bad;
708   }
709
710 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
711 if (status != V_OCSP_CERTSTATUS_GOOD)
712   {
713   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
714       OCSP_cert_status_str(status), status,
715       OCSP_crl_reason_str(reason), reason);
716   goto bad;
717   }
718
719 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
720   {
721   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
722   goto bad;
723   }
724
725 supply_response:
726   cbinfo->u_ocsp.server.response = resp;
727 return;
728
729 bad:
730   if (running_in_test_harness)
731     {
732     extern char ** environ;
733     uschar ** p;
734     for (p = USS environ; *p != NULL; p++)
735       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
736         {
737         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
738         goto supply_response;
739         }
740     }
741 return;
742 }
743 #endif  /*!DISABLE_OCSP*/
744
745
746
747
748 /*************************************************
749 *        Expand key and cert file specs          *
750 *************************************************/
751
752 /* Called once during tls_init and possibly again during TLS setup, for a
753 new context, if Server Name Indication was used and tls_sni was seen in
754 the certificate string.
755
756 Arguments:
757   sctx            the SSL_CTX* to update
758   cbinfo          various parts of session state
759
760 Returns:          OK/DEFER/FAIL
761 */
762
763 static int
764 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo)
765 {
766 uschar *expanded;
767
768 if (cbinfo->certificate == NULL)
769   return OK;
770
771 if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
772     Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
773     Ustrstr(cbinfo->certificate, US"tls_out_sni")
774    )
775   reexpand_tls_files_for_sni = TRUE;
776
777 if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded))
778   return DEFER;
779
780 if (expanded != NULL)
781   {
782   DEBUG(D_tls) debug_printf("tls_certificate file %s\n", expanded);
783   if (!SSL_CTX_use_certificate_chain_file(sctx, CS expanded))
784     return tls_error(string_sprintf(
785       "SSL_CTX_use_certificate_chain_file file=%s", expanded),
786         cbinfo->host, NULL);
787   }
788
789 if (cbinfo->privatekey != NULL &&
790     !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded))
791   return DEFER;
792
793 /* If expansion was forced to fail, key_expanded will be NULL. If the result
794 of the expansion is an empty string, ignore it also, and assume the private
795 key is in the same file as the certificate. */
796
797 if (expanded != NULL && *expanded != 0)
798   {
799   DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", expanded);
800   if (!SSL_CTX_use_PrivateKey_file(sctx, CS expanded, SSL_FILETYPE_PEM))
801     return tls_error(string_sprintf(
802       "SSL_CTX_use_PrivateKey_file file=%s", expanded), cbinfo->host, NULL);
803   }
804
805 #ifndef DISABLE_OCSP
806 if (cbinfo->is_server &&  cbinfo->u_ocsp.server.file != NULL)
807   {
808   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded))
809     return DEFER;
810
811   if (expanded != NULL && *expanded != 0)
812     {
813     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
814     if (cbinfo->u_ocsp.server.file_expanded &&
815         (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
816       {
817       DEBUG(D_tls)
818         debug_printf("tls_ocsp_file value unchanged, using existing values.\n");
819       } else {
820         ocsp_load_response(sctx, cbinfo, expanded);
821       }
822     }
823   }
824 #endif
825
826 return OK;
827 }
828
829
830
831
832 /*************************************************
833 *            Callback to handle SNI              *
834 *************************************************/
835
836 /* Called when acting as server during the TLS session setup if a Server Name
837 Indication extension was sent by the client.
838
839 API documentation is OpenSSL s_server.c implementation.
840
841 Arguments:
842   s               SSL* of the current session
843   ad              unknown (part of OpenSSL API) (unused)
844   arg             Callback of "our" registered data
845
846 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
847 */
848
849 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
850 static int
851 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
852 {
853 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
854 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
855 int rc;
856 int old_pool = store_pool;
857
858 if (!servername)
859   return SSL_TLSEXT_ERR_OK;
860
861 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
862     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
863
864 /* Make the extension value available for expansion */
865 store_pool = POOL_PERM;
866 tls_in.sni = string_copy(US servername);
867 store_pool = old_pool;
868
869 if (!reexpand_tls_files_for_sni)
870   return SSL_TLSEXT_ERR_OK;
871
872 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
873 not confident that memcpy wouldn't break some internal reference counting.
874 Especially since there's a references struct member, which would be off. */
875
876 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
877   {
878   ERR_error_string(ERR_get_error(), ssl_errstring);
879   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
880   return SSL_TLSEXT_ERR_NOACK;
881   }
882
883 /* Not sure how many of these are actually needed, since SSL object
884 already exists.  Might even need this selfsame callback, for reneg? */
885
886 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
887 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
888 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
889 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
890 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
891 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
892 if (cbinfo->server_cipher_list)
893   SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list);
894 #ifndef DISABLE_OCSP
895 if (cbinfo->u_ocsp.server.file)
896   {
897   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
898   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
899   }
900 #endif
901
902 rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE, verify_callback_server);
903 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
904
905 /* do this after setup_certs, because this can require the certs for verifying
906 OCSP information. */
907 rc = tls_expand_session_files(server_sni, cbinfo);
908 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
909
910 if (!init_dh(server_sni, cbinfo->dhparam, NULL))
911   return SSL_TLSEXT_ERR_NOACK;
912
913 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
914 SSL_set_SSL_CTX(s, server_sni);
915
916 return SSL_TLSEXT_ERR_OK;
917 }
918 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
919
920
921
922
923 #ifndef DISABLE_OCSP
924
925 /*************************************************
926 *        Callback to handle OCSP Stapling        *
927 *************************************************/
928
929 /* Called when acting as server during the TLS session setup if the client
930 requests OCSP information with a Certificate Status Request.
931
932 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
933 project.
