704522b5005644067f028a56db34e1238fe8af96
[users/heiko/exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef EXPERIMENTAL_DANE
32 # include <danessl.h>
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44
45 /*
46  * X509_check_host provides sane certificate hostname checking, but was added
47  * to OpenSSL late, after other projects forked off the code-base.  So in
48  * addition to guarding against the base version number, beware that LibreSSL
49  * does not (at this time) support this function.
50  *
51  * If LibreSSL gains a different API, perhaps via libtls, then we'll probably
52  * opt to disentangle and ask a LibreSSL user to provide glue for a third
53  * crypto provider for libtls instead of continuing to tie the OpenSSL glue
54  * into even twistier knots.  If LibreSSL gains the same API, we can just
55  * change this guard and punt the issue for a while longer.
56  */
57 #ifndef LIBRESSL_VERSION_NUMBER
58 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
59 #  define EXIM_HAVE_OPENSSL_CHECKHOST
60 # endif
61 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
62     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
63 #  define EXIM_HAVE_OPENSSL_CHECKHOST
64 # endif
65
66 # if !defined(OPENSSL_NO_ECDH)
67 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
68 #   define EXIM_HAVE_ECDH
69 #  endif
70 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
71 #   define EXIM_HAVE_OPENSSL_ECDH_AUTO
72 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
73 #  endif
74 # endif
75 #endif
76
77 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
78 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
79 # define DISABLE_OCSP
80 #endif
81
82 /* Structure for collecting random data for seeding. */
83
84 typedef struct randstuff {
85   struct timeval tv;
86   pid_t          p;
87 } randstuff;
88
89 /* Local static variables */
90
91 static BOOL client_verify_callback_called = FALSE;
92 static BOOL server_verify_callback_called = FALSE;
93 static const uschar *sid_ctx = US"exim";
94
95 /* We have three different contexts to care about.
96
97 Simple case: client, `client_ctx`
98  As a client, we can be doing a callout or cut-through delivery while receiving
99  a message.  So we have a client context, which should have options initialised
100  from the SMTP Transport.
101
102 Server:
103  There are two cases: with and without ServerNameIndication from the client.
104  Given TLS SNI, we can be using different keys, certs and various other
105  configuration settings, because they're re-expanded with $tls_sni set.  This
106  allows vhosting with TLS.  This SNI is sent in the handshake.
107  A client might not send SNI, so we need a fallback, and an initial setup too.
108  So as a server, we start out using `server_ctx`.
109  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
110  `server_sni` from `server_ctx` and then initialise settings by re-expanding
111  configuration.
112 */
113
114 static SSL_CTX *client_ctx = NULL;
115 static SSL_CTX *server_ctx = NULL;
116 static SSL     *client_ssl = NULL;
117 static SSL     *server_ssl = NULL;
118
119 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
120 static SSL_CTX *server_sni = NULL;
121 #endif
122
123 static char ssl_errstring[256];
124
125 static int  ssl_session_timeout = 200;
126 static BOOL client_verify_optional = FALSE;
127 static BOOL server_verify_optional = FALSE;
128
129 static BOOL reexpand_tls_files_for_sni = FALSE;
130
131
132 typedef struct tls_ext_ctx_cb {
133   uschar *certificate;
134   uschar *privatekey;
135 #ifndef DISABLE_OCSP
136   BOOL is_server;
137   union {
138     struct {
139       uschar        *file;
140       uschar        *file_expanded;
141       OCSP_RESPONSE *response;
142     } server;
143     struct {
144       X509_STORE    *verify_store;      /* non-null if status requested */
145       BOOL          verify_required;
146     } client;
147   } u_ocsp;
148 #endif
149   uschar *dhparam;
150   /* these are cached from first expand */
151   uschar *server_cipher_list;
152   /* only passed down to tls_error: */
153   host_item *host;
154   const uschar * verify_cert_hostnames;
155 #ifdef EXPERIMENTAL_EVENT
156   uschar * event_action;
157 #endif
158 } tls_ext_ctx_cb;
159
160 /* should figure out a cleanup of API to handle state preserved per
161 implementation, for various reasons, which can be void * in the APIs.
162 For now, we hack around it. */
163 tls_ext_ctx_cb *client_static_cbinfo = NULL;
164 tls_ext_ctx_cb *server_static_cbinfo = NULL;
165
166 static int
167 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
168     int (*cert_vfy_cb)(int, X509_STORE_CTX *) );
169
170 /* Callbacks */
171 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
172 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
173 #endif
174 #ifndef DISABLE_OCSP
175 static int tls_server_stapling_cb(SSL *s, void *arg);
176 #endif
177
178
179 /*************************************************
180 *               Handle TLS error                 *
181 *************************************************/
182
183 /* Called from lots of places when errors occur before actually starting to do
184 the TLS handshake, that is, while the session is still in clear. Always returns
185 DEFER for a server and FAIL for a client so that most calls can use "return
186 tls_error(...)" to do this processing and then give an appropriate return. A
187 single function is used for both server and client, because it is called from
188 some shared functions.
189
190 Argument:
191   prefix    text to include in the logged error
192   host      NULL if setting up a server;
193             the connected host if setting up a client
194   msg       error message or NULL if we should ask OpenSSL
195
196 Returns:    OK/DEFER/FAIL
197 */
198
199 static int
200 tls_error(uschar * prefix, const host_item * host, uschar *  msg)
201 {
202 if (!msg)
203   {
204   ERR_error_string(ERR_get_error(), ssl_errstring);
205   msg = (uschar *)ssl_errstring;
206   }
207
208 if (host)
209   {
210   log_write(0, LOG_MAIN, "H=%s [%s] TLS error on connection (%s): %s",
211     host->name, host->address, prefix, msg);
212   return FAIL;
213   }
214 else
215   {
216   uschar *conn_info = smtp_get_connection_info();
217   if (Ustrncmp(conn_info, US"SMTP ", 5) == 0)
218     conn_info += 5;
219   /* I'd like to get separated H= here, but too hard for now */
220   log_write(0, LOG_MAIN, "TLS error on %s (%s): %s",
221     conn_info, prefix, msg);
222   return DEFER;
223   }
224 }
225
226
227
228 /*************************************************
229 *        Callback to generate RSA key            *
230 *************************************************/
231
232 /*
233 Arguments:
234   s          SSL connection
235   export     not used
236   keylength  keylength
237
238 Returns:     pointer to generated key
239 */
240
241 static RSA *
242 rsa_callback(SSL *s, int export, int keylength)
243 {
244 RSA *rsa_key;
245 export = export;     /* Shut picky compilers up */
246 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
247 rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL);
248 if (rsa_key == NULL)
249   {
250   ERR_error_string(ERR_get_error(), ssl_errstring);
251   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
252     ssl_errstring);
253   return NULL;
254   }
255 return rsa_key;
256 }
257
258
259
260 /* Extreme debug
261 #ifndef DISABLE_OCSP
262 void
263 x509_store_dump_cert_s_names(X509_STORE * store)
264 {
265 STACK_OF(X509_OBJECT) * roots= store->objs;
266 int i;
267 static uschar name[256];
268
269 for(i= 0; i<sk_X509_OBJECT_num(roots); i++)
270   {
271   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
272   if(tmp_obj->type == X509_LU_X509)
273     {
274     X509 * current_cert= tmp_obj->data.x509;
275     X509_NAME_oneline(X509_get_subject_name(current_cert), CS name, sizeof(name));
276         name[sizeof(name)-1] = '\0';
277     debug_printf(" %s\n", name);
278     }
279   }
280 }
281 #endif
282 */
283
284
285 #ifdef EXPERIMENTAL_EVENT
286 static int
287 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
288   BOOL *calledp, const BOOL *optionalp, const uschar * what)
289 {
290 uschar * ev;
291 uschar * yield;
292 X509 * old_cert;
293
294 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
295 if (ev)
296   {
297   old_cert = tlsp->peercert;
298   tlsp->peercert = X509_dup(cert);
299   /* NB we do not bother setting peerdn */
300   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
301     {
302     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
303                 "depth=%d cert=%s: %s",
304               tlsp == &tls_out ? deliver_host_address : sender_host_address,
305               what, depth, dn, yield);
306     *calledp = TRUE;
307     if (!*optionalp)
308       {
309       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
310       return 1;                     /* reject (leaving peercert set) */
311       }
312     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
313       "(host in tls_try_verify_hosts)\n");
314     }
315   X509_free(tlsp->peercert);
316   tlsp->peercert = old_cert;
317   }
318 return 0;
319 }
320 #endif
321
322 /*************************************************
323 *        Callback for verification               *
324 *************************************************/
325
326 /* The SSL library does certificate verification if set up to do so. This
327 callback has the current yes/no state is in "state". If verification succeeded,
328 we set the certificate-verified flag. If verification failed, what happens
329 depends on whether the client is required to present a verifiable certificate
330 or not.
331
332 If verification is optional, we change the state to yes, but still log the
333 verification error. For some reason (it really would help to have proper
334 documentation of OpenSSL), this callback function then gets called again, this
335 time with state = 1.  We must take care not to set the private verified flag on
336 the second time through.
337
338 Note: this function is not called if the client fails to present a certificate
339 when asked. We get here only if a certificate has been received. Handling of
340 optional verification for this case is done when requesting SSL to verify, by
341 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
342
343 May be called multiple times for different issues with a certificate, even
344 for a given "depth" in the certificate chain.
345
346 Arguments:
347   state      current yes/no state as 1/0
348   x509ctx    certificate information.
