b14bca4831e0f43200ae533d4558ba735b2cd436
[users/heiko/exim.git] / src / src / tls-gnu.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* Copyright (c) The Exim Maintainers 2020 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9 /* Copyright (c) Phil Pennock 2012 */
10
11 /* This file provides TLS/SSL support for Exim using the GnuTLS library,
12 one of the available supported implementations.  This file is #included into
13 tls.c when USE_GNUTLS has been set.
14
15 The code herein is a revamp of GnuTLS integration using the current APIs; the
16 original tls-gnu.c was based on a patch which was contributed by Nikos
17 Mavrogiannopoulos.  The revamp is partially a rewrite, partially cut&paste as
18 appropriate.
19
20 APIs current as of GnuTLS 2.12.18; note that the GnuTLS manual is for GnuTLS 3,
21 which is not widely deployed by OS vendors.  Will note issues below, which may
22 assist in updating the code in the future.  Another sources of hints is
23 mod_gnutls for Apache (SNI callback registration and handling).
24
25 Keeping client and server variables more split than before and is currently
26 the norm, in anticipation of TLS in ACL callouts.
27
28 I wanted to switch to gnutls_certificate_set_verify_function() so that
29 certificate rejection could happen during handshake where it belongs, rather
30 than being dropped afterwards, but that was introduced in 2.10.0 and Debian
31 (6.0.5) is still on 2.8.6.  So for now we have to stick with sub-par behaviour.
32
33 (I wasn't looking for libraries quite that old, when updating to get rid of
34 compiler warnings of deprecated APIs.  If it turns out that a lot of the rest
35 require current GnuTLS, then we'll drop support for the ancient libraries).
36 */
37
38 #include <gnutls/gnutls.h>
39 /* needed for cert checks in verification and DN extraction: */
40 #include <gnutls/x509.h>
41 /* man-page is incorrect, gnutls_rnd() is not in gnutls.h: */
42 #include <gnutls/crypto.h>
43
44 /* needed to disable PKCS11 autoload unless requested */
45 #if GNUTLS_VERSION_NUMBER >= 0x020c00
46 # include <gnutls/pkcs11.h>
47 # define SUPPORT_PARAM_TO_PK_BITS
48 #endif
49 #if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
50 # warning "GnuTLS library version too old; define DISABLE_OCSP in Makefile"
51 # define DISABLE_OCSP
52 #endif
53 #if GNUTLS_VERSION_NUMBER < 0x020a00 && !defined(DISABLE_EVENT)
54 # warning "GnuTLS library version too old; tls:cert event unsupported"
55 # define DISABLE_EVENT
56 #endif
57 #if GNUTLS_VERSION_NUMBER >= 0x030000
58 # define SUPPORT_SELFSIGN       /* Uncertain what version is first usable but 2.12.23 is not */
59 #endif
60 #if GNUTLS_VERSION_NUMBER >= 0x030306
61 # define SUPPORT_CA_DIR
62 #else
63 # undef  SUPPORT_CA_DIR
64 #endif
65 #if GNUTLS_VERSION_NUMBER >= 0x030014
66 # define SUPPORT_SYSDEFAULT_CABUNDLE
67 #endif
68 #if GNUTLS_VERSION_NUMBER >= 0x030104
69 # define GNUTLS_CERT_VFY_STATUS_PRINT
70 #endif
71 #if GNUTLS_VERSION_NUMBER >= 0x030109
72 # define SUPPORT_CORK
73 #endif
74 #if GNUTLS_VERSION_NUMBER >= 0x03010a
75 # define SUPPORT_GNUTLS_SESS_DESC
76 #endif
77 #if GNUTLS_VERSION_NUMBER >= 0x030300
78 # define GNUTLS_AUTO_GLOBAL_INIT
79 # define GNUTLS_AUTO_PKCS11_MANUAL
80 #endif
81 #if (GNUTLS_VERSION_NUMBER >= 0x030404) \
82   || (GNUTLS_VERSION_NUMBER >= 0x030311) && (GNUTLS_VERSION_NUMBER & 0xffff00 == 0x030300)
83 # ifndef DISABLE_OCSP
84 #  define EXIM_HAVE_OCSP
85 # endif
86 #endif
87 #if GNUTLS_VERSION_NUMBER >= 0x030500
88 # define SUPPORT_GNUTLS_KEYLOG
89 #endif
90 #if GNUTLS_VERSION_NUMBER >= 0x030506 && !defined(DISABLE_OCSP)
91 # define SUPPORT_SRV_OCSP_STACK
92 #endif
93 #if GNUTLS_VERSION_NUMBER >= 0x030600
94 # define GNUTLS_AUTO_DHPARAMS
95 #endif
96 #if GNUTLS_VERSION_NUMBER >= 0x030603
97 # define EXIM_HAVE_TLS1_3
98 # define SUPPORT_GNUTLS_EXT_RAW_PARSE
99 # define GNUTLS_OCSP_STATUS_REQUEST_GET2
100 #endif
101
102 #ifdef SUPPORT_DANE
103 # if GNUTLS_VERSION_NUMBER >= 0x030000
104 #  define DANESSL_USAGE_DANE_TA 2
105 #  define DANESSL_USAGE_DANE_EE 3
106 # else
107 #  error GnuTLS version too early for DANE
108 # endif
109 # if GNUTLS_VERSION_NUMBER < 0x999999
110 #  define GNUTLS_BROKEN_DANE_VALIDATION
111 # endif
112 #endif
113
114 #ifndef DISABLE_TLS_RESUME
115 # if GNUTLS_VERSION_NUMBER >= 0x030603
116 #  define EXIM_HAVE_TLS_RESUME
117 # else
118 #  warning "GnuTLS library version too old; resumption unsupported"
119 # endif
120 #endif
121
122 #ifndef DISABLE_OCSP
123 # include <gnutls/ocsp.h>
124 #endif
125 #ifdef SUPPORT_DANE
126 # include <gnutls/dane.h>
127 #endif
128
129 #include "tls-cipher-stdname.c"
130
131
132 #ifdef MACRO_PREDEF
133 void
134 options_tls(void)
135 {
136 # ifndef DISABLE_TLS_RESUME
137 builtin_macro_create_var(US"_RESUME_DECODE", RESUME_DECODE_STRING );
138 # endif
139 # ifdef EXIM_HAVE_TLS1_3
140 builtin_macro_create(US"_HAVE_TLS1_3");
141 # endif
142 # ifdef EXIM_HAVE_OCSP
143 builtin_macro_create(US"_HAVE_TLS_OCSP");
144 # endif
145 # ifdef SUPPORT_SRV_OCSP_STACK
146 builtin_macro_create(US"_HAVE_TLS_OCSP_LIST");
147 # endif
148 #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
149 builtin_macro_create(US"_HAVE_TLS_CA_CACHE");
150 # endif
151 }
152 #else
153
154
155 /* GnuTLS 2 vs 3
156
157 GnuTLS 3 only:
158   gnutls_global_set_audit_log_function()
159
160 Changes:
161   gnutls_certificate_verify_peers2(): is new, drop the 2 for old version
162 */
163
164 /* Local static variables for GnuTLS */
165
166 /* Values for verify_requirement */
167
168 enum peer_verify_requirement
169   { VERIFY_NONE, VERIFY_OPTIONAL, VERIFY_REQUIRED, VERIFY_DANE };
170
171 /* This holds most state for server or client; with this, we can set up an
172 outbound TLS-enabled connection in an ACL callout, while not stomping all
173 over the TLS variables available for expansion.
174
175 Some of these correspond to variables in globals.c; those variables will
176 be set to point to content in one of these instances, as appropriate for
177 the stage of the process lifetime.
178
179 Not handled here: global tlsp->tls_channelbinding.
180 */
181
182 typedef struct exim_gnutls_state {
183   gnutls_session_t      session;
184
185   exim_tlslib_state     lib_state;
186 #define x509_cred               libdata0
187 #define pri_cache               libdata1
188
189   enum peer_verify_requirement verify_requirement;
190   int                   fd_in;
191   int                   fd_out;
192
193   BOOL                  peer_cert_verified:1;
194   BOOL                  peer_dane_verified:1;
195   BOOL                  trigger_sni_changes:1;
196   BOOL                  have_set_peerdn:1;
197   BOOL                  xfer_eof:1;     /*XXX never gets set! */
198   BOOL                  xfer_error:1;
199 #ifdef SUPPORT_CORK
200   BOOL                  corked:1;
201 #endif
202
203   const struct host_item *host;         /* NULL if server */
204   gnutls_x509_crt_t     peercert;
205   uschar                *peerdn;
206   uschar                *ciphersuite;
207   uschar                *received_sni;
208
209   const uschar *tls_certificate;
210   const uschar *tls_privatekey;
211   const uschar *tls_sni; /* client send only, not received */
212   const uschar *tls_verify_certificates;
213   const uschar *tls_crl;
214   const uschar *tls_require_ciphers;
215
216   uschar *exp_tls_certificate;
217   uschar *exp_tls_privatekey;
218   uschar *exp_tls_verify_certificates;
219   uschar *exp_tls_crl;
220   uschar *exp_tls_require_ciphers;
221   const uschar *exp_tls_verify_cert_hostnames;
222 #ifndef DISABLE_EVENT
223   uschar *event_action;
224 #endif
225 #ifdef SUPPORT_DANE
226   char * const *        dane_data;
227   const int *           dane_data_len;
228 #endif
229
230   tls_support *tlsp;    /* set in tls_init() */
231
232   uschar *xfer_buffer;
233   int xfer_buffer_lwm;
234   int xfer_buffer_hwm;
235 } exim_gnutls_state_st;
236
237 static const exim_gnutls_state_st exim_gnutls_state_init = {
238   /* all elements not explicitly intialised here get 0/NULL/FALSE */
239   .fd_in =              -1,
240   .fd_out =             -1,
241 };
242
243 /* Not only do we have our own APIs which don't pass around state, assuming
244 it's held in globals, GnuTLS doesn't appear to let us register callback data
245 for callbacks, or as part of the session, so we have to keep a "this is the
246 context we're currently dealing with" pointer and rely upon being
247 single-threaded to keep from processing data on an inbound TLS connection while
248 talking to another TLS connection for an outbound check.  This does mean that
249 there's no way for heart-beats to be responded to, for the duration of the
250 second connection.
251 XXX But see gnutls_session_get_ptr()
252 */
253
254 static exim_gnutls_state_st state_server = {
255   /* all elements not explicitly intialised here get 0/NULL/FALSE */
256   .fd_in =              -1,
257   .fd_out =             -1,
258 };
259
260 #ifndef GNUTLS_AUTO_DHPARAMS
261 /* dh_params are initialised once within the lifetime of a process using TLS;
262 if we used TLS in a long-lived daemon, we'd have to reconsider this.  But we
263 don't want to repeat this. */
264
265 static gnutls_dh_params_t dh_server_params = NULL;
266 #endif
267
268 static int ssl_session_timeout = 7200;  /* Two hours */
269
270 static const uschar * const exim_default_gnutls_priority = US"NORMAL";
271
272 /* Guard library core initialisation */
273
274 static BOOL exim_gnutls_base_init_done = FALSE;
275
276 #ifndef DISABLE_OCSP
277 static BOOL gnutls_buggy_ocsp = FALSE;
278 static BOOL exim_testharness_disable_ocsp_validity_check = FALSE;
279 #endif
280
281 #ifdef EXIM_HAVE_TLS_RESUME
282 static gnutls_datum_t server_sessticket_key;
283 #endif
284
285 /* ------------------------------------------------------------------------ */
286 /* macros */
287
288 #define MAX_HOST_LEN 255
289
290 /* Set this to control gnutls_global_set_log_level(); values 0 to 9 will setup
291 the library logging; a value less than 0 disables the calls to set up logging
292 callbacks.  GNuTLS also looks for an environment variable - except not for
293 setuid binaries, making it useless - "GNUTLS_DEBUG_LEVEL".
294 Allegedly the testscript line "GNUTLS_DEBUG_LEVEL=9 sudo exim ..." would work,
295 but the env var must be added to /etc/sudoers too. */
296 #ifndef EXIM_GNUTLS_LIBRARY_LOG_LEVEL
297 # define EXIM_GNUTLS_LIBRARY_LOG_LEVEL -1
298 #endif
299
300 #ifndef EXIM_CLIENT_DH_MIN_BITS
301 # define EXIM_CLIENT_DH_MIN_BITS 1024
302 #endif
303
304 /* With GnuTLS 2.12.x+ we have gnutls_sec_param_to_pk_bits() with which we
305 can ask for a bit-strength.  Without that, we stick to the constant we had
306 before, for now. */
307 #ifndef EXIM_SERVER_DH_BITS_PRE2_12
308 # define EXIM_SERVER_DH_BITS_PRE2_12 1024
309 #endif
310
311 #define Expand_check_tlsvar(Varname, errstr) \
312   expand_check(state->Varname, US #Varname, &state->exp_##Varname, errstr)
313
314 #if GNUTLS_VERSION_NUMBER >= 0x020c00
315 # define HAVE_GNUTLS_SESSION_CHANNEL_BINDING
316 # define HAVE_GNUTLS_SEC_PARAM_CONSTANTS
317 # define HAVE_GNUTLS_RND
318 /* The security fix we provide with the gnutls_allow_auto_pkcs11 option
319  * (4.82 PP/09) introduces a compatibility regression. The symbol simply
320  * isn't available sometimes, so this needs to become a conditional
321  * compilation; the sanest way to deal with this being a problem on
322  * older OSes is to block it in the Local/Makefile with this compiler
323  * definition  */
324 # ifndef AVOID_GNUTLS_PKCS11
325 #  define HAVE_GNUTLS_PKCS11
326 # endif /* AVOID_GNUTLS_PKCS11 */
327 #endif
328
329
330
331
332 /* ------------------------------------------------------------------------ */
333 /* Callback declarations */
334
335 #if EXIM_GNUTLS_LIBRARY_LOG_LEVEL >= 0
336 static void exim_gnutls_logger_cb(int level, const char *message);
337 #endif
338
339 static int exim_sni_handling_cb(gnutls_session_t session);
340
341 #ifdef EXIM_HAVE_TLS_RESUME
342 static int
343 tls_server_ticket_cb(gnutls_session_t sess, u_int htype, unsigned when,
344   unsigned incoming, const gnutls_datum_t * msg);
345 #endif
346
347
348 /*************************************************
349 *               Handle TLS error                 *
350 *************************************************/
351
352 /* Called from lots of places when errors occur before actually starting to do
353 the TLS handshake, that is, while the session is still in clear. Always returns
354 DEFER for a server and FAIL for a client so that most calls can use "return
355 tls_error(...)" to do this processing and then give an appropriate return. A
356 single function is used for both server and client, because it is called from
357 some shared functions.
358
359 Argument:
360   prefix    text to include in the logged error
361   msg       additional error string (may be NULL)
362             usually obtained from gnutls_strerror()
363   host      NULL if setting up a server;
364             the connected host if setting up a client
365   errstr    pointer to returned error string
366
367 Returns:    OK/DEFER/FAIL
368 */
369
370 static int
371 tls_error(const uschar *prefix, const uschar *msg, const host_item *host,
372   uschar ** errstr)
373 {
374 if (errstr)
375   *errstr = string_sprintf("(%s)%s%s", prefix, msg ? ": " : "", msg ? msg : US"");
376 return host ? FAIL : DEFER;
377 }
378
379
380 static int
381 tls_error_gnu(const uschar *prefix, int err, const host_item *host,
382   uschar ** errstr)
383 {
384 return tls_error(prefix, US gnutls_strerror(err), host, errstr);
385 }
386
387 static int
388 tls_error_sys(const uschar *prefix, int err, const host_item *host,
389   uschar ** errstr)
390 {
391 return tls_error(prefix, US strerror(err), host, errstr);
392 }
393
394
395 /* ------------------------------------------------------------------------ */
396 /* Initialisation */
397
398 #ifndef DISABLE_OCSP
399
400 static BOOL
401 tls_is_buggy_ocsp(void)
402 {
403 const uschar * s;
404 uschar maj, mid, mic;
405
406 s = CUS gnutls_check_version(NULL);
407 maj = atoi(CCS s);
408 if (maj == 3)
409   {
410   while (*s && *s != '.') s++;
411   mid = atoi(CCS ++s);
412   if (mid <= 2)
413     return TRUE;
414   else if (mid >= 5)
415     return FALSE;
416   else
417     {
418     while (*s && *s != '.') s++;
419     mic = atoi(CCS ++s);
420     return mic <= (mid == 3 ? 16 : 3);
421     }
422   }
423 return FALSE;
424 }
425
426 #endif
427
428
429 static int
430 tls_g_init(uschar ** errstr)
431 {
432 int rc;
433 DEBUG(D_tls) debug_printf("GnuTLS global init required\n");
434
435 #if defined(HAVE_GNUTLS_PKCS11) && !defined(GNUTLS_AUTO_PKCS11_MANUAL)
436 /* By default, gnutls_global_init will init PKCS11 support in auto mode,
437 which loads modules from a config file, which sounds good and may be wanted
438 by some sysadmin, but also means in common configurations that GNOME keyring
439 environment variables are used and so breaks for users calling mailq.
440 To prevent this, we init PKCS11 first, which is the documented approach. */
441
442 if (!gnutls_allow_auto_pkcs11)
443   if ((rc = gnutls_pkcs11_init(GNUTLS_PKCS11_FLAG_MANUAL, NULL)))
444     return tls_error_gnu(US"gnutls_pkcs11_init", rc, NULL, errstr);
445 #endif
446
447 #ifndef GNUTLS_AUTO_GLOBAL_INIT
448 if ((rc = gnutls_global_init()))
449   return tls_error_gnu(US"gnutls_global_init", rc, NULL, errstr);
450 #endif
451
452 #if EXIM_GNUTLS_LIBRARY_LOG_LEVEL >= 0
453 DEBUG(D_tls)
454   {
455   gnutls_global_set_log_function(exim_gnutls_logger_cb);
456   /* arbitrarily chosen level; bump up to 9 for more */
457   gnutls_global_set_log_level(EXIM_GNUTLS_LIBRARY_LOG_LEVEL);
458   }
459 #endif
460
461 #ifndef DISABLE_OCSP
462 if (tls_ocsp_file && (gnutls_buggy_ocsp = tls_is_buggy_ocsp()))
463   log_write(0, LOG_MAIN, "OCSP unusable with this GnuTLS library version");
464 #endif
465
466 exim_gnutls_base_init_done = TRUE;
467 return OK;
468 }
469
470
471
472 /* Daemon-call before each connection.  Nothing to do for GnuTLS. */
473
474 static void
475 tls_per_lib_daemon_tick(void)
476 {
477 }
478
479 /* Daemon one-time initialisation */
480
481 static void
482 tls_per_lib_daemon_init(void)
483 {
484 uschar * dummy_errstr;
485 static BOOL once = FALSE;
486
487 if (!exim_gnutls_base_init_done)
488   tls_g_init(&dummy_errstr);
489
490 if (!once)
491   {
492   once = TRUE;
493
494 #ifdef EXIM_HAVE_TLS_RESUME
495   /* We are dependent on the GnuTLS implementation of the Session Ticket
496   encryption; both the strength and the key rotation period.  We hope that
497   the strength at least matches that of the ciphersuite (but GnuTLS does not
498   document this). */
499
500   gnutls_session_ticket_key_generate(&server_sessticket_key);   /* >= 2.10.0 */
501   if (f.running_in_test_harness) ssl_session_timeout = 6;
502 #endif
503
504   tls_daemon_creds_reload();
505   }
506 }
507
508 /* ------------------------------------------------------------------------ */
509
510 /*************************************************
511 *    Deal with logging errors during I/O         *
512 *************************************************/
513
514 /* We have to get the identity of the peer from saved data.