934
935 */
936
937 static int
938 tls_server_stapling_cb(SSL *s, void *arg)
939 {
940 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
941 uschar *response_der;
942 int response_der_len;
943
944 DEBUG(D_tls)
945   debug_printf("Received TLS status request (OCSP stapling); %s response.",
946     cbinfo->u_ocsp.server.response ? "have" : "lack");
947
948 tls_in.ocsp = OCSP_NOT_RESP;
949 if (!cbinfo->u_ocsp.server.response)
950   return SSL_TLSEXT_ERR_NOACK;
951
952 response_der = NULL;
953 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,
954                       &response_der);
955 if (response_der_len <= 0)
956   return SSL_TLSEXT_ERR_NOACK;
957
958 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
959 tls_in.ocsp = OCSP_VFIED;
960 return SSL_TLSEXT_ERR_OK;
961 }
962
963
964 static void
965 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
966 {
967 BIO_printf(bp, "\t%s: ", str);
968 ASN1_GENERALIZEDTIME_print(bp, time);
969 BIO_puts(bp, "\n");
970 }
971
972 static int
973 tls_client_stapling_cb(SSL *s, void *arg)
974 {
975 tls_ext_ctx_cb * cbinfo = arg;
976 const unsigned char * p;
977 int len;
978 OCSP_RESPONSE * rsp;
979 OCSP_BASICRESP * bs;
980 int i;
981
982 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
983 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
984 if(!p)
985  {
986   /* Expect this when we requested ocsp but got none */
987   if (  cbinfo->u_ocsp.client.verify_required
988      && log_extra_selector & LX_tls_cipher)
989     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
990   else
991     DEBUG(D_tls) debug_printf(" null\n");
992   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
993  }
994
995 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
996  {
997   tls_out.ocsp = OCSP_FAILED;
998   if (log_extra_selector & LX_tls_cipher)
999     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1000   else
1001     DEBUG(D_tls) debug_printf(" parse error\n");
1002   return 0;
1003  }
1004
1005 if(!(bs = OCSP_response_get1_basic(rsp)))
1006   {
1007   tls_out.ocsp = OCSP_FAILED;
1008   if (log_extra_selector & LX_tls_cipher)
1009     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1010   else
1011     DEBUG(D_tls) debug_printf(" error parsing response\n");
1012   OCSP_RESPONSE_free(rsp);
1013   return 0;
1014   }
1015
1016 /* We'd check the nonce here if we'd put one in the request. */
1017 /* However that would defeat cacheability on the server so we don't. */
1018
1019 /* This section of code reworked from OpenSSL apps source;
1020    The OpenSSL Project retains copyright:
1021    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1022 */
1023   {
1024     BIO * bp = NULL;
1025     int status, reason;
1026     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1027
1028     DEBUG(D_tls) bp = BIO_new_fp(stderr, BIO_NOCLOSE);
1029
1030     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1031
1032     /* Use the chain that verified the server cert to verify the stapled info */
1033     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1034
1035     if ((i = OCSP_basic_verify(bs, NULL,
1036               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1037       {
1038       tls_out.ocsp = OCSP_FAILED;
1039       if (log_extra_selector & LX_tls_cipher)
1040         log_write(0, LOG_MAIN, "Received TLS cert status response, itself unverifiable");
1041       BIO_printf(bp, "OCSP response verify failure\n");
1042       ERR_print_errors(bp);
1043       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1044       goto out;
1045       }
1046
1047     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1048
1049       {
1050       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1051       OCSP_SINGLERESP * single;
1052
1053       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1054         {
1055         tls_out.ocsp = OCSP_FAILED;
1056         log_write(0, LOG_MAIN, "OCSP stapling "
1057             "with multiple responses not handled");
1058         i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1059         goto out;
1060         }
1061       single = OCSP_resp_get0(bs, 0);
1062       status = OCSP_single_get0_status(single, &reason, &rev,
1063                   &thisupd, &nextupd);
1064       }
1065
1066     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1067     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1068     if (!OCSP_check_validity(thisupd, nextupd,
1069           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1070       {
1071       tls_out.ocsp = OCSP_FAILED;
1072       DEBUG(D_tls) ERR_print_errors(bp);
1073       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1074       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1075       }
1076     else
1077       {
1078       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1079                     OCSP_cert_status_str(status));
1080       switch(status)
1081         {
1082         case V_OCSP_CERTSTATUS_GOOD:
1083           tls_out.ocsp = OCSP_VFIED;
1084           i = 1;
1085           break;
1086         case V_OCSP_CERTSTATUS_REVOKED:
1087           tls_out.ocsp = OCSP_FAILED;
1088           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1089               reason != -1 ? "; reason: " : "",
1090               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1091           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1092           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1093           break;
1094         default:
1095           tls_out.ocsp = OCSP_FAILED;
1096           log_write(0, LOG_MAIN,
1097               "Server certificate status unknown, in OCSP stapling");
1098           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1099           break;
1100         }
1101       }
1102   out:
1103     BIO_free(bp);
1104   }
1105
1106 OCSP_RESPONSE_free(rsp);
1107 return i;
1108 }
1109 #endif  /*!DISABLE_OCSP*/
1110
1111
1112 /*************************************************
1113 *            Initialize for TLS                  *
1114 *************************************************/
1115
1116 /* Called from both server and client code, to do preliminary initialization
1117 of the library.  We allocate and return a context structure.
1118
1119 Arguments:
1120   ctxp            returned SSL context
1121   host            connected host, if client; NULL if server
1122   dhparam         DH parameter file
1123   certificate     certificate file
1124   privatekey      private key
1125   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1126   addr            address if client; NULL if server (for some randomness)
1127   cbp             place to put allocated callback context
1128
1129 Returns:          OK/DEFER/FAIL
1130 */
1131
1132 static int
1133 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1134   uschar *privatekey,
1135 #ifndef DISABLE_OCSP
1136   uschar *ocsp_file,
1137 #endif
1138   address_item *addr, tls_ext_ctx_cb ** cbp)
1139 {
1140 long init_options;
1141 int rc;
1142 BOOL okay;
1143 tls_ext_ctx_cb * cbinfo;
1144
1145 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1146 cbinfo->certificate = certificate;
1147 cbinfo->privatekey = privatekey;
1148 #ifndef DISABLE_OCSP
1149 if ((cbinfo->is_server = host==NULL))
1150   {
1151   cbinfo->u_ocsp.server.file = ocsp_file;
1152   cbinfo->u_ocsp.server.file_expanded = NULL;
1153   cbinfo->u_ocsp.server.response = NULL;
1154   }
1155 else
1156   cbinfo->u_ocsp.client.verify_store = NULL;
1157 #endif
1158 cbinfo->dhparam = dhparam;
1159 cbinfo->server_cipher_list = NULL;
1160 cbinfo->host = host;
1161 #ifdef EXPERIMENTAL_EVENT
1162 cbinfo->event_action = NULL;
1163 #endif
1164
1165 SSL_load_error_strings();          /* basic set up */
1166 OpenSSL_add_ssl_algorithms();
1167
1168 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
1169 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1170 list of available digests. */
1171 EVP_add_digest(EVP_sha256());
1172 #endif
1173
1174 /* Create a context.
1175 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1176 negotiation in the different methods; as far as I can tell, the only
1177 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1178 when OpenSSL is built without SSLv2 support.
1179 By disabling with openssl_options, we can let admins re-enable with the
1180 existing knob. */
1181
1182 *ctxp = SSL_CTX_new((host == NULL)?
1183   SSLv23_server_method() : SSLv23_client_method());
1184
1185 if (*ctxp == NULL) return tls_error(US"SSL_CTX_new", host, NULL);
1186
1187 /* It turns out that we need to seed the random number generator this early in
1188 order to get the full complement of ciphers to work. It took me roughly a day
1189 of work to discover this by experiment.
1190
1191 On systems that have /dev/urandom, SSL may automatically seed itself from
1192 there. Otherwise, we have to make something up as best we can. Double check
1193 afterwards. */
1194
1195 if (!RAND_status())
1196   {
1197   randstuff r;
1198   gettimeofday(&r.tv, NULL);
1199   r.p = getpid();
1200
1201   RAND_seed((uschar *)(&r), sizeof(r));
1202   RAND_seed((uschar *)big_buffer, big_buffer_size);
1203   if (addr != NULL) RAND_seed((uschar *)addr, sizeof(addr));
1204
1205   if (!RAND_status())
1206     return tls_error(US"RAND_status", host,
1207       US"unable to seed random number generator");
1208   }
1209
1210 /* Set up the information callback, which outputs if debugging is at a suitable
1211 level. */
1212
1213 SSL_CTX_set_info_callback(*ctxp, (void (*)())info_callback);
1214
1215 /* Automatically re-try reads/writes after renegotiation. */
1216 (void) SSL_CTX_set_mode(*ctxp, SSL_MODE_AUTO_RETRY);
1217
1218 /* Apply administrator-supplied work-arounds.