349   client     TRUE for client startup, FALSE for server startup
350
351 Returns:     1 if verified, 0 if not
352 */
353
354 static int
355 verify_callback(int state, X509_STORE_CTX *x509ctx,
356   tls_support *tlsp, BOOL *calledp, BOOL *optionalp)
357 {
358 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
359 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
360 uschar dn[256];
361
362 X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn));
363 dn[sizeof(dn)-1] = '\0';
364
365 if (state == 0)
366   {
367   log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
368         tlsp == &tls_out ? deliver_host_address : sender_host_address,
369     depth,
370     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)),
371     dn);
372   *calledp = TRUE;
373   if (!*optionalp)
374     {
375     if (!tlsp->peercert)
376       tlsp->peercert = X509_dup(cert);  /* record failing cert */
377     return 0;                           /* reject */
378     }
379   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
380     "tls_try_verify_hosts)\n");
381   }
382
383 else if (depth != 0)
384   {
385   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
386 #ifndef DISABLE_OCSP
387   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
388     {   /* client, wanting stapling  */
389     /* Add the server cert's signing chain as the one
390     for the verification of the OCSP stapled information. */
391
392     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
393                              cert))
394       ERR_clear_error();
395     }
396 #endif
397 #ifdef EXPERIMENTAL_EVENT
398     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
399       return 0;                         /* reject, with peercert set */
400 #endif
401   }
402 else
403   {
404   const uschar * verify_cert_hostnames;
405
406   if (  tlsp == &tls_out
407      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
408         /* client, wanting hostname check */
409     {
410
411 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
412 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
413 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
414 # endif
415 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
416 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
417 # endif
418     int sep = 0;
419     const uschar * list = verify_cert_hostnames;
420     uschar * name;
421     int rc;
422     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
423       if ((rc = X509_check_host(cert, name, 0,
424                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
425                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
426                   NULL)))
427         {
428         if (rc < 0)
429           {
430           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
431                 tlsp == &tls_out ? deliver_host_address : sender_host_address);
432           name = NULL;
433           }
434         break;
435         }
436     if (!name)
437 #else
438     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
439 #endif
440       {
441       log_write(0, LOG_MAIN,
442                 "[%s] SSL verify error: certificate name mismatch: \"%s\"",
443                 tlsp == &tls_out ? deliver_host_address : sender_host_address,
444                 dn);
445       *calledp = TRUE;
446       if (!*optionalp)
447         {
448         if (!tlsp->peercert)
449           tlsp->peercert = X509_dup(cert);      /* record failing cert */
450         return 0;                               /* reject */
451         }
452       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
453         "tls_try_verify_hosts)\n");
454       }
455     }
456
457 #ifdef EXPERIMENTAL_EVENT
458   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
459     return 0;                           /* reject, with peercert set */
460 #endif
461
462   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
463     *calledp ? "" : " authenticated", dn);
464   if (!*calledp) tlsp->certificate_verified = TRUE;
465   *calledp = TRUE;
466   }
467
468 return 1;   /* accept, at least for this level */
469 }
470
471 static int
472 verify_callback_client(int state, X509_STORE_CTX *x509ctx)
473 {
474 return verify_callback(state, x509ctx, &tls_out, &client_verify_callback_called, &client_verify_optional);
475 }
476
477 static int
478 verify_callback_server(int state, X509_STORE_CTX *x509ctx)
479 {
480 return verify_callback(state, x509ctx, &tls_in, &server_verify_callback_called, &server_verify_optional);
481 }
482
483
484 #ifdef EXPERIMENTAL_DANE
485
486 /* This gets called *by* the dane library verify callback, which interposes
487 itself.
488 */
489 static int
490 verify_callback_client_dane(int state, X509_STORE_CTX * x509ctx)
491 {
492 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
493 uschar dn[256];
494 #ifdef EXPERIMENTAL_EVENT
495 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
496 BOOL dummy_called, optional = FALSE;
497 #endif
498
499 X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn));
500 dn[sizeof(dn)-1] = '\0';
501
502 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s\n", dn);
503
504 #ifdef EXPERIMENTAL_EVENT
505   if (verify_event(&tls_out, cert, depth, dn,
506           &dummy_called, &optional, US"DANE"))
507     return 0;                           /* reject, with peercert set */
508 #endif
509
510 if (state == 1)
511   tls_out.dane_verified =
512   tls_out.certificate_verified = TRUE;
513 return 1;
514 }
515
516 #endif  /*EXPERIMENTAL_DANE*/
517
518
519 /*************************************************
520 *           Information callback                 *
521 *************************************************/
522
523 /* The SSL library functions call this from time to time to indicate what they
524 are doing. We copy the string to the debugging output when TLS debugging has
525 been requested.
526
527 Arguments:
528   s         the SSL connection
529   where
530   ret
531
532 Returns:    nothing
533 */
534
535 static void
536 info_callback(SSL *s, int where, int ret)
537 {
538 where = where;
539 ret = ret;
540 DEBUG(D_tls) debug_printf("SSL info: %s\n", SSL_state_string_long(s));
541 }
542
543
544
545 /*************************************************
546 *                Initialize for DH               *
547 *************************************************/
548
549 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
550
551 Arguments:
552   sctx      The current SSL CTX (inbound or outbound)
553   dhparam   DH parameter file or fixed parameter identity string
554   host      connected host, if client; NULL if server
555
556 Returns:    TRUE if OK (nothing to set up, or setup worked)
557 */
558
559 static BOOL
560 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host)
561 {
562 BIO *bio;
563 DH *dh;
564 uschar *dhexpanded;
565 const char *pem;
566
567 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded))
568   return FALSE;
569
570 if (!dhexpanded || !*dhexpanded)
571   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
572 else if (dhexpanded[0] == '/')
573   {
574   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
575     {
576     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
577           host, US strerror(errno));
578     return FALSE;
579     }
580   }
581 else
582   {
583   if (Ustrcmp(dhexpanded, "none") == 0)
584     {
585     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
586     return TRUE;
587     }
588
589   if (!(pem = std_dh_prime_named(dhexpanded)))
590     {
591     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
592         host, US strerror(errno));
593     return FALSE;
594     }
595   bio = BIO_new_mem_buf(CS pem, -1);
596   }
597
598 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
599   {
600   BIO_free(bio);
601   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
602       host, NULL);
603   return FALSE;
604   }
605
606 /* Even if it is larger, we silently return success rather than cause things
607  * to fail out, so that a too-large DH will not knock out all TLS; it's a
608  * debatable choice. */
609 if ((8*DH_size(dh)) > tls_dh_max_bits)
610   {
611   DEBUG(D_tls)
612     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d",
613         8*DH_size(dh), tls_dh_max_bits);
614   }
615 else
616   {
617   SSL_CTX_set_tmp_dh(sctx, dh);
618   DEBUG(D_tls)
619     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
620       dhexpanded ? dhexpanded : US"default", 8*DH_size(dh));
621   }
622
623 DH_free(dh);
624 BIO_free(bio);
625
626 return TRUE;
627 }
628
629
630
631
632 /*************************************************
633 *               Initialize for ECDH              *
634 *************************************************/
635
636 /* Load parameters for ECDH encryption.
637
638 For now, we stick to NIST P-256 because: it's simple and easy to configure;
639 it avoids any patent issues that might bite redistributors; despite events in
640 the news and concerns over curve choices, we're not cryptographers, we're not
641 pretending to be, and this is "good enough" to be better than no support,
642 protecting against most adversaries.  Given another year or two, there might
643 be sufficient clarity about a "right" way forward to let us make an informed
644 decision, instead of a knee-jerk reaction.
645
646 Longer-term, we should look at supporting both various named curves and
647 external files generated with "openssl ecparam", much as we do for init_dh().
648 We should also support "none" as a value, to explicitly avoid initialisation.
649
650 Patches welcome.
651
652 Arguments:
653   sctx      The current SSL CTX (inbound or outbound)
654   host      connected host, if client; NULL if server
655
656 Returns:    TRUE if OK (nothing to set up, or setup worked)
657 */
658
659 static BOOL
660 init_ecdh(SSL_CTX * sctx, host_item * host)
661 {
662 #ifdef OPENSSL_NO_ECDH
663 return TRUE;
664 #else
665
666 EC_KEY * ecdh;
667 uschar * exp_curve;
668 int nid;
669 BOOL rv;
670
671 if (host)       /* No ECDH setup for clients, only for servers */
672   return TRUE;
673
674 # ifndef EXIM_HAVE_ECDH
675 DEBUG(D_tls)
676   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
677 return TRUE;
678 # else
679
680 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve))
681   return FALSE;
682 if (!exp_curve || !*exp_curve)
683   return TRUE;
684
685 #  ifdef EXIM_HAVE_OPENSSL_ECDH_AUTO
686 /* check if new enough library to support auto ECDH temp key parameter selection */
687 if (Ustrcmp(exp_curve, "auto") == 0)
688   {
689   DEBUG(D_tls) debug_printf(
690     "ECDH temp key parameter settings: OpenSSL 1.2+ autoselection\n");
691   SSL_CTX_set_ecdh_auto(sctx, 1);
692   return TRUE;
693   }
694 #  endif
695
696 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
697 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
698 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
699    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
700 #   endif
701    )
702   {
703   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'",
704       exp_curve),
705     host, NULL);
706   return FALSE;
707   }
708
709 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
710   {
711   tls_error(US"Unable to create ec curve", host, NULL);
712   return FALSE;
713   }
714
715 /* The "tmp" in the name here refers to setting a temporary key
716 not to the stability of the interface. */
717
718 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
719   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL);
720 else
721   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
722
723 EC_KEY_free(ecdh);
724 return !rv;
725
726 # endif /*EXIM_HAVE_ECDH*/
727 #endif /*OPENSSL_NO_ECDH*/
728 }
729
730
731
732
733 #ifndef DISABLE_OCSP
734 /*************************************************
735 *       Load OCSP information into state         *
736 *************************************************/
737
738 /* Called to load the server OCSP response from the given file into memory, once
739 caller has determined this is needed.  Checks validity.  Debugs a message
740 if invalid.
