4cf9863d2ccdf96f8710049ea98f63b0e72d23f3
[users/heiko/exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2019 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef SUPPORT_DANE
32 # include "danessl.h"
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44 #if OPENSSL_VERSION_NUMBER >= 0x00908000L
45 # define EXIM_HAVE_RSA_GENKEY_EX
46 #endif
47 #if OPENSSL_VERSION_NUMBER >= 0x10100000L
48 # define EXIM_HAVE_OCSP_RESP_COUNT
49 #else
50 # define EXIM_HAVE_EPHEM_RSA_KEX
51 # define EXIM_HAVE_RAND_PSEUDO
52 #endif
53 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
54 # define EXIM_HAVE_SHA256
55 #endif
56
57 /* X509_check_host provides sane certificate hostname checking, but was added
58 to OpenSSL late, after other projects forked off the code-base.  So in
59 addition to guarding against the base version number, beware that LibreSSL
60 does not (at this time) support this function.
61
62 If LibreSSL gains a different API, perhaps via libtls, then we'll probably
63 opt to disentangle and ask a LibreSSL user to provide glue for a third
64 crypto provider for libtls instead of continuing to tie the OpenSSL glue
65 into even twistier knots.  If LibreSSL gains the same API, we can just
66 change this guard and punt the issue for a while longer. */
67
68 #ifndef LIBRESSL_VERSION_NUMBER
69 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
70 #  define EXIM_HAVE_OPENSSL_CHECKHOST
71 #  define EXIM_HAVE_OPENSSL_DH_BITS
72 #  define EXIM_HAVE_OPENSSL_TLS_METHOD
73 #  define EXIM_HAVE_OPENSSL_KEYLOG
74 #  define EXIM_HAVE_OPENSSL_CIPHER_GET_ID
75 #  define EXIM_HAVE_SESSION_TICKET
76 #  define EXIM_HAVE_OPESSL_TRACE
77 # else
78 #  define EXIM_NEED_OPENSSL_INIT
79 # endif
80 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
81     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
82 #  define EXIM_HAVE_OPENSSL_CHECKHOST
83 # endif
84 #endif
85
86 #if !defined(LIBRESSL_VERSION_NUMBER) \
87     || LIBRESSL_VERSION_NUMBER >= 0x20010000L
88 # if !defined(OPENSSL_NO_ECDH)
89 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
90 #   define EXIM_HAVE_ECDH
91 #  endif
92 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
93 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
94 #  endif
95 # endif
96 #endif
97
98 #ifndef LIBRESSL_VERSION_NUMBER
99 # if OPENSSL_VERSION_NUMBER >= 0x010101000L
100 #  define OPENSSL_HAVE_KEYLOG_CB
101 #  define OPENSSL_HAVE_NUM_TICKETS
102 #  define EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
103 # endif
104 #endif
105
106 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
107 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
108 # define DISABLE_OCSP
109 #endif
110
111 #ifdef EXPERIMENTAL_TLS_RESUME
112 # if OPENSSL_VERSION_NUMBER < 0x0101010L
113 #  error OpenSSL version too old for session-resumption
114 # endif
115 #endif
116
117 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
118 # include <openssl/x509v3.h>
119 #endif
120
121 #ifndef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
122 # ifndef EXIM_HAVE_OPENSSL_CIPHER_GET_ID
123 #  define SSL_CIPHER_get_id(c) (c->id)
124 # endif
125 # ifndef MACRO_PREDEF
126 #  include "tls-cipher-stdname.c"
127 # endif
128 #endif
129
130 /*************************************************
131 *        OpenSSL option parse                    *
132 *************************************************/
133
134 typedef struct exim_openssl_option {
135   uschar *name;
136   long    value;
137 } exim_openssl_option;
138 /* We could use a macro to expand, but we need the ifdef and not all the
139 options document which version they were introduced in.  Policylet: include
140 all options unless explicitly for DTLS, let the administrator choose which
141 to apply.
142
143 This list is current as of:
144   ==>  1.0.1b  <==
145 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
146 Plus SSL_OP_NO_TLSv1_3 for 1.1.2-dev
147 */
148 static exim_openssl_option exim_openssl_options[] = {
149 /* KEEP SORTED ALPHABETICALLY! */
150 #ifdef SSL_OP_ALL
151   { US"all", SSL_OP_ALL },
152 #endif
153 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
154   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
155 #endif
156 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
157   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
158 #endif
159 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
160   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
161 #endif
162 #ifdef SSL_OP_EPHEMERAL_RSA
163   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
164 #endif
165 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
166   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
167 #endif
168 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
169   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
170 #endif
171 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
172   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
173 #endif
174 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
175   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
176 #endif
177 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
178   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
179 #endif
180 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
181   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
182 #endif
183 #ifdef SSL_OP_NO_COMPRESSION
184   { US"no_compression", SSL_OP_NO_COMPRESSION },
185 #endif
186 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
187   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
188 #endif
189 #ifdef SSL_OP_NO_SSLv2
190   { US"no_sslv2", SSL_OP_NO_SSLv2 },
191 #endif
192 #ifdef SSL_OP_NO_SSLv3
193   { US"no_sslv3", SSL_OP_NO_SSLv3 },
194 #endif
195 #ifdef SSL_OP_NO_TICKET
196   { US"no_ticket", SSL_OP_NO_TICKET },
197 #endif
198 #ifdef SSL_OP_NO_TLSv1
199   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
200 #endif
201 #ifdef SSL_OP_NO_TLSv1_1
202 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
203   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
204 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
205 #else
206   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
207 #endif
208 #endif
209 #ifdef SSL_OP_NO_TLSv1_2
210   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
211 #endif
212 #ifdef SSL_OP_NO_TLSv1_3
213   { US"no_tlsv1_3", SSL_OP_NO_TLSv1_3 },
214 #endif
215 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
216   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
217 #endif
218 #ifdef SSL_OP_SINGLE_DH_USE
219   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
220 #endif
221 #ifdef SSL_OP_SINGLE_ECDH_USE
222   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
223 #endif
224 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
225   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
226 #endif
227 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
228   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
229 #endif
230 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
231   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
232 #endif
233 #ifdef SSL_OP_TLS_D5_BUG
234   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
235 #endif
236 #ifdef SSL_OP_TLS_ROLLBACK_BUG
237   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
238 #endif
239 };
240
241 #ifndef MACRO_PREDEF
242 static int exim_openssl_options_size = nelem(exim_openssl_options);
243 #endif
244
245 #ifdef MACRO_PREDEF
246 void
247 options_tls(void)
248 {
249 uschar buf[64];
250
251 for (struct exim_openssl_option * o = exim_openssl_options;
252      o < exim_openssl_options + nelem(exim_openssl_options); o++)
253   {
254   /* Trailing X is workaround for problem with _OPT_OPENSSL_NO_TLSV1
255   being a ".ifdef _OPT_OPENSSL_NO_TLSV1_3" match */
256
257   spf(buf, sizeof(buf), US"_OPT_OPENSSL_%T_X", o->name);
258   builtin_macro_create(buf);
259   }
260
261 # ifdef EXPERIMENTAL_TLS_RESUME
262 builtin_macro_create_var(US"_RESUME_DECODE", RESUME_DECODE_STRING );
263 # endif
264 }
265 #else
266
267 /******************************************************************************/
268
269 /* Structure for collecting random data for seeding. */
270
271 typedef struct randstuff {
272   struct timeval tv;
273   pid_t          p;
274 } randstuff;
275
276 /* Local static variables */
277
278 static BOOL client_verify_callback_called = FALSE;
279 static BOOL server_verify_callback_called = FALSE;
280 static const uschar *sid_ctx = US"exim";
281
282 /* We have three different contexts to care about.
283
284 Simple case: client, `client_ctx`
285  As a client, we can be doing a callout or cut-through delivery while receiving
286  a message.  So we have a client context, which should have options initialised
287  from the SMTP Transport.  We may also concurrently want to make TLS connections
288  to utility daemons, so client-contexts are allocated and passed around in call
289  args rather than using a gobal.
290
291 Server:
292  There are two cases: with and without ServerNameIndication from the client.
293  Given TLS SNI, we can be using different keys, certs and various other
294  configuration settings, because they're re-expanded with $tls_sni set.  This
295  allows vhosting with TLS.  This SNI is sent in the handshake.
296  A client might not send SNI, so we need a fallback, and an initial setup too.
297  So as a server, we start out using `server_ctx`.
298  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
299  `server_sni` from `server_ctx` and then initialise settings by re-expanding
300  configuration.
301 */
302
303 typedef struct {
304   SSL_CTX *     ctx;
305   SSL *         ssl;
306   gstring *     corked;
307 } exim_openssl_client_tls_ctx;
308
309 static SSL_CTX *server_ctx = NULL;
310 static SSL     *server_ssl = NULL;
311
312 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
313 static SSL_CTX *server_sni = NULL;
314 #endif
315
316 static char ssl_errstring[256];
317
318 static int  ssl_session_timeout = 7200;         /* Two hours */
319 static BOOL client_verify_optional = FALSE;
320 static BOOL server_verify_optional = FALSE;
321
322 static BOOL reexpand_tls_files_for_sni = FALSE;
323
324
325 typedef struct tls_ext_ctx_cb {
326   tls_support * tlsp;
327   uschar *certificate;
328   uschar *privatekey;
329   BOOL is_server;
330 #ifndef DISABLE_OCSP
331   STACK_OF(X509) *verify_stack;         /* chain for verifying the proof */
332   union {
333     struct {
334       uschar        *file;
335       uschar        *file_expanded;
336       OCSP_RESPONSE *response;
337     } server;
338     struct {
339       X509_STORE    *verify_store;      /* non-null if status requested */
340       BOOL          verify_required;
341     } client;
342   } u_ocsp;
343 #endif
344   uschar *dhparam;
345   /* these are cached from first expand */
346   uschar *server_cipher_list;
347   /* only passed down to tls_error: */
348   host_item *host;
349   const uschar * verify_cert_hostnames;
350 #ifndef DISABLE_EVENT
351   uschar * event_action;
352 #endif
353 } tls_ext_ctx_cb;
354
355 /* should figure out a cleanup of API to handle state preserved per
356 implementation, for various reasons, which can be void * in the APIs.
357 For now, we hack around it. */
358 tls_ext_ctx_cb *client_static_cbinfo = NULL;    /*XXX should not use static; multiple concurrent clients! */
359 tls_ext_ctx_cb *server_static_cbinfo = NULL;
360
361 static int
362 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
363     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr );
364
365 /* Callbacks */
366 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
367 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
368 #endif
369 #ifndef DISABLE_OCSP
370 static int tls_server_stapling_cb(SSL *s, void *arg);
371 #endif
372
373
374
375 /* Daemon-called, before every connection, key create/rotate */
376 #ifdef EXPERIMENTAL_TLS_RESUME
377 static void tk_init(void);
378 static int tls_exdata_idx = -1;
379 #endif
380
381 void
382 tls_daemon_init(void)
383 {
384 #ifdef EXPERIMENTAL_TLS_RESUME
385 tk_init();
386 #endif
387 return;
388 }
389
390
391 /*************************************************
392 *               Handle TLS error                 *
393 *************************************************/
394
395 /* Called from lots of places when errors occur before actually starting to do
396 the TLS handshake, that is, while the session is still in clear. Always returns
397 DEFER for a server and FAIL for a client so that most calls can use "return
398 tls_error(...)" to do this processing and then give an appropriate return. A
399 single function is used for both server and client, because it is called from
400 some shared functions.
401
402 Argument:
403   prefix    text to include in the logged error
404   host      NULL if setting up a server;
405             the connected host if setting up a client
406   msg       error message or NULL if we should ask OpenSSL
407   errstr    pointer to output error message
408
409 Returns:    OK/DEFER/FAIL
410 */
411
412 static int
413 tls_error(uschar * prefix, const host_item * host, uschar * msg, uschar ** errstr)
414 {
415 if (!msg)
416   {
417   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
418   msg = US ssl_errstring;
419   }
420
421 msg = string_sprintf("(%s): %s", prefix, msg);
422 DEBUG(D_tls) debug_printf("TLS error '%s'\n", msg);
423 if (errstr) *errstr = msg;
424 return host ? FAIL : DEFER;
425 }
426
427
428
429 /*************************************************
430 *        Callback to generate RSA key            *
431 *************************************************/
432
433 /*
434 Arguments:
435   s          SSL connection (not used)
436   export     not used
437   keylength  keylength
438
439 Returns:     pointer to generated key
440 */
441
442 static RSA *
443 rsa_callback(SSL *s, int export, int keylength)
444 {
445 RSA *rsa_key;
446 #ifdef EXIM_HAVE_RSA_GENKEY_EX
447 BIGNUM *bn = BN_new();
448 #endif
449
450 export = export;     /* Shut picky compilers up */
451 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
452
453 #ifdef EXIM_HAVE_RSA_GENKEY_EX
454 if (  !BN_set_word(bn, (unsigned long)RSA_F4)
455    || !(rsa_key = RSA_new())
456    || !RSA_generate_key_ex(rsa_key, keylength, bn, NULL)
457    )
458 #else
459 if (!(rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL)))
460 #endif
461
462   {
463   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
464   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
465     ssl_errstring);
466   return NULL;
467   }
468 return rsa_key;
469 }
470
471
472
473 /* Extreme debug
474 #ifndef DISABLE_OCSP
475 void
476 x509_store_dump_cert_s_names(X509_STORE * store)
477 {
478 STACK_OF(X509_OBJECT) * roots= store->objs;
479 static uschar name[256];
480
481 for (int i= 0; i < sk_X509_OBJECT_num(roots); i++)
482   {
483   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
484   if(tmp_obj->type == X509_LU_X509)
485     {
486     X509_NAME * sn = X509_get_subject_name(tmp_obj->data.x509);
487     if (X509_NAME_oneline(sn, CS name, sizeof(name)))
488       {
489       name[sizeof(name)-1] = '\0';
490       debug_printf(" %s\n", name);
491       }
492     }
493   }
494 }
495 #endif
496 */
497
498
499 #ifndef DISABLE_EVENT
500 static int
501 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
502   BOOL *calledp, const BOOL *optionalp, const uschar * what)
503 {
504 uschar * ev;
505 uschar * yield;
506 X509 * old_cert;
507
508 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
509 if (ev)
510   {
511   DEBUG(D_tls) debug_printf("verify_event: %s %d\n", what, depth);
512   old_cert = tlsp->peercert;
513   tlsp->peercert = X509_dup(cert);
514   /* NB we do not bother setting peerdn */
515   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
516     {
517     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
518                 "depth=%d cert=%s: %s",
519               tlsp == &tls_out ? deliver_host_address : sender_host_address,
520               what, depth, dn, yield);
521     *calledp = TRUE;
522     if (!*optionalp)
523       {
524       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
525       return 1;                     /* reject (leaving peercert set) */
526       }
527     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
528       "(host in tls_try_verify_hosts)\n");
529     tlsp->verify_override = TRUE;
530     }
531   X509_free(tlsp->peercert);
532   tlsp->peercert = old_cert;
533   }
534 return 0;
535 }
536 #endif
537
538 /*************************************************
539 *        Callback for verification               *
540 *************************************************/
541
542 /* The SSL library does certificate verification if set up to do so. This
543 callback has the current yes/no state is in "state". If verification succeeded,
544 we set the certificate-verified flag. If verification failed, what happens
545 depends on whether the client is required to present a verifiable certificate
546 or not.