1219 Historically we applied just one requested option,
1220 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1221 moved to an administrator-controlled list of options to specify and
1222 grandfathered in the first one as the default value for "openssl_options".
1223
1224 No OpenSSL version number checks: the options we accept depend upon the
1225 availability of the option value macros from OpenSSL.  */
1226
1227 okay = tls_openssl_options_parse(openssl_options, &init_options);
1228 if (!okay)
1229   return tls_error(US"openssl_options parsing failed", host, NULL);
1230
1231 if (init_options)
1232   {
1233   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
1234   if (!(SSL_CTX_set_options(*ctxp, init_options)))
1235     return tls_error(string_sprintf(
1236           "SSL_CTX_set_option(%#lx)", init_options), host, NULL);
1237   }
1238 else
1239   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
1240
1241 /* Initialize with DH parameters if supplied */
1242
1243 if (!init_dh(*ctxp, dhparam, host)) return DEFER;
1244
1245 /* Set up certificate and key (and perhaps OCSP info) */
1246
1247 rc = tls_expand_session_files(*ctxp, cbinfo);
1248 if (rc != OK) return rc;
1249
1250 /* If we need to handle SNI, do so */
1251 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1252 if (host == NULL)               /* server */
1253   {
1254 # ifndef DISABLE_OCSP
1255   /* We check u_ocsp.server.file, not server.response, because we care about if
1256   the option exists, not what the current expansion might be, as SNI might
1257   change the certificate and OCSP file in use between now and the time the
1258   callback is invoked. */
1259   if (cbinfo->u_ocsp.server.file)
1260     {
1261     SSL_CTX_set_tlsext_status_cb(server_ctx, tls_server_stapling_cb);
1262     SSL_CTX_set_tlsext_status_arg(server_ctx, cbinfo);
1263     }
1264 # endif
1265   /* We always do this, so that $tls_sni is available even if not used in
1266   tls_certificate */
1267   SSL_CTX_set_tlsext_servername_callback(*ctxp, tls_servername_cb);
1268   SSL_CTX_set_tlsext_servername_arg(*ctxp, cbinfo);
1269   }
1270 # ifndef DISABLE_OCSP
1271 else                    /* client */
1272   if(ocsp_file)         /* wanting stapling */
1273     {
1274     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
1275       {
1276       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
1277       return FAIL;
1278       }
1279     SSL_CTX_set_tlsext_status_cb(*ctxp, tls_client_stapling_cb);
1280     SSL_CTX_set_tlsext_status_arg(*ctxp, cbinfo);
1281     }
1282 # endif
1283 #endif
1284
1285 cbinfo->verify_cert_hostnames = NULL;
1286
1287 /* Set up the RSA callback */
1288
1289 SSL_CTX_set_tmp_rsa_callback(*ctxp, rsa_callback);
1290
1291 /* Finally, set the timeout, and we are done */
1292
1293 SSL_CTX_set_timeout(*ctxp, ssl_session_timeout);
1294 DEBUG(D_tls) debug_printf("Initialized TLS\n");
1295
1296 *cbp = cbinfo;
1297
1298 return OK;
1299 }
1300
1301
1302
1303
1304 /*************************************************
1305 *           Get name of cipher in use            *
1306 *************************************************/
1307
1308 /*
1309 Argument:   pointer to an SSL structure for the connection
1310             buffer to use for answer
1311             size of buffer
1312             pointer to number of bits for cipher
1313 Returns:    nothing
1314 */
1315
1316 static void
1317 construct_cipher_name(SSL *ssl, uschar *cipherbuf, int bsize, int *bits)
1318 {
1319 /* With OpenSSL 1.0.0a, this needs to be const but the documentation doesn't
1320 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
1321 the accessor functions use const in the prototype. */
1322 const SSL_CIPHER *c;
1323 const uschar *ver;
1324
1325 ver = (const uschar *)SSL_get_version(ssl);
1326
1327 c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
1328 SSL_CIPHER_get_bits(c, bits);
1329
1330 string_format(cipherbuf, bsize, "%s:%s:%u", ver,
1331   SSL_CIPHER_get_name(c), *bits);
1332
1333 DEBUG(D_tls) debug_printf("Cipher: %s\n", cipherbuf);
1334 }
1335
1336
1337
1338
1339
1340 /*************************************************
1341 *        Set up for verifying certificates       *
1342 *************************************************/
1343
1344 /* Called by both client and server startup
1345
1346 Arguments:
1347   sctx          SSL_CTX* to initialise
1348   certs         certs file or NULL
1349   crl           CRL file or NULL
1350   host          NULL in a server; the remote host in a client
1351   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
1352                 otherwise passed as FALSE
1353   cert_vfy_cb   Callback function for certificate verification
1354
1355 Returns:        OK/DEFER/FAIL
1356 */
1357
1358 static int
1359 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
1360     int (*cert_vfy_cb)(int, X509_STORE_CTX *) )
1361 {
1362 uschar *expcerts, *expcrl;
1363
1364 if (!expand_check(certs, US"tls_verify_certificates", &expcerts))
1365   return DEFER;
1366
1367 if (expcerts != NULL && *expcerts != '\0')
1368   {
1369   if (Ustrcmp(expcerts, "system") == 0)
1370     {
1371     /* Tell the library to use its compiled-in location for the system default
1372     CA bundle, only */
1373
1374     if (!SSL_CTX_set_default_verify_paths(sctx))
1375       return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1376     }
1377   else
1378     {
1379     struct stat statbuf;
1380
1381     /* Tell the library to use its compiled-in location for the system default
1382     CA bundle. Those given by the exim config are additional to these */
1383
1384     if (!SSL_CTX_set_default_verify_paths(sctx))
1385       return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1386
1387     if (Ustat(expcerts, &statbuf) < 0)
1388       {
1389       log_write(0, LOG_MAIN|LOG_PANIC,
1390         "failed to stat %s for certificates", expcerts);
1391       return DEFER;
1392       }
1393     else
1394       {
1395       uschar *file, *dir;
1396       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1397         { file = NULL; dir = expcerts; }
1398       else
1399         { file = expcerts; dir = NULL; }
1400
1401       /* If a certificate file is empty, the next function fails with an
1402       unhelpful error message. If we skip it, we get the correct behaviour (no
1403       certificates are recognized, but the error message is still misleading (it
1404       says no certificate was supplied.) But this is better. */
1405
1406       if ((file == NULL || statbuf.st_size > 0) &&
1407             !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
1408         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL);
1409
1410       /* Load the list of CAs for which we will accept certs, for sending
1411       to the client.  This is only for the one-file tls_verify_certificates
1412       variant.
1413       If a list isn't loaded into the server, but
1414       some verify locations are set, the server end appears to make
1415       a wildcard reqest for client certs.
1416       Meanwhile, the client library as deafult behaviour *ignores* the list
1417       we send over the wire - see man SSL_CTX_set_client_cert_cb.
1418       Because of this, and that the dir variant is likely only used for
1419       the public-CA bundle (not for a private CA), not worth fixing.
1420       */
1421       if (file != NULL)
1422         {
1423         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
1424   DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
1425                                     sk_X509_NAME_num(names));
1426         SSL_CTX_set_client_CA_list(sctx, names);
1427         }
1428       }
1429     }
1430
1431   /* Handle a certificate revocation list. */
1432
1433   #if OPENSSL_VERSION_NUMBER > 0x00907000L
1434
1435   /* This bit of code is now the version supplied by Lars Mainka. (I have
1436    * merely reformatted it into the Exim code style.)