741
742 ASSUMES: single response, for single cert.
743
744 Arguments:
745   sctx            the SSL_CTX* to update
746   cbinfo          various parts of session state
747   expanded        the filename putatively holding an OCSP response
748
749 */
750
751 static void
752 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
753 {
754 BIO *bio;
755 OCSP_RESPONSE *resp;
756 OCSP_BASICRESP *basic_response;
757 OCSP_SINGLERESP *single_response;
758 ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
759 X509_STORE *store;
760 unsigned long verify_flags;
761 int status, reason, i;
762
763 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
764 if (cbinfo->u_ocsp.server.response)
765   {
766   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
767   cbinfo->u_ocsp.server.response = NULL;
768   }
769
770 bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb");
771 if (!bio)
772   {
773   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
774       cbinfo->u_ocsp.server.file_expanded);
775   return;
776   }
777
778 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
779 BIO_free(bio);
780 if (!resp)
781   {
782   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
783   return;
784   }
785
786 status = OCSP_response_status(resp);
787 if (status != OCSP_RESPONSE_STATUS_SUCCESSFUL)
788   {
789   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
790       OCSP_response_status_str(status), status);
791   goto bad;
792   }
793
794 basic_response = OCSP_response_get1_basic(resp);
795 if (!basic_response)
796   {
797   DEBUG(D_tls)
798     debug_printf("OCSP response parse error: unable to extract basic response.\n");
799   goto bad;
800   }
801
802 store = SSL_CTX_get_cert_store(sctx);
803 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
804
805 /* May need to expose ability to adjust those flags?
806 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
807 OCSP_TRUSTOTHER OCSP_NOINTERN */
808
809 i = OCSP_basic_verify(basic_response, NULL, store, verify_flags);
810 if (i <= 0)
811   {
812   DEBUG(D_tls) {
813     ERR_error_string(ERR_get_error(), ssl_errstring);
814     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
815     }
816   goto bad;
817   }
818
819 /* Here's the simplifying assumption: there's only one response, for the
820 one certificate we use, and nothing for anything else in a chain.  If this
821 proves false, we need to extract a cert id from our issued cert
822 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
823 right cert in the stack and then calls OCSP_single_get0_status()).
824
825 I'm hoping to avoid reworking a bunch more of how we handle state here. */
826 single_response = OCSP_resp_get0(basic_response, 0);
827 if (!single_response)
828   {
829   DEBUG(D_tls)
830     debug_printf("Unable to get first response from OCSP basic response.\n");
831   goto bad;
832   }
833
834 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
835 if (status != V_OCSP_CERTSTATUS_GOOD)
836   {
837   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
838       OCSP_cert_status_str(status), status,
839       OCSP_crl_reason_str(reason), reason);
840   goto bad;
841   }
842
843 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
844   {
845   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
846   goto bad;
847   }
848
849 supply_response:
850   cbinfo->u_ocsp.server.response = resp;
851 return;
852
853 bad:
854   if (running_in_test_harness)
855     {
856     extern char ** environ;
857     uschar ** p;
858     for (p = USS environ; *p != NULL; p++)
859       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
860         {
861         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
862         goto supply_response;
863         }
864     }
865 return;
866 }
867 #endif  /*!DISABLE_OCSP*/
868
869
870
871
872 /*************************************************
873 *        Expand key and cert file specs          *
874 *************************************************/
875
876 /* Called once during tls_init and possibly again during TLS setup, for a
877 new context, if Server Name Indication was used and tls_sni was seen in
878 the certificate string.
879
880 Arguments:
881   sctx            the SSL_CTX* to update
882   cbinfo          various parts of session state
883
884 Returns:          OK/DEFER/FAIL
885 */
886
887 static int
888 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo)
889 {
890 uschar *expanded;
891
892 if (cbinfo->certificate == NULL)
893   return OK;
894
895 if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
896     Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
897     Ustrstr(cbinfo->certificate, US"tls_out_sni")
898    )
899   reexpand_tls_files_for_sni = TRUE;
900
901 if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded))
902   return DEFER;
903
904 if (expanded != NULL)
905   {
906   DEBUG(D_tls) debug_printf("tls_certificate file %s\n", expanded);
907   if (!SSL_CTX_use_certificate_chain_file(sctx, CS expanded))
908     return tls_error(string_sprintf(
909       "SSL_CTX_use_certificate_chain_file file=%s", expanded),
910         cbinfo->host, NULL);
911   }
912
913 if (cbinfo->privatekey != NULL &&
914     !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded))
915   return DEFER;
916
917 /* If expansion was forced to fail, key_expanded will be NULL. If the result
918 of the expansion is an empty string, ignore it also, and assume the private
919 key is in the same file as the certificate. */
920
921 if (expanded != NULL && *expanded != 0)
922   {
923   DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", expanded);
924   if (!SSL_CTX_use_PrivateKey_file(sctx, CS expanded, SSL_FILETYPE_PEM))
925     return tls_error(string_sprintf(
926       "SSL_CTX_use_PrivateKey_file file=%s", expanded), cbinfo->host, NULL);
927   }
928
929 #ifndef DISABLE_OCSP
930 if (cbinfo->is_server &&  cbinfo->u_ocsp.server.file != NULL)
931   {
932   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded))
933     return DEFER;
934
935   if (expanded != NULL && *expanded != 0)
936     {
937     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
938     if (cbinfo->u_ocsp.server.file_expanded &&
939         (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
940       {
941       DEBUG(D_tls)
942         debug_printf("tls_ocsp_file value unchanged, using existing values.\n");
943       } else {
944         ocsp_load_response(sctx, cbinfo, expanded);
945       }
946     }
947   }
948 #endif
949
950 return OK;
951 }
952
953
954
955
956 /*************************************************
957 *            Callback to handle SNI              *
958 *************************************************/
959
960 /* Called when acting as server during the TLS session setup if a Server Name
961 Indication extension was sent by the client.
962
963 API documentation is OpenSSL s_server.c implementation.
964
965 Arguments:
966   s               SSL* of the current session
967   ad              unknown (part of OpenSSL API) (unused)
968   arg             Callback of "our" registered data
969
970 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
971 */
972
973 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
974 static int
975 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
976 {
977 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
978 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
979 int rc;
980 int old_pool = store_pool;
981
982 if (!servername)
983   return SSL_TLSEXT_ERR_OK;
984
985 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
986     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
987
988 /* Make the extension value available for expansion */
989 store_pool = POOL_PERM;
990 tls_in.sni = string_copy(US servername);
991 store_pool = old_pool;
992
993 if (!reexpand_tls_files_for_sni)
994   return SSL_TLSEXT_ERR_OK;
995
996 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
997 not confident that memcpy wouldn't break some internal reference counting.
998 Especially since there's a references struct member, which would be off. */
999
1000 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1001   {
1002   ERR_error_string(ERR_get_error(), ssl_errstring);
1003   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1004   return SSL_TLSEXT_ERR_NOACK;
1005   }
1006
1007 /* Not sure how many of these are actually needed, since SSL object
1008 already exists.  Might even need this selfsame callback, for reneg? */
1009
1010 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1011 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1012 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1013 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1014 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1015 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1016
1017 if (  !init_dh(server_sni, cbinfo->dhparam, NULL)
1018    || !init_ecdh(server_sni, NULL)
1019    )
1020   return SSL_TLSEXT_ERR_NOACK;
1021
1022 if (cbinfo->server_cipher_list)
1023   SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list);
1024 #ifndef DISABLE_OCSP
1025 if (cbinfo->u_ocsp.server.file)
1026   {
1027   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1028   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1029   }
1030 #endif
1031
1032 rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE, verify_callback_server);
1033 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
1034
1035 /* do this after setup_certs, because this can require the certs for verifying
1036 OCSP information. */
1037 if ((rc = tls_expand_session_files(server_sni, cbinfo)) != OK)
1038   return SSL_TLSEXT_ERR_NOACK;
1039
1040 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1041 SSL_set_SSL_CTX(s, server_sni);
1042
1043 return SSL_TLSEXT_ERR_OK;
1044 }
1045 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1046
1047
1048
1049
1050 #ifndef DISABLE_OCSP
1051
1052 /*************************************************
1053 *        Callback to handle OCSP Stapling        *
1054 *************************************************/
1055
1056 /* Called when acting as server during the TLS session setup if the client
1057 requests OCSP information with a Certificate Status Request.
1058
1059 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1060 project.