547
548 If verification is optional, we change the state to yes, but still log the
549 verification error. For some reason (it really would help to have proper
550 documentation of OpenSSL), this callback function then gets called again, this
551 time with state = 1.  We must take care not to set the private verified flag on
552 the second time through.
553
554 Note: this function is not called if the client fails to present a certificate
555 when asked. We get here only if a certificate has been received. Handling of
556 optional verification for this case is done when requesting SSL to verify, by
557 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
558
559 May be called multiple times for different issues with a certificate, even
560 for a given "depth" in the certificate chain.
561
562 Arguments:
563   preverify_ok current yes/no state as 1/0
564   x509ctx      certificate information.
565   tlsp         per-direction (client vs. server) support data
566   calledp      has-been-called flag
567   optionalp    verification-is-optional flag
568
569 Returns:     0 if verification should fail, otherwise 1
570 */
571
572 static int
573 verify_callback(int preverify_ok, X509_STORE_CTX * x509ctx,
574   tls_support * tlsp, BOOL * calledp, BOOL * optionalp)
575 {
576 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
577 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
578 uschar dn[256];
579
580 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
581   {
582   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
583   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
584     tlsp == &tls_out ? deliver_host_address : sender_host_address);
585   return 0;
586   }
587 dn[sizeof(dn)-1] = '\0';
588
589 tlsp->verify_override = FALSE;
590 if (preverify_ok == 0)
591   {
592   uschar * extra = verify_mode ? string_sprintf(" (during %c-verify for [%s])",
593       *verify_mode, sender_host_address)
594     : US"";
595   log_write(0, LOG_MAIN, "[%s] SSL verify error%s: depth=%d error=%s cert=%s",
596     tlsp == &tls_out ? deliver_host_address : sender_host_address,
597     extra, depth,
598     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)), dn);
599   *calledp = TRUE;
600   if (!*optionalp)
601     {
602     if (!tlsp->peercert)
603       tlsp->peercert = X509_dup(cert);  /* record failing cert */
604     return 0;                           /* reject */
605     }
606   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
607     "tls_try_verify_hosts)\n");
608   tlsp->verify_override = TRUE;
609   }
610
611 else if (depth != 0)
612   {
613   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
614 #ifndef DISABLE_OCSP
615   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
616     {   /* client, wanting stapling  */
617     /* Add the server cert's signing chain as the one
618     for the verification of the OCSP stapled information. */
619
620     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
621                              cert))
622       ERR_clear_error();
623     sk_X509_push(client_static_cbinfo->verify_stack, cert);
624     }
625 #endif
626 #ifndef DISABLE_EVENT
627     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
628       return 0;                         /* reject, with peercert set */
629 #endif
630   }
631 else
632   {
633   const uschar * verify_cert_hostnames;
634
635   if (  tlsp == &tls_out
636      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
637         /* client, wanting hostname check */
638     {
639
640 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
641 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
642 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
643 # endif
644 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
645 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
646 # endif
647     int sep = 0;
648     const uschar * list = verify_cert_hostnames;
649     uschar * name;
650     int rc;
651     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
652       if ((rc = X509_check_host(cert, CCS name, 0,
653                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
654                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
655                   NULL)))
656         {
657         if (rc < 0)
658           {
659           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
660             tlsp == &tls_out ? deliver_host_address : sender_host_address);
661           name = NULL;
662           }
663         break;
664         }
665     if (!name)
666 #else
667     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
668 #endif
669       {
670       uschar * extra = verify_mode
671         ? string_sprintf(" (during %c-verify for [%s])",
672           *verify_mode, sender_host_address)
673         : US"";
674       log_write(0, LOG_MAIN,
675         "[%s] SSL verify error%s: certificate name mismatch: DN=\"%s\" H=\"%s\"",
676         tlsp == &tls_out ? deliver_host_address : sender_host_address,
677         extra, dn, verify_cert_hostnames);
678       *calledp = TRUE;
679       if (!*optionalp)
680         {
681         if (!tlsp->peercert)
682           tlsp->peercert = X509_dup(cert);      /* record failing cert */
683         return 0;                               /* reject */
684         }
685       DEBUG(D_tls) debug_printf("SSL verify name failure overridden (host in "
686         "tls_try_verify_hosts)\n");
687       tlsp->verify_override = TRUE;
688       }
689     }
690
691 #ifndef DISABLE_EVENT
692   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
693     return 0;                           /* reject, with peercert set */
694 #endif
695
696   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
697     *calledp ? "" : " authenticated", dn);
698   *calledp = TRUE;
699   }
700
701 return 1;   /* accept, at least for this level */
702 }
703
704 static int
705 verify_callback_client(int preverify_ok, X509_STORE_CTX *x509ctx)
706 {
707 return verify_callback(preverify_ok, x509ctx, &tls_out,
708   &client_verify_callback_called, &client_verify_optional);
709 }
710
711 static int
712 verify_callback_server(int preverify_ok, X509_STORE_CTX *x509ctx)
713 {
714 return verify_callback(preverify_ok, x509ctx, &tls_in,
715   &server_verify_callback_called, &server_verify_optional);
716 }
717
718
719 #ifdef SUPPORT_DANE
720
721 /* This gets called *by* the dane library verify callback, which interposes
722 itself.
723 */
724 static int
725 verify_callback_client_dane(int preverify_ok, X509_STORE_CTX * x509ctx)
726 {
727 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
728 uschar dn[256];
729 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
730 #ifndef DISABLE_EVENT
731 BOOL dummy_called, optional = FALSE;
732 #endif
733
734 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
735   {
736   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
737   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
738     deliver_host_address);
739   return 0;
740   }
741 dn[sizeof(dn)-1] = '\0';
742
743 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
744   preverify_ok ? "ok":"BAD", depth, dn);
745
746 #ifndef DISABLE_EVENT
747   if (verify_event(&tls_out, cert, depth, dn,
748           &dummy_called, &optional, US"DANE"))
749     return 0;                           /* reject, with peercert set */
750 #endif
751
752 if (preverify_ok == 1)
753   {
754   tls_out.dane_verified = TRUE;
755 #ifndef DISABLE_OCSP
756   if (client_static_cbinfo->u_ocsp.client.verify_store)
757     {   /* client, wanting stapling  */
758     /* Add the server cert's signing chain as the one
759     for the verification of the OCSP stapled information. */
760
761     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
762                              cert))
763       ERR_clear_error();
764     sk_X509_push(client_static_cbinfo->verify_stack, cert);
765     }
766 #endif
767   }
768 else
769   {
770   int err = X509_STORE_CTX_get_error(x509ctx);
771   DEBUG(D_tls)
772     debug_printf(" - err %d '%s'\n", err, X509_verify_cert_error_string(err));
773   if (err == X509_V_ERR_APPLICATION_VERIFICATION)
774     preverify_ok = 1;
775   }
776 return preverify_ok;
777 }
778
779 #endif  /*SUPPORT_DANE*/
780
781
782 /*************************************************
783 *           Information callback                 *
784 *************************************************/
785
786 /* The SSL library functions call this from time to time to indicate what they
787 are doing. We copy the string to the debugging output when TLS debugging has
788 been requested.
789
790 Arguments:
791   s         the SSL connection
792   where
793   ret
794
795 Returns:    nothing
796 */
797
798 static void
799 info_callback(SSL *s, int where, int ret)
800 {
801 DEBUG(D_tls)
802   {
803   const uschar * str;
804
805   if (where & SSL_ST_CONNECT)
806      str = US"SSL_connect";
807   else if (where & SSL_ST_ACCEPT)
808      str = US"SSL_accept";
809   else
810      str = US"SSL info (undefined)";
811
812   if (where & SSL_CB_LOOP)
813      debug_printf("%s: %s\n", str, SSL_state_string_long(s));
814   else if (where & SSL_CB_ALERT)
815     debug_printf("SSL3 alert %s:%s:%s\n",
816           str = where & SSL_CB_READ ? US"read" : US"write",
817           SSL_alert_type_string_long(ret), SSL_alert_desc_string_long(ret));
818   else if (where & SSL_CB_EXIT)
819      if (ret == 0)
820         debug_printf("%s: failed in %s\n", str, SSL_state_string_long(s));
821      else if (ret < 0)
822         debug_printf("%s: error in %s\n", str, SSL_state_string_long(s));
823   else if (where & SSL_CB_HANDSHAKE_START)
824      debug_printf("%s: hshake start: %s\n", str, SSL_state_string_long(s));
825   else if (where & SSL_CB_HANDSHAKE_DONE)
826      debug_printf("%s: hshake done: %s\n", str, SSL_state_string_long(s));
827   }
828 }
829
830 #ifdef OPENSSL_HAVE_KEYLOG_CB
831 static void
832 keylog_callback(const SSL *ssl, const char *line)
833 {
834 DEBUG(D_tls) debug_printf("%.200s\n", line);
835 }
836 #endif
837
838
839 #ifdef EXPERIMENTAL_TLS_RESUME
840 /* Manage the keysets used for encrypting the session tickets, on the server. */
841
842 typedef struct {                        /* Session ticket encryption key */
843   uschar        name[16];
844
845   const EVP_CIPHER *    aes_cipher;
846   uschar                aes_key[32];    /* size needed depends on cipher. aes_128 implies 128/8 = 16? */
847   const EVP_MD *        hmac_hash;
848   uschar                hmac_key[16];
849   time_t                renew;
850   time_t                expire;
851 } exim_stek;
852
853 static exim_stek exim_tk;       /* current key */
854 static exim_stek exim_tk_old;   /* previous key */
855
856 static void
857 tk_init(void)
858 {
859 time_t t = time(NULL);
860
861 if (exim_tk.name[0])
862   {
863   if (exim_tk.renew >= t) return;
864   exim_tk_old = exim_tk;
865   }
866
867 if (f.running_in_test_harness) ssl_session_timeout = 6;
868
869 DEBUG(D_tls) debug_printf("OpenSSL: %s STEK\n", exim_tk.name[0] ? "rotating" : "creating");
870 if (RAND_bytes(exim_tk.aes_key, sizeof(exim_tk.aes_key)) <= 0) return;
871 if (RAND_bytes(exim_tk.hmac_key, sizeof(exim_tk.hmac_key)) <= 0) return;
872 if (RAND_bytes(exim_tk.name+1, sizeof(exim_tk.name)-1) <= 0) return;
873
874 exim_tk.name[0] = 'E';
875 exim_tk.aes_cipher = EVP_aes_256_cbc();
876 exim_tk.hmac_hash = EVP_sha256();
877 exim_tk.expire = t + ssl_session_timeout;
878 exim_tk.renew = t + ssl_session_timeout/2;
879 }
880
881 static exim_stek *
882 tk_current(void)
883 {
884 if (!exim_tk.name[0]) return NULL;
885 return &exim_tk;
886 }
887
888 static exim_stek *
889 tk_find(const uschar * name)
890 {
891 return memcmp(name, exim_tk.name, sizeof(exim_tk.name)) == 0 ? &exim_tk
892   : memcmp(name, exim_tk_old.name, sizeof(exim_tk_old.name)) == 0 ? &exim_tk_old
893   : NULL;
894 }
895
896 /* Callback for session tickets, on server */
897 static int
898 ticket_key_callback(SSL * ssl, uschar key_name[16],
899   uschar * iv, EVP_CIPHER_CTX * ctx, HMAC_CTX * hctx, int enc)
900 {
901 tls_support * tlsp = server_static_cbinfo->tlsp;
902 exim_stek * key;
903
904 if (enc)
905   {
906   DEBUG(D_tls) debug_printf("ticket_key_callback: create new session\n");
907   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
908
909   if (RAND_bytes(iv, EVP_MAX_IV_LENGTH) <= 0)
910     return -1; /* insufficient random */
911
912   if (!(key = tk_current()))    /* current key doesn't exist or isn't valid */
913      return 0;                  /* key couldn't be created */
914   memcpy(key_name, key->name, 16);
915   DEBUG(D_tls) debug_printf("STEK expire %ld\n", key->expire - time(NULL));
916
917   /*XXX will want these dependent on the ssl session strength */
918   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
919                 key->hmac_hash, NULL);
920   EVP_EncryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
921
922   DEBUG(D_tls) debug_printf("ticket created\n");
923   return 1;
924   }
925 else
926   {
927   time_t now = time(NULL);
928
929   DEBUG(D_tls) debug_printf("ticket_key_callback: retrieve session\n");
930   tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
931
932   if (!(key = tk_find(key_name)) || key->expire < now)
933     {
934     DEBUG(D_tls)
935       {
936       debug_printf("ticket not usable (%s)\n", key ? "expired" : "not found");
937       if (key) debug_printf("STEK expire %ld\n", key->expire - now);
938       }
939     return 0;
940     }
941
942   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
943                 key->hmac_hash, NULL);
944   EVP_DecryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
945
946   DEBUG(D_tls) debug_printf("ticket usable, STEK expire %ld\n", key->expire - now);
947
948   /* The ticket lifetime and renewal are the same as the STEK lifetime and
949   renewal, which is overenthusiastic.  A factor of, say, 3x longer STEK would
950   be better.  To do that we'd have to encode ticket lifetime in the name as
951   we don't yet see the restored session.  Could check posthandshake for TLS1.3
952   and trigger a new ticket then, but cannot do that for TLS1.2 */
953   return key->renew < now ? 2 : 1;
954   }
955 }
956 #endif
957
958
959
960 /*************************************************
961 *                Initialize for DH               *
962 *************************************************/
963
964 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
965
966 Arguments:
967   sctx      The current SSL CTX (inbound or outbound)
968   dhparam   DH parameter file or fixed parameter identity string
969   host      connected host, if client; NULL if server
970   errstr    error string pointer
971
972 Returns:    TRUE if OK (nothing to set up, or setup worked)
973 */
974
975 static BOOL
976 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host, uschar ** errstr)
977 {
978 BIO *bio;
979 DH *dh;
980 uschar *dhexpanded;
981 const char *pem;
982 int dh_bitsize;
983
984 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded, errstr))
985   return FALSE;
986
987 if (!dhexpanded || !*dhexpanded)
988   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
989 else if (dhexpanded[0] == '/')
990   {
991   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
992     {
993     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
994           host, US strerror(errno), errstr);
995     return FALSE;
996     }
997   }
998 else
999   {
1000   if (Ustrcmp(dhexpanded, "none") == 0)
1001     {
1002     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
1003     return TRUE;
1004     }
1005
1006   if (!(pem = std_dh_prime_named(dhexpanded)))
1007     {
1008     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
1009         host, US strerror(errno), errstr);
1010     return FALSE;
1011     }
1012   bio = BIO_new_mem_buf(CS pem, -1);
1013   }
1014
1015 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
1016   {
1017   BIO_free(bio);
1018   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
1019       host, NULL, errstr);
1020   return FALSE;
1021   }
1022
1023 /* note: our default limit of 2236 is not a multiple of 8; the limit comes from
1024  * an NSS limit, and the GnuTLS APIs handle bit-sizes fine, so we went with
1025  * 2236.  But older OpenSSL can only report in bytes (octets), not bits.