1437
1438    * "From here I changed the code to add support for multiple crl's
1439    * in pem format in one file or to support hashed directory entries in
1440    * pem format instead of a file. This method now uses the library function
1441    * X509_STORE_load_locations to add the CRL location to the SSL context.
1442    * OpenSSL will then handle the verify against CA certs and CRLs by
1443    * itself in the verify callback." */
1444
1445   if (!expand_check(crl, US"tls_crl", &expcrl)) return DEFER;
1446   if (expcrl != NULL && *expcrl != 0)
1447     {
1448     struct stat statbufcrl;
1449     if (Ustat(expcrl, &statbufcrl) < 0)
1450       {
1451       log_write(0, LOG_MAIN|LOG_PANIC,
1452         "failed to stat %s for certificates revocation lists", expcrl);
1453       return DEFER;
1454       }
1455     else
1456       {
1457       /* is it a file or directory? */
1458       uschar *file, *dir;
1459       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
1460       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
1461         {
1462         file = NULL;
1463         dir = expcrl;
1464         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
1465         }
1466       else
1467         {
1468         file = expcrl;
1469         dir = NULL;
1470         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
1471         }
1472       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
1473         return tls_error(US"X509_STORE_load_locations", host, NULL);
1474
1475       /* setting the flags to check against the complete crl chain */
1476
1477       X509_STORE_set_flags(cvstore,
1478         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
1479       }
1480     }
1481
1482   #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
1483
1484   /* If verification is optional, don't fail if no certificate */
1485
1486   SSL_CTX_set_verify(sctx,
1487     SSL_VERIFY_PEER | (optional? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
1488     cert_vfy_cb);
1489   }
1490
1491 return OK;
1492 }
1493
1494
1495
1496 /*************************************************
1497 *       Start a TLS session in a server          *
1498 *************************************************/
1499
1500 /* This is called when Exim is running as a server, after having received
1501 the STARTTLS command. It must respond to that command, and then negotiate
1502 a TLS session.
1503
1504 Arguments:
1505   require_ciphers   allowed ciphers
1506
1507 Returns:            OK on success
1508                     DEFER for errors before the start of the negotiation
1509                     FAIL for errors during the negotation; the server can't
1510                       continue running.
1511 */
1512
1513 int
1514 tls_server_start(const uschar *require_ciphers)
1515 {
1516 int rc;
1517 uschar *expciphers;
1518 tls_ext_ctx_cb *cbinfo;
1519 static uschar cipherbuf[256];
1520
1521 /* Check for previous activation */
1522
1523 if (tls_in.active >= 0)
1524   {
1525   tls_error(US"STARTTLS received after TLS started", NULL, US"");
1526   smtp_printf("554 Already in TLS\r\n");
1527   return FAIL;
1528   }
1529
1530 /* Initialize the SSL library. If it fails, it will already have logged
1531 the error. */
1532
1533 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
1534 #ifndef DISABLE_OCSP
1535     tls_ocsp_file,
1536 #endif
1537     NULL, &server_static_cbinfo);
1538 if (rc != OK) return rc;
1539 cbinfo = server_static_cbinfo;
1540
1541 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers))
1542   return FAIL;
1543
1544 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1545 were historically separated by underscores. So that I can use either form in my
1546 tests, and also for general convenience, we turn underscores into hyphens here.
1547 */
1548
1549 if (expciphers != NULL)
1550   {
1551   uschar *s = expciphers;
1552   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1553   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1554   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
1555     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL);
1556   cbinfo->server_cipher_list = expciphers;
1557   }
1558
1559 /* If this is a host for which certificate verification is mandatory or
1560 optional, set up appropriately. */
1561
1562 tls_in.certificate_verified = FALSE;
1563 #ifdef EXPERIMENTAL_DANE
1564 tls_in.dane_verified = FALSE;
1565 #endif
1566 server_verify_callback_called = FALSE;
1567
1568 if (verify_check_host(&tls_verify_hosts) == OK)
1569   {
1570   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1571                         FALSE, verify_callback_server);
1572   if (rc != OK) return rc;
1573   server_verify_optional = FALSE;
1574   }
1575 else if (verify_check_host(&tls_try_verify_hosts) == OK)
1576   {
1577   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1578                         TRUE, verify_callback_server);
1579   if (rc != OK) return rc;
1580   server_verify_optional = TRUE;
1581   }
1582
1583 /* Prepare for new connection */
1584
1585 if ((server_ssl = SSL_new(server_ctx)) == NULL) return tls_error(US"SSL_new", NULL, NULL);
1586
1587 /* Warning: we used to SSL_clear(ssl) here, it was removed.
1588  *
1589  * With the SSL_clear(), we get strange interoperability bugs with
1590  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
1591  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
1592  *
1593  * The SSL_clear() call is to let an existing SSL* be reused, typically after
1594  * session shutdown.  In this case, we have a brand new object and there's no
1595  * obvious reason to immediately clear it.  I'm guessing that this was
1596  * originally added because of incomplete initialisation which the clear fixed,
1597  * in some historic release.
1598  */
1599
1600 /* Set context and tell client to go ahead, except in the case of TLS startup
1601 on connection, where outputting anything now upsets the clients and tends to
1602 make them disconnect. We need to have an explicit fflush() here, to force out
1603 the response. Other smtp_printf() calls do not need it, because in non-TLS
1604 mode, the fflush() happens when smtp_getc() is called. */
1605
1606 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
1607 if (!tls_in.on_connect)
1608   {
1609   smtp_printf("220 TLS go ahead\r\n");
1610   fflush(smtp_out);
1611   }
1612
1613 /* Now negotiate the TLS session. We put our own timer on it, since it seems
1614 that the OpenSSL library doesn't. */
1615
1616 SSL_set_wfd(server_ssl, fileno(smtp_out));
1617 SSL_set_rfd(server_ssl, fileno(smtp_in));
1618 SSL_set_accept_state(server_ssl);
1619
1620 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
1621
1622 sigalrm_seen = FALSE;
1623 if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
1624 rc = SSL_accept(server_ssl);
1625 alarm(0);
1626
1627 if (rc <= 0)
1628   {
1629   tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL);
1630   if (ERR_get_error() == 0)
1631     log_write(0, LOG_MAIN,
1632         "TLS client disconnected cleanly (rejected our certificate?)");
1633   return FAIL;
1634   }
1635
1636 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
1637
1638 /* TLS has been set up. Adjust the input functions to read via TLS,
1639 and initialize things. */
1640
1641 construct_cipher_name(server_ssl, cipherbuf, sizeof(cipherbuf), &tls_in.bits);
1642 tls_in.cipher = cipherbuf;
1643
1644 DEBUG(D_tls)
1645   {
1646   uschar buf[2048];
1647   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)) != NULL)
1648     debug_printf("Shared ciphers: %s\n", buf);
1649   }
1650
1651 /* Record the certificate we presented */
1652   {
1653   X509 * crt = SSL_get_certificate(server_ssl);
1654   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
1655   }
1656
1657 /* Only used by the server-side tls (tls_in), including tls_getc.