1061
1062 */
1063
1064 static int
1065 tls_server_stapling_cb(SSL *s, void *arg)
1066 {
1067 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1068 uschar *response_der;
1069 int response_der_len;
1070
1071 DEBUG(D_tls)
1072   debug_printf("Received TLS status request (OCSP stapling); %s response\n",
1073     cbinfo->u_ocsp.server.response ? "have" : "lack");
1074
1075 tls_in.ocsp = OCSP_NOT_RESP;
1076 if (!cbinfo->u_ocsp.server.response)
1077   return SSL_TLSEXT_ERR_NOACK;
1078
1079 response_der = NULL;
1080 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,
1081                       &response_der);
1082 if (response_der_len <= 0)
1083   return SSL_TLSEXT_ERR_NOACK;
1084
1085 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1086 tls_in.ocsp = OCSP_VFIED;
1087 return SSL_TLSEXT_ERR_OK;
1088 }
1089
1090
1091 static void
1092 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1093 {
1094 BIO_printf(bp, "\t%s: ", str);
1095 ASN1_GENERALIZEDTIME_print(bp, time);
1096 BIO_puts(bp, "\n");
1097 }
1098
1099 static int
1100 tls_client_stapling_cb(SSL *s, void *arg)
1101 {
1102 tls_ext_ctx_cb * cbinfo = arg;
1103 const unsigned char * p;
1104 int len;
1105 OCSP_RESPONSE * rsp;
1106 OCSP_BASICRESP * bs;
1107 int i;
1108
1109 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
1110 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1111 if(!p)
1112  {
1113   /* Expect this when we requested ocsp but got none */
1114   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1115     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
1116   else
1117     DEBUG(D_tls) debug_printf(" null\n");
1118   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1119  }
1120
1121 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1122  {
1123   tls_out.ocsp = OCSP_FAILED;
1124   if (LOGGING(tls_cipher))
1125     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1126   else
1127     DEBUG(D_tls) debug_printf(" parse error\n");
1128   return 0;
1129  }
1130
1131 if(!(bs = OCSP_response_get1_basic(rsp)))
1132   {
1133   tls_out.ocsp = OCSP_FAILED;
1134   if (LOGGING(tls_cipher))
1135     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1136   else
1137     DEBUG(D_tls) debug_printf(" error parsing response\n");
1138   OCSP_RESPONSE_free(rsp);
1139   return 0;
1140   }
1141
1142 /* We'd check the nonce here if we'd put one in the request. */
1143 /* However that would defeat cacheability on the server so we don't. */
1144
1145 /* This section of code reworked from OpenSSL apps source;
1146    The OpenSSL Project retains copyright:
1147    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1148 */
1149   {
1150     BIO * bp = NULL;
1151     int status, reason;
1152     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1153
1154     DEBUG(D_tls) bp = BIO_new_fp(stderr, BIO_NOCLOSE);
1155
1156     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1157
1158     /* Use the chain that verified the server cert to verify the stapled info */
1159     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1160
1161     if ((i = OCSP_basic_verify(bs, NULL,
1162               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1163       {
1164       tls_out.ocsp = OCSP_FAILED;
1165       if (LOGGING(tls_cipher))
1166         log_write(0, LOG_MAIN, "Received TLS cert status response, itself unverifiable");
1167       BIO_printf(bp, "OCSP response verify failure\n");
1168       ERR_print_errors(bp);
1169       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1170       goto out;
1171       }
1172
1173     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1174
1175       {
1176       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1177       OCSP_SINGLERESP * single;
1178
1179       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1180         {
1181         tls_out.ocsp = OCSP_FAILED;
1182         log_write(0, LOG_MAIN, "OCSP stapling "
1183             "with multiple responses not handled");
1184         i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1185         goto out;
1186         }
1187       single = OCSP_resp_get0(bs, 0);
1188       status = OCSP_single_get0_status(single, &reason, &rev,
1189                   &thisupd, &nextupd);
1190       }
1191
1192     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1193     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1194     if (!OCSP_check_validity(thisupd, nextupd,
1195           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1196       {
1197       tls_out.ocsp = OCSP_FAILED;
1198       DEBUG(D_tls) ERR_print_errors(bp);
1199       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1200       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1201       }
1202     else
1203       {
1204       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1205                     OCSP_cert_status_str(status));
1206       switch(status)
1207         {
1208         case V_OCSP_CERTSTATUS_GOOD:
1209           tls_out.ocsp = OCSP_VFIED;
1210           i = 1;
1211           break;
1212         case V_OCSP_CERTSTATUS_REVOKED:
1213           tls_out.ocsp = OCSP_FAILED;
1214           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1215               reason != -1 ? "; reason: " : "",
1216               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1217           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1218           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1219           break;
1220         default:
1221           tls_out.ocsp = OCSP_FAILED;
1222           log_write(0, LOG_MAIN,
1223               "Server certificate status unknown, in OCSP stapling");
1224           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1225           break;
1226         }
1227       }
1228   out:
1229     BIO_free(bp);
1230   }
1231
1232 OCSP_RESPONSE_free(rsp);
1233 return i;
1234 }
1235 #endif  /*!DISABLE_OCSP*/
1236
1237
1238 /*************************************************
1239 *            Initialize for TLS                  *
1240 *************************************************/
1241
1242 /* Called from both server and client code, to do preliminary initialization
1243 of the library.  We allocate and return a context structure.
1244
1245 Arguments:
1246   ctxp            returned SSL context
1247   host            connected host, if client; NULL if server
1248   dhparam         DH parameter file
1249   certificate     certificate file
1250   privatekey      private key
1251   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1252   addr            address if client; NULL if server (for some randomness)
1253   cbp             place to put allocated callback context
1254
1255 Returns:          OK/DEFER/FAIL
1256 */
1257
1258 static int
1259 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1260   uschar *privatekey,
1261 #ifndef DISABLE_OCSP
1262   uschar *ocsp_file,
1263 #endif
1264   address_item *addr, tls_ext_ctx_cb ** cbp)
1265 {
1266 long init_options;
1267 int rc;
1268 BOOL okay;
1269 tls_ext_ctx_cb * cbinfo;
1270
1271 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1272 cbinfo->certificate = certificate;
1273 cbinfo->privatekey = privatekey;
1274 #ifndef DISABLE_OCSP
1275 if ((cbinfo->is_server = host==NULL))
1276   {
1277   cbinfo->u_ocsp.server.file = ocsp_file;
1278   cbinfo->u_ocsp.server.file_expanded = NULL;
1279   cbinfo->u_ocsp.server.response = NULL;
1280   }
1281 else
1282   cbinfo->u_ocsp.client.verify_store = NULL;
1283 #endif
1284 cbinfo->dhparam = dhparam;
1285 cbinfo->server_cipher_list = NULL;
1286 cbinfo->host = host;
1287 #ifdef EXPERIMENTAL_EVENT
1288 cbinfo->event_action = NULL;
1289 #endif
1290
1291 SSL_load_error_strings();          /* basic set up */
1292 OpenSSL_add_ssl_algorithms();
1293
1294 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
1295 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1296 list of available digests. */
1297 EVP_add_digest(EVP_sha256());
1298 #endif
1299
1300 /* Create a context.
1301 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1302 negotiation in the different methods; as far as I can tell, the only
1303 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1304 when OpenSSL is built without SSLv2 support.
1305 By disabling with openssl_options, we can let admins re-enable with the
1306 existing knob. */
1307
1308 *ctxp = SSL_CTX_new((host == NULL)?
1309   SSLv23_server_method() : SSLv23_client_method());
1310
1311 if (*ctxp == NULL) return tls_error(US"SSL_CTX_new", host, NULL);
1312
1313 /* It turns out that we need to seed the random number generator this early in
1314 order to get the full complement of ciphers to work. It took me roughly a day
1315 of work to discover this by experiment.
1316
1317 On systems that have /dev/urandom, SSL may automatically seed itself from
1318 there. Otherwise, we have to make something up as best we can. Double check
1319 afterwards. */
1320
1321 if (!RAND_status())
1322   {
1323   randstuff r;
1324   gettimeofday(&r.tv, NULL);
1325   r.p = getpid();
1326
1327   RAND_seed((uschar *)(&r), sizeof(r));
1328   RAND_seed((uschar *)big_buffer, big_buffer_size);
1329   if (addr != NULL) RAND_seed((uschar *)addr, sizeof(addr));
1330
1331   if (!RAND_status())
1332     return tls_error(US"RAND_status", host,
1333       US"unable to seed random number generator");
1334   }
1335
1336 /* Set up the information callback, which outputs if debugging is at a suitable
1337 level. */
1338
1339 DEBUG(D_tls) SSL_CTX_set_info_callback(*ctxp, (void (*)())info_callback);
1340
1341 /* Automatically re-try reads/writes after renegotiation. */
1342 (void) SSL_CTX_set_mode(*ctxp, SSL_MODE_AUTO_RETRY);
1343
1344 /* Apply administrator-supplied work-arounds.
1345 Historically we applied just one requested option,
1346 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1347 moved to an administrator-controlled list of options to specify and
1348 grandfathered in the first one as the default value for "openssl_options".
1349
1350 No OpenSSL version number checks: the options we accept depend upon the
1351 availability of the option value macros from OpenSSL.  */
1352
1353 okay = tls_openssl_options_parse(openssl_options, &init_options);
1354 if (!okay)
1355   return tls_error(US"openssl_options parsing failed", host, NULL);
1356
1357 if (init_options)
1358   {
1359   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
1360   if (!(SSL_CTX_set_options(*ctxp, init_options)))
1361     return tls_error(string_sprintf(
1362           "SSL_CTX_set_option(%#lx)", init_options), host, NULL);
1363   }
1364 else
1365   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
1366
1367 /* Initialize with DH parameters if supplied */
1368 /* Initialize ECDH temp key parameter selection */
1369
1370 if (  !init_dh(*ctxp, dhparam, host)
1371    || !init_ecdh(*ctxp, host)
1372    )
1373   return DEFER;
1374
1375 /* Set up certificate and key (and perhaps OCSP info) */
1376
1377 rc = tls_expand_session_files(*ctxp, cbinfo);
1378 if (rc != OK) return rc;
1379
1380 /* If we need to handle SNI, do so */
1381 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1382 if (host == NULL)               /* server */
1383   {
1384 # ifndef DISABLE_OCSP
1385   /* We check u_ocsp.server.file, not server.response, because we care about if
1386   the option exists, not what the current expansion might be, as SNI might
1387   change the certificate and OCSP file in use between now and the time the
1388   callback is invoked. */
1389   if (cbinfo->u_ocsp.server.file)
1390     {
1391     SSL_CTX_set_tlsext_status_cb(server_ctx, tls_server_stapling_cb);
1392     SSL_CTX_set_tlsext_status_arg(server_ctx, cbinfo);
1393     }
1394 # endif
1395   /* We always do this, so that $tls_sni is available even if not used in
1396   tls_certificate */
1397   SSL_CTX_set_tlsext_servername_callback(*ctxp, tls_servername_cb);
1398   SSL_CTX_set_tlsext_servername_arg(*ctxp, cbinfo);
1399   }
1400 # ifndef DISABLE_OCSP
1401 else                    /* client */
1402   if(ocsp_file)         /* wanting stapling */
1403     {
1404     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
1405       {
1406       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
1407       return FAIL;
1408       }
1409     SSL_CTX_set_tlsext_status_cb(*ctxp, tls_client_stapling_cb);
1410     SSL_CTX_set_tlsext_status_arg(*ctxp, cbinfo);
1411     }
1412 # endif
1413 #endif
1414
1415 cbinfo->verify_cert_hostnames = NULL;
1416
1417 /* Set up the RSA callback */
1418
1419 SSL_CTX_set_tmp_rsa_callback(*ctxp, rsa_callback);
1420
1421 /* Finally, set the timeout, and we are done */
1422
1423 SSL_CTX_set_timeout(*ctxp, ssl_session_timeout);
1424 DEBUG(D_tls) debug_printf("Initialized TLS\n");
1425
1426 *cbp = cbinfo;
1427
1428 return OK;
1429 }
1430
1431
1432
1433
1434 /*************************************************
1435 *           Get name of cipher in use            *
1436 *************************************************/
1437
1438 /*
1439 Argument:   pointer to an SSL structure for the connection
1440             buffer to use for answer
1441             size of buffer
1442             pointer to number of bits for cipher
1443 Returns:    nothing
1444 */
1445
1446 static void
1447 construct_cipher_name(SSL *ssl, uschar *cipherbuf, int bsize, int *bits)
1448 {
1449 /* With OpenSSL 1.0.0a, this needs to be const but the documentation doesn't
1450 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
1451 the accessor functions use const in the prototype. */
1452 const SSL_CIPHER *c;
1453 const uschar *ver;
1454
1455 ver = (const uschar *)SSL_get_version(ssl);
1456
1457 c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
1458 SSL_CIPHER_get_bits(c, bits);
1459
1460 string_format(cipherbuf, bsize, "%s:%s:%u", ver,
1461   SSL_CIPHER_get_name(c), *bits);
1462
1463 DEBUG(D_tls) debug_printf("Cipher: %s\n", cipherbuf);
1464 }
1465
1466
1467 static void
1468 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned bsize)
1469 {
1470 /*XXX we might consider a list-of-certs variable for the cert chain.