1026  * If someone wants to dance at the edge, then they can raise the limit or use
1027  * current libraries. */
1028 #ifdef EXIM_HAVE_OPENSSL_DH_BITS
1029 /* Added in commit 26c79d5641d; `git describe --contains` says OpenSSL_1_1_0-pre1~1022
1030  * This predates OpenSSL_1_1_0 (before a, b, ...) so is in all 1.1.0 */
1031 dh_bitsize = DH_bits(dh);
1032 #else
1033 dh_bitsize = 8 * DH_size(dh);
1034 #endif
1035
1036 /* Even if it is larger, we silently return success rather than cause things
1037  * to fail out, so that a too-large DH will not knock out all TLS; it's a
1038  * debatable choice. */
1039 if (dh_bitsize > tls_dh_max_bits)
1040   {
1041   DEBUG(D_tls)
1042     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d\n",
1043         dh_bitsize, tls_dh_max_bits);
1044   }
1045 else
1046   {
1047   SSL_CTX_set_tmp_dh(sctx, dh);
1048   DEBUG(D_tls)
1049     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
1050       dhexpanded ? dhexpanded : US"default", dh_bitsize);
1051   }
1052
1053 DH_free(dh);
1054 BIO_free(bio);
1055
1056 return TRUE;
1057 }
1058
1059
1060
1061
1062 /*************************************************
1063 *               Initialize for ECDH              *
1064 *************************************************/
1065
1066 /* Load parameters for ECDH encryption.
1067
1068 For now, we stick to NIST P-256 because: it's simple and easy to configure;
1069 it avoids any patent issues that might bite redistributors; despite events in
1070 the news and concerns over curve choices, we're not cryptographers, we're not
1071 pretending to be, and this is "good enough" to be better than no support,
1072 protecting against most adversaries.  Given another year or two, there might
1073 be sufficient clarity about a "right" way forward to let us make an informed
1074 decision, instead of a knee-jerk reaction.
1075
1076 Longer-term, we should look at supporting both various named curves and
1077 external files generated with "openssl ecparam", much as we do for init_dh().
1078 We should also support "none" as a value, to explicitly avoid initialisation.
1079
1080 Patches welcome.
1081
1082 Arguments:
1083   sctx      The current SSL CTX (inbound or outbound)
1084   host      connected host, if client; NULL if server
1085   errstr    error string pointer
1086
1087 Returns:    TRUE if OK (nothing to set up, or setup worked)
1088 */
1089
1090 static BOOL
1091 init_ecdh(SSL_CTX * sctx, host_item * host, uschar ** errstr)
1092 {
1093 #ifdef OPENSSL_NO_ECDH
1094 return TRUE;
1095 #else
1096
1097 EC_KEY * ecdh;
1098 uschar * exp_curve;
1099 int nid;
1100 BOOL rv;
1101
1102 if (host)       /* No ECDH setup for clients, only for servers */
1103   return TRUE;
1104
1105 # ifndef EXIM_HAVE_ECDH
1106 DEBUG(D_tls)
1107   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
1108 return TRUE;
1109 # else
1110
1111 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve, errstr))
1112   return FALSE;
1113 if (!exp_curve || !*exp_curve)
1114   return TRUE;
1115
1116 /* "auto" needs to be handled carefully.
1117  * OpenSSL <  1.0.2: we do not select anything, but fallback to prime256v1
1118  * OpenSSL <  1.1.0: we have to call SSL_CTX_set_ecdh_auto
1119  *                   (openssl/ssl.h defines SSL_CTRL_SET_ECDH_AUTO)
1120  * OpenSSL >= 1.1.0: we do not set anything, the libray does autoselection
1121  *                   https://github.com/openssl/openssl/commit/fe6ef2472db933f01b59cad82aa925736935984b
1122  */
1123 if (Ustrcmp(exp_curve, "auto") == 0)
1124   {
1125 #if OPENSSL_VERSION_NUMBER < 0x10002000L
1126   DEBUG(D_tls) debug_printf(
1127     "ECDH OpenSSL < 1.0.2: temp key parameter settings: overriding \"auto\" with \"prime256v1\"\n");
1128   exp_curve = US"prime256v1";
1129 #else
1130 # if defined SSL_CTRL_SET_ECDH_AUTO
1131   DEBUG(D_tls) debug_printf(
1132     "ECDH OpenSSL 1.0.2+ temp key parameter settings: autoselection\n");
1133   SSL_CTX_set_ecdh_auto(sctx, 1);
1134   return TRUE;
1135 # else
1136   DEBUG(D_tls) debug_printf(
1137     "ECDH OpenSSL 1.1.0+ temp key parameter settings: default selection\n");
1138   return TRUE;
1139 # endif
1140 #endif
1141   }
1142
1143 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
1144 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
1145 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
1146    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
1147 #   endif
1148    )
1149   {
1150   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'", exp_curve),
1151     host, NULL, errstr);
1152   return FALSE;
1153   }
1154
1155 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
1156   {
1157   tls_error(US"Unable to create ec curve", host, NULL, errstr);
1158   return FALSE;
1159   }
1160
1161 /* The "tmp" in the name here refers to setting a temporary key
1162 not to the stability of the interface. */
1163
1164 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
1165   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL, errstr);
1166 else
1167   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
1168
1169 EC_KEY_free(ecdh);
1170 return !rv;
1171
1172 # endif /*EXIM_HAVE_ECDH*/
1173 #endif /*OPENSSL_NO_ECDH*/
1174 }
1175
1176
1177
1178
1179 #ifndef DISABLE_OCSP
1180 /*************************************************
1181 *       Load OCSP information into state         *
1182 *************************************************/
1183 /* Called to load the server OCSP response from the given file into memory, once
1184 caller has determined this is needed.  Checks validity.  Debugs a message
1185 if invalid.
1186
1187 ASSUMES: single response, for single cert.
1188
1189 Arguments:
1190   sctx            the SSL_CTX* to update
1191   cbinfo          various parts of session state
1192   expanded        the filename putatively holding an OCSP response
1193
1194 */
1195
1196 static void
1197 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
1198 {
1199 BIO * bio;
1200 OCSP_RESPONSE * resp;
1201 OCSP_BASICRESP * basic_response;
1202 OCSP_SINGLERESP * single_response;
1203 ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
1204 STACK_OF(X509) * sk;
1205 unsigned long verify_flags;
1206 int status, reason, i;
1207
1208 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
1209 if (cbinfo->u_ocsp.server.response)
1210   {
1211   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
1212   cbinfo->u_ocsp.server.response = NULL;
1213   }
1214
1215 if (!(bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb")))
1216   {
1217   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
1218       cbinfo->u_ocsp.server.file_expanded);
1219   return;
1220   }
1221
1222 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
1223 BIO_free(bio);
1224 if (!resp)
1225   {
1226   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
1227   return;
1228   }
1229
1230 if ((status = OCSP_response_status(resp)) != OCSP_RESPONSE_STATUS_SUCCESSFUL)
1231   {
1232   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
1233       OCSP_response_status_str(status), status);
1234   goto bad;
1235   }
1236
1237 if (!(basic_response = OCSP_response_get1_basic(resp)))
1238   {
1239   DEBUG(D_tls)
1240     debug_printf("OCSP response parse error: unable to extract basic response.\n");
1241   goto bad;
1242   }
1243
1244 sk = cbinfo->verify_stack;
1245 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
1246
1247 /* May need to expose ability to adjust those flags?
1248 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
1249 OCSP_TRUSTOTHER OCSP_NOINTERN */
1250
1251 /* This does a full verify on the OCSP proof before we load it for serving
1252 up; possibly overkill - just date-checks might be nice enough.
1253
1254 OCSP_basic_verify takes a "store" arg, but does not
1255 use it for the chain verification, which is all we do
1256 when OCSP_NOVERIFY is set.  The content from the wire
1257 "basic_response" and a cert-stack "sk" are all that is used.
1258
1259 We have a stack, loaded in setup_certs() if tls_verify_certificates
1260 was a file (not a directory, or "system").  It is unfortunate we
1261 cannot used the connection context store, as that would neatly
1262 handle the "system" case too, but there seems to be no library
1263 function for getting a stack from a store.
1264 [ In OpenSSL 1.1 - ?  X509_STORE_CTX_get0_chain(ctx) ? ]
1265 We do not free the stack since it could be needed a second time for
1266 SNI handling.
1267
1268 Separately we might try to replace using OCSP_basic_verify() - which seems to not
1269 be a public interface into the OpenSSL library (there's no manual entry) -
1270 But what with?  We also use OCSP_basic_verify in the client stapling callback.
1271 And there we NEED it; we must verify that status... unless the
1272 library does it for us anyway?  */
1273
1274 if ((i = OCSP_basic_verify(basic_response, sk, NULL, verify_flags)) < 0)
1275   {
1276   DEBUG(D_tls)
1277     {
1278     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1279     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
1280     }
1281   goto bad;
1282   }
1283
1284 /* Here's the simplifying assumption: there's only one response, for the
1285 one certificate we use, and nothing for anything else in a chain.  If this
1286 proves false, we need to extract a cert id from our issued cert
1287 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
1288 right cert in the stack and then calls OCSP_single_get0_status()).
1289
1290 I'm hoping to avoid reworking a bunch more of how we handle state here. */
1291
1292 if (!(single_response = OCSP_resp_get0(basic_response, 0)))
1293   {
1294   DEBUG(D_tls)
1295     debug_printf("Unable to get first response from OCSP basic response.\n");
1296   goto bad;
1297   }
1298
1299 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
1300 if (status != V_OCSP_CERTSTATUS_GOOD)
1301   {
1302   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
1303       OCSP_cert_status_str(status), status,
1304       OCSP_crl_reason_str(reason), reason);
1305   goto bad;
1306   }
1307
1308 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1309   {
1310   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
1311   goto bad;
1312   }
1313
1314 supply_response:
1315   cbinfo->u_ocsp.server.response = resp;        /*XXX stack?*/
1316 return;
1317
1318 bad:
1319   if (f.running_in_test_harness)
1320     {
1321     extern char ** environ;
1322     if (environ) for (uschar ** p = USS environ; *p; p++)
1323       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
1324         {
1325         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
1326         goto supply_response;
1327         }
1328     }
1329 return;
1330 }
1331 #endif  /*!DISABLE_OCSP*/
1332
1333
1334
1335
1336 /* Create and install a selfsigned certificate, for use in server mode */
1337
1338 static int
1339 tls_install_selfsign(SSL_CTX * sctx, uschar ** errstr)
1340 {
1341 X509 * x509 = NULL;
1342 EVP_PKEY * pkey;
1343 RSA * rsa;
1344 X509_NAME * name;
1345 uschar * where;
1346
1347 where = US"allocating pkey";
1348 if (!(pkey = EVP_PKEY_new()))
1349   goto err;
1350
1351 where = US"allocating cert";
1352 if (!(x509 = X509_new()))
1353   goto err;
1354
1355 where = US"generating pkey";
1356 if (!(rsa = rsa_callback(NULL, 0, 2048)))
1357   goto err;
1358
1359 where = US"assigning pkey";
1360 if (!EVP_PKEY_assign_RSA(pkey, rsa))
1361   goto err;
1362
1363 X509_set_version(x509, 2);                              /* N+1 - version 3 */
1364 ASN1_INTEGER_set(X509_get_serialNumber(x509), 1);
1365 X509_gmtime_adj(X509_get_notBefore(x509), 0);
1366 X509_gmtime_adj(X509_get_notAfter(x509), (long)60 * 60);        /* 1 hour */
1367 X509_set_pubkey(x509, pkey);
1368
1369 name = X509_get_subject_name(x509);
1370 X509_NAME_add_entry_by_txt(name, "C",
1371                           MBSTRING_ASC, CUS "UK", -1, -1, 0);
1372 X509_NAME_add_entry_by_txt(name, "O",
1373                           MBSTRING_ASC, CUS "Exim Developers", -1, -1, 0);
1374 X509_NAME_add_entry_by_txt(name, "CN",
1375                           MBSTRING_ASC, CUS smtp_active_hostname, -1, -1, 0);
1376 X509_set_issuer_name(x509, name);
1377
1378 where = US"signing cert";
1379 if (!X509_sign(x509, pkey, EVP_md5()))
1380   goto err;
1381
1382 where = US"installing selfsign cert";
1383 if (!SSL_CTX_use_certificate(sctx, x509))
1384   goto err;
1385
1386 where = US"installing selfsign key";
1387 if (!SSL_CTX_use_PrivateKey(sctx, pkey))
1388   goto err;
1389
1390 return OK;
1391
1392 err:
1393   (void) tls_error(where, NULL, NULL, errstr);
1394   if (x509) X509_free(x509);
1395   if (pkey) EVP_PKEY_free(pkey);
1396   return DEFER;
1397 }
1398
1399
1400
1401
1402 static int
1403 tls_add_certfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1404   uschar ** errstr)
1405 {
1406 DEBUG(D_tls) debug_printf("tls_certificate file %s\n", file);
1407 if (!SSL_CTX_use_certificate_chain_file(sctx, CS file))
1408   return tls_error(string_sprintf(
1409     "SSL_CTX_use_certificate_chain_file file=%s", file),
1410       cbinfo->host, NULL, errstr);
1411 return 0;
1412 }
1413
1414 static int
1415 tls_add_pkeyfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1416   uschar ** errstr)
1417 {
1418 DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", file);
1419 if (!SSL_CTX_use_PrivateKey_file(sctx, CS file, SSL_FILETYPE_PEM))
1420   return tls_error(string_sprintf(
1421     "SSL_CTX_use_PrivateKey_file file=%s", file), cbinfo->host, NULL, errstr);
1422 return 0;
1423 }
1424
1425
1426 /*************************************************
1427 *        Expand key and cert file specs          *
1428 *************************************************/
1429
1430 /* Called once during tls_init and possibly again during TLS setup, for a
1431 new context, if Server Name Indication was used and tls_sni was seen in
1432 the certificate string.