1658    Client-side (tls_out) reads (seem to?) go via
1659    smtp_read_response()/ip_recv().
1660    Hence no need to duplicate for _in and _out.
1661  */
1662 ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
1663 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
1664 ssl_xfer_eof = ssl_xfer_error = 0;
1665
1666 receive_getc = tls_getc;
1667 receive_ungetc = tls_ungetc;
1668 receive_feof = tls_feof;
1669 receive_ferror = tls_ferror;
1670 receive_smtp_buffered = tls_smtp_buffered;
1671
1672 tls_in.active = fileno(smtp_out);
1673 return OK;
1674 }
1675
1676
1677
1678
1679 static int
1680 tls_client_basic_ctx_init(SSL_CTX * ctx,
1681     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo
1682                           )
1683 {
1684 int rc;
1685 /* stick to the old behaviour for compatibility if tls_verify_certificates is 
1686    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
1687    the specified host patterns if one of them is defined */
1688
1689 if (  (  !ob->tls_verify_hosts
1690       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
1691       )
1692    || (verify_check_given_host(&ob->tls_verify_hosts, host) == OK)
1693    )
1694   client_verify_optional = FALSE;
1695 else if (verify_check_given_host(&ob->tls_try_verify_hosts, host) == OK)
1696   client_verify_optional = TRUE;
1697 else
1698   return OK;
1699
1700 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
1701       ob->tls_crl, host, client_verify_optional, verify_callback_client)) != OK)
1702   return rc;
1703
1704 if (verify_check_given_host(&ob->tls_verify_cert_hostnames, host) == OK)
1705   {
1706   cbinfo->verify_cert_hostnames = host->name;
1707   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
1708                     cbinfo->verify_cert_hostnames);
1709   }
1710 return OK;
1711 }
1712
1713
1714 #ifdef EXPERIMENTAL_DANE
1715 static int
1716 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa)
1717 {
1718 dns_record * rr;
1719 dns_scan dnss;
1720 const char * hostnames[2] = { CS host->name, NULL };
1721 int found = 0;
1722
1723 if (DANESSL_init(ssl, NULL, hostnames) != 1)
1724   return tls_error(US"hostnames load", host, NULL);
1725
1726 for (rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS);
1727      rr;
1728      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
1729     ) if (rr->type == T_TLSA)
1730   {
1731   uschar * p = rr->data;
1732   uint8_t usage, selector, mtype;
1733   const char * mdname;
1734
1735   usage = *p++;
1736
1737   /* Only DANE-TA(2) and DANE-EE(3) are supported */
1738   if (usage != 2 && usage != 3) continue;
1739
1740   selector = *p++;
1741   mtype = *p++;
1742
1743   switch (mtype)
1744     {
1745     default: continue;  /* Only match-types 0, 1, 2 are supported */
1746     case 0:  mdname = NULL; break;
1747     case 1:  mdname = "sha256"; break;
1748     case 2:  mdname = "sha512"; break;
1749     }
1750
1751   found++;
1752   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
1753     {
1754     default:
1755     case 0:     /* action not taken */
1756       return tls_error(US"tlsa load", host, NULL);
1757     case 1:     break;
1758     }
1759
1760   tls_out.tlsa_usage |= 1<<usage;
1761   }
1762
1763 if (found)
1764   return OK;
1765
1766 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
1767 return DEFER;
1768 }
1769 #endif  /*EXPERIMENTAL_DANE*/
1770
1771
1772
1773 /*************************************************
1774 *    Start a TLS session in a client             *
1775 *************************************************/
1776
1777 /* Called from the smtp transport after STARTTLS has been accepted.
1778
1779 Argument:
1780   fd               the fd of the connection
1781   host             connected host (for messages)
1782   addr             the first address
1783   tb               transport (always smtp)
1784   tlsa_dnsa        tlsa lookup, if DANE, else null
1785
1786 Returns:           OK on success
1787                    FAIL otherwise - note that tls_error() will not give DEFER
1788                      because this is not a server
1789 */
1790
1791 int
1792 tls_client_start(int fd, host_item *host, address_item *addr,
1793   transport_instance *tb
1794 #ifdef EXPERIMENTAL_DANE
1795   , dns_answer * tlsa_dnsa
1796 #endif
1797   )
1798 {
1799 smtp_transport_options_block * ob =
1800   (smtp_transport_options_block *)tb->options_block;
1801 static uschar txt[256];
1802 uschar * expciphers;
1803 X509 * server_cert;
1804 int rc;
1805 static uschar cipherbuf[256];
1806
1807 #ifndef DISABLE_OCSP
1808 BOOL request_ocsp = FALSE;
1809 BOOL require_ocsp = FALSE;
1810 #endif
1811
1812 #ifdef EXPERIMENTAL_DANE
1813 tls_out.tlsa_usage = 0;
1814 #endif
1815
1816 #ifndef DISABLE_OCSP
1817   {
1818 # ifdef EXPERIMENTAL_DANE
1819   if (  tlsa_dnsa
1820      && ob->hosts_request_ocsp[0] == '*'
1821      && ob->hosts_request_ocsp[1] == '\0'
1822      )
1823     {
1824     /* Unchanged from default.  Use a safer one under DANE */
1825     request_ocsp = TRUE;
1826     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
1827                                       "   {= {4}{$tls_out_tlsa_usage}} } "
1828                                  " {*}{}}";
1829     }
1830 # endif
1831
1832   if ((require_ocsp =
1833         verify_check_given_host(&ob->hosts_require_ocsp, host) == OK))
1834     request_ocsp = TRUE;
1835   else
1836 # ifdef EXPERIMENTAL_DANE
1837     if (!request_ocsp)
1838 # endif
1839       request_ocsp =
1840         verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
1841   }
1842 #endif
1843
1844 rc = tls_init(&client_ctx, host, NULL,
1845     ob->tls_certificate, ob->tls_privatekey,
1846 #ifndef DISABLE_OCSP
1847     (void *)(long)request_ocsp,
1848 #endif
1849     addr, &client_static_cbinfo);
1850 if (rc != OK) return rc;
1851
1852 tls_out.certificate_verified = FALSE;
1853 client_verify_callback_called = FALSE;
1854
1855 if (!expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
1856     &expciphers))
1857   return FAIL;
1858
1859 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1860 are separated by underscores. So that I can use either form in my tests, and
1861 also for general convenience, we turn underscores into hyphens here. */
1862
1863 if (expciphers != NULL)
1864   {
1865   uschar *s = expciphers;
1866   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1867   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1868   if (!SSL_CTX_set_cipher_list(client_ctx, CS expciphers))
1869     return tls_error(US"SSL_CTX_set_cipher_list", host, NULL);
1870   }
1871
1872 #ifdef EXPERIMENTAL_DANE
1873 if (tlsa_dnsa)
1874   {
1875   SSL_CTX_set_verify(client_ctx,
1876     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
1877     verify_callback_client_dane);
1878
1879   if (!DANESSL_library_init())
1880     return tls_error(US"library init", host, NULL);
1881   if (DANESSL_CTX_init(client_ctx) <= 0)
1882     return tls_error(US"context init", host, NULL);
1883   }
1884 else
1885
1886 #endif
1887
1888   if ((rc = tls_client_basic_ctx_init(client_ctx, host, ob, client_static_cbinfo))