1471 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
1472 in list-handling functions, also consider the difference between the entire
1473 chain and the elements sent by the peer. */
1474
1475 /* Will have already noted peercert on a verify fail; possibly not the leaf */
1476 if (!tlsp->peercert)
1477   tlsp->peercert = SSL_get_peer_certificate(ssl);
1478 /* Beware anonymous ciphers which lead to server_cert being NULL */
1479 if (tlsp->peercert)
1480   {
1481   X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, bsize);
1482   peerdn[bsize-1] = '\0';
1483   tlsp->peerdn = peerdn;                /*XXX a static buffer... */
1484   }
1485 else
1486   tlsp->peerdn = NULL;
1487 }
1488
1489
1490
1491
1492
1493 /*************************************************
1494 *        Set up for verifying certificates       *
1495 *************************************************/
1496
1497 /* Called by both client and server startup
1498
1499 Arguments:
1500   sctx          SSL_CTX* to initialise
1501   certs         certs file or NULL
1502   crl           CRL file or NULL
1503   host          NULL in a server; the remote host in a client
1504   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
1505                 otherwise passed as FALSE
1506   cert_vfy_cb   Callback function for certificate verification
1507
1508 Returns:        OK/DEFER/FAIL
1509 */
1510
1511 static int
1512 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
1513     int (*cert_vfy_cb)(int, X509_STORE_CTX *) )
1514 {
1515 uschar *expcerts, *expcrl;
1516
1517 if (!expand_check(certs, US"tls_verify_certificates", &expcerts))
1518   return DEFER;
1519
1520 if (expcerts != NULL && *expcerts != '\0')
1521   {
1522   if (Ustrcmp(expcerts, "system") == 0)
1523     {
1524     /* Tell the library to use its compiled-in location for the system default
1525     CA bundle, only */
1526
1527     if (!SSL_CTX_set_default_verify_paths(sctx))
1528       return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1529     }
1530   else
1531     {
1532     struct stat statbuf;
1533
1534     /* Tell the library to use its compiled-in location for the system default
1535     CA bundle. Those given by the exim config are additional to these */
1536
1537     if (!SSL_CTX_set_default_verify_paths(sctx))
1538       return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1539
1540     if (Ustat(expcerts, &statbuf) < 0)
1541       {
1542       log_write(0, LOG_MAIN|LOG_PANIC,
1543         "failed to stat %s for certificates", expcerts);
1544       return DEFER;
1545       }
1546     else
1547       {
1548       uschar *file, *dir;
1549       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1550         { file = NULL; dir = expcerts; }
1551       else
1552         { file = expcerts; dir = NULL; }
1553
1554       /* If a certificate file is empty, the next function fails with an
1555       unhelpful error message. If we skip it, we get the correct behaviour (no
1556       certificates are recognized, but the error message is still misleading (it
1557       says no certificate was supplied.) But this is better. */
1558
1559       if ((file == NULL || statbuf.st_size > 0) &&
1560             !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
1561         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL);
1562
1563       /* Load the list of CAs for which we will accept certs, for sending
1564       to the client.  This is only for the one-file tls_verify_certificates
1565       variant.
1566       If a list isn't loaded into the server, but
1567       some verify locations are set, the server end appears to make
1568       a wildcard reqest for client certs.
1569       Meanwhile, the client library as deafult behaviour *ignores* the list
1570       we send over the wire - see man SSL_CTX_set_client_cert_cb.
1571       Because of this, and that the dir variant is likely only used for
1572       the public-CA bundle (not for a private CA), not worth fixing.
1573       */
1574       if (file != NULL)
1575         {
1576         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
1577   DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
1578                                     sk_X509_NAME_num(names));
1579         SSL_CTX_set_client_CA_list(sctx, names);
1580         }
1581       }
1582     }
1583
1584   /* Handle a certificate revocation list. */
1585
1586   #if OPENSSL_VERSION_NUMBER > 0x00907000L
1587
1588   /* This bit of code is now the version supplied by Lars Mainka. (I have
1589    * merely reformatted it into the Exim code style.)
1590
1591    * "From here I changed the code to add support for multiple crl's
1592    * in pem format in one file or to support hashed directory entries in
1593    * pem format instead of a file. This method now uses the library function
1594    * X509_STORE_load_locations to add the CRL location to the SSL context.
1595    * OpenSSL will then handle the verify against CA certs and CRLs by
1596    * itself in the verify callback." */
1597
1598   if (!expand_check(crl, US"tls_crl", &expcrl)) return DEFER;
1599   if (expcrl != NULL && *expcrl != 0)
1600     {
1601     struct stat statbufcrl;
1602     if (Ustat(expcrl, &statbufcrl) < 0)
1603       {
1604       log_write(0, LOG_MAIN|LOG_PANIC,
1605         "failed to stat %s for certificates revocation lists", expcrl);
1606       return DEFER;
1607       }
1608     else
1609       {
1610       /* is it a file or directory? */
1611       uschar *file, *dir;
1612       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
1613       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
1614         {
1615         file = NULL;
1616         dir = expcrl;
1617         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
1618         }
1619       else
1620         {
1621         file = expcrl;
1622         dir = NULL;
1623         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
1624         }
1625       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
1626         return tls_error(US"X509_STORE_load_locations", host, NULL);
1627
1628       /* setting the flags to check against the complete crl chain */
1629
1630       X509_STORE_set_flags(cvstore,
1631         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
1632       }
1633     }
1634
1635   #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
1636
1637   /* If verification is optional, don't fail if no certificate */
1638
1639   SSL_CTX_set_verify(sctx,
1640     SSL_VERIFY_PEER | (optional? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
1641     cert_vfy_cb);
1642   }
1643
1644 return OK;
1645 }
1646
1647
1648
1649 /*************************************************
1650 *       Start a TLS session in a server          *
1651 *************************************************/
1652
1653 /* This is called when Exim is running as a server, after having received
1654 the STARTTLS command. It must respond to that command, and then negotiate
1655 a TLS session.
1656
1657 Arguments:
1658   require_ciphers   allowed ciphers
1659
1660 Returns:            OK on success
1661                     DEFER for errors before the start of the negotiation
1662                     FAIL for errors during the negotation; the server can't
1663                       continue running.
1664 */
1665
1666 int
1667 tls_server_start(const uschar *require_ciphers)
1668 {
1669 int rc;
1670 uschar *expciphers;
1671 tls_ext_ctx_cb *cbinfo;
1672 static uschar peerdn[256];
1673 static uschar cipherbuf[256];
1674
1675 /* Check for previous activation */
1676
1677 if (tls_in.active >= 0)
1678   {
1679   tls_error(US"STARTTLS received after TLS started", NULL, US"");
1680   smtp_printf("554 Already in TLS\r\n");
1681   return FAIL;
1682   }
1683
1684 /* Initialize the SSL library. If it fails, it will already have logged
1685 the error. */
1686
1687 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
1688 #ifndef DISABLE_OCSP
1689     tls_ocsp_file,
1690 #endif
1691     NULL, &server_static_cbinfo);
1692 if (rc != OK) return rc;
1693 cbinfo = server_static_cbinfo;
1694
1695 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers))
1696   return FAIL;
1697
1698 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1699 were historically separated by underscores. So that I can use either form in my
1700 tests, and also for general convenience, we turn underscores into hyphens here.
1701 */
1702
1703 if (expciphers != NULL)
1704   {
1705   uschar *s = expciphers;
1706   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1707   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1708   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
1709     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL);
1710   cbinfo->server_cipher_list = expciphers;
1711   }
1712
1713 /* If this is a host for which certificate verification is mandatory or
1714 optional, set up appropriately. */
1715
1716 tls_in.certificate_verified = FALSE;
1717 #ifdef EXPERIMENTAL_DANE
1718 tls_in.dane_verified = FALSE;
1719 #endif
1720 server_verify_callback_called = FALSE;
1721
1722 if (verify_check_host(&tls_verify_hosts) == OK)
1723   {
1724   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1725                         FALSE, verify_callback_server);
1726   if (rc != OK) return rc;
1727   server_verify_optional = FALSE;
1728   }
1729 else if (verify_check_host(&tls_try_verify_hosts) == OK)
1730   {
1731   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1732                         TRUE, verify_callback_server);
1733   if (rc != OK) return rc;
1734   server_verify_optional = TRUE;
1735   }
1736
1737 /* Prepare for new connection */
1738
1739 if ((server_ssl = SSL_new(server_ctx)) == NULL) return tls_error(US"SSL_new", NULL, NULL);
1740
1741 /* Warning: we used to SSL_clear(ssl) here, it was removed.
1742  *
1743  * With the SSL_clear(), we get strange interoperability bugs with
1744  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
1745  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
1746  *
1747  * The SSL_clear() call is to let an existing SSL* be reused, typically after
1748  * session shutdown.  In this case, we have a brand new object and there's no
1749  * obvious reason to immediately clear it.  I'm guessing that this was
1750  * originally added because of incomplete initialisation which the clear fixed,
1751  * in some historic release.