1433
1434 Arguments:
1435   sctx            the SSL_CTX* to update
1436   cbinfo          various parts of session state
1437   errstr          error string pointer
1438
1439 Returns:          OK/DEFER/FAIL
1440 */
1441
1442 static int
1443 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo,
1444   uschar ** errstr)
1445 {
1446 uschar *expanded;
1447
1448 if (!cbinfo->certificate)
1449   {
1450   if (!cbinfo->is_server)               /* client */
1451     return OK;
1452                                         /* server */
1453   if (tls_install_selfsign(sctx, errstr) != OK)
1454     return DEFER;
1455   }
1456 else
1457   {
1458   int err;
1459
1460   if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
1461       Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
1462       Ustrstr(cbinfo->certificate, US"tls_out_sni")
1463      )
1464     reexpand_tls_files_for_sni = TRUE;
1465
1466   if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded, errstr))
1467     return DEFER;
1468
1469   if (expanded)
1470     if (cbinfo->is_server)
1471       {
1472       const uschar * file_list = expanded;
1473       int sep = 0;
1474       uschar * file;
1475
1476       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1477         if ((err = tls_add_certfile(sctx, cbinfo, file, errstr)))
1478           return err;
1479       }
1480     else        /* would there ever be a need for multiple client certs? */
1481       if ((err = tls_add_certfile(sctx, cbinfo, expanded, errstr)))
1482         return err;
1483
1484   if (  cbinfo->privatekey
1485      && !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded, errstr))
1486     return DEFER;
1487
1488   /* If expansion was forced to fail, key_expanded will be NULL. If the result
1489   of the expansion is an empty string, ignore it also, and assume the private
1490   key is in the same file as the certificate. */
1491
1492   if (expanded && *expanded)
1493     if (cbinfo->is_server)
1494       {
1495       const uschar * file_list = expanded;
1496       int sep = 0;
1497       uschar * file;
1498
1499       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1500         if ((err = tls_add_pkeyfile(sctx, cbinfo, file, errstr)))
1501           return err;
1502       }
1503     else        /* would there ever be a need for multiple client certs? */
1504       if ((err = tls_add_pkeyfile(sctx, cbinfo, expanded, errstr)))
1505         return err;
1506   }
1507
1508 #ifndef DISABLE_OCSP
1509 if (cbinfo->is_server && cbinfo->u_ocsp.server.file)
1510   {
1511   /*XXX stack*/
1512   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded, errstr))
1513     return DEFER;
1514
1515   if (expanded && *expanded)
1516     {
1517     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
1518     if (  cbinfo->u_ocsp.server.file_expanded
1519        && (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
1520       {
1521       DEBUG(D_tls) debug_printf(" - value unchanged, using existing values\n");
1522       }
1523     else
1524       ocsp_load_response(sctx, cbinfo, expanded);
1525     }
1526   }
1527 #endif
1528
1529 return OK;
1530 }
1531
1532
1533
1534
1535 /*************************************************
1536 *            Callback to handle SNI              *
1537 *************************************************/
1538
1539 /* Called when acting as server during the TLS session setup if a Server Name
1540 Indication extension was sent by the client.
1541
1542 API documentation is OpenSSL s_server.c implementation.
1543
1544 Arguments:
1545   s               SSL* of the current session
1546   ad              unknown (part of OpenSSL API) (unused)
1547   arg             Callback of "our" registered data
1548
1549 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
1550
1551 XXX might need to change to using ClientHello callback,
1552 per https://www.openssl.org/docs/manmaster/man3/SSL_client_hello_cb_fn.html
1553 */
1554
1555 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1556 static int
1557 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
1558 {
1559 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
1560 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1561 int rc;
1562 int old_pool = store_pool;
1563 uschar * dummy_errstr;
1564
1565 if (!servername)
1566   return SSL_TLSEXT_ERR_OK;
1567
1568 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
1569     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
1570
1571 /* Make the extension value available for expansion */
1572 store_pool = POOL_PERM;
1573 tls_in.sni = string_copy(US servername);
1574 store_pool = old_pool;
1575
1576 if (!reexpand_tls_files_for_sni)
1577   return SSL_TLSEXT_ERR_OK;
1578
1579 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
1580 not confident that memcpy wouldn't break some internal reference counting.
1581 Especially since there's a references struct member, which would be off. */
1582
1583 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
1584 if (!(server_sni = SSL_CTX_new(TLS_server_method())))
1585 #else
1586 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1587 #endif
1588   {
1589   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1590   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1591   goto bad;
1592   }
1593
1594 /* Not sure how many of these are actually needed, since SSL object
1595 already exists.  Might even need this selfsame callback, for reneg? */
1596
1597 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1598 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1599 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1600 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1601 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1602 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1603
1604 if (  !init_dh(server_sni, cbinfo->dhparam, NULL, &dummy_errstr)
1605    || !init_ecdh(server_sni, NULL, &dummy_errstr)
1606    )
1607   goto bad;
1608
1609 if (  cbinfo->server_cipher_list
1610    && !SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list))
1611   goto bad;
1612
1613 #ifndef DISABLE_OCSP
1614 if (cbinfo->u_ocsp.server.file)
1615   {
1616   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1617   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1618   }
1619 #endif
1620
1621 if ((rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE,
1622                       verify_callback_server, &dummy_errstr)) != OK)
1623   goto bad;
1624
1625 /* do this after setup_certs, because this can require the certs for verifying
1626 OCSP information. */
1627 if ((rc = tls_expand_session_files(server_sni, cbinfo, &dummy_errstr)) != OK)
1628   goto bad;
1629
1630 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1631 SSL_set_SSL_CTX(s, server_sni);
1632 return SSL_TLSEXT_ERR_OK;
1633
1634 bad: return SSL_TLSEXT_ERR_ALERT_FATAL;
1635 }
1636 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1637
1638
1639
1640
1641 #ifndef DISABLE_OCSP
1642
1643 /*************************************************
1644 *        Callback to handle OCSP Stapling        *
1645 *************************************************/
1646
1647 /* Called when acting as server during the TLS session setup if the client
1648 requests OCSP information with a Certificate Status Request.
1649
1650 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1651 project.
1652
1653 */
1654
1655 static int
1656 tls_server_stapling_cb(SSL *s, void *arg)
1657 {
1658 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1659 uschar *response_der;   /*XXX blob */
1660 int response_der_len;
1661
1662 /*XXX stack: use SSL_get_certificate() to see which cert; from that work
1663 out which ocsp blob to send.  Unfortunately, SSL_get_certificate is known
1664 buggy in current OpenSSL; it returns the last cert loaded always rather than
1665 the one actually presented.  So we can't support a stack of OCSP proofs at
1666 this time. */
1667
1668 DEBUG(D_tls)
1669   debug_printf("Received TLS status request (OCSP stapling); %s response\n",
1670     cbinfo->u_ocsp.server.response ? "have" : "lack");
1671
1672 tls_in.ocsp = OCSP_NOT_RESP;
1673 if (!cbinfo->u_ocsp.server.response)
1674   return SSL_TLSEXT_ERR_NOACK;
1675
1676 response_der = NULL;
1677 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,    /*XXX stack*/
1678                       &response_der);
1679 if (response_der_len <= 0)
1680   return SSL_TLSEXT_ERR_NOACK;
1681
1682 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1683 tls_in.ocsp = OCSP_VFIED;
1684 return SSL_TLSEXT_ERR_OK;
1685 }
1686
1687
1688 static void
1689 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1690 {
1691 BIO_printf(bp, "\t%s: ", str);
1692 ASN1_GENERALIZEDTIME_print(bp, time);
1693 BIO_puts(bp, "\n");
1694 }
1695
1696 static int
1697 tls_client_stapling_cb(SSL *s, void *arg)
1698 {
1699 tls_ext_ctx_cb * cbinfo = arg;
1700 const unsigned char * p;
1701 int len;
1702 OCSP_RESPONSE * rsp;
1703 OCSP_BASICRESP * bs;
1704 int i;
1705
1706 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
1707 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1708 if(!p)
1709  {
1710   /* Expect this when we requested ocsp but got none */
1711   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1712     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
1713   else
1714     DEBUG(D_tls) debug_printf(" null\n");
1715   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1716  }
1717
1718 if (!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1719   {
1720   tls_out.ocsp = OCSP_FAILED;   /*XXX should use tlsp-> to permit concurrent outbound */
1721   if (LOGGING(tls_cipher))
1722     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1723   else
1724     DEBUG(D_tls) debug_printf(" parse error\n");
1725   return 0;
1726   }
1727
1728 if (!(bs = OCSP_response_get1_basic(rsp)))
1729   {
1730   tls_out.ocsp = OCSP_FAILED;
1731   if (LOGGING(tls_cipher))
1732     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1733   else
1734     DEBUG(D_tls) debug_printf(" error parsing response\n");
1735   OCSP_RESPONSE_free(rsp);
1736   return 0;
1737   }
1738
1739 /* We'd check the nonce here if we'd put one in the request. */
1740 /* However that would defeat cacheability on the server so we don't. */
1741
1742 /* This section of code reworked from OpenSSL apps source;
1743    The OpenSSL Project retains copyright:
1744    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1745 */
1746   {
1747     BIO * bp = NULL;
1748     int status, reason;
1749     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1750
1751     DEBUG(D_tls) bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
1752
1753     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1754
1755     /* Use the chain that verified the server cert to verify the stapled info */
1756     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1757
1758     if ((i = OCSP_basic_verify(bs, cbinfo->verify_stack,
1759               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1760       {
1761       tls_out.ocsp = OCSP_FAILED;
1762       if (LOGGING(tls_cipher)) log_write(0, LOG_MAIN,
1763               "Received TLS cert status response, itself unverifiable: %s",
1764               ERR_reason_error_string(ERR_peek_error()));
1765       BIO_printf(bp, "OCSP response verify failure\n");
1766       ERR_print_errors(bp);
1767       OCSP_RESPONSE_print(bp, rsp, 0);
1768       goto failed;
1769       }
1770
1771     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1772
1773     /*XXX So we have a good stapled OCSP status.  How do we know
1774     it is for the cert of interest?  OpenSSL 1.1.0 has a routine
1775     OCSP_resp_find_status() which matches on a cert id, which presumably
1776     we should use. Making an id needs OCSP_cert_id_new(), which takes
1777     issuerName, issuerKey, serialNumber.  Are they all in the cert?
1778
1779     For now, carry on blindly accepting the resp. */
1780
1781       {
1782       OCSP_SINGLERESP * single;
1783
1784 #ifdef EXIM_HAVE_OCSP_RESP_COUNT
1785       if (OCSP_resp_count(bs) != 1)
1786 #else
1787       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1788       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1789 #endif
1790         {
1791         tls_out.ocsp = OCSP_FAILED;
1792         log_write(0, LOG_MAIN, "OCSP stapling "
1793             "with multiple responses not handled");
1794         goto failed;
1795         }
1796       single = OCSP_resp_get0(bs, 0);
1797       status = OCSP_single_get0_status(single, &reason, &rev,
1798                   &thisupd, &nextupd);
1799       }
1800
1801     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1802     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1803     if (!OCSP_check_validity(thisupd, nextupd,
1804           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1805       {
1806       tls_out.ocsp = OCSP_FAILED;
1807       DEBUG(D_tls) ERR_print_errors(bp);
1808       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1809       }
1810     else
1811       {
1812       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1813                     OCSP_cert_status_str(status));
1814       switch(status)
1815         {
1816         case V_OCSP_CERTSTATUS_GOOD:
1817           tls_out.ocsp = OCSP_VFIED;
1818           i = 1;
1819           goto good;
1820         case V_OCSP_CERTSTATUS_REVOKED:
1821           tls_out.ocsp = OCSP_FAILED;
1822           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1823               reason != -1 ? "; reason: " : "",
1824               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1825           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1826           break;
1827         default:
1828           tls_out.ocsp = OCSP_FAILED;
1829           log_write(0, LOG_MAIN,
1830               "Server certificate status unknown, in OCSP stapling");
1831           break;
1832         }
1833       }
1834   failed:
1835     i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1836   good:
1837     BIO_free(bp);
1838   }
1839
1840 OCSP_RESPONSE_free(rsp);
1841 return i;
1842 }
1843 #endif  /*!DISABLE_OCSP*/
1844
1845
1846 /*************************************************
1847 *            Initialize for TLS                  *
1848 *************************************************/
1849
1850 /* Called from both server and client code, to do preliminary initialization
1851 of the library.  We allocate and return a context structure.
1852
1853 Arguments:
1854   ctxp            returned SSL context
1855   host            connected host, if client; NULL if server
1856   dhparam         DH parameter file
1857   certificate     certificate file
1858   privatekey      private key
1859   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1860   addr            address if client; NULL if server (for some randomness)
1861   cbp             place to put allocated callback context
1862   errstr          error string pointer
1863
1864 Returns:          OK/DEFER/FAIL
1865 */
1866
1867 static int
1868 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1869   uschar *privatekey,
1870 #ifndef DISABLE_OCSP
1871   uschar *ocsp_file,    /*XXX stack, in server*/
1872 #endif
1873   address_item *addr, tls_ext_ctx_cb ** cbp,
1874   tls_support * tlsp,
1875   uschar ** errstr)
1876 {
1877 SSL_CTX * ctx;
1878 long init_options;
1879 int rc;
1880 tls_ext_ctx_cb * cbinfo;
1881
1882 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1883 cbinfo->tlsp = tlsp;
1884 cbinfo->certificate = certificate;
1885 cbinfo->privatekey = privatekey;
1886 cbinfo->is_server = host==NULL;
1887 #ifndef DISABLE_OCSP
1888 cbinfo->verify_stack = NULL;
1889 if (!host)
1890   {
1891   cbinfo->u_ocsp.server.file = ocsp_file;
1892   cbinfo->u_ocsp.server.file_expanded = NULL;
1893   cbinfo->u_ocsp.server.response = NULL;
1894   }
1895 else
1896   cbinfo->u_ocsp.client.verify_store = NULL;
1897 #endif
1898 cbinfo->dhparam = dhparam;
1899 cbinfo->server_cipher_list = NULL;
1900 cbinfo->host = host;
1901 #ifndef DISABLE_EVENT
1902 cbinfo->event_action = NULL;
1903 #endif
1904
1905 #ifdef EXIM_NEED_OPENSSL_INIT
1906 SSL_load_error_strings();          /* basic set up */
1907 OpenSSL_add_ssl_algorithms();
1908 #endif
1909
1910 #ifdef EXIM_HAVE_SHA256
1911 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1912 list of available digests. */
1913 EVP_add_digest(EVP_sha256());
1914 #endif
1915
1916 /* Create a context.
1917 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1918 negotiation in the different methods; as far as I can tell, the only
1919 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1920 when OpenSSL is built without SSLv2 support.
1921 By disabling with openssl_options, we can let admins re-enable with the
1922 existing knob. */
1923
1924 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
1925 if (!(ctx = SSL_CTX_new(host ? TLS_client_method() : TLS_server_method())))
1926 #else
1927 if (!(ctx = SSL_CTX_new(host ? SSLv23_client_method() : SSLv23_server_method())))
1928 #endif
1929   return tls_error(US"SSL_CTX_new", host, NULL, errstr);
1930
1931 /* It turns out that we need to seed the random number generator this early in
1932 order to get the full complement of ciphers to work. It took me roughly a day
1933 of work to discover this by experiment.
1934
1935 On systems that have /dev/urandom, SSL may automatically seed itself from
1936 there. Otherwise, we have to make something up as best we can. Double check
1937 afterwards. */
1938
1939 if (!RAND_status())
1940   {
1941   randstuff r;
1942   gettimeofday(&r.tv, NULL);
1943   r.p = getpid();
1944
1945   RAND_seed(US (&r), sizeof(r));
1946   RAND_seed(US big_buffer, big_buffer_size);
1947   if (addr != NULL) RAND_seed(US addr, sizeof(addr));
1948
1949   if (!RAND_status())
1950     return tls_error(US"RAND_status", host,
1951       US"unable to seed random number generator", errstr);
1952   }
1953
1954 /* Set up the information callback, which outputs if debugging is at a suitable
1955 level. */
1956
1957 DEBUG(D_tls)
1958   {
1959   SSL_CTX_set_info_callback(ctx, (void (*)())info_callback);
1960 #if defined(EXIM_HAVE_OPESSL_TRACE) && !defined(OPENSSL_NO_SSL_TRACE)
1961   /* this needs a debug build of OpenSSL */
1962   SSL_CTX_set_msg_callback(ctx, (void (*)())SSL_trace);
1963 #endif
1964 #ifdef OPENSSL_HAVE_KEYLOG_CB
1965   SSL_CTX_set_keylog_callback(ctx, (void (*)())keylog_callback);
1966 #endif
1967   }
1968
1969 /* Automatically re-try reads/writes after renegotiation. */
1970 (void) SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
1971
1972 /* Apply administrator-supplied work-arounds.
1973 Historically we applied just one requested option,
1974 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1975 moved to an administrator-controlled list of options to specify and
1976 grandfathered in the first one as the default value for "openssl_options".