515
516 Argument:
517   state    the current GnuTLS exim state container
518   rc       the GnuTLS error code, or 0 if it's a local error
519   when     text identifying read or write
520   text     local error text when rc is 0
521
522 Returns:   nothing
523 */
524
525 static void
526 record_io_error(exim_gnutls_state_st *state, int rc, uschar *when, uschar *text)
527 {
528 const uschar * msg;
529 uschar * errstr;
530
531 msg = rc == GNUTLS_E_FATAL_ALERT_RECEIVED
532   ? string_sprintf("A TLS fatal alert has been received: %s",
533       US gnutls_alert_get_name(gnutls_alert_get(state->session)))
534 #ifdef GNUTLS_E_PREMATURE_TERMINATION
535   : rc == GNUTLS_E_PREMATURE_TERMINATION && errno
536   ? string_sprintf("%s: syscall: %s", US gnutls_strerror(rc), strerror(errno))
537 #endif
538   : US gnutls_strerror(rc);
539
540 (void) tls_error(when, msg, state->host, &errstr);
541
542 if (state->host)
543   log_write(0, LOG_MAIN, "H=%s [%s] TLS error on connection %s",
544     state->host->name, state->host->address, errstr);
545 else
546   {
547   uschar * conn_info = smtp_get_connection_info();
548   if (Ustrncmp(conn_info, US"SMTP ", 5) == 0) conn_info += 5;
549   /* I'd like to get separated H= here, but too hard for now */
550   log_write(0, LOG_MAIN, "TLS error on %s %s", conn_info, errstr);
551   }
552 }
553
554
555
556
557 /*************************************************
558 *        Set various Exim expansion vars         *
559 *************************************************/
560
561 #define exim_gnutls_cert_err(Label) \
562   do \
563     { \
564     if (rc != GNUTLS_E_SUCCESS) \
565       { \
566       DEBUG(D_tls) debug_printf("TLS: cert problem: %s: %s\n", \
567         (Label), gnutls_strerror(rc)); \
568       return rc; \
569       } \
570     } while (0)
571
572 static int
573 import_cert(const gnutls_datum_t * cert, gnutls_x509_crt_t * crtp)
574 {
575 int rc;
576
577 rc = gnutls_x509_crt_init(crtp);
578 exim_gnutls_cert_err(US"gnutls_x509_crt_init (crt)");
579
580 rc = gnutls_x509_crt_import(*crtp, cert, GNUTLS_X509_FMT_DER);
581 exim_gnutls_cert_err(US"failed to import certificate [gnutls_x509_crt_import(cert)]");
582
583 return rc;
584 }
585
586 #undef exim_gnutls_cert_err
587
588
589 /* We set various Exim global variables from the state, once a session has
590 been established.  With TLS callouts, may need to change this to stack
591 variables, or just re-call it with the server state after client callout
592 has finished.
593
594 Make sure anything set here is unset in tls_getc().
595
596 Sets:
597   tls_active                fd
598   tls_bits                  strength indicator
599   tls_certificate_verified  bool indicator
600   tls_channelbinding        for some SASL mechanisms
601   tls_ver                   a string
602   tls_cipher                a string
603   tls_peercert              pointer to library internal
604   tls_peerdn                a string
605   tls_sni                   a (UTF-8) string
606   tls_ourcert               pointer to library internal
607
608 Argument:
609   state      the relevant exim_gnutls_state_st *
610 */
611
612 static void
613 extract_exim_vars_from_tls_state(exim_gnutls_state_st * state)
614 {
615 #ifdef HAVE_GNUTLS_SESSION_CHANNEL_BINDING
616 int old_pool;
617 int rc;
618 gnutls_datum_t channel;
619 #endif
620 tls_support * tlsp = state->tlsp;
621
622 tlsp->active.sock = state->fd_out;
623 tlsp->active.tls_ctx = state;
624
625 DEBUG(D_tls) debug_printf("cipher: %s\n", state->ciphersuite);
626
627 tlsp->certificate_verified = state->peer_cert_verified;
628 #ifdef SUPPORT_DANE
629 tlsp->dane_verified = state->peer_dane_verified;
630 #endif
631
632 /* note that tls_channelbinding is not saved to the spool file, since it's
633 only available for use for authenticators while this TLS session is running. */
634
635 tlsp->channelbinding = NULL;
636 #ifdef HAVE_GNUTLS_SESSION_CHANNEL_BINDING
637 channel.data = NULL;
638 channel.size = 0;
639 if ((rc = gnutls_session_channel_binding(state->session, GNUTLS_CB_TLS_UNIQUE, &channel)))
640   { DEBUG(D_tls) debug_printf("Channel binding error: %s\n", gnutls_strerror(rc)); }
641 else
642   {
643   /* Declare the taintedness of the binding info.  On server, untainted; on
644   client, tainted - being the Finish msg from the server. */
645
646   old_pool = store_pool;
647   store_pool = POOL_PERM;
648   tlsp->channelbinding = b64encode_taint(CUS channel.data, (int)channel.size,
649                                           !!state->host);
650   store_pool = old_pool;
651   DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage\n");
652   }
653 #endif
654
655 /* peercert is set in peer_status() */
656 tlsp->peerdn = state->peerdn;
657
658 /* do not corrupt sni sent by client; record sni rxd by server */
659 if (!state->host)
660   tlsp->sni = state->received_sni;
661
662 /* record our certificate */
663   {
664   const gnutls_datum_t * cert = gnutls_certificate_get_ours(state->session);
665   gnutls_x509_crt_t crt;
666
667   tlsp->ourcert = cert && import_cert(cert, &crt)==0 ? crt : NULL;
668   }
669 }
670
671
672
673
674 #ifndef GNUTLS_AUTO_DHPARAMS
675 /*************************************************
676 *            Setup up DH parameters              *
677 *************************************************/
678
679 /* Generating the D-H parameters may take a long time. They only need to
680 be re-generated every so often, depending on security policy. What we do is to
681 keep these parameters in a file in the spool directory. If the file does not
682 exist, we generate them. This means that it is easy to cause a regeneration.
683
684 The new file is written as a temporary file and renamed, so that an incomplete
685 file is never present. If two processes both compute some new parameters, you
686 waste a bit of effort, but it doesn't seem worth messing around with locking to
687 prevent this.
688
689 Returns:     OK/DEFER/FAIL
690 */
691
692 static int
693 init_server_dh(uschar ** errstr)
694 {
695 int fd, rc;
696 unsigned int dh_bits;
697 gnutls_datum_t m = {.data = NULL, .size = 0};
698 uschar filename_buf[PATH_MAX];
699 uschar *filename = NULL;
700 size_t sz;
701 uschar *exp_tls_dhparam;
702 BOOL use_file_in_spool = FALSE;
703 host_item *host = NULL; /* dummy for macros */
704
705 DEBUG(D_tls) debug_printf("Initialising GnuTLS server params\n");
706
707 if ((rc = gnutls_dh_params_init(&dh_server_params)))
708   return tls_error_gnu(US"gnutls_dh_params_init", rc, host, errstr);
709
710 if (!expand_check(tls_dhparam, US"tls_dhparam", &exp_tls_dhparam, errstr))
711   return DEFER;
712
713 if (!exp_tls_dhparam)
714   {
715   DEBUG(D_tls) debug_printf("Loading default hard-coded DH params\n");
716   m.data = US std_dh_prime_default();
717   m.size = Ustrlen(m.data);
718   }
719 else if (Ustrcmp(exp_tls_dhparam, "historic") == 0)
720   use_file_in_spool = TRUE;
721 else if (Ustrcmp(exp_tls_dhparam, "none") == 0)
722   {
723   DEBUG(D_tls) debug_printf("Requested no DH parameters\n");
724   return OK;
725   }
726 else if (exp_tls_dhparam[0] != '/')
727   {
728   if (!(m.data = US std_dh_prime_named(exp_tls_dhparam)))
729     return tls_error(US"No standard prime named", exp_tls_dhparam, NULL, errstr);
730   m.size = Ustrlen(m.data);
731   }
732 else
733   filename = exp_tls_dhparam;
734
735 if (m.data)
736   {
737   if ((rc = gnutls_dh_params_import_pkcs3(dh_server_params, &m, GNUTLS_X509_FMT_PEM)))
738     return tls_error_gnu(US"gnutls_dh_params_import_pkcs3", rc, host, errstr);
739   DEBUG(D_tls) debug_printf("Loaded fixed standard D-H parameters\n");
740   return OK;
741   }
742
743 #ifdef HAVE_GNUTLS_SEC_PARAM_CONSTANTS
744 /* If you change this constant, also change dh_param_fn_ext so that we can use a
745 different filename and ensure we have sufficient bits. */
746
747 if (!(dh_bits = gnutls_sec_param_to_pk_bits(GNUTLS_PK_DH, GNUTLS_SEC_PARAM_NORMAL)))
748   return tls_error(US"gnutls_sec_param_to_pk_bits() failed", NULL, NULL, errstr);
749 DEBUG(D_tls)
750   debug_printf("GnuTLS tells us that for D-H PK, NORMAL is %d bits\n",
751       dh_bits);
752 #else
753 dh_bits = EXIM_SERVER_DH_BITS_PRE2_12;
754 DEBUG(D_tls)
755   debug_printf("GnuTLS lacks gnutls_sec_param_to_pk_bits(), using %d bits\n",
756       dh_bits);
757 #endif
758
759 /* Some clients have hard-coded limits. */
760 if (dh_bits > tls_dh_max_bits)
761   {
762   DEBUG(D_tls)
763     debug_printf("tls_dh_max_bits clamping override, using %d bits instead\n",
764         tls_dh_max_bits);
765   dh_bits = tls_dh_max_bits;
766   }
767
768 if (use_file_in_spool)
769   {
770   if (!string_format(filename_buf, sizeof(filename_buf),
771         "%s/gnutls-params-%d", spool_directory, dh_bits))
772     return tls_error(US"overlong filename", NULL, NULL, errstr);
773   filename = filename_buf;
774   }
775
776 /* Open the cache file for reading and if successful, read it and set up the
777 parameters. */
778
779 if ((fd = Uopen(filename, O_RDONLY, 0)) >= 0)
780   {
781   struct stat statbuf;
782   FILE *fp;
783   int saved_errno;
784
785   if (fstat(fd, &statbuf) < 0)  /* EIO */
786     {
787     saved_errno = errno;
788     (void)close(fd);
789     return tls_error_sys(US"TLS cache stat failed", saved_errno, NULL, errstr);
790     }
791   if (!S_ISREG(statbuf.st_mode))
792     {
793     (void)close(fd);
794     return tls_error(US"TLS cache not a file", NULL, NULL, errstr);
795     }
796   if (!(fp = fdopen(fd, "rb")))
797     {
798     saved_errno = errno;
799     (void)close(fd);
800     return tls_error_sys(US"fdopen(TLS cache stat fd) failed",
801         saved_errno, NULL, errstr);
802     }
803
804   m.size = statbuf.st_size;
805   if (!(m.data = store_malloc(m.size)))
806     {
807     fclose(fp);
808     return tls_error_sys(US"malloc failed", errno, NULL, errstr);
809     }
810   if (!(sz = fread(m.data, m.size, 1, fp)))
811     {
812     saved_errno = errno;
813     fclose(fp);
814     store_free(m.data);
815     return tls_error_sys(US"fread failed", saved_errno, NULL, errstr);
816     }
817   fclose(fp);
818
819   rc = gnutls_dh_params_import_pkcs3(dh_server_params, &m, GNUTLS_X509_FMT_PEM);
820   store_free(m.data);
821   if (rc)
822     return tls_error_gnu(US"gnutls_dh_params_import_pkcs3", rc, host, errstr);
823   DEBUG(D_tls) debug_printf("read D-H parameters from file \"%s\"\n", filename);
824   }
825
826 /* If the file does not exist, fall through to compute new data and cache it.
827 If there was any other opening error, it is serious. */
828
829 else if (errno == ENOENT)
830   {
831   rc = -1;
832   DEBUG(D_tls)
833     debug_printf("D-H parameter cache file \"%s\" does not exist\n", filename);
834   }
835 else
836   return tls_error(string_open_failed("\"%s\" for reading", filename),
837       NULL, NULL, errstr);
838
839 /* If ret < 0, either the cache file does not exist, or the data it contains
840 is not useful. One particular case of this is when upgrading from an older
841 release of Exim in which the data was stored in a different format. We don't
842 try to be clever and support both formats; we just regenerate new data in this
843 case. */
844
845 if (rc < 0)
846   {
847   uschar *temp_fn;
848   unsigned int dh_bits_gen = dh_bits;
849
850   if ((PATH_MAX - Ustrlen(filename)) < 10)
851     return tls_error(US"Filename too long to generate replacement",
852         filename, NULL, errstr);
853
854   temp_fn = string_copy(US"%s.XXXXXXX");
855   if ((fd = mkstemp(CS temp_fn)) < 0)   /* modifies temp_fn */
856     return tls_error_sys(US"Unable to open temp file", errno, NULL, errstr);
857   (void)exim_chown(temp_fn, exim_uid, exim_gid);   /* Probably not necessary */
858
859   /* GnuTLS overshoots!  If we ask for 2236, we might get 2237 or more.  But
860   there's no way to ask GnuTLS how many bits there really are.  We can ask
861   how many bits were used in a TLS session, but that's it!  The prime itself
862   is hidden behind too much abstraction.  So we ask for less, and proceed on
863   a wing and a prayer.  First attempt, subtracted 3 for 2233 and got 2240.  */
864
865   if (dh_bits >= EXIM_CLIENT_DH_MIN_BITS + 10)
866     {
867     dh_bits_gen = dh_bits - 10;
868     DEBUG(D_tls)
869       debug_printf("being paranoid about DH generation, make it '%d' bits'\n",
870           dh_bits_gen);
871     }
872
873   DEBUG(D_tls)
874     debug_printf("requesting generation of %d bit Diffie-Hellman prime ...\n",
875         dh_bits_gen);
876   if ((rc = gnutls_dh_params_generate2(dh_server_params, dh_bits_gen)))
877     return tls_error_gnu(US"gnutls_dh_params_generate2", rc, host, errstr);
878
879   /* gnutls_dh_params_export_pkcs3() will tell us the exact size, every time,
880   and I confirmed that a NULL call to get the size first is how the GnuTLS
881   sample apps handle this. */
882
883   sz = 0;
884   m.data = NULL;
885   if (  (rc = gnutls_dh_params_export_pkcs3(dh_server_params,
886                 GNUTLS_X509_FMT_PEM, m.data, &sz))
887      && rc != GNUTLS_E_SHORT_MEMORY_BUFFER)
888     return tls_error_gnu(US"gnutls_dh_params_export_pkcs3(NULL) sizing",
889               rc, host, errstr);
890   m.size = sz;
891   if (!(m.data = store_malloc(m.size)))
892     return tls_error_sys(US"memory allocation failed", errno, NULL, errstr);
893
894   /* this will return a size 1 less than the allocation size above */
895   if ((rc = gnutls_dh_params_export_pkcs3(dh_server_params, GNUTLS_X509_FMT_PEM,
896       m.data, &sz)))
897     {
898     store_free(m.data);
899     return tls_error_gnu(US"gnutls_dh_params_export_pkcs3() real", rc, host, errstr);
900     }
901   m.size = sz; /* shrink by 1, probably */
902
903   if ((sz = write_to_fd_buf(fd, m.data, (size_t) m.size)) != m.size)
904     {
905     store_free(m.data);
906     return tls_error_sys(US"TLS cache write D-H params failed",
907         errno, NULL, errstr);
908     }
909   store_free(m.data);
910   if ((sz = write_to_fd_buf(fd, US"\n", 1)) != 1)
911     return tls_error_sys(US"TLS cache write D-H params final newline failed",
912         errno, NULL, errstr);
913
914   if ((rc = close(fd)))
915     return tls_error_sys(US"TLS cache write close() failed", errno, NULL, errstr);
916
917   if (Urename(temp_fn, filename) < 0)
918     return tls_error_sys(string_sprintf("failed to rename \"%s\" as \"%s\"",
919           temp_fn, filename), errno, NULL, errstr);
920
921   DEBUG(D_tls) debug_printf("wrote D-H parameters to file \"%s\"\n", filename);
922   }
923
924 DEBUG(D_tls) debug_printf("initialized server D-H parameters\n");
925 return OK;
926 }
927 #endif
928
929
930
931
932 /* Create and install a selfsigned certificate, for use in server mode. */
933
934 static int
935 tls_install_selfsign(exim_gnutls_state_st * state, uschar ** errstr)
936 {
937 gnutls_x509_crt_t cert = NULL;
938 time_t now;
939 gnutls_x509_privkey_t pkey = NULL;
940 const uschar * where;
941 int rc;
942
943 #ifndef SUPPORT_SELFSIGN
944 where = US"library too old";
945 rc = GNUTLS_E_NO_CERTIFICATE_FOUND;
946 if (TRUE) goto err;
947 #endif
948
949 DEBUG(D_tls) debug_printf("TLS: generating selfsigned server cert\n");
950 where = US"initialising pkey";
951 if ((rc = gnutls_x509_privkey_init(&pkey))) goto err;
952
953 where = US"initialising cert";
954 if ((rc = gnutls_x509_crt_init(&cert))) goto err;
955
956 where = US"generating pkey";    /* Hangs on 2.12.23 */
957 if ((rc = gnutls_x509_privkey_generate(pkey, GNUTLS_PK_RSA,
958 #ifdef SUPPORT_PARAM_TO_PK_BITS
959 # ifndef GNUTLS_SEC_PARAM_MEDIUM
960 #  define GNUTLS_SEC_PARAM_MEDIUM GNUTLS_SEC_PARAM_HIGH
961 # endif
962             gnutls_sec_param_to_pk_bits(GNUTLS_PK_RSA, GNUTLS_SEC_PARAM_MEDIUM),
963 #else
964             2048,
965 #endif
966             0)))
967   goto err;
968
969 where = US"configuring cert";
970 now = 1;
971 if (  (rc = gnutls_x509_crt_set_version(cert, 3))
972    || (rc = gnutls_x509_crt_set_serial(cert, &now, sizeof(now)))
973    || (rc = gnutls_x509_crt_set_activation_time(cert, now = time(NULL)))
974    || (rc = gnutls_x509_crt_set_expiration_time(cert, (long)2 * 60 * 60))       /* 2 hour */
975    || (rc = gnutls_x509_crt_set_key(cert, pkey))
976
977    || (rc = gnutls_x509_crt_set_dn_by_oid(cert,
978               GNUTLS_OID_X520_COUNTRY_NAME, 0, "UK", 2))
979    || (rc = gnutls_x509_crt_set_dn_by_oid(cert,
980               GNUTLS_OID_X520_ORGANIZATION_NAME, 0, "Exim Developers", 15))
981    || (rc = gnutls_x509_crt_set_dn_by_oid(cert,
982               GNUTLS_OID_X520_COMMON_NAME, 0,
983               smtp_active_hostname, Ustrlen(smtp_active_hostname)))
984    )
985   goto err;
986
987 where = US"signing cert";
988 if ((rc = gnutls_x509_crt_sign(cert, cert, pkey))) goto err;
989
990 where = US"installing selfsign cert";
991                                         /* Since: 2.4.0 */
992 if ((rc = gnutls_certificate_set_x509_key(state->lib_state.x509_cred,
993     &cert, 1, pkey)))
994   goto err;
995
996 rc = OK;
997
998 out:
999   if (cert) gnutls_x509_crt_deinit(cert);
1000   if (pkey) gnutls_x509_privkey_deinit(pkey);
1001   return rc;
1002
1003 err:
1004   rc = tls_error_gnu(where, rc, NULL, errstr);
1005   goto out;
1006 }
1007
1008
1009
1010
1011 /* Add certificate and key, from files.