1752  */
1753
1754 /* Set context and tell client to go ahead, except in the case of TLS startup
1755 on connection, where outputting anything now upsets the clients and tends to
1756 make them disconnect. We need to have an explicit fflush() here, to force out
1757 the response. Other smtp_printf() calls do not need it, because in non-TLS
1758 mode, the fflush() happens when smtp_getc() is called. */
1759
1760 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
1761 if (!tls_in.on_connect)
1762   {
1763   smtp_printf("220 TLS go ahead\r\n");
1764   fflush(smtp_out);
1765   }
1766
1767 /* Now negotiate the TLS session. We put our own timer on it, since it seems
1768 that the OpenSSL library doesn't. */
1769
1770 SSL_set_wfd(server_ssl, fileno(smtp_out));
1771 SSL_set_rfd(server_ssl, fileno(smtp_in));
1772 SSL_set_accept_state(server_ssl);
1773
1774 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
1775
1776 sigalrm_seen = FALSE;
1777 if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
1778 rc = SSL_accept(server_ssl);
1779 alarm(0);
1780
1781 if (rc <= 0)
1782   {
1783   tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL);
1784   if (ERR_get_error() == 0)
1785     log_write(0, LOG_MAIN,
1786         "TLS client disconnected cleanly (rejected our certificate?)");
1787   return FAIL;
1788   }
1789
1790 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
1791
1792 /* TLS has been set up. Adjust the input functions to read via TLS,
1793 and initialize things. */
1794
1795 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
1796
1797 construct_cipher_name(server_ssl, cipherbuf, sizeof(cipherbuf), &tls_in.bits);
1798 tls_in.cipher = cipherbuf;
1799
1800 DEBUG(D_tls)
1801   {
1802   uschar buf[2048];
1803   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)) != NULL)
1804     debug_printf("Shared ciphers: %s\n", buf);
1805   }
1806
1807 /* Record the certificate we presented */
1808   {
1809   X509 * crt = SSL_get_certificate(server_ssl);
1810   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
1811   }
1812
1813 /* Only used by the server-side tls (tls_in), including tls_getc.
1814    Client-side (tls_out) reads (seem to?) go via
1815    smtp_read_response()/ip_recv().
1816    Hence no need to duplicate for _in and _out.
1817  */
1818 ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
1819 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
1820 ssl_xfer_eof = ssl_xfer_error = 0;
1821
1822 receive_getc = tls_getc;
1823 receive_ungetc = tls_ungetc;
1824 receive_feof = tls_feof;
1825 receive_ferror = tls_ferror;
1826 receive_smtp_buffered = tls_smtp_buffered;
1827
1828 tls_in.active = fileno(smtp_out);
1829 return OK;
1830 }
1831
1832
1833
1834
1835 static int
1836 tls_client_basic_ctx_init(SSL_CTX * ctx,
1837     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo
1838                           )
1839 {
1840 int rc;
1841 /* stick to the old behaviour for compatibility if tls_verify_certificates is
1842    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
1843    the specified host patterns if one of them is defined */
1844
1845 if (  (  !ob->tls_verify_hosts
1846       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
1847       )
1848    || (verify_check_given_host(&ob->tls_verify_hosts, host) == OK)
1849    )
1850   client_verify_optional = FALSE;
1851 else if (verify_check_given_host(&ob->tls_try_verify_hosts, host) == OK)
1852   client_verify_optional = TRUE;
1853 else
1854   return OK;
1855
1856 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
1857       ob->tls_crl, host, client_verify_optional, verify_callback_client)) != OK)
1858   return rc;
1859
1860 if (verify_check_given_host(&ob->tls_verify_cert_hostnames, host) == OK)
1861   {
1862   cbinfo->verify_cert_hostnames =
1863 #ifdef SUPPORT_I18N
1864     string_domain_utf8_to_alabel(host->name, NULL);
1865 #else
1866     host->name;
1867 #endif
1868   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
1869                     cbinfo->verify_cert_hostnames);
1870   }
1871 return OK;
1872 }
1873
1874
1875 #ifdef EXPERIMENTAL_DANE
1876 static int
1877 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa)
1878 {
1879 dns_record * rr;
1880 dns_scan dnss;
1881 const char * hostnames[2] = { CS host->name, NULL };
1882 int found = 0;
1883
1884 if (DANESSL_init(ssl, NULL, hostnames) != 1)
1885   return tls_error(US"hostnames load", host, NULL);
1886
1887 for (rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS);
1888      rr;
1889      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
1890     ) if (rr->type == T_TLSA)
1891   {
1892   uschar * p = rr->data;
1893   uint8_t usage, selector, mtype;
1894   const char * mdname;
1895
1896   usage = *p++;
1897
1898   /* Only DANE-TA(2) and DANE-EE(3) are supported */
1899   if (usage != 2 && usage != 3) continue;
1900
1901   selector = *p++;
1902   mtype = *p++;
1903
1904   switch (mtype)
1905     {
1906     default: continue;  /* Only match-types 0, 1, 2 are supported */
1907     case 0:  mdname = NULL; break;
1908     case 1:  mdname = "sha256"; break;
1909     case 2:  mdname = "sha512"; break;
1910     }
1911
1912   found++;
1913   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
1914     {
1915     default:
1916     case 0:     /* action not taken */
1917       return tls_error(US"tlsa load", host, NULL);
1918     case 1:     break;
1919     }
1920
1921   tls_out.tlsa_usage |= 1<<usage;
1922   }
1923
1924 if (found)
1925   return OK;
1926
1927 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
1928 return DEFER;
1929 }
1930 #endif  /*EXPERIMENTAL_DANE*/
1931
1932
1933
1934 /*************************************************
1935 *    Start a TLS session in a client             *
1936 *************************************************/
1937
1938 /* Called from the smtp transport after STARTTLS has been accepted.
1939
1940 Argument:
1941   fd               the fd of the connection
1942   host             connected host (for messages)
1943   addr             the first address
1944   tb               transport (always smtp)
1945   tlsa_dnsa        tlsa lookup, if DANE, else null
1946
1947 Returns:           OK on success
1948                    FAIL otherwise - note that tls_error() will not give DEFER
1949                      because this is not a server
1950 */
1951
1952 int
1953 tls_client_start(int fd, host_item *host, address_item *addr,
1954   transport_instance *tb
1955 #ifdef EXPERIMENTAL_DANE
1956   , dns_answer * tlsa_dnsa
1957 #endif
1958   )
1959 {
1960 smtp_transport_options_block * ob =
1961   (smtp_transport_options_block *)tb->options_block;
1962 static uschar peerdn[256];
1963 uschar * expciphers;
1964 int rc;
1965 static uschar cipherbuf[256];
1966
1967 #ifndef DISABLE_OCSP
1968 BOOL request_ocsp = FALSE;
1969 BOOL require_ocsp = FALSE;
1970 #endif
1971
1972 #ifdef EXPERIMENTAL_DANE
1973 tls_out.tlsa_usage = 0;
1974 #endif
1975
1976 #ifndef DISABLE_OCSP
1977   {
1978 # ifdef EXPERIMENTAL_DANE
1979   if (  tlsa_dnsa
1980      && ob->hosts_request_ocsp[0] == '*'
1981      && ob->hosts_request_ocsp[1] == '\0'
1982      )
1983     {
1984     /* Unchanged from default.  Use a safer one under DANE */
1985     request_ocsp = TRUE;
1986     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
1987                                       "   {= {4}{$tls_out_tlsa_usage}} } "
1988                                  " {*}{}}";
1989     }
1990 # endif
1991
1992   if ((require_ocsp =
1993         verify_check_given_host(&ob->hosts_require_ocsp, host) == OK))
1994     request_ocsp = TRUE;
1995   else
1996 # ifdef EXPERIMENTAL_DANE
1997     if (!request_ocsp)
1998 # endif
1999       request_ocsp =
2000         verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
2001   }
2002 #endif
2003
2004 rc = tls_init(&client_ctx, host, NULL,
2005     ob->tls_certificate, ob->tls_privatekey,
2006 #ifndef DISABLE_OCSP
2007     (void *)(long)request_ocsp,
2008 #endif
2009     addr, &client_static_cbinfo);
2010 if (rc != OK) return rc;
2011
2012 tls_out.certificate_verified = FALSE;
2013 client_verify_callback_called = FALSE;
2014
2015 if (!expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
2016     &expciphers))
2017   return FAIL;
2018
2019 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2020 are separated by underscores. So that I can use either form in my tests, and
2021 also for general convenience, we turn underscores into hyphens here. */
2022
2023 if (expciphers != NULL)
2024   {
2025   uschar *s = expciphers;
2026   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2027   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2028   if (!SSL_CTX_set_cipher_list(client_ctx, CS expciphers))
2029     return tls_error(US"SSL_CTX_set_cipher_list", host, NULL);
2030   }
2031
2032 #ifdef EXPERIMENTAL_DANE
2033 if (tlsa_dnsa)
2034   {
2035   SSL_CTX_set_verify(client_ctx,
2036     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
2037     verify_callback_client_dane);
2038
2039   if (!DANESSL_library_init())
2040     return tls_error(US"library init", host, NULL);
2041   if (DANESSL_CTX_init(client_ctx) <= 0)
2042     return tls_error(US"context init", host, NULL);
2043   }
2044 else
2045
2046 #endif
2047
2048   if ((rc = tls_client_basic_ctx_init(client_ctx, host, ob, client_static_cbinfo))
2049       != OK)
2050     return rc;
2051
2052 if ((client_ssl = SSL_new(client_ctx)) == NULL)
2053   return tls_error(US"SSL_new", host, NULL);
2054 SSL_set_session_id_context(client_ssl, sid_ctx, Ustrlen(sid_ctx));
2055 SSL_set_fd(client_ssl, fd);
2056 SSL_set_connect_state(client_ssl);
2057
2058 if (ob->tls_sni)
2059   {
2060   if (!expand_check(ob->tls_sni, US"tls_sni", &tls_out.sni))
2061     return FAIL;
2062   if (tls_out.sni == NULL)
2063     {
2064     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
2065     }
2066   else if (!Ustrlen(tls_out.sni))
2067     tls_out.sni = NULL;
2068   else
2069     {
2070 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2071     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tls_out.sni);
2072     SSL_set_tlsext_host_name(client_ssl, tls_out.sni);
2073 #else
2074     DEBUG(D_tls)
2075       debug_printf("OpenSSL at build-time lacked SNI support, ignoring \"%s\"\n",
2076           tls_out.sni);
2077 #endif
2078     }
2079   }
2080
2081 #ifdef EXPERIMENTAL_DANE
2082 if (tlsa_dnsa)
2083   if ((rc = dane_tlsa_load(client_ssl, host, tlsa_dnsa)) != OK)
2084     return rc;
2085 #endif
2086
2087 #ifndef DISABLE_OCSP
2088 /* Request certificate status at connection-time.  If the server
2089 does OCSP stapling we will get the callback (set in tls_init()) */
2090 # ifdef EXPERIMENTAL_DANE
2091 if (request_ocsp)
2092   {
2093   const uschar * s;
2094   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
2095      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
2096      )
2097     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
2098         this means we avoid the OCSP request, we wasted the setup
2099         cost in tls_init(). */
2100     require_ocsp = verify_check_given_host(&ob->hosts_require_ocsp, host) == OK;
2101     request_ocsp = require_ocsp
2102       || verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
2103     }
2104   }
2105 # endif
2106
2107 if (request_ocsp)
2108   {
2109   SSL_set_tlsext_status_type(client_ssl, TLSEXT_STATUSTYPE_ocsp);
2110   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
2111   tls_out.ocsp = OCSP_NOT_RESP;
2112   }
2113 #endif
2114
2115 #ifdef EXPERIMENTAL_EVENT
2116 client_static_cbinfo->event_action = tb->event_action;
2117 #endif
2118
2119 /* There doesn't seem to be a built-in timeout on connection. */
2120
2121 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
2122 sigalrm_seen = FALSE;
2123 alarm(ob->command_timeout);
2124 rc = SSL_connect(client_ssl);
2125 alarm(0);
2126
2127 #ifdef EXPERIMENTAL_DANE
2128 if (tlsa_dnsa)
2129   DANESSL_cleanup(client_ssl);
2130 #endif
2131
2132 if (rc <= 0)
2133   return tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL);
2134
2135 DEBUG(D_tls) debug_printf("SSL_connect succeeded\n");
2136
2137 peer_cert(client_ssl, &tls_out, peerdn, sizeof(peerdn));
2138
2139 construct_cipher_name(client_ssl, cipherbuf, sizeof(cipherbuf), &tls_out.bits);
2140 tls_out.cipher = cipherbuf;
2141
2142 /* Record the certificate we presented */
2143   {
2144   X509 * crt = SSL_get_certificate(client_ssl);
2145   tls_out.ourcert = crt ? X509_dup(crt) : NULL;
2146   }
2147
2148 tls_out.active = fd;
2149 return OK;
2150 }
2151
2152
2153
2154
2155
2156 /*************************************************
2157 *            TLS version of getc                 *
2158 *************************************************/
2159
2160 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
2161 it refills the buffer via the SSL reading function.