1977
1978 No OpenSSL version number checks: the options we accept depend upon the
1979 availability of the option value macros from OpenSSL.  */
1980
1981 if (!tls_openssl_options_parse(openssl_options, &init_options))
1982   return tls_error(US"openssl_options parsing failed", host, NULL, errstr);
1983
1984 #ifdef EXPERIMENTAL_TLS_RESUME
1985 tlsp->resumption = RESUME_SUPPORTED;
1986 #endif
1987 if (init_options)
1988   {
1989 #ifdef EXPERIMENTAL_TLS_RESUME
1990   /* Should the server offer session resumption? */
1991   if (!host && verify_check_host(&tls_resumption_hosts) == OK)
1992     {
1993     DEBUG(D_tls) debug_printf("tls_resumption_hosts overrides openssl_options\n");
1994     init_options &= ~SSL_OP_NO_TICKET;
1995     tlsp->resumption |= RESUME_SERVER_TICKET; /* server will give ticket on request */
1996     tlsp->host_resumable = TRUE;
1997     }
1998 #endif
1999
2000   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
2001   if (!(SSL_CTX_set_options(ctx, init_options)))
2002     return tls_error(string_sprintf(
2003           "SSL_CTX_set_option(%#lx)", init_options), host, NULL, errstr);
2004   }
2005 else
2006   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
2007
2008 /* We'd like to disable session cache unconditionally, but foolish Outlook
2009 Express clients then give up the first TLS connection and make a second one
2010 (which works).  Only when there is an IMAP service on the same machine.
2011 Presumably OE is trying to use the cache for A on B.  Leave it enabled for
2012 now, until we work out a decent way of presenting control to the config.  It
2013 will never be used because we use a new context every time. */
2014 #ifdef notdef
2015 (void) SSL_CTX_set_session_cache_mode(ctx, SSL_SESS_CACHE_OFF);
2016 #endif
2017
2018 /* Initialize with DH parameters if supplied */
2019 /* Initialize ECDH temp key parameter selection */
2020
2021 if (  !init_dh(ctx, dhparam, host, errstr)
2022    || !init_ecdh(ctx, host, errstr)
2023    )
2024   return DEFER;
2025
2026 /* Set up certificate and key (and perhaps OCSP info) */
2027
2028 if ((rc = tls_expand_session_files(ctx, cbinfo, errstr)) != OK)
2029   return rc;
2030
2031 /* If we need to handle SNI or OCSP, do so */
2032
2033 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2034 # ifndef DISABLE_OCSP
2035   if (!(cbinfo->verify_stack = sk_X509_new_null()))
2036     {
2037     DEBUG(D_tls) debug_printf("failed to create stack for stapling verify\n");
2038     return FAIL;
2039     }
2040 # endif
2041
2042 if (!host)              /* server */
2043   {
2044 # ifndef DISABLE_OCSP
2045   /* We check u_ocsp.server.file, not server.response, because we care about if
2046   the option exists, not what the current expansion might be, as SNI might
2047   change the certificate and OCSP file in use between now and the time the
2048   callback is invoked. */
2049   if (cbinfo->u_ocsp.server.file)
2050     {
2051     SSL_CTX_set_tlsext_status_cb(ctx, tls_server_stapling_cb);
2052     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2053     }
2054 # endif
2055   /* We always do this, so that $tls_sni is available even if not used in
2056   tls_certificate */
2057   SSL_CTX_set_tlsext_servername_callback(ctx, tls_servername_cb);
2058   SSL_CTX_set_tlsext_servername_arg(ctx, cbinfo);
2059   }
2060 # ifndef DISABLE_OCSP
2061 else                    /* client */
2062   if(ocsp_file)         /* wanting stapling */
2063     {
2064     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
2065       {
2066       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
2067       return FAIL;
2068       }
2069     SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
2070     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2071     }
2072 # endif
2073 #endif
2074
2075 cbinfo->verify_cert_hostnames = NULL;
2076
2077 #ifdef EXIM_HAVE_EPHEM_RSA_KEX
2078 /* Set up the RSA callback */
2079 SSL_CTX_set_tmp_rsa_callback(ctx, rsa_callback);
2080 #endif
2081
2082 /* Finally, set the session cache timeout, and we are done.
2083 The period appears to be also used for (server-generated) session tickets */
2084
2085 SSL_CTX_set_timeout(ctx, ssl_session_timeout);
2086 DEBUG(D_tls) debug_printf("Initialized TLS\n");
2087
2088 *cbp = cbinfo;
2089 *ctxp = ctx;
2090
2091 return OK;
2092 }
2093
2094
2095
2096
2097 /*************************************************
2098 *           Get name of cipher in use            *
2099 *************************************************/
2100
2101 /*
2102 Argument:   pointer to an SSL structure for the connection
2103             pointer to number of bits for cipher
2104 Returns:    pointer to allocated string in perm-pool
2105 */
2106
2107 static uschar *
2108 construct_cipher_name(SSL * ssl, int * bits)
2109 {
2110 int pool = store_pool;
2111 /* With OpenSSL 1.0.0a, 'c' needs to be const but the documentation doesn't
2112 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
2113 the accessor functions use const in the prototype. */
2114
2115 const uschar * ver = CUS SSL_get_version(ssl);
2116 const SSL_CIPHER * c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
2117 uschar * s;
2118
2119 SSL_CIPHER_get_bits(c, bits);
2120
2121 store_pool = POOL_PERM;
2122 s = string_sprintf("%s:%s:%u", ver, SSL_CIPHER_get_name(c), *bits);
2123 store_pool = pool;
2124 DEBUG(D_tls) debug_printf("Cipher: %s\n", s);
2125 return s;
2126 }
2127
2128
2129 /* Get IETF-standard name for ciphersuite.
2130 Argument:   pointer to an SSL structure for the connection
2131 Returns:    pointer to string
2132 */
2133
2134 static const uschar *
2135 cipher_stdname_ssl(SSL * ssl)
2136 {
2137 #ifdef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
2138 return CUS SSL_CIPHER_standard_name(SSL_get_current_cipher(ssl));
2139 #else
2140 ushort id = 0xffff & SSL_CIPHER_get_id(SSL_get_current_cipher(ssl));
2141 return cipher_stdname(id >> 8, id & 0xff);
2142 #endif
2143 }
2144
2145
2146 static void
2147 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned siz)
2148 {
2149 /*XXX we might consider a list-of-certs variable for the cert chain.
2150 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
2151 in list-handling functions, also consider the difference between the entire
2152 chain and the elements sent by the peer. */
2153
2154 tlsp->peerdn = NULL;
2155
2156 /* Will have already noted peercert on a verify fail; possibly not the leaf */
2157 if (!tlsp->peercert)
2158   tlsp->peercert = SSL_get_peer_certificate(ssl);
2159 /* Beware anonymous ciphers which lead to server_cert being NULL */
2160 if (tlsp->peercert)
2161   if (!X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, siz))
2162     { DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n"); }
2163   else
2164     {
2165     int oldpool = store_pool;
2166
2167     peerdn[siz-1] = '\0';               /* paranoia */
2168     store_pool = POOL_PERM;
2169     tlsp->peerdn = string_copy(peerdn);
2170     store_pool = oldpool;
2171
2172     /* We used to set CV in the cert-verify callbacks (either plain or dane)
2173     but they don't get called on session-resumption.  So use the official
2174     interface, which uses the resumed value.  Unfortunately this claims verified
2175     when it actually failed but we're in try-verify mode, due to us wanting the
2176     knowlege that it failed so needing to have the callback and forcing a
2177     permissive return.  If we don't force it, the TLS startup is failed.
2178     The extra bit of information is set in verify_override in the cb, stashed
2179     for resumption next to the TLS session, and used here. */
2180
2181     if (!tlsp->verify_override)
2182       tlsp->certificate_verified = SSL_get_verify_result(ssl) == X509_V_OK;
2183     }
2184 }
2185
2186
2187
2188
2189
2190 /*************************************************
2191 *        Set up for verifying certificates       *
2192 *************************************************/
2193
2194 #ifndef DISABLE_OCSP
2195 /* Load certs from file, return TRUE on success */
2196
2197 static BOOL
2198 chain_from_pem_file(const uschar * file, STACK_OF(X509) * verify_stack)
2199 {
2200 BIO * bp;
2201 X509 * x;
2202
2203 while (sk_X509_num(verify_stack) > 0)
2204   X509_free(sk_X509_pop(verify_stack));
2205
2206 if (!(bp = BIO_new_file(CS file, "r"))) return FALSE;
2207 while ((x = PEM_read_bio_X509(bp, NULL, 0, NULL)))
2208   sk_X509_push(verify_stack, x);
2209 BIO_free(bp);
2210 return TRUE;
2211 }
2212 #endif
2213
2214
2215
2216 /* Called by both client and server startup; on the server possibly
2217 repeated after a Server Name Indication.
2218
2219 Arguments:
2220   sctx          SSL_CTX* to initialise
2221   certs         certs file or NULL
2222   crl           CRL file or NULL
2223   host          NULL in a server; the remote host in a client
2224   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
2225                 otherwise passed as FALSE
2226   cert_vfy_cb   Callback function for certificate verification
2227   errstr        error string pointer
2228
2229 Returns:        OK/DEFER/FAIL
2230 */
2231
2232 static int
2233 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
2234     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr)
2235 {
2236 uschar *expcerts, *expcrl;
2237
2238 if (!expand_check(certs, US"tls_verify_certificates", &expcerts, errstr))
2239   return DEFER;
2240 DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
2241
2242 if (expcerts && *expcerts)
2243   {
2244   /* Tell the library to use its compiled-in location for the system default
2245   CA bundle. Then add the ones specified in the config, if any. */
2246
2247   if (!SSL_CTX_set_default_verify_paths(sctx))
2248     return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL, errstr);
2249
2250   if (Ustrcmp(expcerts, "system") != 0)
2251     {
2252     struct stat statbuf;
2253
2254     if (Ustat(expcerts, &statbuf) < 0)
2255       {
2256       log_write(0, LOG_MAIN|LOG_PANIC,
2257         "failed to stat %s for certificates", expcerts);
2258       return DEFER;
2259       }
2260     else
2261       {
2262       uschar *file, *dir;
2263       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
2264         { file = NULL; dir = expcerts; }
2265       else
2266         {
2267         file = expcerts; dir = NULL;
2268 #ifndef DISABLE_OCSP
2269         /* In the server if we will be offering an OCSP proof, load chain from
2270         file for verifying the OCSP proof at load time. */
2271
2272         if (  !host
2273            && statbuf.st_size > 0
2274            && server_static_cbinfo->u_ocsp.server.file
2275            && !chain_from_pem_file(file, server_static_cbinfo->verify_stack)
2276            )
2277           {
2278           log_write(0, LOG_MAIN|LOG_PANIC,
2279             "failed to load cert chain from %s", file);
2280           return DEFER;
2281           }
2282 #endif
2283         }
2284
2285       /* If a certificate file is empty, the next function fails with an
2286       unhelpful error message. If we skip it, we get the correct behaviour (no
2287       certificates are recognized, but the error message is still misleading (it
2288       says no certificate was supplied).  But this is better. */
2289
2290       if (  (!file || statbuf.st_size > 0)
2291          && !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
2292         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL, errstr);
2293
2294       /* Load the list of CAs for which we will accept certs, for sending
2295       to the client.  This is only for the one-file tls_verify_certificates
2296       variant.
2297       If a list isn't loaded into the server, but some verify locations are set,
2298       the server end appears to make a wildcard request for client certs.
2299       Meanwhile, the client library as default behaviour *ignores* the list
2300       we send over the wire - see man SSL_CTX_set_client_cert_cb.
2301       Because of this, and that the dir variant is likely only used for
2302       the public-CA bundle (not for a private CA), not worth fixing.  */
2303
2304       if (file)
2305         {
2306         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
2307
2308         SSL_CTX_set_client_CA_list(sctx, names);
2309         DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
2310                                     sk_X509_NAME_num(names));
2311         }
2312       }
2313     }
2314
2315   /* Handle a certificate revocation list. */
2316
2317 #if OPENSSL_VERSION_NUMBER > 0x00907000L
2318
2319   /* This bit of code is now the version supplied by Lars Mainka. (I have
2320   merely reformatted it into the Exim code style.)
2321
2322   "From here I changed the code to add support for multiple crl's
2323   in pem format in one file or to support hashed directory entries in
2324   pem format instead of a file. This method now uses the library function
2325   X509_STORE_load_locations to add the CRL location to the SSL context.
2326   OpenSSL will then handle the verify against CA certs and CRLs by
2327   itself in the verify callback." */
2328
2329   if (!expand_check(crl, US"tls_crl", &expcrl, errstr)) return DEFER;
2330   if (expcrl && *expcrl)
2331     {
2332     struct stat statbufcrl;
2333     if (Ustat(expcrl, &statbufcrl) < 0)
2334       {
2335       log_write(0, LOG_MAIN|LOG_PANIC,
2336         "failed to stat %s for certificates revocation lists", expcrl);
2337       return DEFER;
2338       }
2339     else
2340       {
2341       /* is it a file or directory? */
2342       uschar *file, *dir;
2343       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
2344       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
2345         {
2346         file = NULL;
2347         dir = expcrl;
2348         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
2349         }
2350       else
2351         {
2352         file = expcrl;
2353         dir = NULL;
2354         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
2355         }
2356       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
2357         return tls_error(US"X509_STORE_load_locations", host, NULL, errstr);
2358
2359       /* setting the flags to check against the complete crl chain */
2360
2361       X509_STORE_set_flags(cvstore,
2362         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
2363       }
2364     }
2365
2366 #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
2367
2368   /* If verification is optional, don't fail if no certificate */
2369
2370   SSL_CTX_set_verify(sctx,
2371     SSL_VERIFY_PEER | (optional ? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
2372     cert_vfy_cb);
2373   }
2374
2375 return OK;
2376 }
2377
2378
2379
2380 /*************************************************
2381 *       Start a TLS session in a server          *
2382 *************************************************/
2383
2384 /* This is called when Exim is running as a server, after having received
2385 the STARTTLS command. It must respond to that command, and then negotiate
2386 a TLS session.
2387
2388 Arguments:
2389   require_ciphers   allowed ciphers
2390   errstr            pointer to error message
2391
2392 Returns:            OK on success
2393                     DEFER for errors before the start of the negotiation
2394                     FAIL for errors during the negotiation; the server can't
2395                       continue running.
2396 */
2397
2398 int
2399 tls_server_start(const uschar * require_ciphers, uschar ** errstr)
2400 {
2401 int rc;
2402 uschar * expciphers;
2403 tls_ext_ctx_cb * cbinfo;
2404 static uschar peerdn[256];
2405
2406 /* Check for previous activation */
2407
2408 if (tls_in.active.sock >= 0)
2409   {
2410   tls_error(US"STARTTLS received after TLS started", NULL, US"", errstr);
2411   smtp_printf("554 Already in TLS\r\n", FALSE);
2412   return FAIL;
2413   }
2414
2415 /* Initialize the SSL library. If it fails, it will already have logged
2416 the error. */
2417
2418 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
2419 #ifndef DISABLE_OCSP
2420     tls_ocsp_file,      /*XXX stack*/
2421 #endif
2422     NULL, &server_static_cbinfo, &tls_in, errstr);
2423 if (rc != OK) return rc;
2424 cbinfo = server_static_cbinfo;
2425
2426 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers, errstr))
2427   return FAIL;
2428
2429 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2430 were historically separated by underscores. So that I can use either form in my
2431 tests, and also for general convenience, we turn underscores into hyphens here.