1012
1013 Return:
1014   Zero or negative: good.  Negate value for certificate index if < 0.
1015   Greater than zero: FAIL or DEFER code.
1016 */
1017
1018 static int
1019 tls_add_certfile(exim_gnutls_state_st * state, const host_item * host,
1020   const uschar * certfile, const uschar * keyfile, uschar ** errstr)
1021 {
1022 int rc = gnutls_certificate_set_x509_key_file(state->lib_state.x509_cred,
1023     CCS certfile, CCS keyfile, GNUTLS_X509_FMT_PEM);
1024 if (rc < 0)
1025   return tls_error_gnu(
1026     string_sprintf("cert/key setup: cert=%s key=%s", certfile, keyfile),
1027     rc, host, errstr);
1028 return -rc;
1029 }
1030
1031
1032 #if !defined(DISABLE_OCSP) && !defined(SUPPORT_GNUTLS_EXT_RAW_PARSE)
1033 /* Load an OCSP proof from file for sending by the server.  Called
1034 on getting a status-request handshake message, for earlier versions
1035 of GnuTLS. */
1036
1037 static int
1038 server_ocsp_stapling_cb(gnutls_session_t session, void * ptr,
1039   gnutls_datum_t * ocsp_response)
1040 {
1041 int ret;
1042 DEBUG(D_tls) debug_printf("OCSP stapling callback: %s\n", US ptr);
1043
1044 if ((ret = gnutls_load_file(ptr, ocsp_response)) < 0)
1045   {
1046   DEBUG(D_tls) debug_printf("Failed to load ocsp stapling file %s\n",
1047                               CS ptr);
1048   tls_in.ocsp = OCSP_NOT_RESP;
1049   return GNUTLS_E_NO_CERTIFICATE_STATUS;
1050   }
1051
1052 tls_in.ocsp = OCSP_VFY_NOT_TRIED;
1053 return 0;
1054 }
1055 #endif
1056
1057
1058 #ifdef SUPPORT_GNUTLS_EXT_RAW_PARSE
1059 /* Make a note that we saw a status-request */
1060 static int
1061 tls_server_clienthello_ext(void * ctx, unsigned tls_id,
1062   const unsigned char *data, unsigned size)
1063 {
1064 /* https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml */
1065 if (tls_id == 5)        /* status_request */
1066   {
1067   DEBUG(D_tls) debug_printf("Seen status_request extension from client\n");
1068   tls_in.ocsp = OCSP_NOT_RESP;
1069   }
1070 return 0;
1071 }
1072
1073 /* Callback for client-hello, on server, if we think we might serve stapled-OCSP */
1074 static int
1075 tls_server_clienthello_cb(gnutls_session_t session, unsigned int htype,
1076   unsigned when, unsigned int incoming, const gnutls_datum_t * msg)
1077 {
1078 /* Call fn for each extension seen.  3.6.3 onwards */
1079 return gnutls_ext_raw_parse(NULL, tls_server_clienthello_ext, msg,
1080                            GNUTLS_EXT_RAW_FLAG_TLS_CLIENT_HELLO);
1081 }
1082
1083
1084 # ifdef notdef_crashes
1085 /* Make a note that we saw a status-response */
1086 static int
1087 tls_server_servercerts_ext(void * ctx, unsigned tls_id,
1088   const unsigned char *data, unsigned size)
1089 {
1090 /* debug_printf("%s %u\n", __FUNCTION__, tls_id); */
1091 /* https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml */
1092 if (FALSE && tls_id == 5)       /* status_request */
1093   {
1094   DEBUG(D_tls) debug_printf("Seen status_request extension\n");
1095   tls_in.ocsp = exim_testharness_disable_ocsp_validity_check
1096     ? OCSP_VFY_NOT_TRIED : OCSP_VFIED;  /* We know that GnuTLS verifies responses */
1097   }
1098 return 0;
1099 }
1100 # endif
1101
1102 /* Callback for certificates packet, on server, if we think we might serve stapled-OCSP */
1103 static int
1104 tls_server_servercerts_cb(gnutls_session_t session, unsigned int htype,
1105   unsigned when, unsigned int incoming, const gnutls_datum_t * msg)
1106 {
1107 /* Call fn for each extension seen.  3.6.3 onwards */
1108 # ifdef notdef_crashes
1109                                 /*XXX crashes */
1110 return gnutls_ext_raw_parse(NULL, tls_server_servercerts_ext, msg, 0);
1111 # endif
1112 }
1113 #endif /*SUPPORT_GNUTLS_EXT_RAW_PARSE*/
1114
1115 /*XXX in tls1.3 the cert-status travel as an extension next to the cert, in the
1116  "Handshake Protocol: Certificate" record.
1117 So we need to spot the Certificate handshake message, parse it and spot any status_request extension(s)
1118
1119 This is different to tls1.2 - where it is a separate record (wireshark term) / handshake message (gnutls term).
1120 */
1121
1122 #if defined(EXIM_HAVE_TLS_RESUME) || defined(SUPPORT_GNUTLS_EXT_RAW_PARSE)
1123 /* Callback for certificate-status, on server. We sent stapled OCSP. */
1124 static int
1125 tls_server_certstatus_cb(gnutls_session_t session, unsigned int htype,
1126   unsigned when, unsigned int incoming, const gnutls_datum_t * msg)
1127 {
1128 DEBUG(D_tls) debug_printf("Sending certificate-status\n");              /*XXX we get this for tls1.2 but not for 1.3 */
1129 #ifdef SUPPORT_SRV_OCSP_STACK
1130 tls_in.ocsp = exim_testharness_disable_ocsp_validity_check
1131   ? OCSP_VFY_NOT_TRIED : OCSP_VFIED;    /* We know that GnuTLS verifies responses */
1132 #else
1133 tls_in.ocsp = OCSP_VFY_NOT_TRIED;
1134 #endif
1135 return 0;
1136 }
1137
1138 /* Callback for handshake messages, on server */
1139 static int
1140 tls_server_hook_cb(gnutls_session_t sess, u_int htype, unsigned when,
1141   unsigned incoming, const gnutls_datum_t * msg)
1142 {
1143 /* debug_printf("%s: htype %u\n", __FUNCTION__, htype); */
1144 switch (htype)
1145   {
1146 # ifdef SUPPORT_GNUTLS_EXT_RAW_PARSE
1147   case GNUTLS_HANDSHAKE_CLIENT_HELLO:
1148     return tls_server_clienthello_cb(sess, htype, when, incoming, msg);
1149   case GNUTLS_HANDSHAKE_CERTIFICATE_PKT:
1150     return tls_server_servercerts_cb(sess, htype, when, incoming, msg);
1151 # endif
1152   case GNUTLS_HANDSHAKE_CERTIFICATE_STATUS:
1153     return tls_server_certstatus_cb(sess, htype, when, incoming, msg);
1154 # ifdef EXIM_HAVE_TLS_RESUME
1155   case GNUTLS_HANDSHAKE_NEW_SESSION_TICKET:
1156     return tls_server_ticket_cb(sess, htype, when, incoming, msg);
1157 # endif
1158   default:
1159     return 0;
1160   }
1161 }
1162 #endif
1163
1164
1165 #if !defined(DISABLE_OCSP) && defined(SUPPORT_GNUTLS_EXT_RAW_PARSE)
1166 static void
1167 tls_server_testharness_ocsp_fiddle(void)
1168 {
1169 extern char ** environ;
1170 if (environ) for (uschar ** p = USS environ; *p; p++)
1171   if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
1172     {
1173     DEBUG(D_tls) debug_printf("Permitting known bad OCSP response\n");
1174     exim_testharness_disable_ocsp_validity_check = TRUE;
1175     }
1176 }
1177 #endif
1178
1179 /**************************************************
1180 * One-time init credentials for server and client *
1181 **************************************************/
1182
1183 static void
1184 creds_basic_init(gnutls_certificate_credentials_t x509_cred, BOOL server)
1185 {
1186 #ifdef SUPPORT_SRV_OCSP_STACK
1187 gnutls_certificate_set_flags(x509_cred, GNUTLS_CERTIFICATE_API_V2);
1188
1189 # if !defined(DISABLE_OCSP) && defined(SUPPORT_GNUTLS_EXT_RAW_PARSE)
1190 if (server && tls_ocsp_file)
1191   {
1192   if (f.running_in_test_harness)
1193     tls_server_testharness_ocsp_fiddle();
1194
1195   if (exim_testharness_disable_ocsp_validity_check)
1196     gnutls_certificate_set_flags(x509_cred,
1197       GNUTLS_CERTIFICATE_API_V2 | GNUTLS_CERTIFICATE_SKIP_OCSP_RESPONSE_CHECK);
1198   }
1199 # endif
1200 #endif
1201 DEBUG(D_tls)
1202   debug_printf("TLS: basic cred init, %s\n", server ? "server" : "client");
1203 }
1204
1205 static int
1206 creds_load_server_certs(exim_gnutls_state_st * state, const uschar * cert,
1207   const uschar * pkey, const uschar * ocsp, uschar ** errstr)
1208 {
1209 const uschar * clist = cert;
1210 const uschar * klist = pkey;
1211 const uschar * olist;
1212 int csep = 0, ksep = 0, osep = 0, cnt = 0, rc;
1213 uschar * cfile, * kfile, * ofile;
1214 #ifndef DISABLE_OCSP
1215 # ifdef SUPPORT_GNUTLS_EXT_RAW_PARSE
1216 gnutls_x509_crt_fmt_t ocsp_fmt = GNUTLS_X509_FMT_DER;
1217 # endif
1218
1219 if (!expand_check(ocsp, US"tls_ocsp_file", &ofile, errstr))
1220   return DEFER;
1221 olist = ofile;
1222 #endif
1223
1224 while (cfile = string_nextinlist(&clist, &csep, NULL, 0))
1225
1226   if (!(kfile = string_nextinlist(&klist, &ksep, NULL, 0)))
1227     return tls_error(US"cert/key setup: out of keys", NULL, NULL, errstr);
1228   else if ((rc = tls_add_certfile(state, NULL, cfile, kfile, errstr)) > 0)
1229     return rc;
1230   else
1231     {
1232     int gnutls_cert_index = -rc;
1233     DEBUG(D_tls) debug_printf("TLS: cert/key %d %s registered\n",
1234                               gnutls_cert_index, cfile);
1235
1236 #ifndef DISABLE_OCSP
1237     if (ocsp)
1238       {
1239       /* Set the OCSP stapling server info */
1240       if (gnutls_buggy_ocsp)
1241         {
1242         DEBUG(D_tls)
1243           debug_printf("GnuTLS library is buggy for OCSP; avoiding\n");
1244         }
1245       else if ((ofile = string_nextinlist(&olist, &osep, NULL, 0)))
1246         {
1247         DEBUG(D_tls) debug_printf("OCSP response file %d  = %s\n",
1248                                   gnutls_cert_index, ofile);
1249 # ifdef SUPPORT_GNUTLS_EXT_RAW_PARSE
1250         if (Ustrncmp(ofile, US"PEM ", 4) == 0)
1251           {
1252           ocsp_fmt = GNUTLS_X509_FMT_PEM;
1253           ofile += 4;
1254           }
1255         else if (Ustrncmp(ofile, US"DER ", 4) == 0)
1256           {
1257           ocsp_fmt = GNUTLS_X509_FMT_DER;
1258           ofile += 4;
1259           }
1260
1261         if  ((rc = gnutls_certificate_set_ocsp_status_request_file2(
1262                   state->lib_state.x509_cred, CCS ofile, gnutls_cert_index,
1263                   ocsp_fmt)) < 0)
1264           return tls_error_gnu(
1265                   US"gnutls_certificate_set_ocsp_status_request_file2",
1266                   rc, NULL, errstr);
1267         DEBUG(D_tls)
1268           debug_printf(" %d response%s loaded\n", rc, rc>1 ? "s":"");
1269
1270         /* Arrange callbacks for OCSP request observability */
1271
1272         if (state->session)
1273           gnutls_handshake_set_hook_function(state->session,
1274             GNUTLS_HANDSHAKE_ANY, GNUTLS_HOOK_POST, tls_server_hook_cb);
1275         else
1276           state->lib_state.ocsp_hook = TRUE;
1277
1278
1279 # else
1280 #  if defined(SUPPORT_SRV_OCSP_STACK)
1281         if ((rc = gnutls_certificate_set_ocsp_status_request_function2(
1282                      state->lib_state.x509_cred, gnutls_cert_index,
1283                      server_ocsp_stapling_cb, ofile)))
1284             return tls_error_gnu(
1285                   US"gnutls_certificate_set_ocsp_status_request_function2",
1286                   rc, NULL, errstr);
1287         else
1288 #  endif
1289           {
1290           if (cnt++ > 0)
1291             {
1292             DEBUG(D_tls)
1293               debug_printf("oops; multiple OCSP files not supported\n");
1294             break;
1295             }
1296           gnutls_certificate_set_ocsp_status_request_function(
1297             state->lib_state.x509_cred, server_ocsp_stapling_cb, ofile);
1298           }
1299 # endif /* SUPPORT_GNUTLS_EXT_RAW_PARSE */
1300         }
1301       else
1302         DEBUG(D_tls) debug_printf("ran out of OCSP response files in list\n");
1303       }
1304 #endif /* DISABLE_OCSP */
1305     }
1306 return 0;
1307 }
1308
1309 static int
1310 creds_load_client_certs(exim_gnutls_state_st * state, const host_item * host,
1311   const uschar * cert, const uschar * pkey, uschar ** errstr)
1312 {
1313 int rc = tls_add_certfile(state, host, cert, pkey, errstr);
1314 if (rc > 0) return rc;
1315 DEBUG(D_tls) debug_printf("TLS: cert/key registered\n");
1316 return 0;
1317 }
1318
1319 static int
1320 creds_load_cabundle(exim_gnutls_state_st * state, const uschar * bundle,
1321   const host_item * host, uschar ** errstr)
1322 {
1323 int cert_count;
1324 struct stat statbuf;
1325
1326 #ifdef SUPPORT_SYSDEFAULT_CABUNDLE
1327 if (Ustrcmp(bundle, "system") == 0 || Ustrncmp(bundle, "system,", 7) == 0)
1328   cert_count = gnutls_certificate_set_x509_system_trust(state->lib_state.x509_cred);
1329 else
1330 #endif
1331   {
1332   if (Ustat(bundle, &statbuf) < 0)
1333     {
1334     log_write(0, LOG_MAIN|LOG_PANIC, "could not stat '%s' "
1335         "(tls_verify_certificates): %s", bundle, strerror(errno));
1336     return DEFER;
1337     }
1338
1339 #ifndef SUPPORT_CA_DIR
1340   /* The test suite passes in /dev/null; we could check for that path explicitly,
1341   but who knows if someone has some weird FIFO which always dumps some certs, or
1342   other weirdness.  The thing we really want to check is that it's not a
1343   directory, since while OpenSSL supports that, GnuTLS does not.
1344   So s/!S_ISREG/S_ISDIR/ and change some messaging ... */
1345   if (S_ISDIR(statbuf.st_mode))
1346     {
1347     log_write(0, LOG_MAIN|LOG_PANIC,
1348         "tls_verify_certificates \"%s\" is a directory", bundle);
1349     return DEFER;
1350     }
1351 #endif
1352
1353   DEBUG(D_tls) debug_printf("verify certificates = %s size=" OFF_T_FMT "\n",
1354           bundle, statbuf.st_size);
1355
1356   if (statbuf.st_size == 0)
1357     {
1358     DEBUG(D_tls)
1359       debug_printf("cert file empty, no certs, no verification, ignoring any CRL\n");
1360     return OK;
1361     }
1362
1363   cert_count =
1364
1365 #ifdef SUPPORT_CA_DIR
1366     (statbuf.st_mode & S_IFMT) == S_IFDIR
1367     ?
1368     gnutls_certificate_set_x509_trust_dir(state->lib_state.x509_cred,
1369       CS bundle, GNUTLS_X509_FMT_PEM)
1370     :
1371 #endif
1372     gnutls_certificate_set_x509_trust_file(state->lib_state.x509_cred,
1373       CS bundle, GNUTLS_X509_FMT_PEM);
1374
1375 #ifdef SUPPORT_CA_DIR
1376   /* Mimic the behaviour with OpenSSL of not advertising a usable-cert list
1377   when using the directory-of-certs config model. */
1378
1379   if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1380     if (state->session)
1381       gnutls_certificate_send_x509_rdn_sequence(state->session, 1);
1382     else
1383       state->lib_state.ca_rdn_emulate = TRUE;
1384 #endif
1385   }
1386
1387 if (cert_count < 0)
1388   return tls_error_gnu(US"setting certificate trust", cert_count, host, errstr);
1389 DEBUG(D_tls)
1390   debug_printf("Added %d certificate authorities\n", cert_count);
1391
1392 return OK;
1393 }
1394
1395
1396 static int
1397 creds_load_crl(exim_gnutls_state_st * state, const uschar * crl, uschar ** errstr)
1398 {
1399 int cert_count;
1400 DEBUG(D_tls) debug_printf("loading CRL file = %s\n", crl);
1401 if ((cert_count = gnutls_certificate_set_x509_crl_file(state->lib_state.x509_cred,
1402     CS crl, GNUTLS_X509_FMT_PEM)) < 0)
1403   return tls_error_gnu(US"gnutls_certificate_set_x509_crl_file",
1404             cert_count, state->host, errstr);
1405
1406 DEBUG(D_tls) debug_printf("Processed %d CRLs\n", cert_count);
1407 return OK;
1408 }
1409
1410
1411 static int
1412 creds_load_pristring(exim_gnutls_state_st * state, const uschar * p,
1413   const char ** errpos)
1414 {
1415 if (!p)
1416   {
1417   p = exim_default_gnutls_priority;
1418   DEBUG(D_tls)
1419     debug_printf("GnuTLS using default session cipher/priority \"%s\"\n", p);
1420   }
1421 return gnutls_priority_init( (gnutls_priority_t *) &state->lib_state.pri_cache,
1422   CCS p, errpos);
1423 }
1424
1425 static unsigned
1426 tls_server_creds_init(void)
1427 {
1428 uschar * dummy_errstr;
1429 unsigned lifetime = 0;
1430
1431 state_server.lib_state = null_tls_preload;
1432 if (gnutls_certificate_allocate_credentials(
1433       (gnutls_certificate_credentials_t *) &state_server.lib_state.x509_cred))
1434   {
1435   state_server.lib_state.x509_cred = NULL;
1436   return lifetime;
1437   }
1438 creds_basic_init(state_server.lib_state.x509_cred, TRUE);
1439
1440 #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
1441 /* If tls_certificate has any $ indicating expansions, it is not good.
1442 If tls_privatekey is set but has $, not good.  Likewise for tls_ocsp_file.
1443 If all good (and tls_certificate set), load the cert(s). */
1444
1445 if (  opt_set_and_noexpand(tls_certificate)
1446 # ifndef DISABLE_OCSP
1447    && opt_unset_or_noexpand(tls_ocsp_file)
1448 # endif
1449    && opt_unset_or_noexpand(tls_privatekey))
1450   {
1451   /* Set watches on the filenames.  The implementation does de-duplication
1452   so we can just blindly do them all.