1889       != OK)
1890     return rc;
1891
1892 if ((client_ssl = SSL_new(client_ctx)) == NULL)
1893   return tls_error(US"SSL_new", host, NULL);
1894 SSL_set_session_id_context(client_ssl, sid_ctx, Ustrlen(sid_ctx));
1895 SSL_set_fd(client_ssl, fd);
1896 SSL_set_connect_state(client_ssl);
1897
1898 if (ob->tls_sni)
1899   {
1900   if (!expand_check(ob->tls_sni, US"tls_sni", &tls_out.sni))
1901     return FAIL;
1902   if (tls_out.sni == NULL)
1903     {
1904     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
1905     }
1906   else if (!Ustrlen(tls_out.sni))
1907     tls_out.sni = NULL;
1908   else
1909     {
1910 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1911     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tls_out.sni);
1912     SSL_set_tlsext_host_name(client_ssl, tls_out.sni);
1913 #else
1914     DEBUG(D_tls)
1915       debug_printf("OpenSSL at build-time lacked SNI support, ignoring \"%s\"\n",
1916           tls_out.sni);
1917 #endif
1918     }
1919   }
1920
1921 #ifdef EXPERIMENTAL_DANE
1922 if (tlsa_dnsa)
1923   if ((rc = dane_tlsa_load(client_ssl, host, tlsa_dnsa)) != OK)
1924     return rc;
1925 #endif
1926
1927 #ifndef DISABLE_OCSP
1928 /* Request certificate status at connection-time.  If the server
1929 does OCSP stapling we will get the callback (set in tls_init()) */
1930 # ifdef EXPERIMENTAL_DANE
1931 if (request_ocsp)
1932   {
1933   const uschar * s;
1934   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
1935      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
1936      )
1937     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
1938         this means we avoid the OCSP request, we wasted the setup
1939         cost in tls_init(). */
1940     require_ocsp = verify_check_given_host(&ob->hosts_require_ocsp, host) == OK;
1941     request_ocsp = require_ocsp
1942       || verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
1943     }
1944   }
1945 # endif
1946
1947 if (request_ocsp)
1948   {
1949   SSL_set_tlsext_status_type(client_ssl, TLSEXT_STATUSTYPE_ocsp);
1950   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
1951   tls_out.ocsp = OCSP_NOT_RESP;
1952   }
1953 #endif
1954
1955 #ifdef EXPERIMENTAL_EVENT
1956 client_static_cbinfo->event_action = tb->event_action;
1957 #endif
1958
1959 /* There doesn't seem to be a built-in timeout on connection. */
1960
1961 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
1962 sigalrm_seen = FALSE;
1963 alarm(ob->command_timeout);
1964 rc = SSL_connect(client_ssl);
1965 alarm(0);
1966
1967 #ifdef EXPERIMENTAL_DANE
1968 if (tlsa_dnsa)
1969   DANESSL_cleanup(client_ssl);
1970 #endif
1971
1972 if (rc <= 0)
1973   return tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL);
1974
1975 DEBUG(D_tls) debug_printf("SSL_connect succeeded\n");
1976
1977 /* Beware anonymous ciphers which lead to server_cert being NULL */
1978 /*XXX server_cert is never freed... use X509_free() */
1979 server_cert = SSL_get_peer_certificate (client_ssl);
1980 if (server_cert)
1981   {
1982   tls_out.peerdn = US X509_NAME_oneline(X509_get_subject_name(server_cert),
1983     CS txt, sizeof(txt));
1984   tls_out.peerdn = txt;         /*XXX a static buffer... */
1985   }
1986 else
1987   tls_out.peerdn = NULL;
1988
1989 construct_cipher_name(client_ssl, cipherbuf, sizeof(cipherbuf), &tls_out.bits);
1990 tls_out.cipher = cipherbuf;
1991
1992 /* Record the certificate we presented */
1993   {
1994   X509 * crt = SSL_get_certificate(client_ssl);
1995   tls_out.ourcert = crt ? X509_dup(crt) : NULL;
1996   }
1997
1998 tls_out.active = fd;
1999 return OK;
2000 }
2001
2002
2003
2004
2005
2006 /*************************************************
2007 *            TLS version of getc                 *
2008 *************************************************/
2009
2010 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
2011 it refills the buffer via the SSL reading function.
2012
2013 Arguments:  none
2014 Returns:    the next character or EOF
2015
2016 Only used by the server-side TLS.
2017 */
2018
2019 int
2020 tls_getc(void)
2021 {
2022 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
2023   {
2024   int error;
2025   int inbytes;
2026
2027   DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
2028     ssl_xfer_buffer, ssl_xfer_buffer_size);
2029
2030   if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
2031   inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer, ssl_xfer_buffer_size);
2032   error = SSL_get_error(server_ssl, inbytes);
2033   alarm(0);
2034
2035   /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
2036   closed down, not that the socket itself has been closed down. Revert to
2037   non-SSL handling. */
2038
2039   if (error == SSL_ERROR_ZERO_RETURN)
2040     {
2041     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2042
2043     receive_getc = smtp_getc;
2044     receive_ungetc = smtp_ungetc;
2045     receive_feof = smtp_feof;
2046     receive_ferror = smtp_ferror;
2047     receive_smtp_buffered = smtp_buffered;
2048
2049     SSL_free(server_ssl);
2050     server_ssl = NULL;
2051     tls_in.active = -1;
2052     tls_in.bits = 0;
2053     tls_in.cipher = NULL;
2054     tls_in.peerdn = NULL;
2055     tls_in.sni = NULL;
2056
2057     return smtp_getc();
2058     }
2059
2060   /* Handle genuine errors */
2061
2062   else if (error == SSL_ERROR_SSL)
2063     {
2064     ERR_error_string(ERR_get_error(), ssl_errstring);
2065     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
2066     ssl_xfer_error = 1;
2067     return EOF;
2068     }
2069
2070   else if (error != SSL_ERROR_NONE)
2071     {
2072     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2073     ssl_xfer_error = 1;
2074     return EOF;
2075     }
2076
2077 #ifndef DISABLE_DKIM
2078   dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
2079 #endif
2080   ssl_xfer_buffer_hwm = inbytes;
2081   ssl_xfer_buffer_lwm = 0;
2082   }
2083
2084 /* Something in the buffer; return next uschar */
2085
2086 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
2087 }
2088
2089
2090
2091 /*************************************************
2092 *          Read bytes from TLS channel           *
2093 *************************************************/
2094
2095 /*
2096 Arguments:
2097   buff      buffer of data
2098   len       size of buffer
2099
2100 Returns:    the number of bytes read
2101             -1 after a failed read
2102
2103 Only used by the client-side TLS.
2104 */
2105
2106 int
2107 tls_read(BOOL is_server, uschar *buff, size_t len)
2108 {
2109 SSL *ssl = is_server ? server_ssl : client_ssl;
2110 int inbytes;
2111 int error;
2112
2113 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
2114   buff, (unsigned int)len);
2115
2116 inbytes = SSL_read(ssl, CS buff, len);
2117 error = SSL_get_error(ssl, inbytes);
2118
2119 if (error == SSL_ERROR_ZERO_RETURN)
2120   {
2121   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2122   return -1;
2123   }
2124 else if (error != SSL_ERROR_NONE)
2125   {
2126   return -1;
2127   }
2128
2129 return inbytes;