2162
2163 Arguments:  none
2164 Returns:    the next character or EOF
2165
2166 Only used by the server-side TLS.
2167 */
2168
2169 int
2170 tls_getc(void)
2171 {
2172 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
2173   {
2174   int error;
2175   int inbytes;
2176
2177   DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
2178     ssl_xfer_buffer, ssl_xfer_buffer_size);
2179
2180   if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
2181   inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer, ssl_xfer_buffer_size);
2182   error = SSL_get_error(server_ssl, inbytes);
2183   alarm(0);
2184
2185   /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
2186   closed down, not that the socket itself has been closed down. Revert to
2187   non-SSL handling. */
2188
2189   if (error == SSL_ERROR_ZERO_RETURN)
2190     {
2191     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2192
2193     receive_getc = smtp_getc;
2194     receive_ungetc = smtp_ungetc;
2195     receive_feof = smtp_feof;
2196     receive_ferror = smtp_ferror;
2197     receive_smtp_buffered = smtp_buffered;
2198
2199     SSL_free(server_ssl);
2200     server_ssl = NULL;
2201     tls_in.active = -1;
2202     tls_in.bits = 0;
2203     tls_in.cipher = NULL;
2204     tls_in.peerdn = NULL;
2205     tls_in.sni = NULL;
2206
2207     return smtp_getc();
2208     }
2209
2210   /* Handle genuine errors */
2211
2212   else if (error == SSL_ERROR_SSL)
2213     {
2214     ERR_error_string(ERR_get_error(), ssl_errstring);
2215     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
2216     ssl_xfer_error = 1;
2217     return EOF;
2218     }
2219
2220   else if (error != SSL_ERROR_NONE)
2221     {
2222     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2223     ssl_xfer_error = 1;
2224     return EOF;
2225     }
2226
2227 #ifndef DISABLE_DKIM
2228   dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
2229 #endif
2230   ssl_xfer_buffer_hwm = inbytes;
2231   ssl_xfer_buffer_lwm = 0;
2232   }
2233
2234 /* Something in the buffer; return next uschar */
2235
2236 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
2237 }
2238
2239
2240
2241 /*************************************************
2242 *          Read bytes from TLS channel           *
2243 *************************************************/
2244
2245 /*
2246 Arguments:
2247   buff      buffer of data
2248   len       size of buffer
2249
2250 Returns:    the number of bytes read
2251             -1 after a failed read
2252
2253 Only used by the client-side TLS.
2254 */
2255
2256 int
2257 tls_read(BOOL is_server, uschar *buff, size_t len)
2258 {
2259 SSL *ssl = is_server ? server_ssl : client_ssl;
2260 int inbytes;
2261 int error;
2262
2263 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
2264   buff, (unsigned int)len);
2265
2266 inbytes = SSL_read(ssl, CS buff, len);
2267 error = SSL_get_error(ssl, inbytes);
2268
2269 if (error == SSL_ERROR_ZERO_RETURN)
2270   {
2271   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2272   return -1;
2273   }
2274 else if (error != SSL_ERROR_NONE)
2275   {
2276   return -1;
2277   }
2278
2279 return inbytes;
2280 }
2281
2282
2283
2284
2285
2286 /*************************************************
2287 *         Write bytes down TLS channel           *
2288 *************************************************/
2289
2290 /*
2291 Arguments:
2292   is_server channel specifier
2293   buff      buffer of data
2294   len       number of bytes
2295
2296 Returns:    the number of bytes after a successful write,
2297             -1 after a failed write
2298
2299 Used by both server-side and client-side TLS.
2300 */
2301
2302 int
2303 tls_write(BOOL is_server, const uschar *buff, size_t len)
2304 {
2305 int outbytes;
2306 int error;
2307 int left = len;
2308 SSL *ssl = is_server ? server_ssl : client_ssl;
2309
2310 DEBUG(D_tls) debug_printf("tls_do_write(%p, %d)\n", buff, left);
2311 while (left > 0)
2312   {
2313   DEBUG(D_tls) debug_printf("SSL_write(SSL, %p, %d)\n", buff, left);
2314   outbytes = SSL_write(ssl, CS buff, left);
2315   error = SSL_get_error(ssl, outbytes);
2316   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
2317   switch (error)
2318     {
2319     case SSL_ERROR_SSL:
2320     ERR_error_string(ERR_get_error(), ssl_errstring);
2321     log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
2322     return -1;
2323
2324     case SSL_ERROR_NONE:
2325     left -= outbytes;
2326     buff += outbytes;
2327     break;
2328
2329     case SSL_ERROR_ZERO_RETURN:
2330     log_write(0, LOG_MAIN, "SSL channel closed on write");
2331     return -1;
2332
2333     case SSL_ERROR_SYSCALL:
2334     log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
2335       sender_fullhost ? sender_fullhost : US"<unknown>",
2336       strerror(errno));
2337
2338     default:
2339     log_write(0, LOG_MAIN, "SSL_write error %d", error);
2340     return -1;
2341     }
2342   }
2343 return len;
2344 }
2345
2346
2347
2348 /*************************************************
2349 *         Close down a TLS session               *
2350 *************************************************/
2351
2352 /* This is also called from within a delivery subprocess forked from the
2353 daemon, to shut down the TLS library, without actually doing a shutdown (which
2354 would tamper with the SSL session in the parent process).
2355
2356 Arguments:   TRUE if SSL_shutdown is to be called
2357 Returns:     nothing
2358
2359 Used by both server-side and client-side TLS.
2360 */
2361
2362 void
2363 tls_close(BOOL is_server, BOOL shutdown)
2364 {
2365 SSL **sslp = is_server ? &server_ssl : &client_ssl;
2366 int *fdp = is_server ? &tls_in.active : &tls_out.active;
2367
2368 if (*fdp < 0) return;  /* TLS was not active */
2369
2370 if (shutdown)
2371   {
2372   DEBUG(D_tls) debug_printf("tls_close(): shutting down SSL\n");
2373   SSL_shutdown(*sslp);
2374   }
2375
2376 SSL_free(*sslp);
2377 *sslp = NULL;
2378
2379 *fdp = -1;
2380 }
2381
2382
2383
2384
2385 /*************************************************
2386 *  Let tls_require_ciphers be checked at startup *
2387 *************************************************/
2388
2389 /* The tls_require_ciphers option, if set, must be something which the
2390 library can parse.
2391
2392 Returns:     NULL on success, or error message
2393 */
2394
2395 uschar *
2396 tls_validate_require_cipher(void)
2397 {
2398 SSL_CTX *ctx;
2399 uschar *s, *expciphers, *err;
2400
2401 /* this duplicates from tls_init(), we need a better "init just global
2402 state, for no specific purpose" singleton function of our own */
2403
2404 SSL_load_error_strings();
2405 OpenSSL_add_ssl_algorithms();
2406 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
2407 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2408 list of available digests. */
2409 EVP_add_digest(EVP_sha256());
2410 #endif
2411
2412 if (!(tls_require_ciphers && *tls_require_ciphers))
2413   return NULL;
2414
2415 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers))
2416   return US"failed to expand tls_require_ciphers";
2417
2418 if (!(expciphers && *expciphers))
2419   return NULL;
2420
2421 /* normalisation ripped from above */
2422 s = expciphers;
2423 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2424
2425 err = NULL;
2426
2427 ctx = SSL_CTX_new(SSLv23_server_method());
2428 if (!ctx)
2429   {
2430   ERR_error_string(ERR_get_error(), ssl_errstring);
2431   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
2432   }
2433
2434 DEBUG(D_tls)
2435   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
2436
2437 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
2438   {
2439   ERR_error_string(ERR_get_error(), ssl_errstring);
2440   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed", expciphers);
2441   }
2442
2443 SSL_CTX_free(ctx);
2444
2445 return err;
2446 }
2447
2448
2449
2450
2451 /*************************************************
2452 *         Report the library versions.           *
2453 *************************************************/
2454
2455 /* There have historically been some issues with binary compatibility in
2456 OpenSSL libraries; if Exim (like many other applications) is built against
2457 one version of OpenSSL but the run-time linker picks up another version,
2458 it can result in serious failures, including crashing with a SIGSEGV.  So
2459 report the version found by the compiler and the run-time version.