1453   */
1454
1455   if (  tls_set_watch(tls_certificate, TRUE)
1456 # ifndef DISABLE_OCSP
1457      && tls_set_watch(tls_ocsp_file, TRUE)
1458 # endif
1459      && tls_set_watch(tls_privatekey, TRUE))
1460     {
1461     DEBUG(D_tls) debug_printf("TLS: preloading server certs\n");
1462     if (creds_load_server_certs(&state_server, tls_certificate,
1463           tls_privatekey && *tls_privatekey ? tls_privatekey : tls_certificate,
1464 # ifdef DISABLE_OCSP
1465           NULL,
1466 # else
1467           tls_ocsp_file,
1468 # endif
1469           &dummy_errstr) == 0)
1470       state_server.lib_state.conn_certs = TRUE;
1471     }
1472   }
1473 else if (  !tls_certificate && !tls_privatekey
1474 # ifndef DISABLE_OCSP
1475         && !tls_ocsp_file
1476 # endif
1477         )
1478   {             /* Generate & preload a selfsigned cert. No files to watch. */
1479   if ((tls_install_selfsign(&state_server, &dummy_errstr)) == OK)
1480     {
1481     state_server.lib_state.conn_certs = TRUE;
1482     lifetime = f.running_in_test_harness ? 2 : 60 * 60;         /* 1 hour */
1483     }
1484   }
1485 else
1486   DEBUG(D_tls) debug_printf("TLS: not preloading server certs\n");
1487
1488 /* If tls_verify_certificates is non-empty and has no $, load CAs */
1489
1490 if (opt_set_and_noexpand(tls_verify_certificates))
1491   {
1492   if (tls_set_watch(tls_verify_certificates, FALSE))
1493     {
1494     DEBUG(D_tls) debug_printf("TLS: preloading CA bundle for server\n");
1495     if (creds_load_cabundle(&state_server, tls_verify_certificates,
1496                             NULL, &dummy_errstr) != OK)
1497       return lifetime;
1498     state_server.lib_state.cabundle = TRUE;
1499
1500     /* If CAs loaded and tls_crl is non-empty and has no $, load it */
1501
1502     if (opt_set_and_noexpand(tls_crl))
1503       {
1504       if (tls_set_watch(tls_crl, FALSE))
1505         {
1506         DEBUG(D_tls) debug_printf("TLS: preloading CRL for server\n");
1507         if (creds_load_crl(&state_server, tls_crl, &dummy_errstr) != OK)
1508           return lifetime;
1509         state_server.lib_state.crl = TRUE;
1510         }
1511       }
1512     else
1513       DEBUG(D_tls) debug_printf("TLS: not preloading CRL for server\n");
1514     }
1515   }
1516 else
1517   DEBUG(D_tls) debug_printf("TLS: not preloading CA bundle for server\n");
1518 #endif  /* EXIM_HAVE_INOTIFY */
1519
1520 /* If tls_require_ciphers is non-empty and has no $, load the
1521 ciphers priority cache.  If unset, load with the default.
1522 (server-only as the client one depends on non/DANE) */
1523
1524 if (!tls_require_ciphers || opt_set_and_noexpand(tls_require_ciphers))
1525   {
1526   const char * dummy_errpos;
1527   DEBUG(D_tls) debug_printf("TLS: preloading cipher list for server: %s\n",
1528                   tls_require_ciphers);
1529   if (  creds_load_pristring(&state_server, tls_require_ciphers, &dummy_errpos)
1530      == OK)
1531     state_server.lib_state.pri_string = TRUE;
1532   }
1533 else
1534   DEBUG(D_tls) debug_printf("TLS: not preloading cipher list for server\n");
1535 return lifetime;
1536 }
1537
1538
1539 /* Preload whatever creds are static, onto a transport.  The client can then
1540 just copy the pointer as it starts up. */
1541
1542 static void
1543 tls_client_creds_init(transport_instance * t, BOOL watch)
1544 {
1545 smtp_transport_options_block * ob = t->options_block;
1546 exim_gnutls_state_st tpt_dummy_state;
1547 host_item * dummy_host = (host_item *)1;
1548 uschar * dummy_errstr;
1549
1550 if (  !exim_gnutls_base_init_done
1551    && tls_g_init(&dummy_errstr) != OK)
1552   return;
1553
1554 ob->tls_preload = null_tls_preload;
1555 if (gnutls_certificate_allocate_credentials(
1556   (struct gnutls_certificate_credentials_st **)&ob->tls_preload.x509_cred))
1557   {
1558   ob->tls_preload.x509_cred = NULL;
1559   return;
1560   }
1561 creds_basic_init(ob->tls_preload.x509_cred, FALSE);
1562
1563 tpt_dummy_state.session = NULL;
1564 tpt_dummy_state.lib_state = ob->tls_preload;
1565
1566 #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
1567 if (  opt_set_and_noexpand(ob->tls_certificate)
1568    && opt_unset_or_noexpand(ob->tls_privatekey))
1569   {
1570   if (  !watch
1571      || (  tls_set_watch(ob->tls_certificate, FALSE)
1572         && tls_set_watch(ob->tls_privatekey, FALSE)
1573      )  )
1574     {
1575     const uschar * pkey = ob->tls_privatekey;
1576
1577     DEBUG(D_tls)
1578       debug_printf("TLS: preloading client certs for transport '%s'\n", t->name);
1579
1580     /* The state->lib_state.x509_cred is used for the certs load, and is the sole
1581     structure element used.  So we can set up a dummy.  The hoat arg only
1582     selects a retcode in case of fail, so any value */
1583
1584     if (creds_load_client_certs(&tpt_dummy_state, dummy_host,
1585           ob->tls_certificate, pkey ? pkey : ob->tls_certificate,
1586           &dummy_errstr) == OK)
1587       ob->tls_preload.conn_certs = TRUE;
1588     }
1589   }
1590 else
1591   DEBUG(D_tls)
1592     debug_printf("TLS: not preloading client certs, for transport '%s'\n", t->name);
1593
1594 if (opt_set_and_noexpand(ob->tls_verify_certificates))
1595   {
1596   if (!watch || tls_set_watch(ob->tls_verify_certificates, FALSE))
1597     {
1598     DEBUG(D_tls)
1599       debug_printf("TLS: preloading CA bundle for transport '%s'\n", t->name);
1600     if (creds_load_cabundle(&tpt_dummy_state, ob->tls_verify_certificates,
1601                             dummy_host, &dummy_errstr) != OK)
1602       return;
1603     ob->tls_preload.cabundle = TRUE;
1604
1605     if (opt_set_and_noexpand(ob->tls_crl))
1606       {
1607       if (!watch || tls_set_watch(ob->tls_crl, FALSE))
1608         {
1609         DEBUG(D_tls) debug_printf("TLS: preloading CRL for transport '%s'\n", t->name);
1610         if (creds_load_crl(&tpt_dummy_state, ob->tls_crl, &dummy_errstr) != OK)
1611           return;
1612         ob->tls_preload.crl = TRUE;
1613         }
1614       }
1615     else
1616       DEBUG(D_tls) debug_printf("TLS: not preloading CRL, for transport '%s'\n", t->name);
1617     }
1618   }
1619 else
1620   DEBUG(D_tls)
1621       debug_printf("TLS: not preloading CA bundle, for transport '%s'\n", t->name);
1622
1623 /* We do not preload tls_require_ciphers to to the transport as it implicitly
1624 depends on DANE or plain usage. */
1625
1626 #endif
1627 }
1628
1629
1630 #if defined(EXIM_HAVE_INOTIFY) || defined(EXIM_HAVE_KEVENT)
1631 /* Invalidate the creds cached, by dropping the current ones.
1632 Call when we notice one of the source files has changed. */
1633  
1634 static void
1635 tls_server_creds_invalidate(void)
1636 {
1637 if (state_server.lib_state.pri_cache)
1638   gnutls_priority_deinit(state_server.lib_state.pri_cache);
1639 state_server.lib_state.pri_cache = NULL;
1640
1641 if (state_server.lib_state.x509_cred)
1642   gnutls_certificate_free_credentials(state_server.lib_state.x509_cred);
1643 state_server.lib_state = null_tls_preload;
1644 }
1645
1646
1647 static void
1648 tls_client_creds_invalidate(transport_instance * t)
1649 {
1650 smtp_transport_options_block * ob = t->options_block;
1651 if (ob->tls_preload.x509_cred)
1652   gnutls_certificate_free_credentials(ob->tls_preload.x509_cred);
1653 ob->tls_preload = null_tls_preload;
1654 }
1655 #endif
1656
1657
1658 /*************************************************
1659 *       Variables re-expanded post-SNI           *
1660 *************************************************/
1661
1662 /* Called from both server and client code, via tls_init(), and also from
1663 the SNI callback after receiving an SNI, if tls_certificate includes "tls_sni".
1664
1665 We can tell the two apart by state->received_sni being non-NULL in callback.
1666
1667 The callback should not call us unless state->trigger_sni_changes is true,
1668 which we are responsible for setting on the first pass through.
1669
1670 Arguments:
1671   state           exim_gnutls_state_st *
1672   errstr          error string pointer
1673
1674 Returns:          OK/DEFER/FAIL
1675 */
1676
1677 static int
1678 tls_expand_session_files(exim_gnutls_state_st * state, uschar ** errstr)
1679 {
1680 int rc;
1681 const host_item *host = state->host;  /* macro should be reconsidered? */
1682 const uschar *saved_tls_certificate = NULL;
1683 const uschar *saved_tls_privatekey = NULL;
1684 const uschar *saved_tls_verify_certificates = NULL;
1685 const uschar *saved_tls_crl = NULL;
1686 int cert_count;
1687
1688 /* We check for tls_sni *before* expansion. */
1689 if (!host)      /* server */
1690   if (!state->received_sni)
1691     {
1692     if (  state->tls_certificate
1693        && (  Ustrstr(state->tls_certificate, US"tls_sni")
1694           || Ustrstr(state->tls_certificate, US"tls_in_sni")
1695           || Ustrstr(state->tls_certificate, US"tls_out_sni")
1696        )  )
1697       {
1698       DEBUG(D_tls) debug_printf("We will re-expand TLS session files if we receive SNI\n");
1699       state->trigger_sni_changes = TRUE;
1700       }
1701     }
1702   else  /* SNI callback case */
1703     {
1704     /* useful for debugging */
1705     saved_tls_certificate = state->exp_tls_certificate;
1706     saved_tls_privatekey = state->exp_tls_privatekey;
1707     saved_tls_verify_certificates = state->exp_tls_verify_certificates;
1708     saved_tls_crl = state->exp_tls_crl;
1709     }
1710
1711 if (!state->lib_state.x509_cred)
1712   {
1713   if ((rc = gnutls_certificate_allocate_credentials(
1714         (gnutls_certificate_credentials_t *) &state->lib_state.x509_cred)))
1715     return tls_error_gnu(US"gnutls_certificate_allocate_credentials",
1716             rc, host, errstr);
1717   creds_basic_init(state->lib_state.x509_cred, !host);
1718   }
1719
1720
1721 /* remember: Expand_check_tlsvar() is expand_check() but fiddling with
1722 state members, assuming consistent naming; and expand_check() returns
1723 false if expansion failed, unless expansion was forced to fail. */
1724
1725 /* check if we at least have a certificate, before doing expensive
1726 D-H generation. */
1727
1728 if (!state->lib_state.conn_certs)
1729   {
1730   if (!Expand_check_tlsvar(tls_certificate, errstr))
1731     return DEFER;
1732
1733   /* certificate is mandatory in server, optional in client */
1734
1735   if (  !state->exp_tls_certificate
1736      || !*state->exp_tls_certificate
1737      )
1738     if (!host)
1739       return tls_install_selfsign(state, errstr);
1740     else
1741       DEBUG(D_tls) debug_printf("TLS: no client certificate specified; okay\n");
1742
1743   if (state->tls_privatekey && !Expand_check_tlsvar(tls_privatekey, errstr))
1744     return DEFER;
1745
1746   /* tls_privatekey is optional, defaulting to same file as certificate */
1747
1748   if (!state->tls_privatekey || !*state->tls_privatekey)
1749     {
1750     state->tls_privatekey = state->tls_certificate;
1751     state->exp_tls_privatekey = state->exp_tls_certificate;
1752     }
1753
1754   if (state->exp_tls_certificate && *state->exp_tls_certificate)
1755     {
1756     BOOL load = TRUE;
1757     DEBUG(D_tls) debug_printf("certificate file = %s\nkey file = %s\n",
1758         state->exp_tls_certificate, state->exp_tls_privatekey);
1759
1760     if (state->received_sni)
1761       if (  Ustrcmp(state->exp_tls_certificate, saved_tls_certificate) == 0
1762          && Ustrcmp(state->exp_tls_privatekey,  saved_tls_privatekey)  == 0
1763          )
1764         {
1765         DEBUG(D_tls) debug_printf("TLS SNI: cert and key unchanged\n");
1766         load = FALSE;   /* avoid re-loading the same certs */
1767         }
1768       else              /* unload the pre-SNI certs before loading new ones */
1769         {
1770         DEBUG(D_tls) debug_printf("TLS SNI: have a changed cert/key pair\n");
1771         gnutls_certificate_free_keys(state->lib_state.x509_cred);
1772         }
1773
1774     if (  load
1775        && (rc = host
1776           ? creds_load_client_certs(state, host, state->exp_tls_certificate,
1777                               state->exp_tls_privatekey, errstr)
1778           : creds_load_server_certs(state, state->exp_tls_certificate,
1779                               state->exp_tls_privatekey,
1780 #ifdef DISABLE_OCSP
1781                               NULL,
1782 #else
1783                               tls_ocsp_file,
1784 #endif
1785                               errstr)
1786        )  ) return rc;
1787     }
1788   }
1789 else
1790   {
1791   DEBUG(D_tls)
1792     debug_printf("%s certs were preloaded\n", host ? "client" : "server");
1793
1794   if (!state->tls_privatekey) state->tls_privatekey = state->tls_certificate;
1795   state->exp_tls_certificate = US state->tls_certificate;
1796   state->exp_tls_privatekey = US state->tls_privatekey;
1797
1798 #ifdef SUPPORT_GNUTLS_EXT_RAW_PARSE
1799   if (state->lib_state.ocsp_hook)
1800      gnutls_handshake_set_hook_function(state->session,
1801        GNUTLS_HANDSHAKE_ANY, GNUTLS_HOOK_POST, tls_server_hook_cb);
1802 #endif
1803   }
1804
1805
1806 /* Set the trusted CAs file if one is provided, and then add the CRL if one is
1807 provided. Experiment shows that, if the certificate file is empty, an unhelpful
1808 error message is provided. However, if we just refrain from setting anything up
1809 in that case, certificate verification fails, which seems to be the correct
1810 behaviour. */
1811
1812 if (!state->lib_state.cabundle)
1813   {
1814   if (state->tls_verify_certificates && *state->tls_verify_certificates)
1815     {
1816     if (!Expand_check_tlsvar(tls_verify_certificates, errstr))
1817       return DEFER;
1818 #ifndef SUPPORT_SYSDEFAULT_CABUNDLE
1819     if (Ustrcmp(state->exp_tls_verify_certificates, "system") == 0)
1820       state->exp_tls_verify_certificates = NULL;
1821 #endif
1822     if (state->tls_crl && *state->tls_crl)
1823       if (!Expand_check_tlsvar(tls_crl, errstr))
1824         return DEFER;
1825
1826     if (!(state->exp_tls_verify_certificates &&
1827           *state->exp_tls_verify_certificates))
1828       {
1829       DEBUG(D_tls)
1830         debug_printf("TLS: tls_verify_certificates expanded empty, ignoring\n");
1831       /* With no tls_verify_certificates, we ignore tls_crl too */
1832       return OK;
1833       }
1834     }
1835   else
1836     {
1837     DEBUG(D_tls)
1838       debug_printf("TLS: tls_verify_certificates not set or empty, ignoring\n");
1839     return OK;
1840     }
1841   rc = creds_load_cabundle(state, state->exp_tls_verify_certificates, host, errstr);
1842   if (rc != OK) return rc;
1843   }
1844 else
1845   {
1846   DEBUG(D_tls)
1847     debug_printf("%s CA bundle was preloaded\n", host ? "client" : "server");
1848   state->exp_tls_verify_certificates = US state->tls_verify_certificates;
1849
1850 #ifdef SUPPORT_CA_DIR
1851 /* Mimic the behaviour with OpenSSL of not advertising a usable-cert list
1852 when using the directory-of-certs config model. */
1853     if (state->lib_state.ca_rdn_emulate)
1854       gnutls_certificate_send_x509_rdn_sequence(state->session, 1);
1855 #endif
1856   }
1857
1858
1859 if (!state->lib_state.crl)
1860   {
1861   if (  state->tls_crl && *state->tls_crl
1862      && state->exp_tls_crl && *state->exp_tls_crl)
1863     return creds_load_crl(state, state->exp_tls_crl, errstr);
1864   }
1865 else
1866   {
1867   DEBUG(D_tls)
1868       debug_printf("%s CRL was preloaded\n", host ? "client" : "server");
1869   state->exp_tls_crl = US state->tls_crl;
1870   }
1871
1872 return OK;
1873 }
1874
1875
1876
1877
1878 /*************************************************
1879 *          Set X.509 state variables             *
1880 *************************************************/
1881
1882 /* In GnuTLS, the registered cert/key are not replaced by a later
1883 set of a cert/key, so for SNI support we need a whole new x509_cred
1884 structure.  Which means various other non-re-expanded pieces of state
1885 need to be re-set in the new struct, so the setting logic is pulled
1886 out to this.
1887
1888 Arguments:
1889   state           exim_gnutls_state_st *
1890   errstr          error string pointer
1891
1892 Returns:          OK/DEFER/FAIL
1893 */
1894
1895 static int
1896 tls_set_remaining_x509(exim_gnutls_state_st *state, uschar ** errstr)
1897 {
1898 int rc;
1899 const host_item *host = state->host;  /* macro should be reconsidered? */
1900
1901 #ifndef GNUTLS_AUTO_DHPARAMS
1902 /* Create D-H parameters, or read them from the cache file. This function does
1903 its own SMTP error messaging. This only happens for the server, TLS D-H ignores
1904 client-side params. */
1905
1906 if (!state->host)
1907   {
1908   if (!dh_server_params)
1909     if ((rc = init_server_dh(errstr)) != OK) return rc;
1910
1911   /* Unnecessary & discouraged with 3.6.0 or later */
1912   gnutls_certificate_set_dh_params(state->lib_state.x509_cred, dh_server_params);
1913   }
1914 #endif
1915
1916 /* Link the credentials to the session. */
1917
1918 if ((rc = gnutls_credentials_set(state->session,
1919             GNUTLS_CRD_CERTIFICATE, state->lib_state.x509_cred)))
1920   return tls_error_gnu(US"gnutls_credentials_set", rc, host, errstr);
1921
1922 return OK;
1923 }
1924
1925 /*************************************************
1926 *            Initialize for GnuTLS               *
1927 *************************************************/
1928
1929
1930 /* Called from both server and client code. In the case of a server, errors
1931 before actual TLS negotiation return DEFER.