2432
2433 XXX SSL_CTX_set_cipher_list() is replaced by SSL_CTX_set_ciphersuites()
2434 for TLS 1.3 .  Since we do not call it at present we get the default list:
2435 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
2436 */
2437
2438 if (expciphers)
2439   {
2440   for (uschar * s = expciphers; *s; s++ ) if (*s == '_') *s = '-';
2441   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2442   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
2443     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL, errstr);
2444   cbinfo->server_cipher_list = expciphers;
2445   }
2446
2447 /* If this is a host for which certificate verification is mandatory or
2448 optional, set up appropriately. */
2449
2450 tls_in.certificate_verified = FALSE;
2451 #ifdef SUPPORT_DANE
2452 tls_in.dane_verified = FALSE;
2453 #endif
2454 server_verify_callback_called = FALSE;
2455
2456 if (verify_check_host(&tls_verify_hosts) == OK)
2457   {
2458   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2459                         FALSE, verify_callback_server, errstr);
2460   if (rc != OK) return rc;
2461   server_verify_optional = FALSE;
2462   }
2463 else if (verify_check_host(&tls_try_verify_hosts) == OK)
2464   {
2465   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2466                         TRUE, verify_callback_server, errstr);
2467   if (rc != OK) return rc;
2468   server_verify_optional = TRUE;
2469   }
2470
2471 #ifdef EXPERIMENTAL_TLS_RESUME
2472 SSL_CTX_set_tlsext_ticket_key_cb(server_ctx, ticket_key_callback);
2473 /* despite working, appears to always return failure, so ignoring */
2474 #endif
2475 #ifdef OPENSSL_HAVE_NUM_TICKETS
2476 # ifdef EXPERIMENTAL_TLS_RESUME
2477 SSL_CTX_set_num_tickets(server_ctx, tls_in.host_resumable ? 1 : 0);
2478 # else
2479 SSL_CTX_set_num_tickets(server_ctx, 0); /* send no TLS1.3 stateful-tickets */
2480 # endif
2481 #endif
2482
2483
2484 /* Prepare for new connection */
2485
2486 if (!(server_ssl = SSL_new(server_ctx)))
2487   return tls_error(US"SSL_new", NULL, NULL, errstr);
2488
2489 /* Warning: we used to SSL_clear(ssl) here, it was removed.
2490  *
2491  * With the SSL_clear(), we get strange interoperability bugs with
2492  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
2493  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
2494  *
2495  * The SSL_clear() call is to let an existing SSL* be reused, typically after
2496  * session shutdown.  In this case, we have a brand new object and there's no
2497  * obvious reason to immediately clear it.  I'm guessing that this was
2498  * originally added because of incomplete initialisation which the clear fixed,
2499  * in some historic release.
2500  */
2501
2502 /* Set context and tell client to go ahead, except in the case of TLS startup
2503 on connection, where outputting anything now upsets the clients and tends to
2504 make them disconnect. We need to have an explicit fflush() here, to force out
2505 the response. Other smtp_printf() calls do not need it, because in non-TLS
2506 mode, the fflush() happens when smtp_getc() is called. */
2507
2508 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
2509 if (!tls_in.on_connect)
2510   {
2511   smtp_printf("220 TLS go ahead\r\n", FALSE);
2512   fflush(smtp_out);
2513   }
2514
2515 /* Now negotiate the TLS session. We put our own timer on it, since it seems
2516 that the OpenSSL library doesn't. */
2517
2518 SSL_set_wfd(server_ssl, fileno(smtp_out));
2519 SSL_set_rfd(server_ssl, fileno(smtp_in));
2520 SSL_set_accept_state(server_ssl);
2521
2522 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
2523
2524 sigalrm_seen = FALSE;
2525 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
2526 rc = SSL_accept(server_ssl);
2527 ALARM_CLR(0);
2528
2529 if (rc <= 0)
2530   {
2531   (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2532   return FAIL;
2533   }
2534
2535 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
2536 ERR_clear_error();      /* Even success can leave errors in the stack. Seen with
2537                         anon-authentication ciphersuite negotiated. */
2538
2539 #ifdef EXPERIMENTAL_TLS_RESUME
2540 if (SSL_session_reused(server_ssl))
2541   {
2542   tls_in.resumption |= RESUME_USED;
2543   DEBUG(D_tls) debug_printf("Session reused\n");
2544   }
2545 #endif
2546
2547 /* TLS has been set up. Adjust the input functions to read via TLS,
2548 and initialize things. */
2549
2550 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
2551
2552 tls_in.cipher = construct_cipher_name(server_ssl, &tls_in.bits);
2553 tls_in.cipher_stdname = cipher_stdname_ssl(server_ssl);
2554
2555 DEBUG(D_tls)
2556   {
2557   uschar buf[2048];
2558   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)))
2559     debug_printf("Shared ciphers: %s\n", buf);
2560
2561 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
2562   {
2563   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
2564   SSL_SESSION_print_keylog(bp, SSL_get_session(server_ssl));
2565   BIO_free(bp);
2566   }
2567 #endif
2568
2569 #ifdef EXIM_HAVE_SESSION_TICKET
2570   {
2571   SSL_SESSION * ss = SSL_get_session(server_ssl);
2572   if (SSL_SESSION_has_ticket(ss))       /* 1.1.0 */
2573     debug_printf("The session has a ticket, life %lu seconds\n",
2574       SSL_SESSION_get_ticket_lifetime_hint(ss));
2575   }
2576 #endif
2577   }
2578
2579 /* Record the certificate we presented */
2580   {
2581   X509 * crt = SSL_get_certificate(server_ssl);
2582   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
2583   }
2584
2585 /* Only used by the server-side tls (tls_in), including tls_getc.
2586    Client-side (tls_out) reads (seem to?) go via
2587    smtp_read_response()/ip_recv().
2588    Hence no need to duplicate for _in and _out.
2589  */
2590 if (!ssl_xfer_buffer) ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
2591 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
2592 ssl_xfer_eof = ssl_xfer_error = FALSE;
2593
2594 receive_getc = tls_getc;
2595 receive_getbuf = tls_getbuf;
2596 receive_get_cache = tls_get_cache;
2597 receive_ungetc = tls_ungetc;
2598 receive_feof = tls_feof;
2599 receive_ferror = tls_ferror;
2600 receive_smtp_buffered = tls_smtp_buffered;
2601
2602 tls_in.active.sock = fileno(smtp_out);
2603 tls_in.active.tls_ctx = NULL;   /* not using explicit ctx for server-side */
2604 return OK;
2605 }
2606
2607
2608
2609
2610 static int
2611 tls_client_basic_ctx_init(SSL_CTX * ctx,
2612     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo,
2613     uschar ** errstr)
2614 {
2615 int rc;
2616 /* stick to the old behaviour for compatibility if tls_verify_certificates is
2617    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
2618    the specified host patterns if one of them is defined */
2619
2620 if (  (  !ob->tls_verify_hosts
2621       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
2622       )
2623    || verify_check_given_host(CUSS &ob->tls_verify_hosts, host) == OK
2624    )
2625   client_verify_optional = FALSE;
2626 else if (verify_check_given_host(CUSS &ob->tls_try_verify_hosts, host) == OK)
2627   client_verify_optional = TRUE;
2628 else
2629   return OK;
2630
2631 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
2632       ob->tls_crl, host, client_verify_optional, verify_callback_client,
2633       errstr)) != OK)
2634   return rc;
2635
2636 if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
2637   {
2638   cbinfo->verify_cert_hostnames =
2639 #ifdef SUPPORT_I18N
2640     string_domain_utf8_to_alabel(host->name, NULL);
2641 #else
2642     host->name;
2643 #endif
2644   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
2645                     cbinfo->verify_cert_hostnames);
2646   }
2647 return OK;
2648 }
2649
2650
2651 #ifdef SUPPORT_DANE
2652 static int
2653 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa, uschar ** errstr)
2654 {
2655 dns_scan dnss;
2656 const char * hostnames[2] = { CS host->name, NULL };
2657 int found = 0;
2658
2659 if (DANESSL_init(ssl, NULL, hostnames) != 1)
2660   return tls_error(US"hostnames load", host, NULL, errstr);
2661
2662 for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
2663      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
2664     ) if (rr->type == T_TLSA && rr->size > 3)
2665   {
2666   const uschar * p = rr->data;
2667   uint8_t usage, selector, mtype;
2668   const char * mdname;
2669
2670   usage = *p++;
2671
2672   /* Only DANE-TA(2) and DANE-EE(3) are supported */
2673   if (usage != 2 && usage != 3) continue;
2674
2675   selector = *p++;
2676   mtype = *p++;
2677
2678   switch (mtype)
2679     {
2680     default: continue;  /* Only match-types 0, 1, 2 are supported */
2681     case 0:  mdname = NULL; break;
2682     case 1:  mdname = "sha256"; break;
2683     case 2:  mdname = "sha512"; break;
2684     }
2685
2686   found++;
2687   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
2688     {
2689     default:
2690       return tls_error(US"tlsa load", host, NULL, errstr);
2691     case 0:     /* action not taken */
2692     case 1:     break;
2693     }
2694
2695   tls_out.tlsa_usage |= 1<<usage;
2696   }
2697
2698 if (found)
2699   return OK;
2700
2701 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
2702 return DEFER;
2703 }
2704 #endif  /*SUPPORT_DANE*/
2705
2706
2707
2708 #ifdef EXPERIMENTAL_TLS_RESUME
2709 /* On the client, get any stashed session for the given IP from hints db
2710 and apply it to the ssl-connection for attempted resumption. */
2711
2712 static void
2713 tls_retrieve_session(tls_support * tlsp, SSL * ssl, const uschar * key)
2714 {
2715 tlsp->resumption |= RESUME_SUPPORTED;
2716 if (tlsp->host_resumable)
2717   {
2718   dbdata_tls_session * dt;
2719   int len;
2720   open_db dbblock, * dbm_file;
2721
2722   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
2723   DEBUG(D_tls) debug_printf("checking for resumable session for %s\n", key);
2724   if ((dbm_file = dbfn_open(US"tls", O_RDONLY, &dbblock, FALSE, FALSE)))
2725     {
2726     /* key for the db is the IP */
2727     if ((dt = dbfn_read_with_length(dbm_file, key, &len)))
2728       {
2729       SSL_SESSION * ss = NULL;
2730       const uschar * sess_asn1 = dt->session;
2731
2732       len -= sizeof(dbdata_tls_session);
2733       if (!(d2i_SSL_SESSION(&ss, &sess_asn1, (long)len)))
2734         {
2735         DEBUG(D_tls)
2736           {
2737           ERR_error_string_n(ERR_get_error(),
2738             ssl_errstring, sizeof(ssl_errstring));
2739           debug_printf("decoding session: %s\n", ssl_errstring);
2740           }
2741         }
2742       else if ( SSL_SESSION_get_ticket_lifetime_hint(ss) + dt->time_stamp
2743                < time(NULL))
2744         {
2745         DEBUG(D_tls) debug_printf("session expired\n");
2746         dbfn_delete(dbm_file, key);
2747         }
2748       else if (!SSL_set_session(ssl, ss))
2749         {
2750         DEBUG(D_tls)
2751           {
2752           ERR_error_string_n(ERR_get_error(),
2753             ssl_errstring, sizeof(ssl_errstring));
2754           debug_printf("applying session to ssl: %s\n", ssl_errstring);
2755           }
2756         }
2757       else
2758         {
2759         DEBUG(D_tls) debug_printf("good session\n");
2760         tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
2761         tlsp->verify_override = dt->verify_override;
2762         tlsp->ocsp = dt->ocsp;
2763         }
2764       }
2765     else
2766       DEBUG(D_tls) debug_printf("no session record\n");
2767     dbfn_close(dbm_file);
2768     }
2769   }
2770 }
2771
2772
2773 /* On the client, save the session for later resumption */
2774
2775 static int
2776 tls_save_session_cb(SSL * ssl, SSL_SESSION * ss)
2777 {
2778 tls_ext_ctx_cb * cbinfo = SSL_get_ex_data(ssl, tls_exdata_idx);
2779 tls_support * tlsp;
2780
2781 DEBUG(D_tls) debug_printf("tls_save_session_cb\n");
2782
2783 if (!cbinfo || !(tlsp = cbinfo->tlsp)->host_resumable) return 0;
2784
2785 # ifdef OPENSSL_HAVE_NUM_TICKETS
2786 if (SSL_SESSION_is_resumable(ss))       /* 1.1.1 */
2787 # endif
2788   {
2789   int len = i2d_SSL_SESSION(ss, NULL);
2790   int dlen = sizeof(dbdata_tls_session) + len;
2791   dbdata_tls_session * dt = store_get(dlen);
2792   uschar * s = dt->session;
2793   open_db dbblock, * dbm_file;
2794
2795   DEBUG(D_tls) debug_printf("session is resumable\n");
2796   tlsp->resumption |= RESUME_SERVER_TICKET;     /* server gave us a ticket */
2797
2798   dt->verify_override = tlsp->verify_override;
2799   dt->ocsp = tlsp->ocsp;
2800   (void) i2d_SSL_SESSION(ss, &s);               /* s gets bumped to end */
2801
2802   if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
2803     {
2804     const uschar * key = cbinfo->host->address;
2805     dbfn_delete(dbm_file, key);
2806     dbfn_write(dbm_file, key, dt, dlen);
2807     dbfn_close(dbm_file);
2808     DEBUG(D_tls) debug_printf("wrote session (len %u) to db\n",
2809                   (unsigned)dlen);
2810     }
2811   }
2812 return 1;
2813 }
2814
2815
2816 static void
2817 tls_client_ctx_resume_prehandshake(
2818   exim_openssl_client_tls_ctx * exim_client_ctx, tls_support * tlsp,
2819   smtp_transport_options_block * ob, host_item * host)
2820 {
2821 /* Should the client request a session resumption ticket? */
2822 if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
2823   {
2824   tlsp->host_resumable = TRUE;
2825
2826   SSL_CTX_set_session_cache_mode(exim_client_ctx->ctx,
2827         SSL_SESS_CACHE_CLIENT
2828         | SSL_SESS_CACHE_NO_INTERNAL | SSL_SESS_CACHE_NO_AUTO_CLEAR);
2829   SSL_CTX_sess_set_new_cb(exim_client_ctx->ctx, tls_save_session_cb);
2830   }
2831 }
2832
2833 static BOOL
2834 tls_client_ssl_resume_prehandshake(SSL * ssl, tls_support * tlsp,
2835   host_item * host, uschar ** errstr)
2836 {
2837 if (tlsp->host_resumable)
2838   {
2839   DEBUG(D_tls)
2840     debug_printf("tls_resumption_hosts overrides openssl_options, enabling tickets\n");
2841   SSL_clear_options(ssl, SSL_OP_NO_TICKET);
2842
2843   tls_exdata_idx = SSL_get_ex_new_index(0, 0, 0, 0, 0);
2844   if (!SSL_set_ex_data(ssl, tls_exdata_idx, client_static_cbinfo))
2845     {
2846     tls_error(US"set ex_data", host, NULL, errstr);
2847     return FALSE;
2848     }
2849   debug_printf("tls_exdata_idx %d cbinfo %p\n", tls_exdata_idx, client_static_cbinfo);
2850   }
2851
2852 tlsp->resumption = RESUME_SUPPORTED;
2853 /* Pick up a previous session, saved on an old ticket */
2854 tls_retrieve_session(tlsp, ssl, host->address);
2855 return TRUE;
2856 }
2857
2858 static void
2859 tls_client_resume_posthandshake(exim_openssl_client_tls_ctx * exim_client_ctx,
2860   tls_support * tlsp)
2861 {
2862 if (SSL_session_reused(exim_client_ctx->ssl))
2863   {
2864   DEBUG(D_tls) debug_printf("The session was reused\n");
2865   tlsp->resumption |= RESUME_USED;
2866   }
2867 }
2868 #endif  /* EXPERIMENTAL_TLS_RESUME */
2869
2870
2871 /*************************************************
2872 *    Start a TLS session in a client             *
2873 *************************************************/
2874
2875 /* Called from the smtp transport after STARTTLS has been accepted.