2460
2461 Note: some OS vendors backport security fixes without changing the version
2462 number/string, and the version date remains unchanged.  The _build_ date
2463 will change, so we can more usefully assist with version diagnosis by also
2464 reporting the build date.
2465
2466 Arguments:   a FILE* to print the results to
2467 Returns:     nothing
2468 */
2469
2470 void
2471 tls_version_report(FILE *f)
2472 {
2473 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
2474            "                          Runtime: %s\n"
2475            "                                 : %s\n",
2476            OPENSSL_VERSION_TEXT,
2477            SSLeay_version(SSLEAY_VERSION),
2478            SSLeay_version(SSLEAY_BUILT_ON));
2479 /* third line is 38 characters for the %s and the line is 73 chars long;
2480 the OpenSSL output includes a "built on: " prefix already. */
2481 }
2482
2483
2484
2485
2486 /*************************************************
2487 *            Random number generation            *
2488 *************************************************/
2489
2490 /* Pseudo-random number generation.  The result is not expected to be
2491 cryptographically strong but not so weak that someone will shoot themselves
2492 in the foot using it as a nonce in input in some email header scheme or
2493 whatever weirdness they'll twist this into.  The result should handle fork()
2494 and avoid repeating sequences.  OpenSSL handles that for us.
2495
2496 Arguments:
2497   max       range maximum
2498 Returns     a random number in range [0, max-1]
2499 */
2500
2501 int
2502 vaguely_random_number(int max)
2503 {
2504 unsigned int r;
2505 int i, needed_len;
2506 static pid_t pidlast = 0;
2507 pid_t pidnow;
2508 uschar *p;
2509 uschar smallbuf[sizeof(r)];
2510
2511 if (max <= 1)
2512   return 0;
2513
2514 pidnow = getpid();
2515 if (pidnow != pidlast)
2516   {
2517   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
2518   is unique for each thread", this doesn't apparently apply across processes,
2519   so our own warning from vaguely_random_number_fallback() applies here too.
2520   Fix per PostgreSQL. */
2521   if (pidlast != 0)
2522     RAND_cleanup();
2523   pidlast = pidnow;
2524   }
2525
2526 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
2527 if (!RAND_status())
2528   {
2529   randstuff r;
2530   gettimeofday(&r.tv, NULL);
2531   r.p = getpid();
2532
2533   RAND_seed((uschar *)(&r), sizeof(r));
2534   }
2535 /* We're after pseudo-random, not random; if we still don't have enough data
2536 in the internal PRNG then our options are limited.  We could sleep and hope
2537 for entropy to come along (prayer technique) but if the system is so depleted
2538 in the first place then something is likely to just keep taking it.  Instead,
2539 we'll just take whatever little bit of pseudo-random we can still manage to
2540 get. */
2541
2542 needed_len = sizeof(r);
2543 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
2544 asked for a number less than 10. */
2545 for (r = max, i = 0; r; ++i)
2546   r >>= 1;
2547 i = (i + 7) / 8;
2548 if (i < needed_len)
2549   needed_len = i;
2550
2551 /* We do not care if crypto-strong */
2552 i = RAND_pseudo_bytes(smallbuf, needed_len);
2553 if (i < 0)
2554   {
2555   DEBUG(D_all)
2556     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
2557   return vaguely_random_number_fallback(max);
2558   }
2559
2560 r = 0;
2561 for (p = smallbuf; needed_len; --needed_len, ++p)
2562   {
2563   r *= 256;
2564   r += *p;
2565   }
2566
2567 /* We don't particularly care about weighted results; if someone wants
2568 smooth distribution and cares enough then they should submit a patch then. */
2569 return r % max;
2570 }
2571
2572
2573
2574
2575 /*************************************************
2576 *        OpenSSL option parse                    *
2577 *************************************************/
2578
2579 /* Parse one option for tls_openssl_options_parse below
2580
2581 Arguments:
2582   name    one option name
2583   value   place to store a value for it
2584 Returns   success or failure in parsing
2585 */
2586
2587 struct exim_openssl_option {
2588   uschar *name;
2589   long    value;
2590 };
2591 /* We could use a macro to expand, but we need the ifdef and not all the
2592 options document which version they were introduced in.  Policylet: include
2593 all options unless explicitly for DTLS, let the administrator choose which
2594 to apply.
2595
2596 This list is current as of:
2597   ==>  1.0.1b  <==
2598 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
2599 */
2600 static struct exim_openssl_option exim_openssl_options[] = {
2601 /* KEEP SORTED ALPHABETICALLY! */
2602 #ifdef SSL_OP_ALL
2603   { US"all", SSL_OP_ALL },
2604 #endif
2605 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
2606   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
2607 #endif
2608 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
2609   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
2610 #endif
2611 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
2612   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
2613 #endif
2614 #ifdef SSL_OP_EPHEMERAL_RSA
2615   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
2616 #endif
2617 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
2618   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
2619 #endif
2620 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
2621   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
2622 #endif
2623 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
2624   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
2625 #endif
2626 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
2627   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
2628 #endif
2629 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
2630   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
2631 #endif
2632 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
2633   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
2634 #endif
2635 #ifdef SSL_OP_NO_COMPRESSION
2636   { US"no_compression", SSL_OP_NO_COMPRESSION },
2637 #endif
2638 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
2639   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
2640 #endif
2641 #ifdef SSL_OP_NO_SSLv2
2642   { US"no_sslv2", SSL_OP_NO_SSLv2 },
2643 #endif
2644 #ifdef SSL_OP_NO_SSLv3
2645   { US"no_sslv3", SSL_OP_NO_SSLv3 },
2646 #endif
2647 #ifdef SSL_OP_NO_TICKET
2648   { US"no_ticket", SSL_OP_NO_TICKET },
2649 #endif
2650 #ifdef SSL_OP_NO_TLSv1
2651   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
2652 #endif
2653 #ifdef SSL_OP_NO_TLSv1_1
2654 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
2655   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
2656 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
2657 #else
2658   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
2659 #endif
2660 #endif
2661 #ifdef SSL_OP_NO_TLSv1_2
2662   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
2663 #endif
2664 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
2665   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
2666 #endif
2667 #ifdef SSL_OP_SINGLE_DH_USE
2668   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
2669 #endif
2670 #ifdef SSL_OP_SINGLE_ECDH_USE
2671   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
2672 #endif
2673 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
2674   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
2675 #endif
2676 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
2677   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
2678 #endif
2679 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
2680   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
2681 #endif
2682 #ifdef SSL_OP_TLS_D5_BUG
2683   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
2684 #endif
2685 #ifdef SSL_OP_TLS_ROLLBACK_BUG
2686   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
2687 #endif
2688 };
2689 static int exim_openssl_options_size =
2690   sizeof(exim_openssl_options)/sizeof(struct exim_openssl_option);
2691
2692
2693 static BOOL
2694 tls_openssl_one_option_parse(uschar *name, long *value)
2695 {
2696 int first = 0;
2697 int last = exim_openssl_options_size;
2698 while (last > first)
2699   {
2700   int middle = (first + last)/2;
2701   int c = Ustrcmp(name, exim_openssl_options[middle].name);
2702   if (c == 0)
2703     {
2704     *value = exim_openssl_options[middle].value;
2705     return TRUE;
2706     }
2707   else if (c > 0)
2708     first = middle + 1;
2709   else
2710     last = middle;
2711   }
2712 return FALSE;
2713 }
2714
2715
2716
2717
2718 /*************************************************
2719 *        OpenSSL option parsing logic            *
2720 *************************************************/
2721
2722 /* OpenSSL has a number of compatibility options which an administrator might
2723 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
2724 we look like log_selector.
2725
2726 Arguments:
2727   option_spec  the administrator-supplied string of options
2728   results      ptr to long storage for the options bitmap
2729 Returns        success or failure
2730 */
2731
2732 BOOL
2733 tls_openssl_options_parse(uschar *option_spec, long *results)
2734 {
2735 long result, item;
2736 uschar *s, *end;
2737 uschar keep_c;
2738 BOOL adding, item_parsed;
2739
2740 result = 0L;
2741 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
2742  * from default because it increases BEAST susceptibility. */
2743 #ifdef SSL_OP_NO_SSLv2
2744 result |= SSL_OP_NO_SSLv2;
2745 #endif
2746
2747 if (option_spec == NULL)
2748   {
2749   *results = result;
2750   return TRUE;
2751   }
2752
2753 for (s=option_spec; *s != '\0'; /**/)
2754   {
2755   while (isspace(*s)) ++s;
2756   if (*s == '\0')
2757     break;
2758   if (*s != '+' && *s != '-')
2759     {
2760     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
2761         "+ or - expected but found \"%s\"\n", s);
2762     return FALSE;
2763     }
2764   adding = *s++ == '+';
2765   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
2766   keep_c = *end;
2767   *end = '\0';
2768   item_parsed = tls_openssl_one_option_parse(s, &item);
2769   if (!item_parsed)
2770     {
2771     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
2772     return FALSE;
2773     }
2774   DEBUG(D_tls) debug_printf("openssl option, %s from %lx: %lx (%s)\n",
2775       adding ? "adding" : "removing", result, item, s);
2776   if (adding)
2777     result |= item;
2778   else
2779     result &= ~item;
2780   *end = keep_c;
2781   s = end;
2782   }
2783
2784 *results = result;
2785 return TRUE;
2786 }
2787
2788 /* vi: aw ai sw=2
2789 */
2790 /* End of tls-openssl.c */