1932
1933 Arguments:
1934   host            connected host, if client; NULL if server
1935   ob              tranport options block, if client; NULL if server
1936   require_ciphers tls_require_ciphers setting
1937   caller_state    returned state-info structure
1938   errstr          error string pointer
1939
1940 Returns:          OK/DEFER/FAIL
1941 */
1942
1943 static int
1944 tls_init(
1945     const host_item *host,
1946     smtp_transport_options_block * ob,
1947     const uschar * require_ciphers,
1948     exim_gnutls_state_st **caller_state,
1949     tls_support * tlsp,
1950     uschar ** errstr)
1951 {
1952 exim_gnutls_state_st * state;
1953 int rc;
1954 size_t sz;
1955
1956 if (  !exim_gnutls_base_init_done
1957    && (rc = tls_g_init(errstr)) != OK)
1958   return rc;
1959
1960 if (host)
1961   {
1962   /* For client-side sessions we allocate a context. This lets us run
1963   several in parallel. */
1964
1965   int old_pool = store_pool;
1966   store_pool = POOL_PERM;
1967   state = store_get(sizeof(exim_gnutls_state_st), FALSE);
1968   store_pool = old_pool;
1969
1970   memcpy(state, &exim_gnutls_state_init, sizeof(exim_gnutls_state_init));
1971   state->lib_state = ob->tls_preload;
1972   state->tlsp = tlsp;
1973   DEBUG(D_tls) debug_printf("initialising GnuTLS client session\n");
1974   rc = gnutls_init(&state->session, GNUTLS_CLIENT);
1975
1976   state->tls_certificate =      ob->tls_certificate;
1977   state->tls_privatekey =       ob->tls_privatekey;
1978   state->tls_sni =              ob->tls_sni;
1979   state->tls_verify_certificates = ob->tls_verify_certificates;
1980   state->tls_crl =              ob->tls_crl;
1981   }
1982 else
1983   {
1984   /* Server operations always use the one state_server context.  It is not
1985   shared because we have forked a fresh process for every receive.  However it
1986   can get re-used for successive TLS sessions on a single TCP connection. */
1987
1988   state = &state_server;
1989   state->tlsp = tlsp;
1990   DEBUG(D_tls) debug_printf("initialising GnuTLS server session\n");
1991   rc = gnutls_init(&state->session, GNUTLS_SERVER);
1992
1993   state->tls_certificate =      tls_certificate;
1994   state->tls_privatekey =       tls_privatekey;
1995   state->tls_sni =              NULL;
1996   state->tls_verify_certificates = tls_verify_certificates;
1997   state->tls_crl =              tls_crl;
1998   }
1999 if (rc)
2000   return tls_error_gnu(US"gnutls_init", rc, host, errstr);
2001
2002 state->tls_require_ciphers =    require_ciphers;
2003 state->host = host;
2004
2005 /* This handles the variables that might get re-expanded after TLS SNI;
2006 tls_certificate, tls_privatekey, tls_verify_certificates, tls_crl */
2007
2008 DEBUG(D_tls)
2009   debug_printf("Expanding various TLS configuration options for session credentials\n");
2010 if ((rc = tls_expand_session_files(state, errstr)) != OK) return rc;
2011
2012 /* These are all other parts of the x509_cred handling, since SNI in GnuTLS
2013 requires a new structure afterwards. */
2014
2015 if ((rc = tls_set_remaining_x509(state, errstr)) != OK) return rc;
2016
2017 /* set SNI in client, only */
2018 if (host)
2019   {
2020   if (!expand_check(state->tls_sni, US"tls_out_sni", &state->tlsp->sni, errstr))
2021     return DEFER;
2022   if (state->tlsp->sni && *state->tlsp->sni)
2023     {
2024     DEBUG(D_tls)
2025       debug_printf("Setting TLS client SNI to \"%s\"\n", state->tlsp->sni);
2026     sz = Ustrlen(state->tlsp->sni);
2027     if ((rc = gnutls_server_name_set(state->session,
2028           GNUTLS_NAME_DNS, state->tlsp->sni, sz)))
2029       return tls_error_gnu(US"gnutls_server_name_set", rc, host, errstr);
2030     }
2031   }
2032 else if (state->tls_sni)
2033   DEBUG(D_tls) debug_printf("*** PROBABLY A BUG *** " \
2034       "have an SNI set for a server [%s]\n", state->tls_sni);
2035
2036 if (!state->lib_state.pri_string)
2037   {
2038   const uschar * p = NULL;
2039   const char * errpos;
2040
2041   /* This is the priority string support,
2042   http://www.gnutls.org/manual/html_node/Priority-Strings.html
2043   and replaces gnutls_require_kx, gnutls_require_mac & gnutls_require_protocols.
2044   This was backwards incompatible, but means Exim no longer needs to track
2045   all algorithms and provide string forms for them. */
2046
2047   if (state->tls_require_ciphers && *state->tls_require_ciphers)
2048     {
2049     if (!Expand_check_tlsvar(tls_require_ciphers, errstr))
2050       return DEFER;
2051     if (state->exp_tls_require_ciphers && *state->exp_tls_require_ciphers)
2052       {
2053       p = state->exp_tls_require_ciphers;
2054       DEBUG(D_tls) debug_printf("GnuTLS session cipher/priority \"%s\"\n", p);
2055       }
2056     }
2057
2058   if ((rc = creds_load_pristring(state, p, &errpos)))
2059     return tls_error_gnu(string_sprintf(
2060                         "gnutls_priority_init(%s) failed at offset %ld, \"%.6s..\"",
2061                         p, errpos - CS p, errpos),
2062                     rc, host, errstr);
2063   }
2064 else
2065   {
2066   DEBUG(D_tls) debug_printf("cipher list preloaded\n");
2067   state->exp_tls_require_ciphers = US state->tls_require_ciphers;
2068   }
2069
2070
2071 if ((rc = gnutls_priority_set(state->session, state->lib_state.pri_cache)))
2072   return tls_error_gnu(US"gnutls_priority_set", rc, host, errstr);
2073
2074 /* This also sets the server ticket expiration time to the same, and
2075 the STEK rotation time to 3x. */
2076
2077 gnutls_db_set_cache_expiration(state->session, ssl_session_timeout);
2078
2079 /* Reduce security in favour of increased compatibility, if the admin
2080 decides to make that trade-off. */
2081 if (gnutls_compat_mode)
2082   {
2083 #if LIBGNUTLS_VERSION_NUMBER >= 0x020104
2084   DEBUG(D_tls) debug_printf("lowering GnuTLS security, compatibility mode\n");
2085   gnutls_session_enable_compatibility_mode(state->session);
2086 #else
2087   DEBUG(D_tls) debug_printf("Unable to set gnutls_compat_mode - GnuTLS version too old\n");
2088 #endif
2089   }
2090
2091 *caller_state = state;
2092 return OK;
2093 }
2094
2095
2096
2097 /*************************************************
2098 *            Extract peer information            *
2099 *************************************************/
2100
2101 static const uschar *
2102 cipher_stdname_kcm(gnutls_kx_algorithm_t kx, gnutls_cipher_algorithm_t cipher,
2103   gnutls_mac_algorithm_t mac)
2104 {
2105 uschar cs_id[2];
2106 gnutls_kx_algorithm_t kx_i;
2107 gnutls_cipher_algorithm_t cipher_i;
2108 gnutls_mac_algorithm_t mac_i;
2109
2110 for (size_t i = 0;
2111      gnutls_cipher_suite_info(i, cs_id, &kx_i, &cipher_i, &mac_i, NULL);
2112      i++)
2113   if (kx_i == kx && cipher_i == cipher && mac_i == mac)
2114     return cipher_stdname(cs_id[0], cs_id[1]);
2115 return NULL;
2116 }
2117
2118
2119
2120 /* Called from both server and client code.
2121 Only this is allowed to set state->peerdn and state->have_set_peerdn
2122 and we use that to detect double-calls.
2123
2124 NOTE: the state blocks last while the TLS connection is up, which is fine
2125 for logging in the server side, but for the client side, we log after teardown
2126 in src/deliver.c.  While the session is up, we can twist about states and
2127 repoint tls_* globals, but those variables used for logging or other variable
2128 expansion that happens _after_ delivery need to have a longer life-time.
2129
2130 So for those, we get the data from POOL_PERM; the re-invoke guard keeps us from
2131 doing this more than once per generation of a state context.  We set them in
2132 the state context, and repoint tls_* to them.  After the state goes away, the
2133 tls_* copies of the pointers remain valid and client delivery logging is happy.
2134
2135 tls_certificate_verified is a BOOL, so the tls_peerdn and tls_cipher issues
2136 don't apply.
2137
2138 Arguments:
2139   state           exim_gnutls_state_st *
2140   errstr          pointer to error string
2141
2142 Returns:          OK/DEFER/FAIL
2143 */
2144
2145 static int
2146 peer_status(exim_gnutls_state_st * state, uschar ** errstr)
2147 {
2148 gnutls_session_t session = state->session;
2149 const gnutls_datum_t * cert_list;
2150 int old_pool, rc;
2151 unsigned int cert_list_size = 0;
2152 gnutls_protocol_t protocol;
2153 gnutls_cipher_algorithm_t cipher;
2154 gnutls_kx_algorithm_t kx;
2155 gnutls_mac_algorithm_t mac;
2156 gnutls_certificate_type_t ct;
2157 gnutls_x509_crt_t crt;
2158 uschar * dn_buf;
2159 size_t sz;
2160
2161 if (state->have_set_peerdn)
2162   return OK;
2163 state->have_set_peerdn = TRUE;
2164
2165 state->peerdn = NULL;
2166
2167 /* tls_cipher */
2168 cipher = gnutls_cipher_get(session);
2169 protocol = gnutls_protocol_get_version(session);
2170 mac = gnutls_mac_get(session);
2171 kx =
2172 #ifdef GNUTLS_TLS1_3
2173     protocol >= GNUTLS_TLS1_3 ? 0 :
2174 #endif
2175   gnutls_kx_get(session);
2176
2177 old_pool = store_pool;
2178   {
2179   tls_support * tlsp = state->tlsp;
2180   store_pool = POOL_PERM;
2181
2182 #ifdef SUPPORT_GNUTLS_SESS_DESC
2183     {
2184     gstring * g = NULL;
2185     uschar * s = US gnutls_session_get_desc(session), c;
2186
2187     /* Nikos M suggests we use this by preference.  It returns like:
2188     (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
2189
2190     For partial back-compat, put a colon after the TLS version, replace the
2191     )-( grouping with __, replace in-group - with _ and append the :keysize. */
2192
2193     /* debug_printf("peer_status: gnutls_session_get_desc %s\n", s); */
2194
2195     for (s++; (c = *s) && c != ')'; s++) g = string_catn(g, s, 1);
2196
2197     tlsp->ver = string_copyn(g->s, g->ptr);
2198     for (uschar * p = US tlsp->ver; *p; p++)
2199       if (*p == '-') { *p = '\0'; break; }      /* TLS1.0-PKIX -> TLS1.0 */
2200
2201     g = string_catn(g, US":", 1);
2202     if (*s) s++;                /* now on _ between groups */
2203     while ((c = *s))
2204       {
2205       for (*++s && ++s; (c = *s) && c != ')'; s++)
2206         g = string_catn(g, c == '-' ? US"_" : s, 1);
2207       /* now on ) closing group */
2208       if ((c = *s) && *++s == '-') g = string_catn(g, US"__", 2);
2209       /* now on _ between groups */
2210       }
2211     g = string_catn(g, US":", 1);
2212     g = string_cat(g, string_sprintf("%d", (int) gnutls_cipher_get_key_size(cipher) * 8));
2213     state->ciphersuite = string_from_gstring(g);
2214     }
2215 #else
2216   state->ciphersuite = string_sprintf("%s:%s:%d",
2217       gnutls_protocol_get_name(protocol),
2218       gnutls_cipher_suite_get_name(kx, cipher, mac),
2219       (int) gnutls_cipher_get_key_size(cipher) * 8);
2220
2221   /* I don't see a way that spaces could occur, in the current GnuTLS
2222   code base, but it was a concern in the old code and perhaps older GnuTLS
2223   releases did return "TLS 1.0"; play it safe, just in case. */
2224
2225   for (uschar * p = state->ciphersuite; *p; p++) if (isspace(*p)) *p = '-';
2226   tlsp->ver = string_copyn(state->ciphersuite,
2227                         Ustrchr(state->ciphersuite, ':') - state->ciphersuite);
2228 #endif
2229
2230 /* debug_printf("peer_status: ciphersuite %s\n", state->ciphersuite); */
2231
2232   tlsp->cipher = state->ciphersuite;
2233   tlsp->bits = gnutls_cipher_get_key_size(cipher) * 8;
2234
2235   tlsp->cipher_stdname = cipher_stdname_kcm(kx, cipher, mac);
2236   }
2237 store_pool = old_pool;
2238
2239 /* tls_peerdn */
2240 cert_list = gnutls_certificate_get_peers(session, &cert_list_size);
2241
2242 if (!cert_list || cert_list_size == 0)
2243   {
2244   DEBUG(D_tls) debug_printf("TLS: no certificate from peer (%p & %d)\n",
2245       cert_list, cert_list_size);
2246   if (state->verify_requirement >= VERIFY_REQUIRED)
2247     return tls_error(US"certificate verification failed",
2248         US"no certificate received from peer", state->host, errstr);
2249   return OK;
2250   }
2251
2252 if ((ct = gnutls_certificate_type_get(session)) != GNUTLS_CRT_X509)
2253   {
2254   const uschar * ctn = US gnutls_certificate_type_get_name(ct);
2255   DEBUG(D_tls)
2256     debug_printf("TLS: peer cert not X.509 but instead \"%s\"\n", ctn);
2257   if (state->verify_requirement >= VERIFY_REQUIRED)
2258     return tls_error(US"certificate verification not possible, unhandled type",
2259         ctn, state->host, errstr);
2260   return OK;
2261   }
2262
2263 #define exim_gnutls_peer_err(Label) \
2264   do { \
2265     if (rc != GNUTLS_E_SUCCESS) \
2266       { \
2267       DEBUG(D_tls) debug_printf("TLS: peer cert problem: %s: %s\n", \
2268         (Label), gnutls_strerror(rc)); \
2269       if (state->verify_requirement >= VERIFY_REQUIRED) \
2270         return tls_error_gnu((Label), rc, state->host, errstr); \
2271       return OK; \
2272       } \
2273     } while (0)
2274
2275 rc = import_cert(&cert_list[0], &crt);
2276 exim_gnutls_peer_err(US"cert 0");
2277
2278 state->tlsp->peercert = state->peercert = crt;
2279
2280 sz = 0;
2281 rc = gnutls_x509_crt_get_dn(crt, NULL, &sz);
2282 if (rc != GNUTLS_E_SHORT_MEMORY_BUFFER)
2283   {
2284   exim_gnutls_peer_err(US"getting size for cert DN failed");
2285   return FAIL; /* should not happen */
2286   }
2287 dn_buf = store_get_perm(sz, TRUE);      /* tainted */
2288 rc = gnutls_x509_crt_get_dn(crt, CS dn_buf, &sz);
2289 exim_gnutls_peer_err(US"failed to extract certificate DN [gnutls_x509_crt_get_dn(cert 0)]");
2290
2291 state->peerdn = dn_buf;
2292
2293 return OK;
2294 #undef exim_gnutls_peer_err
2295 }
2296
2297
2298
2299
2300 /*************************************************
2301 *            Verify peer certificate             *
2302 *************************************************/
2303
2304 /* Called from both server and client code.
2305 *Should* be using a callback registered with
2306 gnutls_certificate_set_verify_function() to fail the handshake if we dislike
2307 the peer information, but that's too new for some OSes.