2876
2877 Arguments:
2878   cctx          connection context
2879   conn_args     connection details
2880   cookie        datum for randomness; can be NULL
2881   tlsp          record details of TLS channel configuration here; must be non-NULL
2882   errstr        error string pointer
2883
2884 Returns:        TRUE for success with TLS session context set in connection context,
2885                 FALSE on error
2886 */
2887
2888 BOOL
2889 tls_client_start(client_conn_ctx * cctx, smtp_connect_args * conn_args,
2890   void * cookie, tls_support * tlsp, uschar ** errstr)
2891 {
2892 host_item * host = conn_args->host;             /* for msgs and option-tests */
2893 transport_instance * tb = conn_args->tblock;    /* always smtp or NULL */
2894 smtp_transport_options_block * ob = tb
2895   ? (smtp_transport_options_block *)tb->options_block
2896   : &smtp_transport_option_defaults;
2897 exim_openssl_client_tls_ctx * exim_client_ctx;
2898 uschar * expciphers;
2899 int rc;
2900 static uschar peerdn[256];
2901
2902 #ifndef DISABLE_OCSP
2903 BOOL request_ocsp = FALSE;
2904 BOOL require_ocsp = FALSE;
2905 #endif
2906
2907 rc = store_pool;
2908 store_pool = POOL_PERM;
2909 exim_client_ctx = store_get(sizeof(exim_openssl_client_tls_ctx));
2910 exim_client_ctx->corked = NULL;
2911 store_pool = rc;
2912
2913 #ifdef SUPPORT_DANE
2914 tlsp->tlsa_usage = 0;
2915 #endif
2916
2917 #ifndef DISABLE_OCSP
2918   {
2919 # ifdef SUPPORT_DANE
2920   if (  conn_args->dane
2921      && ob->hosts_request_ocsp[0] == '*'
2922      && ob->hosts_request_ocsp[1] == '\0'
2923      )
2924     {
2925     /* Unchanged from default.  Use a safer one under DANE */
2926     request_ocsp = TRUE;
2927     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
2928                                       "   {= {4}{$tls_out_tlsa_usage}} } "
2929                                  " {*}{}}";
2930     }
2931 # endif
2932
2933   if ((require_ocsp =
2934         verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK))
2935     request_ocsp = TRUE;
2936   else
2937 # ifdef SUPPORT_DANE
2938     if (!request_ocsp)
2939 # endif
2940       request_ocsp =
2941         verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
2942   }
2943 #endif
2944
2945 rc = tls_init(&exim_client_ctx->ctx, host, NULL,
2946     ob->tls_certificate, ob->tls_privatekey,
2947 #ifndef DISABLE_OCSP
2948     (void *)(long)request_ocsp,
2949 #endif
2950     cookie, &client_static_cbinfo, tlsp, errstr);
2951 if (rc != OK) return FALSE;
2952
2953 tlsp->certificate_verified = FALSE;
2954 client_verify_callback_called = FALSE;
2955
2956 expciphers = NULL;
2957 #ifdef SUPPORT_DANE
2958 if (conn_args->dane)
2959   {
2960   /* We fall back to tls_require_ciphers if unset, empty or forced failure, but
2961   other failures should be treated as problems. */
2962   if (ob->dane_require_tls_ciphers &&
2963       !expand_check(ob->dane_require_tls_ciphers, US"dane_require_tls_ciphers",
2964         &expciphers, errstr))
2965     return FALSE;
2966   if (expciphers && *expciphers == '\0')
2967     expciphers = NULL;
2968   }
2969 #endif
2970 if (!expciphers &&
2971     !expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
2972       &expciphers, errstr))
2973   return FALSE;
2974
2975 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2976 are separated by underscores. So that I can use either form in my tests, and
2977 also for general convenience, we turn underscores into hyphens here. */
2978
2979 if (expciphers)
2980   {
2981   uschar *s = expciphers;
2982   while (*s) { if (*s == '_') *s = '-'; s++; }
2983   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2984   if (!SSL_CTX_set_cipher_list(exim_client_ctx->ctx, CS expciphers))
2985     {
2986     tls_error(US"SSL_CTX_set_cipher_list", host, NULL, errstr);
2987     return FALSE;
2988     }
2989   }
2990
2991 #ifdef SUPPORT_DANE
2992 if (conn_args->dane)
2993   {
2994   SSL_CTX_set_verify(exim_client_ctx->ctx,
2995     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
2996     verify_callback_client_dane);
2997
2998   if (!DANESSL_library_init())
2999     {
3000     tls_error(US"library init", host, NULL, errstr);
3001     return FALSE;
3002     }
3003   if (DANESSL_CTX_init(exim_client_ctx->ctx) <= 0)
3004     {
3005     tls_error(US"context init", host, NULL, errstr);
3006     return FALSE;
3007     }
3008   }
3009 else
3010
3011 #endif
3012
3013   if (tls_client_basic_ctx_init(exim_client_ctx->ctx, host, ob,
3014         client_static_cbinfo, errstr) != OK)
3015     return FALSE;
3016
3017 #ifdef EXPERIMENTAL_TLS_RESUME
3018 tls_client_ctx_resume_prehandshake(exim_client_ctx, tlsp, ob, host);
3019 #endif
3020
3021
3022 if (!(exim_client_ctx->ssl = SSL_new(exim_client_ctx->ctx)))
3023   {
3024   tls_error(US"SSL_new", host, NULL, errstr);
3025   return FALSE;
3026   }
3027 SSL_set_session_id_context(exim_client_ctx->ssl, sid_ctx, Ustrlen(sid_ctx));
3028
3029 SSL_set_fd(exim_client_ctx->ssl, cctx->sock);
3030 SSL_set_connect_state(exim_client_ctx->ssl);
3031
3032 if (ob->tls_sni)
3033   {
3034   if (!expand_check(ob->tls_sni, US"tls_sni", &tlsp->sni, errstr))
3035     return FALSE;
3036   if (!tlsp->sni)
3037     {
3038     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
3039     }
3040   else if (!Ustrlen(tlsp->sni))
3041     tlsp->sni = NULL;
3042   else
3043     {
3044 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
3045     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tlsp->sni);
3046     SSL_set_tlsext_host_name(exim_client_ctx->ssl, tlsp->sni);
3047 #else
3048     log_write(0, LOG_MAIN, "SNI unusable with this OpenSSL library version; ignoring \"%s\"\n",
3049           tlsp->sni);
3050 #endif
3051     }
3052   }
3053
3054 #ifdef SUPPORT_DANE
3055 if (conn_args->dane)
3056   if (dane_tlsa_load(exim_client_ctx->ssl, host, &conn_args->tlsa_dnsa, errstr) != OK)
3057     return FALSE;
3058 #endif
3059
3060 #ifndef DISABLE_OCSP
3061 /* Request certificate status at connection-time.  If the server
3062 does OCSP stapling we will get the callback (set in tls_init()) */
3063 # ifdef SUPPORT_DANE
3064 if (request_ocsp)
3065   {
3066   const uschar * s;
3067   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3068      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3069      )
3070     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
3071         this means we avoid the OCSP request, we wasted the setup
3072         cost in tls_init(). */
3073     require_ocsp = verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK;
3074     request_ocsp = require_ocsp
3075       || verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3076     }
3077   }
3078 # endif
3079
3080 if (request_ocsp)
3081   {
3082   SSL_set_tlsext_status_type(exim_client_ctx->ssl, TLSEXT_STATUSTYPE_ocsp);
3083   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
3084   tlsp->ocsp = OCSP_NOT_RESP;
3085   }
3086 #endif
3087
3088 #ifdef EXPERIMENTAL_TLS_RESUME
3089 if (!tls_client_ssl_resume_prehandshake(exim_client_ctx->ssl, tlsp, host,
3090       errstr))
3091   return FALSE;
3092 #endif
3093
3094 #ifndef DISABLE_EVENT
3095 client_static_cbinfo->event_action = tb ? tb->event_action : NULL;
3096 #endif
3097
3098 /* There doesn't seem to be a built-in timeout on connection. */
3099
3100 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
3101 sigalrm_seen = FALSE;
3102 ALARM(ob->command_timeout);
3103 rc = SSL_connect(exim_client_ctx->ssl);
3104 ALARM_CLR(0);
3105
3106 #ifdef SUPPORT_DANE
3107 if (conn_args->dane)
3108   DANESSL_cleanup(exim_client_ctx->ssl);
3109 #endif
3110
3111 if (rc <= 0)
3112   {
3113   tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL, errstr);
3114   return FALSE;
3115   }
3116
3117 DEBUG(D_tls)
3118   {
3119   debug_printf("SSL_connect succeeded\n");
3120 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
3121   {
3122   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
3123   SSL_SESSION_print_keylog(bp, SSL_get_session(exim_client_ctx->ssl));
3124   BIO_free(bp);
3125   }
3126 #endif
3127   }
3128
3129 #ifdef EXPERIMENTAL_TLS_RESUME
3130 tls_client_resume_posthandshake(exim_client_ctx, tlsp);
3131 #endif
3132
3133 peer_cert(exim_client_ctx->ssl, tlsp, peerdn, sizeof(peerdn));
3134
3135 tlsp->cipher = construct_cipher_name(exim_client_ctx->ssl, &tlsp->bits);
3136 tlsp->cipher_stdname = cipher_stdname_ssl(exim_client_ctx->ssl);
3137
3138 /* Record the certificate we presented */
3139   {
3140   X509 * crt = SSL_get_certificate(exim_client_ctx->ssl);
3141   tlsp->ourcert = crt ? X509_dup(crt) : NULL;
3142   }
3143
3144 tlsp->active.sock = cctx->sock;
3145 tlsp->active.tls_ctx = exim_client_ctx;
3146 cctx->tls_ctx = exim_client_ctx;
3147 return TRUE;
3148 }
3149
3150
3151
3152
3153
3154 static BOOL
3155 tls_refill(unsigned lim)
3156 {
3157 int error;
3158 int inbytes;
3159
3160 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
3161   ssl_xfer_buffer, ssl_xfer_buffer_size);
3162
3163 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
3164 inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer,
3165                   MIN(ssl_xfer_buffer_size, lim));
3166 error = SSL_get_error(server_ssl, inbytes);
3167 if (smtp_receive_timeout > 0) ALARM_CLR(0);
3168
3169 if (had_command_timeout)                /* set by signal handler */
3170   smtp_command_timeout_exit();          /* does not return */
3171 if (had_command_sigterm)
3172   smtp_command_sigterm_exit();
3173 if (had_data_timeout)
3174   smtp_data_timeout_exit();
3175 if (had_data_sigint)
3176   smtp_data_sigint_exit();
3177
3178 /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
3179 closed down, not that the socket itself has been closed down. Revert to
3180 non-SSL handling. */
3181
3182 switch(error)
3183   {
3184   case SSL_ERROR_NONE:
3185     break;
3186
3187   case SSL_ERROR_ZERO_RETURN:
3188     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3189
3190     receive_getc = smtp_getc;
3191     receive_getbuf = smtp_getbuf;
3192     receive_get_cache = smtp_get_cache;
3193     receive_ungetc = smtp_ungetc;
3194     receive_feof = smtp_feof;
3195     receive_ferror = smtp_ferror;
3196     receive_smtp_buffered = smtp_buffered;
3197
3198     if (SSL_get_shutdown(server_ssl) == SSL_RECEIVED_SHUTDOWN)
3199           SSL_shutdown(server_ssl);
3200
3201 #ifndef DISABLE_OCSP
3202     sk_X509_pop_free(server_static_cbinfo->verify_stack, X509_free);
3203     server_static_cbinfo->verify_stack = NULL;
3204 #endif
3205     SSL_free(server_ssl);
3206     SSL_CTX_free(server_ctx);
3207     server_ctx = NULL;
3208     server_ssl = NULL;
3209     tls_in.active.sock = -1;
3210     tls_in.active.tls_ctx = NULL;
3211     tls_in.bits = 0;
3212     tls_in.cipher = NULL;
3213     tls_in.peerdn = NULL;
3214     tls_in.sni = NULL;
3215
3216     return FALSE;
3217
3218   /* Handle genuine errors */
3219   case SSL_ERROR_SSL:
3220     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3221     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
3222     ssl_xfer_error = TRUE;
3223     return FALSE;
3224
3225   default:
3226     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
3227     DEBUG(D_tls) if (error == SSL_ERROR_SYSCALL)
3228       debug_printf(" - syscall %s\n", strerror(errno));
3229     ssl_xfer_error = TRUE;
3230     return FALSE;
3231   }
3232
3233 #ifndef DISABLE_DKIM
3234 dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
3235 #endif
3236 ssl_xfer_buffer_hwm = inbytes;
3237 ssl_xfer_buffer_lwm = 0;
3238 return TRUE;
3239 }
3240
3241
3242 /*************************************************
3243 *            TLS version of getc                 *
3244 *************************************************/
3245
3246 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
3247 it refills the buffer via the SSL reading function.
3248
3249 Arguments:  lim         Maximum amount to read/buffer
3250 Returns:    the next character or EOF
3251
3252 Only used by the server-side TLS.
3253 */
3254
3255 int
3256 tls_getc(unsigned lim)
3257 {
3258 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3259   if (!tls_refill(lim))
3260     return ssl_xfer_error ? EOF : smtp_getc(lim);
3261
3262 /* Something in the buffer; return next uschar */
3263
3264 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
3265 }
3266
3267 uschar *
3268 tls_getbuf(unsigned * len)
3269 {
3270 unsigned size;
3271 uschar * buf;
3272
3273 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3274   if (!tls_refill(*len))
3275     {
3276     if (!ssl_xfer_error) return smtp_getbuf(len);
3277     *len = 0;
3278     return NULL;
3279     }
3280
3281 if ((size = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm) > *len)
3282   size = *len;
3283 buf = &ssl_xfer_buffer[ssl_xfer_buffer_lwm];
3284 ssl_xfer_buffer_lwm += size;
3285 *len = size;
3286 return buf;
3287 }
3288
3289
3290 void
3291 tls_get_cache()
3292 {
3293 #ifndef DISABLE_DKIM
3294 int n = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm;
3295 if (n > 0)
3296   dkim_exim_verify_feed(ssl_xfer_buffer+ssl_xfer_buffer_lwm, n);
3297 #endif
3298 }
3299
3300
3301 BOOL
3302 tls_could_read(void)
3303 {
3304 return ssl_xfer_buffer_lwm < ssl_xfer_buffer_hwm || SSL_pending(server_ssl) > 0;
3305 }
3306
3307
3308 /*************************************************
3309 *          Read bytes from TLS channel           *
3310 *************************************************/
3311
3312 /*
3313 Arguments:
3314   ct_ctx    client context pointer, or NULL for the one global server context
3315   buff      buffer of data
3316   len       size of buffer
3317
3318 Returns:    the number of bytes read
3319             -1 after a failed read, including EOF
3320
3321 Only used by the client-side TLS.
3322 */
3323
3324 int
3325 tls_read(void * ct_ctx, uschar *buff, size_t len)
3326 {
3327 SSL * ssl = ct_ctx ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3328 int inbytes;
3329 int error;
3330
3331 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
3332   buff, (unsigned int)len);
3333
3334 inbytes = SSL_read(ssl, CS buff, len);
3335 error = SSL_get_error(ssl, inbytes);
3336
3337 if (error == SSL_ERROR_ZERO_RETURN)
3338   {
3339   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3340   return -1;
3341   }
3342 else if (error != SSL_ERROR_NONE)
3343   return -1;
3344
3345 return inbytes;
3346 }
3347
3348
3349
3350
3351
3352 /*************************************************
3353 *         Write bytes down TLS channel           *
3354 *************************************************/
3355
3356 /*
3357 Arguments:
3358   ct_ctx    client context pointer, or NULL for the one global server context
3359   buff      buffer of data
3360   len       number of bytes
3361   more      further data expected soon
3362
3363 Returns:    the number of bytes after a successful write,
3364             -1 after a failed write
3365
3366 Used by both server-side and client-side TLS.
3367 */
3368
3369 int
3370 tls_write(void * ct_ctx, const uschar *buff, size_t len, BOOL more)
3371 {
3372 size_t olen = len;
3373 int outbytes, error;
3374 SSL * ssl = ct_ctx
3375   ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3376 static gstring * server_corked = NULL;
3377 gstring ** corkedp = ct_ctx
3378   ? &((exim_openssl_client_tls_ctx *)ct_ctx)->corked : &server_corked;
3379 gstring * corked = *corkedp;
3380
3381 DEBUG(D_tls) debug_printf("%s(%p, %lu%s)\n", __FUNCTION__,
3382   buff, (unsigned long)len, more ? ", more" : "");
3383
3384 /* Lacking a CORK or MSG_MORE facility (such as GnuTLS has) we copy data when
3385 "more" is notified.  This hack is only ok if small amounts are involved AND only
3386 one stream does it, in one context (i.e. no store reset).  Currently it is used
3387 for the responses to the received SMTP MAIL , RCPT, DATA sequence, only.