2130 }
2131
2132
2133
2134
2135
2136 /*************************************************
2137 *         Write bytes down TLS channel           *
2138 *************************************************/
2139
2140 /*
2141 Arguments:
2142   is_server channel specifier
2143   buff      buffer of data
2144   len       number of bytes
2145
2146 Returns:    the number of bytes after a successful write,
2147             -1 after a failed write
2148
2149 Used by both server-side and client-side TLS.
2150 */
2151
2152 int
2153 tls_write(BOOL is_server, const uschar *buff, size_t len)
2154 {
2155 int outbytes;
2156 int error;
2157 int left = len;
2158 SSL *ssl = is_server ? server_ssl : client_ssl;
2159
2160 DEBUG(D_tls) debug_printf("tls_do_write(%p, %d)\n", buff, left);
2161 while (left > 0)
2162   {
2163   DEBUG(D_tls) debug_printf("SSL_write(SSL, %p, %d)\n", buff, left);
2164   outbytes = SSL_write(ssl, CS buff, left);
2165   error = SSL_get_error(ssl, outbytes);
2166   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
2167   switch (error)
2168     {
2169     case SSL_ERROR_SSL:
2170     ERR_error_string(ERR_get_error(), ssl_errstring);
2171     log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
2172     return -1;
2173
2174     case SSL_ERROR_NONE:
2175     left -= outbytes;
2176     buff += outbytes;
2177     break;
2178
2179     case SSL_ERROR_ZERO_RETURN:
2180     log_write(0, LOG_MAIN, "SSL channel closed on write");
2181     return -1;
2182
2183     case SSL_ERROR_SYSCALL:
2184     log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
2185       sender_fullhost ? sender_fullhost : US"<unknown>",
2186       strerror(errno));
2187
2188     default:
2189     log_write(0, LOG_MAIN, "SSL_write error %d", error);
2190     return -1;
2191     }
2192   }
2193 return len;
2194 }
2195
2196
2197
2198 /*************************************************
2199 *         Close down a TLS session               *
2200 *************************************************/
2201
2202 /* This is also called from within a delivery subprocess forked from the
2203 daemon, to shut down the TLS library, without actually doing a shutdown (which
2204 would tamper with the SSL session in the parent process).
2205
2206 Arguments:   TRUE if SSL_shutdown is to be called
2207 Returns:     nothing
2208
2209 Used by both server-side and client-side TLS.
2210 */
2211
2212 void
2213 tls_close(BOOL is_server, BOOL shutdown)
2214 {
2215 SSL **sslp = is_server ? &server_ssl : &client_ssl;
2216 int *fdp = is_server ? &tls_in.active : &tls_out.active;
2217
2218 if (*fdp < 0) return;  /* TLS was not active */
2219
2220 if (shutdown)
2221   {
2222   DEBUG(D_tls) debug_printf("tls_close(): shutting down SSL\n");
2223   SSL_shutdown(*sslp);
2224   }
2225
2226 SSL_free(*sslp);
2227 *sslp = NULL;
2228
2229 *fdp = -1;
2230 }
2231
2232
2233
2234
2235 /*************************************************
2236 *  Let tls_require_ciphers be checked at startup *
2237 *************************************************/
2238
2239 /* The tls_require_ciphers option, if set, must be something which the
2240 library can parse.
2241
2242 Returns:     NULL on success, or error message
2243 */
2244
2245 uschar *
2246 tls_validate_require_cipher(void)
2247 {
2248 SSL_CTX *ctx;
2249 uschar *s, *expciphers, *err;
2250
2251 /* this duplicates from tls_init(), we need a better "init just global
2252 state, for no specific purpose" singleton function of our own */
2253
2254 SSL_load_error_strings();
2255 OpenSSL_add_ssl_algorithms();
2256 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
2257 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2258 list of available digests. */
2259 EVP_add_digest(EVP_sha256());
2260 #endif
2261
2262 if (!(tls_require_ciphers && *tls_require_ciphers))
2263   return NULL;
2264
2265 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers))
2266   return US"failed to expand tls_require_ciphers";
2267
2268 if (!(expciphers && *expciphers))
2269   return NULL;
2270
2271 /* normalisation ripped from above */
2272 s = expciphers;
2273 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2274
2275 err = NULL;
2276
2277 ctx = SSL_CTX_new(SSLv23_server_method());
2278 if (!ctx)
2279   {
2280   ERR_error_string(ERR_get_error(), ssl_errstring);
2281   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
2282   }
2283
2284 DEBUG(D_tls)
2285   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
2286
2287 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
2288   {
2289   ERR_error_string(ERR_get_error(), ssl_errstring);
2290   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed", expciphers);
2291   }
2292
2293 SSL_CTX_free(ctx);
2294
2295 return err;
2296 }
2297
2298
2299
2300
2301 /*************************************************
2302 *         Report the library versions.           *
2303 *************************************************/
2304
2305 /* There have historically been some issues with binary compatibility in
2306 OpenSSL libraries; if Exim (like many other applications) is built against
2307 one version of OpenSSL but the run-time linker picks up another version,
2308 it can result in serious failures, including crashing with a SIGSEGV.  So
2309 report the version found by the compiler and the run-time version.
2310
2311 Note: some OS vendors backport security fixes without changing the version
2312 number/string, and the version date remains unchanged.  The _build_ date
2313 will change, so we can more usefully assist with version diagnosis by also
2314 reporting the build date.
2315
2316 Arguments:   a FILE* to print the results to
2317 Returns:     nothing
2318 */
2319
2320 void
2321 tls_version_report(FILE *f)
2322 {
2323 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
2324            "                          Runtime: %s\n"
2325            "                                 : %s\n",
2326            OPENSSL_VERSION_TEXT,
2327            SSLeay_version(SSLEAY_VERSION),
2328            SSLeay_version(SSLEAY_BUILT_ON));
2329 /* third line is 38 characters for the %s and the line is 73 chars long;
2330 the OpenSSL output includes a "built on: " prefix already. */
2331 }
2332
2333
2334
2335
2336 /*************************************************
2337 *            Random number generation            *
2338 *************************************************/
2339
2340 /* Pseudo-random number generation.  The result is not expected to be
2341 cryptographically strong but not so weak that someone will shoot themselves
2342 in the foot using it as a nonce in input in some email header scheme or
2343 whatever weirdness they'll twist this into.  The result should handle fork()
2344 and avoid repeating sequences.  OpenSSL handles that for us.
2345
2346 Arguments:
2347   max       range maximum
2348 Returns     a random number in range [0, max-1]
2349 */
2350
2351 int
2352 vaguely_random_number(int max)
2353 {
2354 unsigned int r;
2355 int i, needed_len;
2356 static pid_t pidlast = 0;
2357 pid_t pidnow;
2358 uschar *p;
2359 uschar smallbuf[sizeof(r)];
2360
2361 if (max <= 1)
2362   return 0;
2363
2364 pidnow = getpid();
2365 if (pidnow != pidlast)
2366   {
2367   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
2368   is unique for each thread", this doesn't apparently apply across processes,
2369   so our own warning from vaguely_random_number_fallback() applies here too.