2308
2309 Arguments:
2310   state         exim_gnutls_state_st *
2311   errstr        where to put an error message
2312
2313 Returns:
2314   FALSE     if the session should be rejected
2315   TRUE      if the cert is okay or we just don't care
2316 */
2317
2318 static BOOL
2319 verify_certificate(exim_gnutls_state_st * state, uschar ** errstr)
2320 {
2321 int rc;
2322 uint verify;
2323
2324 DEBUG(D_tls) debug_printf("TLS: checking peer certificate\n");
2325 *errstr = NULL;
2326 rc = peer_status(state, errstr);
2327
2328 if (state->verify_requirement == VERIFY_NONE)
2329   return TRUE;
2330
2331 if (rc != OK || !state->peerdn)
2332   {
2333   verify = GNUTLS_CERT_INVALID;
2334   *errstr = US"certificate not supplied";
2335   }
2336 else
2337
2338   {
2339 #ifdef SUPPORT_DANE
2340   if (state->verify_requirement == VERIFY_DANE && state->host)
2341     {
2342     /* Using dane_verify_session_crt() would be easy, as it does it all for us
2343     including talking to a DNS resolver.  But we want to do that bit ourselves
2344     as the testsuite intercepts and fakes its own DNS environment. */
2345
2346     dane_state_t s;
2347     dane_query_t r;
2348     uint lsize;
2349     const gnutls_datum_t * certlist =
2350       gnutls_certificate_get_peers(state->session, &lsize);
2351     int usage = tls_out.tlsa_usage;
2352
2353 # ifdef GNUTLS_BROKEN_DANE_VALIDATION
2354     /* Split the TLSA records into two sets, TA and EE selectors.  Run the
2355     dane-verification separately so that we know which selector verified;
2356     then we know whether to do name-verification (needed for TA but not EE). */
2357
2358     if (usage == ((1<<DANESSL_USAGE_DANE_TA) | (1<<DANESSL_USAGE_DANE_EE)))
2359       {                                         /* a mixed-usage bundle */
2360       int i, j, nrec;
2361       const char ** dd;
2362       int * ddl;
2363
2364       for (nrec = 0; state->dane_data_len[nrec]; ) nrec++;
2365       nrec++;
2366
2367       dd = store_get(nrec * sizeof(uschar *), FALSE);
2368       ddl = store_get(nrec * sizeof(int), FALSE);
2369       nrec--;
2370
2371       if ((rc = dane_state_init(&s, 0)))
2372         goto tlsa_prob;
2373
2374       for (usage = DANESSL_USAGE_DANE_EE;
2375            usage >= DANESSL_USAGE_DANE_TA; usage--)
2376         {                               /* take records with this usage */
2377         for (j = i = 0; i < nrec; i++)
2378           if (state->dane_data[i][0] == usage)
2379             {
2380             dd[j] = state->dane_data[i];
2381             ddl[j++] = state->dane_data_len[i];
2382             }
2383         if (j)
2384           {
2385           dd[j] = NULL;
2386           ddl[j] = 0;
2387
2388           if ((rc = dane_raw_tlsa(s, &r, (char * const *)dd, ddl, 1, 0)))
2389             goto tlsa_prob;
2390
2391           if ((rc = dane_verify_crt_raw(s, certlist, lsize,
2392                             gnutls_certificate_type_get(state->session),
2393                             r, 0,
2394                             usage == DANESSL_USAGE_DANE_EE
2395                             ? DANE_VFLAG_ONLY_CHECK_EE_USAGE : 0,
2396                             &verify)))
2397             {
2398             DEBUG(D_tls)
2399               debug_printf("TLSA record problem: %s\n", dane_strerror(rc));
2400             }
2401           else if (verify == 0) /* verification passed */
2402             {
2403             usage = 1 << usage;
2404             break;
2405             }
2406           }
2407         }
2408
2409         if (rc) goto tlsa_prob;
2410       }
2411     else
2412 # endif
2413       {
2414       if (  (rc = dane_state_init(&s, 0))
2415          || (rc = dane_raw_tlsa(s, &r, state->dane_data, state->dane_data_len,
2416                         1, 0))
2417          || (rc = dane_verify_crt_raw(s, certlist, lsize,
2418                         gnutls_certificate_type_get(state->session),
2419                         r, 0,
2420 # ifdef GNUTLS_BROKEN_DANE_VALIDATION
2421                         usage == (1 << DANESSL_USAGE_DANE_EE)
2422                         ? DANE_VFLAG_ONLY_CHECK_EE_USAGE : 0,
2423 # else
2424                         0,
2425 # endif
2426                         &verify))
2427          )
2428         goto tlsa_prob;
2429       }
2430
2431     if (verify != 0)            /* verification failed */
2432       {
2433       gnutls_datum_t str;
2434       (void) dane_verification_status_print(verify, &str, 0);
2435       *errstr = US str.data;    /* don't bother to free */
2436       goto badcert;
2437       }
2438
2439 # ifdef GNUTLS_BROKEN_DANE_VALIDATION
2440     /* If a TA-mode TLSA record was used for verification we must additionally
2441     verify the cert name (but not the CA chain).  For EE-mode, skip it. */
2442
2443     if (usage & (1 << DANESSL_USAGE_DANE_EE))
2444 # endif
2445       {
2446       state->peer_dane_verified = state->peer_cert_verified = TRUE;
2447       goto goodcert;
2448       }
2449 # ifdef GNUTLS_BROKEN_DANE_VALIDATION
2450     /* Assume that the name on the A-record is the one that should be matching
2451     the cert.  An alternate view is that the domain part of the email address
2452     is also permissible. */
2453
2454     if (gnutls_x509_crt_check_hostname(state->tlsp->peercert,
2455           CS state->host->name))
2456       {
2457       state->peer_dane_verified = state->peer_cert_verified = TRUE;
2458       goto goodcert;
2459       }
2460 # endif
2461     }
2462 #endif  /*SUPPORT_DANE*/
2463
2464   rc = gnutls_certificate_verify_peers2(state->session, &verify);
2465   }
2466
2467 /* Handle the result of verification. INVALID is set if any others are. */
2468
2469 if (rc < 0 || verify & (GNUTLS_CERT_INVALID|GNUTLS_CERT_REVOKED))
2470   {
2471   state->peer_cert_verified = FALSE;
2472   if (!*errstr)
2473     {
2474 #ifdef GNUTLS_CERT_VFY_STATUS_PRINT
2475     DEBUG(D_tls)
2476       {
2477       gnutls_datum_t txt;
2478
2479       if (gnutls_certificate_verification_status_print(verify,
2480             gnutls_certificate_type_get(state->session), &txt, 0)
2481           == GNUTLS_E_SUCCESS)
2482         {
2483         debug_printf("%s\n", txt.data);
2484         gnutls_free(txt.data);
2485         }
2486       }
2487 #endif
2488     *errstr = verify & GNUTLS_CERT_REVOKED
2489       ? US"certificate revoked" : US"certificate invalid";
2490     }
2491
2492   DEBUG(D_tls)
2493     debug_printf("TLS certificate verification failed (%s): peerdn=\"%s\"\n",
2494         *errstr, state->peerdn ? state->peerdn : US"<unset>");
2495
2496   if (state->verify_requirement >= VERIFY_REQUIRED)
2497     goto badcert;
2498   DEBUG(D_tls)
2499     debug_printf("TLS verify failure overridden (host in tls_try_verify_hosts)\n");
2500   }
2501
2502 else
2503   {
2504   /* Client side, check the server's certificate name versus the name on the
2505   A-record for the connection we made.  What to do for server side - what name
2506   to use for client?  We document that there is no such checking for server
2507   side. */
2508
2509   if (  state->exp_tls_verify_cert_hostnames
2510      && !gnutls_x509_crt_check_hostname(state->tlsp->peercert,
2511                 CS state->exp_tls_verify_cert_hostnames)
2512      )
2513     {
2514     DEBUG(D_tls)
2515       debug_printf("TLS certificate verification failed: cert name mismatch\n");
2516     if (state->verify_requirement >= VERIFY_REQUIRED)
2517       goto badcert;
2518     return TRUE;
2519     }
2520
2521   state->peer_cert_verified = TRUE;
2522   DEBUG(D_tls) debug_printf("TLS certificate verified: peerdn=\"%s\"\n",
2523       state->peerdn ? state->peerdn : US"<unset>");
2524   }
2525
2526 goodcert:
2527   state->tlsp->peerdn = state->peerdn;
2528   return TRUE;
2529
2530 #ifdef SUPPORT_DANE
2531 tlsa_prob:
2532   *errstr = string_sprintf("TLSA record problem: %s",
2533     rc == DANE_E_REQUESTED_DATA_NOT_AVAILABLE ? "none usable" : dane_strerror(rc));
2534 #endif
2535
2536 badcert:
2537   gnutls_alert_send(state->session, GNUTLS_AL_FATAL, GNUTLS_A_BAD_CERTIFICATE);
2538   return FALSE;
2539 }
2540
2541
2542
2543
2544 /* ------------------------------------------------------------------------ */
2545 /* Callbacks */
2546
2547 /* Logging function which can be registered with
2548  *   gnutls_global_set_log_function()
2549  *   gnutls_global_set_log_level() 0..9
2550  */
2551 #if EXIM_GNUTLS_LIBRARY_LOG_LEVEL >= 0
2552 static void
2553 exim_gnutls_logger_cb(int level, const char *message)
2554 {
2555   size_t len = strlen(message);
2556   if (len < 1)
2557     {
2558     DEBUG(D_tls) debug_printf("GnuTLS<%d> empty debug message\n", level);
2559     return;
2560     }
2561   DEBUG(D_tls) debug_printf("GnuTLS<%d>: %s%s", level, message,
2562       message[len-1] == '\n' ? "" : "\n");
2563 }
2564 #endif
2565
2566
2567 /* Called after client hello, should handle SNI work.
2568 This will always set tls_sni (state->received_sni) if available,
2569 and may trigger presenting different certificates,
2570 if state->trigger_sni_changes is TRUE.
2571
2572 Should be registered with
2573   gnutls_handshake_set_post_client_hello_function()
2574
2575 "This callback must return 0 on success or a gnutls error code to terminate the
2576 handshake.".
2577
2578 For inability to get SNI information, we return 0.
2579 We only return non-zero if re-setup failed.
2580 Only used for server-side TLS.
2581 */
2582
2583 static int
2584 exim_sni_handling_cb(gnutls_session_t session)
2585 {
2586 char sni_name[MAX_HOST_LEN];
2587 size_t data_len = MAX_HOST_LEN;
2588 exim_gnutls_state_st *state = &state_server;
2589 unsigned int sni_type;
2590 int rc, old_pool;
2591 uschar * dummy_errstr;
2592
2593 rc = gnutls_server_name_get(session, sni_name, &data_len, &sni_type, 0);
2594 if (rc != GNUTLS_E_SUCCESS)
2595   {
2596   DEBUG(D_tls)
2597     if (rc == GNUTLS_E_REQUESTED_DATA_NOT_AVAILABLE)
2598       debug_printf("TLS: no SNI presented in handshake\n");
2599     else
2600       debug_printf("TLS failure: gnutls_server_name_get(): %s [%d]\n",
2601         gnutls_strerror(rc), rc);
2602   return 0;
2603   }
2604
2605 if (sni_type != GNUTLS_NAME_DNS)
2606   {
2607   DEBUG(D_tls) debug_printf("TLS: ignoring SNI of unhandled type %u\n", sni_type);
2608   return 0;
2609   }
2610
2611 /* We now have a UTF-8 string in sni_name */
2612 old_pool = store_pool;
2613 store_pool = POOL_PERM;
2614 state->received_sni = string_copy_taint(US sni_name, TRUE);
2615 store_pool = old_pool;
2616
2617 /* We set this one now so that variable expansions below will work */
2618 state->tlsp->sni = state->received_sni;
2619
2620 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", sni_name,
2621     state->trigger_sni_changes ? "" : " (unused for certificate selection)");
2622
2623 if (!state->trigger_sni_changes)
2624   return 0;
2625
2626 if ((rc = tls_expand_session_files(state, &dummy_errstr)) != OK)
2627   {
2628   /* If the setup of certs/etc failed before handshake, TLS would not have
2629   been offered.  The best we can do now is abort. */
2630   return GNUTLS_E_APPLICATION_ERROR_MIN;
2631   }
2632
2633 rc = tls_set_remaining_x509(state, &dummy_errstr);
2634 if (rc != OK) return GNUTLS_E_APPLICATION_ERROR_MIN;
2635
2636 return 0;
2637 }
2638
2639
2640
2641 #ifndef DISABLE_EVENT
2642 /*
2643 We use this callback to get observability and detail-level control
2644 for an exim TLS connection (either direction), raising a tls:cert event
2645 for each cert in the chain presented by the peer.  Any event
2646 can deny verification.
2647
2648 Return 0 for the handshake to continue or non-zero to terminate.
2649 */
2650
2651 static int
2652 verify_cb(gnutls_session_t session)
2653 {
2654 const gnutls_datum_t * cert_list;
2655 unsigned int cert_list_size = 0;
2656 gnutls_x509_crt_t crt;
2657 int rc;
2658 uschar * yield;
2659 exim_gnutls_state_st * state = gnutls_session_get_ptr(session);
2660
2661 if ((cert_list = gnutls_certificate_get_peers(session, &cert_list_size)))
2662   while (cert_list_size--)
2663   {
2664   if ((rc = import_cert(&cert_list[cert_list_size], &crt)) != GNUTLS_E_SUCCESS)
2665     {
2666     DEBUG(D_tls) debug_printf("TLS: peer cert problem: depth %d: %s\n",
2667       cert_list_size, gnutls_strerror(rc));
2668     break;
2669     }
2670
2671   state->tlsp->peercert = crt;
2672   if ((yield = event_raise(state->event_action,
2673               US"tls:cert", string_sprintf("%d", cert_list_size))))
2674     {
2675     log_write(0, LOG_MAIN,
2676               "SSL verify denied by event-action: depth=%d: %s",
2677               cert_list_size, yield);
2678     return 1;                     /* reject */
2679     }
2680   state->tlsp->peercert = NULL;
2681   }
2682
2683 return 0;
2684 }
2685
2686 #endif
2687
2688
2689 static gstring *
2690 ddump(gnutls_datum_t * d)
2691 {
2692 gstring * g = string_get((d->size+1) * 2);
2693 uschar * s = d->data;
2694 for (unsigned i = d->size; i > 0; i--, s++)
2695   {
2696   g = string_catn(g, US "0123456789abcdef" + (*s >> 4), 1);
2697   g = string_catn(g, US "0123456789abcdef" + (*s & 0xf), 1);
2698   }
2699 return g;
2700 }
2701
2702 static void
2703 post_handshake_debug(exim_gnutls_state_st * state)
2704 {
2705 #ifdef SUPPORT_GNUTLS_SESS_DESC
2706 debug_printf("%s\n", gnutls_session_get_desc(state->session));
2707 #endif
2708
2709 #ifdef SUPPORT_GNUTLS_KEYLOG
2710 # ifdef EXIM_HAVE_TLS1_3
2711 if (gnutls_protocol_get_version(state->session) < GNUTLS_TLS1_3)
2712 # else
2713 if (TRUE)
2714 # endif
2715   {
2716   gnutls_datum_t c, s;
2717   gstring * gc, * gs;
2718   /* For TLS1.2 we only want the client random and the master secret */
2719   gnutls_session_get_random(state->session, &c, &s);
2720   gnutls_session_get_master_secret(state->session, &s);
2721   gc = ddump(&c);
2722   gs = ddump(&s);
2723   debug_printf("CLIENT_RANDOM %.*s %.*s\n", (int)gc->ptr, gc->s, (int)gs->ptr, gs->s);
2724   }
2725 else
2726   debug_printf("To get keying info for TLS1.3 is hard:\n"
2727     " Set environment variable SSLKEYLOGFILE to a filename relative to the spool directory,\n"
2728     " and make sure it is writable by the Exim runtime user.\n"
2729     " Add SSLKEYLOGFILE to keep_environment in the exim config.\n"
2730     " Start Exim as root.\n"
2731     " If using sudo, add SSLKEYLOGFILE to env_keep in /etc/sudoers\n"
2732     " (works for TLS1.2 also, and saves cut-paste into file).\n"
2733     " Trying to use add_environment for this will not work\n");
2734 #endif
2735 }
2736
2737
2738 #ifdef EXIM_HAVE_TLS_RESUME
2739 static int
2740 tls_server_ticket_cb(gnutls_session_t sess, u_int htype, unsigned when,
2741   unsigned incoming, const gnutls_datum_t * msg)
2742 {
2743 DEBUG(D_tls) debug_printf("newticket cb\n");
2744 tls_in.resumption |= RESUME_CLIENT_REQUESTED;
2745 return 0;
2746 }
2747
2748 static void
2749 tls_server_resume_prehandshake(exim_gnutls_state_st * state)
2750 {
2751 /* Should the server offer session resumption? */
2752 tls_in.resumption = RESUME_SUPPORTED;
2753 if (verify_check_host(&tls_resumption_hosts) == OK)
2754   {
2755   int rc;
2756   /* GnuTLS appears to not do ticket overlap, but does emit a fresh ticket when
2757   an offered resumption is unacceptable.  We lose one resumption per ticket
2758   lifetime, and sessions cannot be indefinitely re-used.  There seems to be no
2759   way (3.6.7) of changing the default number of 2 TLS1.3 tickets issued, but at
2760   least they go out in a single packet. */
2761
2762   if (!(rc = gnutls_session_ticket_enable_server(state->session,
2763               &server_sessticket_key)))
2764     tls_in.resumption |= RESUME_SERVER_TICKET;
2765   else
2766     DEBUG(D_tls)
2767       debug_printf("enabling session tickets: %s\n", US gnutls_strerror(rc));
2768
2769   /* Try to tell if we see a ticket request */
2770   gnutls_handshake_set_hook_function(state->session,
2771     GNUTLS_HANDSHAKE_ANY, GNUTLS_HOOK_POST, tls_server_hook_cb);
2772   }
2773 }
2774
2775 static void
2776 tls_server_resume_posthandshake(exim_gnutls_state_st * state)
2777 {
2778 if (gnutls_session_resumption_requested(state->session))
2779   {
2780   /* This tells us the client sent a full ticket.  We use a
2781   callback on session-ticket request, elsewhere, to tell
2782   if a client asked for a ticket. */
2783
2784   tls_in.resumption |= RESUME_CLIENT_SUGGESTED;
2785   DEBUG(D_tls) debug_printf("client requested resumption\n");
2786   }
2787 if (gnutls_session_is_resumed(state->session))
2788   {
2789   tls_in.resumption |= RESUME_USED;
2790   DEBUG(D_tls) debug_printf("Session resumed\n");
2791   }
2792 }
2793 #endif
2794 /* ------------------------------------------------------------------------ */
2795 /* Exported functions */
2796
2797
2798
2799
2800 /*************************************************
2801 *       Start a TLS session in a server          *
2802 *************************************************/
2803
2804 /* This is called when Exim is running as a server, after having received
2805 the STARTTLS command. It must respond to that command, and then negotiate
2806 a TLS session.
2807
2808 Arguments:
2809   errstr           pointer to error string
2810
2811 Returns:           OK on success
2812                    DEFER for errors before the start of the negotiation
2813                    FAIL for errors during the negotiation; the server can't
2814                      continue running.
2815 */
2816
2817 int
2818 tls_server_start(uschar ** errstr)
2819 {
2820 int rc;
2821 exim_gnutls_state_st * state = NULL;
2822
2823 /* Check for previous activation */
2824 if (tls_in.active.sock >= 0)
2825   {
2826   tls_error(US"STARTTLS received after TLS started", US "", NULL, errstr);
2827   smtp_printf("554 Already in TLS\r\n", FALSE);
2828   return FAIL;
2829   }
2830
2831 /* Initialize the library. If it fails, it will already have logged the error
2832 and sent an SMTP response. */
2833
2834 DEBUG(D_tls) debug_printf("initialising GnuTLS as a server\n");
2835
2836   {
2837 #ifdef MEASURE_TIMING
2838   struct timeval t0;
2839   gettimeofday(&t0, NULL);
2840 #endif
2841
2842   if ((rc = tls_init(NULL, NULL,
2843       tls_require_ciphers, &state, &tls_in, errstr)) != OK) return rc;
2844
2845 #ifdef MEASURE_TIMING
2846   report_time_since(&t0, US"server tls_init (delta)");
2847 #endif
2848   }
2849
2850 #ifdef EXIM_HAVE_TLS_RESUME
2851 tls_server_resume_prehandshake(state);
2852 #endif
2853
2854 /* If this is a host for which certificate verification is mandatory or
2855 optional, set up appropriately. */
2856
2857 if (verify_check_host(&tls_verify_hosts) == OK)
2858   {
2859   DEBUG(D_tls)
2860     debug_printf("TLS: a client certificate will be required\n");
2861   state->verify_requirement = VERIFY_REQUIRED;
2862   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_REQUIRE);
2863   }
2864 else if (verify_check_host(&tls_try_verify_hosts) == OK)
2865   {
2866   DEBUG(D_tls)
2867     debug_printf("TLS: a client certificate will be requested but not required\n");
2868   state->verify_requirement = VERIFY_OPTIONAL;
2869   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_REQUEST);
2870   }
2871 else
2872   {
2873   DEBUG(D_tls)
2874     debug_printf("TLS: a client certificate will not be requested\n");
2875   state->verify_requirement = VERIFY_NONE;
2876   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_IGNORE);
2877   }
2878
2879 #ifndef DISABLE_EVENT
2880 if (event_action)
2881   {
2882   state->event_action = event_action;
2883   gnutls_session_set_ptr(state->session, state);
2884   gnutls_certificate_set_verify_function(state->lib_state.x509_cred, verify_cb);
2885   }
2886 #endif
2887
2888 /* Register SNI handling; always, even if not in tls_certificate, so that the
2889 expansion variable $tls_sni is always available. */
2890
2891 gnutls_handshake_set_post_client_hello_function(state->session,
2892     exim_sni_handling_cb);
2893
2894 /* Set context and tell client to go ahead, except in the case of TLS startup
2895 on connection, where outputting anything now upsets the clients and tends to
2896 make them disconnect. We need to have an explicit fflush() here, to force out
2897 the response. Other smtp_printf() calls do not need it, because in non-TLS
2898 mode, the fflush() happens when smtp_getc() is called. */
2899
2900 if (!state->tlsp->on_connect)
2901   {
2902   smtp_printf("220 TLS go ahead\r\n", FALSE);
2903   fflush(smtp_out);
2904   }
2905
2906 /* Now negotiate the TLS session. We put our own timer on it, since it seems
2907 that the GnuTLS library doesn't.