3388 We support callouts done by the server process by using a separate client
3389 context for the stashed information. */
3390 /* + if PIPE_COMMAND, banner & ehlo-resp for smmtp-on-connect. Suspect there's
3391 a store reset there, so use POOL_PERM. */
3392 /* + if CHUNKING, cmds EHLO,MAIL,RCPT(s),BDAT */
3393
3394 if ((more || corked))
3395   {
3396 #ifdef EXPERIMENTAL_PIPE_CONNECT
3397   int save_pool = store_pool;
3398   store_pool = POOL_PERM;
3399 #endif
3400
3401   corked = string_catn(corked, buff, len);
3402
3403 #ifdef EXPERIMENTAL_PIPE_CONNECT
3404   store_pool = save_pool;
3405 #endif
3406
3407   if (more)
3408     {
3409     *corkedp = corked;
3410     return len;
3411     }
3412   buff = CUS corked->s;
3413   len = corked->ptr;
3414   *corkedp = NULL;
3415   }
3416
3417 for (int left = len; left > 0;)
3418   {
3419   DEBUG(D_tls) debug_printf("SSL_write(%p, %p, %d)\n", ssl, buff, left);
3420   outbytes = SSL_write(ssl, CS buff, left);
3421   error = SSL_get_error(ssl, outbytes);
3422   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
3423   switch (error)
3424     {
3425     case SSL_ERROR_SSL:
3426       ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3427       log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
3428       return -1;
3429
3430     case SSL_ERROR_NONE:
3431       left -= outbytes;
3432       buff += outbytes;
3433       break;
3434
3435     case SSL_ERROR_ZERO_RETURN:
3436       log_write(0, LOG_MAIN, "SSL channel closed on write");
3437       return -1;
3438
3439     case SSL_ERROR_SYSCALL:
3440       log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
3441         sender_fullhost ? sender_fullhost : US"<unknown>",
3442         strerror(errno));
3443       return -1;
3444
3445     default:
3446       log_write(0, LOG_MAIN, "SSL_write error %d", error);
3447       return -1;
3448     }
3449   }
3450 return olen;
3451 }
3452
3453
3454
3455 /*************************************************
3456 *         Close down a TLS session               *
3457 *************************************************/
3458
3459 /* This is also called from within a delivery subprocess forked from the
3460 daemon, to shut down the TLS library, without actually doing a shutdown (which
3461 would tamper with the SSL session in the parent process).
3462
3463 Arguments:
3464   ct_ctx        client TLS context pointer, or NULL for the one global server context
3465   shutdown      1 if TLS close-alert is to be sent,
3466                 2 if also response to be waited for
3467
3468 Returns:     nothing
3469
3470 Used by both server-side and client-side TLS.
3471 */
3472
3473 void
3474 tls_close(void * ct_ctx, int shutdown)
3475 {
3476 exim_openssl_client_tls_ctx * o_ctx = ct_ctx;
3477 SSL_CTX **ctxp = o_ctx ? &o_ctx->ctx : &server_ctx;
3478 SSL **sslp =     o_ctx ? &o_ctx->ssl : &server_ssl;
3479 int *fdp = o_ctx ? &tls_out.active.sock : &tls_in.active.sock;
3480
3481 if (*fdp < 0) return;  /* TLS was not active */
3482
3483 if (shutdown)
3484   {
3485   int rc;
3486   DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
3487     shutdown > 1 ? " (with response-wait)" : "");
3488
3489   if (  (rc = SSL_shutdown(*sslp)) == 0 /* send "close notify" alert */
3490      && shutdown > 1)
3491     {
3492     ALARM(2);
3493     rc = SSL_shutdown(*sslp);           /* wait for response */
3494     ALARM_CLR(0);
3495     }
3496
3497   if (rc < 0) DEBUG(D_tls)
3498     {
3499     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3500     debug_printf("SSL_shutdown: %s\n", ssl_errstring);
3501     }
3502   }
3503
3504 #ifndef DISABLE_OCSP
3505 if (!o_ctx)             /* server side */
3506   {
3507   sk_X509_pop_free(server_static_cbinfo->verify_stack, X509_free);
3508   server_static_cbinfo->verify_stack = NULL;
3509   }
3510 #endif
3511
3512 SSL_CTX_free(*ctxp);
3513 SSL_free(*sslp);
3514 *ctxp = NULL;
3515 *sslp = NULL;
3516 *fdp = -1;
3517 }
3518
3519
3520
3521
3522 /*************************************************
3523 *  Let tls_require_ciphers be checked at startup *
3524 *************************************************/
3525
3526 /* The tls_require_ciphers option, if set, must be something which the
3527 library can parse.
3528
3529 Returns:     NULL on success, or error message
3530 */
3531
3532 uschar *
3533 tls_validate_require_cipher(void)
3534 {
3535 SSL_CTX *ctx;
3536 uschar *s, *expciphers, *err;
3537
3538 /* this duplicates from tls_init(), we need a better "init just global
3539 state, for no specific purpose" singleton function of our own */
3540
3541 #ifdef EXIM_NEED_OPENSSL_INIT
3542 SSL_load_error_strings();
3543 OpenSSL_add_ssl_algorithms();
3544 #endif
3545 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
3546 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
3547 list of available digests. */
3548 EVP_add_digest(EVP_sha256());
3549 #endif
3550
3551 if (!(tls_require_ciphers && *tls_require_ciphers))
3552   return NULL;
3553
3554 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers,
3555                   &err))
3556   return US"failed to expand tls_require_ciphers";
3557
3558 if (!(expciphers && *expciphers))
3559   return NULL;
3560
3561 /* normalisation ripped from above */
3562 s = expciphers;
3563 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
3564
3565 err = NULL;
3566
3567 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
3568 if (!(ctx = SSL_CTX_new(TLS_server_method())))
3569 #else
3570 if (!(ctx = SSL_CTX_new(SSLv23_server_method())))
3571 #endif
3572   {
3573   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3574   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
3575   }
3576
3577 DEBUG(D_tls)
3578   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
3579
3580 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
3581   {
3582   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3583   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed: %s",
3584                       expciphers, ssl_errstring);
3585   }
3586
3587 SSL_CTX_free(ctx);
3588
3589 return err;
3590 }
3591
3592
3593
3594
3595 /*************************************************
3596 *         Report the library versions.           *
3597 *************************************************/
3598
3599 /* There have historically been some issues with binary compatibility in
3600 OpenSSL libraries; if Exim (like many other applications) is built against
3601 one version of OpenSSL but the run-time linker picks up another version,
3602 it can result in serious failures, including crashing with a SIGSEGV.  So
3603 report the version found by the compiler and the run-time version.
3604
3605 Note: some OS vendors backport security fixes without changing the version
3606 number/string, and the version date remains unchanged.  The _build_ date
3607 will change, so we can more usefully assist with version diagnosis by also
3608 reporting the build date.
3609
3610 Arguments:   a FILE* to print the results to
3611 Returns:     nothing
3612 */
3613
3614 void
3615 tls_version_report(FILE *f)
3616 {
3617 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
3618            "                          Runtime: %s\n"
3619            "                                 : %s\n",
3620            OPENSSL_VERSION_TEXT,
3621            SSLeay_version(SSLEAY_VERSION),
3622            SSLeay_version(SSLEAY_BUILT_ON));
3623 /* third line is 38 characters for the %s and the line is 73 chars long;
3624 the OpenSSL output includes a "built on: " prefix already. */
3625 }
3626
3627
3628
3629
3630 /*************************************************
3631 *            Random number generation            *
3632 *************************************************/
3633
3634 /* Pseudo-random number generation.  The result is not expected to be
3635 cryptographically strong but not so weak that someone will shoot themselves
3636 in the foot using it as a nonce in input in some email header scheme or
3637 whatever weirdness they'll twist this into.  The result should handle fork()
3638 and avoid repeating sequences.  OpenSSL handles that for us.
3639
3640 Arguments:
3641   max       range maximum
3642 Returns     a random number in range [0, max-1]
3643 */
3644
3645 int
3646 vaguely_random_number(int max)
3647 {
3648 unsigned int r;
3649 int i, needed_len;
3650 static pid_t pidlast = 0;
3651 pid_t pidnow;
3652 uschar smallbuf[sizeof(r)];
3653
3654 if (max <= 1)
3655   return 0;
3656
3657 pidnow = getpid();
3658 if (pidnow != pidlast)
3659   {
3660   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
3661   is unique for each thread", this doesn't apparently apply across processes,
3662   so our own warning from vaguely_random_number_fallback() applies here too.
3663   Fix per PostgreSQL. */
3664   if (pidlast != 0)
3665     RAND_cleanup();
3666   pidlast = pidnow;
3667   }
3668
3669 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
3670 if (!RAND_status())
3671   {
3672   randstuff r;
3673   gettimeofday(&r.tv, NULL);
3674   r.p = getpid();
3675
3676   RAND_seed(US (&r), sizeof(r));
3677   }
3678 /* We're after pseudo-random, not random; if we still don't have enough data
3679 in the internal PRNG then our options are limited.  We could sleep and hope
3680 for entropy to come along (prayer technique) but if the system is so depleted
3681 in the first place then something is likely to just keep taking it.  Instead,
3682 we'll just take whatever little bit of pseudo-random we can still manage to
3683 get. */
3684
3685 needed_len = sizeof(r);
3686 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
3687 asked for a number less than 10. */
3688 for (r = max, i = 0; r; ++i)
3689   r >>= 1;
3690 i = (i + 7) / 8;
3691 if (i < needed_len)
3692   needed_len = i;
3693
3694 #ifdef EXIM_HAVE_RAND_PSEUDO
3695 /* We do not care if crypto-strong */
3696 i = RAND_pseudo_bytes(smallbuf, needed_len);
3697 #else
3698 i = RAND_bytes(smallbuf, needed_len);
3699 #endif
3700
3701 if (i < 0)
3702   {
3703   DEBUG(D_all)
3704     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
3705   return vaguely_random_number_fallback(max);
3706   }
3707
3708 r = 0;
3709 for (uschar * p = smallbuf; needed_len; --needed_len, ++p)
3710   r = 256 * r + *p;
3711
3712 /* We don't particularly care about weighted results; if someone wants
3713 smooth distribution and cares enough then they should submit a patch then. */
3714 return r % max;
3715 }
3716
3717
3718
3719
3720 /*************************************************
3721 *        OpenSSL option parse                    *
3722 *************************************************/
3723
3724 /* Parse one option for tls_openssl_options_parse below
3725
3726 Arguments:
3727   name    one option name
3728   value   place to store a value for it
3729 Returns   success or failure in parsing
3730 */
3731
3732
3733
3734 static BOOL
3735 tls_openssl_one_option_parse(uschar *name, long *value)
3736 {
3737 int first = 0;
3738 int last = exim_openssl_options_size;
3739 while (last > first)
3740   {
3741   int middle = (first + last)/2;
3742   int c = Ustrcmp(name, exim_openssl_options[middle].name);
3743   if (c == 0)
3744     {
3745     *value = exim_openssl_options[middle].value;
3746     return TRUE;
3747     }
3748   else if (c > 0)
3749     first = middle + 1;
3750   else
3751     last = middle;
3752   }
3753 return FALSE;
3754 }
3755
3756
3757
3758
3759 /*************************************************
3760 *        OpenSSL option parsing logic            *
3761 *************************************************/
3762
3763 /* OpenSSL has a number of compatibility options which an administrator might
3764 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
3765 we look like log_selector.
3766
3767 Arguments:
3768   option_spec  the administrator-supplied string of options
3769   results      ptr to long storage for the options bitmap
3770 Returns        success or failure
3771 */
3772
3773 BOOL
3774 tls_openssl_options_parse(uschar *option_spec, long *results)
3775 {
3776 long result, item;
3777 uschar *end;
3778 uschar keep_c;
3779 BOOL adding, item_parsed;
3780
3781 /* Server: send no (<= TLS1.2) session tickets */
3782 result = SSL_OP_NO_TICKET;
3783
3784 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
3785  * from default because it increases BEAST susceptibility. */
3786 #ifdef SSL_OP_NO_SSLv2
3787 result |= SSL_OP_NO_SSLv2;
3788 #endif
3789 #ifdef SSL_OP_NO_SSLv3
3790 result |= SSL_OP_NO_SSLv3;
3791 #endif
3792 #ifdef SSL_OP_SINGLE_DH_USE
3793 result |= SSL_OP_SINGLE_DH_USE;
3794 #endif
3795
3796 if (!option_spec)
3797   {
3798   *results = result;
3799   return TRUE;
3800   }
3801
3802 for (uschar * s = option_spec; *s; /**/)
3803   {
3804   while (isspace(*s)) ++s;
3805   if (*s == '\0')
3806     break;
3807   if (*s != '+' && *s != '-')
3808     {
3809     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
3810         "+ or - expected but found \"%s\"\n", s);
3811     return FALSE;
3812     }
3813   adding = *s++ == '+';
3814   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
3815   keep_c = *end;
3816   *end = '\0';
3817   item_parsed = tls_openssl_one_option_parse(s, &item);
3818   *end = keep_c;
3819   if (!item_parsed)
3820     {
3821     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
3822     return FALSE;
3823     }
3824   DEBUG(D_tls) debug_printf("openssl option, %s %8lx: %lx (%s)\n",
3825       adding ? "adding to    " : "removing from", result, item, s);
3826   if (adding)
3827     result |= item;
3828   else
3829     result &= ~item;
3830   s = end;
3831   }
3832
3833 *results = result;
3834 return TRUE;
3835 }
3836
3837 #endif  /*!MACRO_PREDEF*/
3838 /* vi: aw ai sw=2
3839 */
3840 /* End of tls-openssl.c */