2370   Fix per PostgreSQL. */
2371   if (pidlast != 0)
2372     RAND_cleanup();
2373   pidlast = pidnow;
2374   }
2375
2376 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
2377 if (!RAND_status())
2378   {
2379   randstuff r;
2380   gettimeofday(&r.tv, NULL);
2381   r.p = getpid();
2382
2383   RAND_seed((uschar *)(&r), sizeof(r));
2384   }
2385 /* We're after pseudo-random, not random; if we still don't have enough data
2386 in the internal PRNG then our options are limited.  We could sleep and hope
2387 for entropy to come along (prayer technique) but if the system is so depleted
2388 in the first place then something is likely to just keep taking it.  Instead,
2389 we'll just take whatever little bit of pseudo-random we can still manage to
2390 get. */
2391
2392 needed_len = sizeof(r);
2393 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
2394 asked for a number less than 10. */
2395 for (r = max, i = 0; r; ++i)
2396   r >>= 1;
2397 i = (i + 7) / 8;
2398 if (i < needed_len)
2399   needed_len = i;
2400
2401 /* We do not care if crypto-strong */
2402 i = RAND_pseudo_bytes(smallbuf, needed_len);
2403 if (i < 0)
2404   {
2405   DEBUG(D_all)
2406     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
2407   return vaguely_random_number_fallback(max);
2408   }
2409
2410 r = 0;
2411 for (p = smallbuf; needed_len; --needed_len, ++p)
2412   {
2413   r *= 256;
2414   r += *p;
2415   }
2416
2417 /* We don't particularly care about weighted results; if someone wants
2418 smooth distribution and cares enough then they should submit a patch then. */
2419 return r % max;
2420 }
2421
2422
2423
2424
2425 /*************************************************
2426 *        OpenSSL option parse                    *
2427 *************************************************/
2428
2429 /* Parse one option for tls_openssl_options_parse below
2430
2431 Arguments:
2432   name    one option name
2433   value   place to store a value for it
2434 Returns   success or failure in parsing
2435 */
2436
2437 struct exim_openssl_option {
2438   uschar *name;
2439   long    value;
2440 };
2441 /* We could use a macro to expand, but we need the ifdef and not all the
2442 options document which version they were introduced in.  Policylet: include
2443 all options unless explicitly for DTLS, let the administrator choose which
2444 to apply.
2445
2446 This list is current as of:
2447   ==>  1.0.1b  <==
2448 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
2449 */
2450 static struct exim_openssl_option exim_openssl_options[] = {
2451 /* KEEP SORTED ALPHABETICALLY! */
2452 #ifdef SSL_OP_ALL
2453   { US"all", SSL_OP_ALL },
2454 #endif
2455 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
2456   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
2457 #endif
2458 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
2459   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
2460 #endif
2461 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
2462   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
2463 #endif
2464 #ifdef SSL_OP_EPHEMERAL_RSA
2465   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
2466 #endif
2467 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
2468   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
2469 #endif
2470 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
2471   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
2472 #endif
2473 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
2474   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
2475 #endif
2476 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
2477   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
2478 #endif
2479 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
2480   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
2481 #endif
2482 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
2483   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
2484 #endif
2485 #ifdef SSL_OP_NO_COMPRESSION
2486   { US"no_compression", SSL_OP_NO_COMPRESSION },
2487 #endif
2488 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
2489   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
2490 #endif
2491 #ifdef SSL_OP_NO_SSLv2
2492   { US"no_sslv2", SSL_OP_NO_SSLv2 },
2493 #endif
2494 #ifdef SSL_OP_NO_SSLv3
2495   { US"no_sslv3", SSL_OP_NO_SSLv3 },
2496 #endif
2497 #ifdef SSL_OP_NO_TICKET
2498   { US"no_ticket", SSL_OP_NO_TICKET },
2499 #endif
2500 #ifdef SSL_OP_NO_TLSv1
2501   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
2502 #endif
2503 #ifdef SSL_OP_NO_TLSv1_1
2504 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
2505   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
2506 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
2507 #else
2508   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
2509 #endif
2510 #endif
2511 #ifdef SSL_OP_NO_TLSv1_2
2512   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
2513 #endif
2514 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
2515   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
2516 #endif
2517 #ifdef SSL_OP_SINGLE_DH_USE
2518   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
2519 #endif
2520 #ifdef SSL_OP_SINGLE_ECDH_USE
2521   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
2522 #endif
2523 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
2524   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
2525 #endif
2526 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
2527   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
2528 #endif
2529 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
2530   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
2531 #endif
2532 #ifdef SSL_OP_TLS_D5_BUG
2533   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
2534 #endif
2535 #ifdef SSL_OP_TLS_ROLLBACK_BUG
2536   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
2537 #endif
2538 };
2539 static int exim_openssl_options_size =
2540   sizeof(exim_openssl_options)/sizeof(struct exim_openssl_option);
2541
2542
2543 static BOOL
2544 tls_openssl_one_option_parse(uschar *name, long *value)
2545 {
2546 int first = 0;
2547 int last = exim_openssl_options_size;
2548 while (last > first)
2549   {
2550   int middle = (first + last)/2;
2551   int c = Ustrcmp(name, exim_openssl_options[middle].name);
2552   if (c == 0)
2553     {
2554     *value = exim_openssl_options[middle].value;
2555     return TRUE;
2556     }
2557   else if (c > 0)
2558     first = middle + 1;
2559   else
2560     last = middle;
2561   }
2562 return FALSE;
2563 }
2564
2565
2566
2567
2568 /*************************************************
2569 *        OpenSSL option parsing logic            *
2570 *************************************************/
2571
2572 /* OpenSSL has a number of compatibility options which an administrator might
2573 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
2574 we look like log_selector.
2575
2576 Arguments:
2577   option_spec  the administrator-supplied string of options
2578   results      ptr to long storage for the options bitmap
2579 Returns        success or failure
2580 */
2581
2582 BOOL
2583 tls_openssl_options_parse(uschar *option_spec, long *results)
2584 {
2585 long result, item;
2586 uschar *s, *end;
2587 uschar keep_c;
2588 BOOL adding, item_parsed;
2589
2590 result = 0L;
2591 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
2592  * from default because it increases BEAST susceptibility. */
2593 #ifdef SSL_OP_NO_SSLv2
2594 result |= SSL_OP_NO_SSLv2;
2595 #endif
2596
2597 if (option_spec == NULL)
2598   {
2599   *results = result;
2600   return TRUE;
2601   }
2602
2603 for (s=option_spec; *s != '\0'; /**/)
2604   {
2605   while (isspace(*s)) ++s;
2606   if (*s == '\0')
2607     break;
2608   if (*s != '+' && *s != '-')
2609     {
2610     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
2611         "+ or - expected but found \"%s\"\n", s);
2612     return FALSE;
2613     }
2614   adding = *s++ == '+';
2615   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
2616   keep_c = *end;
2617   *end = '\0';
2618   item_parsed = tls_openssl_one_option_parse(s, &item);
2619   if (!item_parsed)
2620     {
2621     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
2622     return FALSE;
2623     }
2624   DEBUG(D_tls) debug_printf("openssl option, %s from %lx: %lx (%s)\n",
2625       adding ? "adding" : "removing", result, item, s);
2626   if (adding)
2627     result |= item;
2628   else
2629     result &= ~item;
2630   *end = keep_c;
2631   s = end;
2632   }
2633
2634 *results = result;
2635 return TRUE;
2636 }
2637
2638 /* vi: aw ai sw=2
2639 */
2640 /* End of tls-openssl.c */