2908 From 3.1.0 there is gnutls_handshake_set_timeout() - but it requires you
2909 to set (and clear down afterwards) up a pull-timeout callback function that does
2910 a select, so we're no better off unless avoiding signals becomes an issue. */
2911
2912 gnutls_transport_set_ptr2(state->session,
2913     (gnutls_transport_ptr_t)(long) fileno(smtp_in),
2914     (gnutls_transport_ptr_t)(long) fileno(smtp_out));
2915 state->fd_in = fileno(smtp_in);
2916 state->fd_out = fileno(smtp_out);
2917
2918 sigalrm_seen = FALSE;
2919 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
2920 do
2921   rc = gnutls_handshake(state->session);
2922 while (rc == GNUTLS_E_AGAIN ||  rc == GNUTLS_E_INTERRUPTED && !sigalrm_seen);
2923 ALARM_CLR(0);
2924
2925 if (rc != GNUTLS_E_SUCCESS)
2926   {
2927   /* It seems that, except in the case of a timeout, we have to close the
2928   connection right here; otherwise if the other end is running OpenSSL it hangs
2929   until the server times out. */
2930
2931   if (sigalrm_seen)
2932     {
2933     tls_error(US"gnutls_handshake", US"timed out", NULL, errstr);
2934     gnutls_db_remove_session(state->session);
2935     }
2936   else
2937     {
2938     tls_error_gnu(US"gnutls_handshake", rc, NULL, errstr);
2939     (void) gnutls_alert_send_appropriate(state->session, rc);
2940     gnutls_deinit(state->session);
2941     gnutls_certificate_free_credentials(state->lib_state.x509_cred);
2942     state->lib_state = null_tls_preload;
2943     millisleep(500);
2944     shutdown(state->fd_out, SHUT_WR);
2945     for (int i = 1024; fgetc(smtp_in) != EOF && i > 0; ) i--;   /* drain skt */
2946     (void)fclose(smtp_out);
2947     (void)fclose(smtp_in);
2948     smtp_out = smtp_in = NULL;
2949     }
2950
2951   return FAIL;
2952   }
2953
2954 #ifdef GNUTLS_SFLAGS_EXT_MASTER_SECRET
2955 if (gnutls_session_get_flags(state->session) & GNUTLS_SFLAGS_EXT_MASTER_SECRET)
2956   tls_in.ext_master_secret = TRUE;
2957 #endif
2958
2959 #ifdef EXIM_HAVE_TLS_RESUME
2960 tls_server_resume_posthandshake(state);
2961 #endif
2962
2963 DEBUG(D_tls) post_handshake_debug(state);
2964
2965 /* Verify after the fact */
2966
2967 if (!verify_certificate(state, errstr))
2968   {
2969   if (state->verify_requirement != VERIFY_OPTIONAL)
2970     {
2971     (void) tls_error(US"certificate verification failed", *errstr, NULL, errstr);
2972     return FAIL;
2973     }
2974   DEBUG(D_tls)
2975     debug_printf("TLS: continuing on only because verification was optional, after: %s\n",
2976         *errstr);
2977   }
2978
2979 /* Sets various Exim expansion variables; always safe within server */
2980
2981 extract_exim_vars_from_tls_state(state);
2982
2983 /* TLS has been set up. Adjust the input functions to read via TLS,
2984 and initialize appropriately. */
2985
2986 state->xfer_buffer = store_malloc(ssl_xfer_buffer_size);
2987
2988 receive_getc = tls_getc;
2989 receive_getbuf = tls_getbuf;
2990 receive_get_cache = tls_get_cache;
2991 receive_ungetc = tls_ungetc;
2992 receive_feof = tls_feof;
2993 receive_ferror = tls_ferror;
2994 receive_smtp_buffered = tls_smtp_buffered;
2995
2996 return OK;
2997 }
2998
2999
3000
3001
3002 static void
3003 tls_client_setup_hostname_checks(host_item * host, exim_gnutls_state_st * state,
3004   smtp_transport_options_block * ob)
3005 {
3006 if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
3007   {
3008   state->exp_tls_verify_cert_hostnames =
3009 #ifdef SUPPORT_I18N
3010     string_domain_utf8_to_alabel(host->certname, NULL);
3011 #else
3012     host->certname;
3013 #endif
3014   DEBUG(D_tls)
3015     debug_printf("TLS: server cert verification includes hostname: \"%s\"\n",
3016                     state->exp_tls_verify_cert_hostnames);
3017   }
3018 }
3019
3020
3021
3022
3023 #ifdef SUPPORT_DANE
3024 /* Given our list of RRs from the TLSA lookup, build a lookup block in
3025 GnuTLS-DANE's preferred format.  Hang it on the state str for later
3026 use in DANE verification.
3027
3028 We point at the dnsa data not copy it, so it must remain valid until
3029 after verification is done.*/
3030
3031 static BOOL
3032 dane_tlsa_load(exim_gnutls_state_st * state, dns_answer * dnsa)
3033 {
3034 dns_scan dnss;
3035 int i;
3036 const char **   dane_data;
3037 int *           dane_data_len;
3038
3039 i = 1;
3040 for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
3041      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
3042     ) if (rr->type == T_TLSA) i++;
3043
3044 dane_data = store_get(i * sizeof(uschar *), FALSE);
3045 dane_data_len = store_get(i * sizeof(int), FALSE);
3046
3047 i = 0;
3048 for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
3049      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
3050     ) if (rr->type == T_TLSA && rr->size > 3)
3051   {
3052   const uschar * p = rr->data;
3053 /*XXX need somehow to mark rr and its data as tainted.  Doues this mean copying it? */
3054   uint8_t usage = p[0], sel = p[1], type = p[2];
3055
3056   DEBUG(D_tls)
3057     debug_printf("TLSA: %d %d %d size %d\n", usage, sel, type, rr->size);
3058
3059   if (  (usage != DANESSL_USAGE_DANE_TA && usage != DANESSL_USAGE_DANE_EE)
3060      || (sel != 0 && sel != 1)
3061      )
3062     continue;
3063   switch(type)
3064     {
3065     case 0:     /* Full: cannot check at present */
3066                 break;
3067     case 1:     if (rr->size != 3 + 256/8) continue;    /* sha2-256 */
3068                 break;
3069     case 2:     if (rr->size != 3 + 512/8) continue;    /* sha2-512 */
3070                 break;
3071     default:    continue;
3072     }
3073
3074   tls_out.tlsa_usage |= 1<<usage;
3075   dane_data[i] = CS p;
3076   dane_data_len[i++] = rr->size;
3077   }
3078
3079 if (!i) return FALSE;
3080
3081 dane_data[i] = NULL;
3082 dane_data_len[i] = 0;
3083
3084 state->dane_data = (char * const *)dane_data;
3085 state->dane_data_len = dane_data_len;
3086 return TRUE;
3087 }
3088 #endif
3089
3090
3091
3092 #ifdef EXIM_HAVE_TLS_RESUME
3093 /* On the client, get any stashed session for the given IP from hints db
3094 and apply it to the ssl-connection for attempted resumption.  Although
3095 there is a gnutls_session_ticket_enable_client() interface it is
3096 documented as unnecessary (as of 3.6.7) as "session tickets are emabled
3097 by deafult".  There seems to be no way to disable them, so even hosts not
3098 enabled by the transport option will be sent a ticket request.  We will
3099 however avoid storing and retrieving session information. */
3100
3101 static void
3102 tls_retrieve_session(tls_support * tlsp, gnutls_session_t session,
3103   host_item * host, smtp_transport_options_block * ob)
3104 {
3105 tlsp->resumption = RESUME_SUPPORTED;
3106 if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
3107   {
3108   dbdata_tls_session * dt;
3109   int len, rc;
3110   open_db dbblock, * dbm_file;
3111
3112   DEBUG(D_tls)
3113     debug_printf("check for resumable session for %s\n", host->address);
3114   tlsp->host_resumable = TRUE;
3115   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
3116   if ((dbm_file = dbfn_open(US"tls", O_RDONLY, &dbblock, FALSE, FALSE)))
3117     {
3118     /* Key for the db is the IP.  We'd like to filter the retrieved session
3119     for ticket advisory expiry, but 3.6.1 seems to give no access to that */
3120
3121     if ((dt = dbfn_read_with_length(dbm_file, host->address, &len)))
3122       if (!(rc = gnutls_session_set_data(session,
3123                     CUS dt->session, (size_t)len - sizeof(dbdata_tls_session))))
3124         {
3125         DEBUG(D_tls) debug_printf("good session\n");
3126         tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
3127         }
3128       else DEBUG(D_tls) debug_printf("setting session resumption data: %s\n",
3129             US gnutls_strerror(rc));
3130     dbfn_close(dbm_file);
3131     }
3132   }
3133 }
3134
3135
3136 static void
3137 tls_save_session(tls_support * tlsp, gnutls_session_t session, const host_item * host)
3138 {
3139 /* TLS 1.2 - we get both the callback and the direct posthandshake call,
3140 but this flag is not set until the second.  TLS 1.3 it's the other way about.
3141 Keep both calls as the session data cannot be extracted before handshake
3142 completes. */
3143
3144 if (gnutls_session_get_flags(session) & GNUTLS_SFLAGS_SESSION_TICKET)
3145   {
3146   gnutls_datum_t tkt;
3147   int rc;
3148
3149   DEBUG(D_tls) debug_printf("server offered session ticket\n");
3150   tlsp->ticket_received = TRUE;
3151   tlsp->resumption |= RESUME_SERVER_TICKET;
3152
3153   if (tlsp->host_resumable)
3154     if (!(rc = gnutls_session_get_data2(session, &tkt)))
3155       {
3156       open_db dbblock, * dbm_file;
3157       int dlen = sizeof(dbdata_tls_session) + tkt.size;
3158       dbdata_tls_session * dt = store_get(dlen, TRUE);
3159
3160       DEBUG(D_tls) debug_printf("session data size %u\n", (unsigned)tkt.size);
3161       memcpy(dt->session, tkt.data, tkt.size);
3162       gnutls_free(tkt.data);
3163
3164       if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
3165         {
3166         /* key for the db is the IP */
3167         dbfn_delete(dbm_file, host->address);
3168         dbfn_write(dbm_file, host->address, dt, dlen);
3169         dbfn_close(dbm_file);
3170
3171         DEBUG(D_tls)
3172           debug_printf("wrote session db (len %u)\n", (unsigned)dlen);
3173         }
3174       }
3175     else DEBUG(D_tls)
3176       debug_printf("extract session data: %s\n", US gnutls_strerror(rc));
3177   }
3178 }
3179
3180
3181 /* With a TLS1.3 session, the ticket(s) are not seen until
3182 the first data read is attempted.  And there's often two of them.
3183 Pick them up with this callback.  We are also called for 1.2
3184 but we do nothing.
3185 */
3186 static int
3187 tls_client_ticket_cb(gnutls_session_t sess, u_int htype, unsigned when,
3188   unsigned incoming, const gnutls_datum_t * msg)
3189 {
3190 exim_gnutls_state_st * state = gnutls_session_get_ptr(sess);
3191 tls_support * tlsp = state->tlsp;
3192
3193 DEBUG(D_tls) debug_printf("newticket cb\n");
3194
3195 if (!tlsp->ticket_received)
3196   tls_save_session(tlsp, sess, state->host);
3197 return 0;
3198 }
3199
3200
3201 static void
3202 tls_client_resume_prehandshake(exim_gnutls_state_st * state,
3203   tls_support * tlsp, host_item * host,
3204   smtp_transport_options_block * ob)
3205 {
3206 gnutls_session_set_ptr(state->session, state);
3207 gnutls_handshake_set_hook_function(state->session,
3208   GNUTLS_HANDSHAKE_NEW_SESSION_TICKET, GNUTLS_HOOK_POST, tls_client_ticket_cb);
3209
3210 tls_retrieve_session(tlsp, state->session, host, ob);
3211 }
3212
3213 static void
3214 tls_client_resume_posthandshake(exim_gnutls_state_st * state,
3215   tls_support * tlsp, host_item * host)
3216 {
3217 if (gnutls_session_is_resumed(state->session))
3218   {
3219   DEBUG(D_tls) debug_printf("Session resumed\n");
3220   tlsp->resumption |= RESUME_USED;
3221   }
3222
3223 tls_save_session(tlsp, state->session, host);
3224 }
3225 #endif  /* !DISABLE_TLS_RESUME */
3226
3227
3228 /*************************************************
3229 *    Start a TLS session in a client             *
3230 *************************************************/
3231
3232 /* Called from the smtp transport after STARTTLS has been accepted.
3233
3234 Arguments:
3235   cctx          connection context
3236   conn_args     connection details
3237   cookie        datum for randomness (not used)
3238   tlsp          record details of channel configuration here; must be non-NULL
3239   errstr        error string pointer
3240
3241 Returns:        TRUE for success with TLS session context set in smtp context,
3242                 FALSE on error
3243 */
3244
3245 BOOL
3246 tls_client_start(client_conn_ctx * cctx, smtp_connect_args * conn_args,
3247   void * cookie ARG_UNUSED,
3248   tls_support * tlsp, uschar ** errstr)
3249 {
3250 host_item * host = conn_args->host;          /* for msgs and option-tests */
3251 transport_instance * tb = conn_args->tblock; /* always smtp or NULL */
3252 smtp_transport_options_block * ob = tb
3253   ? (smtp_transport_options_block *)tb->options_block
3254   : &smtp_transport_option_defaults;
3255 int rc;
3256 exim_gnutls_state_st * state = NULL;
3257 uschar * cipher_list = NULL;
3258
3259 #ifndef DISABLE_OCSP
3260 BOOL require_ocsp =
3261   verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK;
3262 BOOL request_ocsp = require_ocsp ? TRUE
3263   : verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3264 #endif
3265
3266 DEBUG(D_tls) debug_printf("initialising GnuTLS as a client on fd %d\n", cctx->sock);
3267
3268 #ifdef SUPPORT_DANE
3269 /* If dane is flagged, have either request or require dane for this host, and
3270 a TLSA record found.  Therefore, dane verify required.  Which implies cert must
3271 be requested and supplied, dane verify must pass, and cert verify irrelevant
3272 (incl.  hostnames), and (caller handled) require_tls and sni=$domain */
3273
3274 if (conn_args->dane && ob->dane_require_tls_ciphers)
3275   {
3276   /* not using Expand_check_tlsvar because not yet in state */
3277   if (!expand_check(ob->dane_require_tls_ciphers, US"dane_require_tls_ciphers",
3278       &cipher_list, errstr))
3279     return FALSE;
3280   cipher_list = cipher_list && *cipher_list
3281     ? ob->dane_require_tls_ciphers : ob->tls_require_ciphers;
3282   }
3283 #endif
3284
3285 if (!cipher_list)
3286   cipher_list = ob->tls_require_ciphers;
3287
3288   {
3289 #ifdef MEASURE_TIMING
3290   struct timeval t0;
3291   gettimeofday(&t0, NULL);
3292 #endif
3293
3294   if (tls_init(host, ob, cipher_list, &state, tlsp, errstr) != OK)
3295     return FALSE;
3296
3297 #ifdef MEASURE_TIMING
3298   report_time_since(&t0, US"client tls_init (delta)");
3299 #endif
3300   }
3301
3302   {
3303   int dh_min_bits = ob->tls_dh_min_bits;
3304   if (dh_min_bits < EXIM_CLIENT_DH_MIN_MIN_BITS)
3305     {
3306     DEBUG(D_tls)
3307       debug_printf("WARNING: tls_dh_min_bits far too low,"
3308                     " clamping %d up to %d\n",
3309           dh_min_bits, EXIM_CLIENT_DH_MIN_MIN_BITS);
3310     dh_min_bits = EXIM_CLIENT_DH_MIN_MIN_BITS;
3311     }
3312
3313   DEBUG(D_tls) debug_printf("Setting D-H prime minimum"
3314                     " acceptable bits to %d\n",
3315       dh_min_bits);
3316   gnutls_dh_set_prime_bits(state->session, dh_min_bits);
3317   }
3318
3319 /* Stick to the old behaviour for compatibility if tls_verify_certificates is
3320 set but both tls_verify_hosts and tls_try_verify_hosts are unset. Check only
3321 the specified host patterns if one of them is defined */
3322
3323 #ifdef SUPPORT_DANE
3324 if (conn_args->dane && dane_tlsa_load(state, &conn_args->tlsa_dnsa))
3325   {
3326   DEBUG(D_tls)
3327     debug_printf("TLS: server certificate DANE required\n");
3328   state->verify_requirement = VERIFY_DANE;
3329   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_REQUIRE);
3330   }
3331 else
3332 #endif
3333     if (  (  state->exp_tls_verify_certificates
3334           && !ob->tls_verify_hosts
3335           && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
3336           )
3337         || verify_check_given_host(CUSS &ob->tls_verify_hosts, host) == OK
3338        )
3339   {
3340   tls_client_setup_hostname_checks(host, state, ob);
3341   DEBUG(D_tls)
3342     debug_printf("TLS: server certificate verification required\n");
3343   state->verify_requirement = VERIFY_REQUIRED;
3344   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_REQUIRE);
3345   }
3346 else if (verify_check_given_host(CUSS &ob->tls_try_verify_hosts, host) == OK)
3347   {
3348   tls_client_setup_hostname_checks(host, state, ob);
3349   DEBUG(D_tls)
3350     debug_printf("TLS: server certificate verification optional\n");
3351   state->verify_requirement = VERIFY_OPTIONAL;
3352   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_REQUEST);
3353   }
3354 else
3355   {
3356   DEBUG(D_tls)
3357     debug_printf("TLS: server certificate verification not required\n");
3358   state->verify_requirement = VERIFY_NONE;
3359   gnutls_certificate_server_set_request(state->session, GNUTLS_CERT_IGNORE);
3360   }
3361
3362 #ifndef DISABLE_OCSP
3363                         /* supported since GnuTLS 3.1.3 */
3364 if (request_ocsp)
3365   {
3366   DEBUG(D_tls) debug_printf("TLS: will request OCSP stapling\n");
3367   if ((rc = gnutls_ocsp_status_request_enable_client(state->session,
3368                     NULL, 0, NULL)) != OK)
3369     {
3370     tls_error_gnu(US"cert-status-req", rc, state->host, errstr);
3371     return FALSE;
3372     }
3373   tlsp->ocsp = OCSP_NOT_RESP;
3374   }
3375 #endif
3376
3377 #ifdef EXIM_HAVE_TLS_RESUME
3378 tls_client_resume_prehandshake(state, tlsp, host, ob);
3379 #endif
3380
3381 #ifndef DISABLE_EVENT
3382 if (tb && tb->event_action)
3383   {
3384   state->event_action = tb->event_action;
3385   gnutls_session_set_ptr(state->session, state);
3386   gnutls_certificate_set_verify_function(state->lib_state.x509_cred, verify_cb);
3387   }
3388 #endif
3389
3390 gnutls_transport_set_ptr(state->session, (gnutls_transport_ptr_t)(long) cctx->sock);
3391 state->fd_in = cctx->sock;
3392 state->fd_out = cctx->sock;
3393
3394 DEBUG(D_tls) debug_printf("about to gnutls_handshake\n");
3395 /* There doesn't seem to be a built-in timeout on connection. */
3396
3397 sigalrm_seen = FALSE;
3398 ALARM(ob->command_timeout);
3399 do
3400   rc = gnutls_handshake(state->session);
3401 while (rc == GNUTLS_E_AGAIN || rc == GNUTLS_E_INTERRUPTED && !sigalrm_seen);
3402 ALARM_CLR(0);
3403
3404 if (rc != GNUTLS_E_SUCCESS)
3405   {
3406   if (sigalrm_seen)
3407     {
3408     gnutls_alert_send(state->session, GNUTLS_AL_FATAL, GNUTLS_A_USER_CANCELED);
3409     tls_error(US"gnutls_handshake", US"timed out", state->host, errstr);
3410     }
3411   else
3412     tls_error_gnu(US"gnutls_handshake", rc, state->host, errstr);
3413   return FALSE;
3414   }
3415
3416 DEBUG(D_tls) post_handshake_debug(state);
3417
3418 /* Verify late */
3419
3420 if (!verify_certificate(state, errstr))
3421   {
3422   tls_error(US"certificate verification failed", *errstr, state->host, errstr);
3423   return FALSE;
3424   }
3425
3426 #ifdef GNUTLS_SFLAGS_EXT_MASTER_SECRET
3427 if (gnutls_session_get_flags(state->session) & GNUTLS_SFLAGS_EXT_MASTER_SECRET)
3428   tlsp->ext_master_secret = TRUE;
3429 #endif
3430
3431 #ifndef DISABLE_OCSP
3432 if (request_ocsp)
3433   {
3434   DEBUG(D_tls)
3435     {
3436     gnutls_datum_t stapling;
3437     gnutls_ocsp_resp_t resp;
3438     gnutls_datum_t printed;
3439     unsigned idx = 0;
3440
3441     for (;
3442 # ifdef GNUTLS_OCSP_STATUS_REQUEST_GET2
3443          (rc = gnutls_ocsp_status_request_get2(state->session, idx, &stapling)) == 0;
3444 #else
3445          (rc = gnutls_ocsp_status_request_get(state->session, &stapling)) == 0;
3446 #endif
3447          idx++)
3448       if (  (rc= gnutls_ocsp_resp_init(&resp)) == 0
3449          && (rc= gnutls_ocsp_resp_import(resp, &stapling)) == 0
3450          && (rc= gnutls_ocsp_resp_print(resp, GNUTLS_OCSP_PRINT_COMPACT, &printed)) == 0
3451          )
3452         {
3453         debug_printf("%.4096s", printed.data);
3454         gnutls_free(printed.data);
3455         }
3456       else
3457         (void) tls_error_gnu(US"ocsp decode", rc, state->host, errstr);
3458     if (idx == 0 && rc)
3459       (void) tls_error_gnu(US"ocsp decode", rc, state->host, errstr);
3460     }
3461
3462   if (gnutls_ocsp_status_request_is_checked(state->session, 0) == 0)
3463     {
3464     tlsp->ocsp = OCSP_FAILED;
3465     tls_error(US"certificate status check failed", NULL, state->host, errstr);
3466     if (require_ocsp)
3467       return FALSE;
3468     }
3469   else
3470     {
3471     DEBUG(D_tls) debug_printf("Passed OCSP checking\n");
3472     tlsp->ocsp = OCSP_VFIED;
3473     }
3474   }
3475 #endif
3476
3477 #ifdef EXIM_HAVE_TLS_RESUME
3478 tls_client_resume_posthandshake(state, tlsp, host);
3479 #endif
3480
3481 /* Sets various Exim expansion variables; may need to adjust for ACL callouts */
3482
3483 extract_exim_vars_from_tls_state(state);
3484
3485 cctx->tls_ctx = state;
3486 return TRUE;
3487 }
3488
3489
3490
3491
3492 /*************************************************
3493 *         Close down a TLS session               *
3494 *************************************************/
3495
3496 /* This is also called from within a delivery subprocess forked from the
3497 daemon, to shut down the TLS library, without actually doing a shutdown (which
3498 would tamper with the TLS session in the parent process).
3499
3500 Arguments:
3501   ct_ctx        client context pointer, or NULL for the one global server context
3502   shutdown      1 if TLS close-alert is to be sent,
3503                 2 if also response to be waited for
3504
3505 Returns:     nothing
3506 */
3507
3508 void
3509 tls_close(void * ct_ctx, int shutdown)
3510 {
3511 exim_gnutls_state_st * state = ct_ctx ? ct_ctx : &state_server;
3512 tls_support * tlsp = state->tlsp;
3513
3514 if (!tlsp || tlsp->active.sock < 0) return;  /* TLS was not active */
3515
3516 if (shutdown)
3517   {
3518   DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
3519     shutdown > 1 ? " (with response-wait)" : "");
3520
3521   ALARM(2);
3522   gnutls_bye(state->session, shutdown > 1 ? GNUTLS_SHUT_RDWR : GNUTLS_SHUT_WR);
3523   ALARM_CLR(0);
3524   }
3525
3526 if (!ct_ctx)    /* server */
3527   {
3528   receive_getc =        smtp_getc;
3529   receive_getbuf =      smtp_getbuf;
3530   receive_get_cache =   smtp_get_cache;
3531   receive_ungetc =      smtp_ungetc;
3532   receive_feof =        smtp_feof;
3533   receive_ferror =      smtp_ferror;
3534   receive_smtp_buffered = smtp_buffered;
3535   }
3536
3537 gnutls_deinit(state->session);
3538 gnutls_certificate_free_credentials(state->lib_state.x509_cred);
3539 state->lib_state = null_tls_preload;
3540
3541 tlsp->active.sock = -1;
3542 tlsp->active.tls_ctx = NULL;
3543 /* Leave bits, peercert, cipher, peerdn, certificate_verified set, for logging */
3544 tlsp->channelbinding = NULL;
3545
3546
3547 if (state->xfer_buffer) store_free(state->xfer_buffer);
3548 }
3549
3550
3551
3552
3553 static BOOL
3554 tls_refill(unsigned lim)
3555 {
3556 exim_gnutls_state_st * state = &state_server;
3557 ssize_t inbytes;
3558
3559 DEBUG(D_tls) debug_printf("Calling gnutls_record_recv(session=%p, buffer=%p, buffersize=%u)\n",
3560   state->session, state->xfer_buffer, ssl_xfer_buffer_size);
3561
3562 sigalrm_seen = FALSE;
3563 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
3564
3565 errno = 0;
3566 do
3567   inbytes = gnutls_record_recv(state->session, state->xfer_buffer,
3568     MIN(ssl_xfer_buffer_size, lim));
3569 while (inbytes == GNUTLS_E_AGAIN);
3570
3571 if (smtp_receive_timeout > 0) ALARM_CLR(0);
3572
3573 if (had_command_timeout)                /* set by signal handler */
3574   smtp_command_timeout_exit();          /* does not return */
3575 if (had_command_sigterm)
3576   smtp_command_sigterm_exit();
3577 if (had_data_timeout)
3578   smtp_data_timeout_exit();
3579 if (had_data_sigint)
3580   smtp_data_sigint_exit();
3581
3582 /* Timeouts do not get this far.  A zero-byte return appears to mean that the
3583 TLS session has been closed down, not that the socket itself has been closed
3584 down. Revert to non-TLS handling. */
3585
3586 if (sigalrm_seen)
3587   {
3588   DEBUG(D_tls) debug_printf("Got tls read timeout\n");
3589   state->xfer_error = TRUE;
3590   return FALSE;
3591   }
3592
3593 else if (inbytes == 0)
3594   {
3595   DEBUG(D_tls) debug_printf("Got TLS_EOF\n");
3596   tls_close(NULL, TLS_NO_SHUTDOWN);
3597   return FALSE;
3598   }
3599
3600 /* Handle genuine errors */
3601
3602 else if (inbytes < 0)
3603   {
3604   DEBUG(D_tls) debug_printf("%s: err from gnutls_record_recv\n", __FUNCTION__);
3605   record_io_error(state, (int) inbytes, US"recv", NULL);
3606   state->xfer_error = TRUE;
3607   return FALSE;
3608   }
3609 #ifndef DISABLE_DKIM
3610 dkim_exim_verify_feed(state->xfer_buffer, inbytes);
3611 #endif
3612 state->xfer_buffer_hwm = (int) inbytes;
3613 state->xfer_buffer_lwm = 0;
3614 return TRUE;
3615 }
3616
3617 /*************************************************
3618 *            TLS version of getc                 *
3619 *************************************************/
3620
3621 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
3622 it refills the buffer via the GnuTLS reading function.
3623 Only used by the server-side TLS.
3624
3625 This feeds DKIM and should be used for all message-body reads.
3626
3627 Arguments:  lim         Maximum amount to read/buffer
3628 Returns:    the next character or EOF
3629 */
3630
3631 int
3632 tls_getc(unsigned lim)
3633 {
3634 exim_gnutls_state_st * state = &state_server;
3635
3636 if (state->xfer_buffer_lwm >= state->xfer_buffer_hwm)
3637   if (!tls_refill(lim))
3638     return state->xfer_error ? EOF : smtp_getc(lim);
3639
3640 /* Something in the buffer; return next uschar */
3641
3642 return state->xfer_buffer[state->xfer_buffer_lwm++];
3643 }
3644
3645 uschar *
3646 tls_getbuf(unsigned * len)
3647 {
3648 exim_gnutls_state_st * state = &state_server;
3649 unsigned size;
3650 uschar * buf;
3651
3652 if (state->xfer_buffer_lwm >= state->xfer_buffer_hwm)
3653   if (!tls_refill(*len))
3654     {
3655     if (!state->xfer_error) return smtp_getbuf(len);
3656     *len = 0;
3657     return NULL;
3658     }
3659
3660 if ((size = state->xfer_buffer_hwm - state->xfer_buffer_lwm) > *len)
3661   size = *len;
3662 buf = &state->xfer_buffer[state->xfer_buffer_lwm];
3663 state->xfer_buffer_lwm += size;
3664 *len = size;
3665 return buf;
3666 }
3667
3668
3669 void
3670 tls_get_cache()
3671 {
3672 #ifndef DISABLE_DKIM
3673 exim_gnutls_state_st * state = &state_server;
3674 int n = state->xfer_buffer_hwm - state->xfer_buffer_lwm;
3675 if (n > 0)
3676   dkim_exim_verify_feed(state->xfer_buffer+state->xfer_buffer_lwm, n);
3677 #endif
3678 }
3679
3680
3681 BOOL
3682 tls_could_read(void)
3683 {
3684 return state_server.xfer_buffer_lwm < state_server.xfer_buffer_hwm
3685  || gnutls_record_check_pending(state_server.session) > 0;
3686 }
3687
3688
3689
3690
3691 /*************************************************
3692 *          Read bytes from TLS channel           *
3693 *************************************************/
3694
3695 /* This does not feed DKIM, so if the caller uses this for reading message body,
3696 then the caller must feed DKIM.
3697
3698 Arguments:
3699   ct_ctx    client context pointer, or NULL for the one global server context
3700   buff      buffer of data
3701   len       size of buffer
3702
3703 Returns:    the number of bytes read
3704             -1 after a failed read, including EOF
3705 */
3706
3707 int
3708 tls_read(void * ct_ctx, uschar *buff, size_t len)
3709 {
3710 exim_gnutls_state_st * state = ct_ctx ? ct_ctx : &state_server;
3711 ssize_t inbytes;
3712
3713 if (len > INT_MAX)
3714   len = INT_MAX;
3715
3716 if (state->xfer_buffer_lwm < state->xfer_buffer_hwm)
3717   DEBUG(D_tls)
3718     debug_printf("*** PROBABLY A BUG *** " \
3719         "tls_read() called with data in the tls_getc() buffer, %d ignored\n",
3720         state->xfer_buffer_hwm - state->xfer_buffer_lwm);
3721
3722 DEBUG(D_tls)
3723   debug_printf("Calling gnutls_record_recv(session=%p, buffer=%p, len=" SIZE_T_FMT ")\n",
3724       state->session, buff, len);
3725
3726 errno = 0;
3727 do
3728   inbytes = gnutls_record_recv(state->session, buff, len);
3729 while (inbytes == GNUTLS_E_AGAIN);
3730
3731 if (inbytes > 0) return inbytes;
3732 if (inbytes == 0)
3733   {
3734   DEBUG(D_tls) debug_printf("Got TLS_EOF\n");
3735   }
3736 else
3737   {
3738   DEBUG(D_tls) debug_printf("%s: err from gnutls_record_recv\n", __FUNCTION__);
3739   record_io_error(state, (int)inbytes, US"recv", NULL);
3740   }
3741
3742 return -1;
3743 }
3744
3745
3746
3747
3748 /*************************************************
3749 *         Write bytes down TLS channel           *
3750 *************************************************/
3751
3752 /*
3753 Arguments:
3754   ct_ctx    client context pointer, or NULL for the one global server context
3755   buff      buffer of data
3756   len       number of bytes
3757   more      more data expected soon
3758
3759 Calling with len zero and more unset will flush buffered writes.  The buff
3760 argument can be null for that case.
3761
3762 Returns:    the number of bytes after a successful write,
3763             -1 after a failed write
3764 */
3765
3766 int
3767 tls_write(void * ct_ctx, const uschar * buff, size_t len, BOOL more)
3768 {
3769 ssize_t outbytes;
3770 size_t left = len;
3771 exim_gnutls_state_st * state = ct_ctx ? ct_ctx : &state_server;
3772
3773 #ifdef SUPPORT_CORK
3774 if (more && !state->corked)
3775   {
3776   DEBUG(D_tls) debug_printf("gnutls_record_cork(session=%p)\n", state->session);
3777   gnutls_record_cork(state->session);
3778   state->corked = TRUE;
3779   }
3780 #endif
3781
3782 DEBUG(D_tls) debug_printf("%s(%p, " SIZE_T_FMT "%s)\n", __FUNCTION__,
3783   buff, left, more ? ", more" : "");
3784
3785 while (left > 0)
3786   {
3787   DEBUG(D_tls) debug_printf("gnutls_record_send(session=%p, buffer=%p, left=" SIZE_T_FMT ")\n",
3788       state->session, buff, left);
3789
3790   errno = 0;
3791   do
3792     outbytes = gnutls_record_send(state->session, buff, left);
3793   while (outbytes == GNUTLS_E_AGAIN);
3794
3795   DEBUG(D_tls) debug_printf("outbytes=" SSIZE_T_FMT "\n", outbytes);
3796
3797   if (outbytes < 0)
3798     {
3799 #ifdef GNUTLS_E_PREMATURE_TERMINATION
3800     if (  outbytes == GNUTLS_E_PREMATURE_TERMINATION && errno == ECONNRESET
3801        && !ct_ctx && f.smtp_in_quit
3802        )
3803       {                                 /* Outlook, dammit */
3804       if (LOGGING(protocol_detail))
3805         log_write(0, LOG_MAIN, "[%s] after QUIT, client reset TCP before"
3806           " SMTP response and TLS close\n", sender_host_address);
3807       else
3808         DEBUG(D_tls) debug_printf("[%s] SSL_write: after QUIT,"
3809           " client reset TCP before TLS close\n", sender_host_address);
3810       }
3811     else
3812 #endif
3813       {
3814       DEBUG(D_tls) debug_printf("%s: gnutls_record_send err\n", __FUNCTION__);
3815       record_io_error(state, outbytes, US"send", NULL);
3816       }
3817     return -1;
3818     }
3819   if (outbytes == 0)
3820     {
3821     record_io_error(state, 0, US"send", US"TLS channel closed on write");
3822     return -1;
3823     }
3824
3825   left -= outbytes;
3826   buff += outbytes;
3827   }
3828
3829 if (len > INT_MAX)
3830   {
3831   DEBUG(D_tls)
3832     debug_printf("Whoops!  Wrote more bytes (" SIZE_T_FMT ") than INT_MAX\n",
3833         len);
3834   len = INT_MAX;
3835   }
3836
3837 #ifdef SUPPORT_CORK
3838 if (!more && state->corked)
3839   {
3840   DEBUG(D_tls) debug_printf("gnutls_record_uncork(session=%p)\n", state->session);
3841   do
3842     /* We can't use GNUTLS_RECORD_WAIT here, as it retries on
3843     GNUTLS_E_AGAIN || GNUTLS_E_INTR, which would break our timeout set by alarm().
3844     The GNUTLS_E_AGAIN should not happen ever, as our sockets are blocking anyway.
3845     But who knows. (That all relies on the fact that GNUTLS_E_INTR and GNUTLS_E_AGAIN
3846     match the EINTR and EAGAIN errno values.) */
3847     outbytes = gnutls_record_uncork(state->session, 0);
3848   while (outbytes == GNUTLS_E_AGAIN);
3849
3850   if (outbytes < 0)
3851     {
3852     record_io_error(state, len, US"uncork", NULL);
3853     return -1;
3854     }
3855
3856   state->corked = FALSE;
3857   }
3858 #endif
3859
3860 return (int) len;
3861 }
3862
3863
3864
3865
3866 /*************************************************
3867 *            Random number generation            *
3868 *************************************************/
3869
3870 /* Pseudo-random number generation.  The result is not expected to be
3871 cryptographically strong but not so weak that someone will shoot themselves
3872 in the foot using it as a nonce in input in some email header scheme or
3873 whatever weirdness they'll twist this into.  The result should handle fork()
3874 and avoid repeating sequences.  OpenSSL handles that for us.
3875
3876 Arguments:
3877   max       range maximum
3878 Returns     a random number in range [0, max-1]
3879 */
3880
3881 #ifdef HAVE_GNUTLS_RND
3882 int
3883 vaguely_random_number(int max)
3884 {
3885 unsigned int r;
3886 int i, needed_len;
3887 uschar smallbuf[sizeof(r)];
3888
3889 if (max <= 1)
3890   return 0;
3891
3892 needed_len = sizeof(r);
3893 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
3894 asked for a number less than 10. */
3895
3896 for (r = max, i = 0; r; ++i)
3897   r >>= 1;
3898 i = (i + 7) / 8;
3899 if (i < needed_len)
3900   needed_len = i;
3901
3902 i = gnutls_rnd(GNUTLS_RND_NONCE, smallbuf, needed_len);
3903 if (i < 0)
3904   {
3905   DEBUG(D_all) debug_printf("gnutls_rnd() failed, using fallback\n");
3906   return vaguely_random_number_fallback(max);
3907   }
3908 r = 0;
3909 for (uschar * p = smallbuf; needed_len; --needed_len, ++p)
3910   r = r * 256 + *p;
3911
3912 /* We don't particularly care about weighted results; if someone wants
3913  * smooth distribution and cares enough then they should submit a patch then. */
3914 return r % max;
3915 }
3916 #else /* HAVE_GNUTLS_RND */
3917 int
3918 vaguely_random_number(int max)
3919 {
3920   return vaguely_random_number_fallback(max);
3921 }
3922 #endif /* HAVE_GNUTLS_RND */
3923
3924
3925
3926
3927 /*************************************************
3928 *  Let tls_require_ciphers be checked at startup *
3929 *************************************************/
3930
3931 /* The tls_require_ciphers option, if set, must be something which the
3932 library can parse.
3933
3934 Returns:     NULL on success, or error message
3935 */
3936
3937 uschar *
3938 tls_validate_require_cipher(void)
3939 {
3940 int rc;
3941 uschar *expciphers = NULL;
3942 gnutls_priority_t priority_cache;
3943 const char *errpos;
3944 uschar * dummy_errstr;
3945
3946 #ifdef GNUTLS_AUTO_GLOBAL_INIT
3947 # define validate_check_rc(Label) do { \
3948   if (rc != GNUTLS_E_SUCCESS) { if (exim_gnutls_base_init_done) \
3949     return string_sprintf("%s failed: %s", (Label), gnutls_strerror(rc)); } } while (0)
3950 # define return_deinit(Label) do { return (Label); } while (0)
3951 #else
3952 # define validate_check_rc(Label) do { \
3953   if (rc != GNUTLS_E_SUCCESS) { if (exim_gnutls_base_init_done) gnutls_global_deinit(); \
3954     return string_sprintf("%s failed: %s", (Label), gnutls_strerror(rc)); } } while (0)
3955 # define return_deinit(Label) do { gnutls_global_deinit(); return (Label); } while (0)
3956 #endif
3957
3958 if (exim_gnutls_base_init_done)
3959   log_write(0, LOG_MAIN|LOG_PANIC,
3960       "already initialised GnuTLS, Exim developer bug");
3961
3962 #if defined(HAVE_GNUTLS_PKCS11) && !defined(GNUTLS_AUTO_PKCS11_MANUAL)
3963 if (!gnutls_allow_auto_pkcs11)
3964   {
3965   rc = gnutls_pkcs11_init(GNUTLS_PKCS11_FLAG_MANUAL, NULL);
3966   validate_check_rc(US"gnutls_pkcs11_init");
3967   }
3968 #endif
3969 #ifndef GNUTLS_AUTO_GLOBAL_INIT
3970 rc = gnutls_global_init();
3971 validate_check_rc(US"gnutls_global_init()");
3972 #endif
3973 exim_gnutls_base_init_done = TRUE;
3974
3975 if (!(tls_require_ciphers && *tls_require_ciphers))
3976   return_deinit(NULL);
3977
3978 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers,
3979                   &dummy_errstr))
3980   return_deinit(US"failed to expand tls_require_ciphers");
3981
3982 if (!(expciphers && *expciphers))
3983   return_deinit(NULL);
3984
3985 DEBUG(D_tls)
3986   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
3987
3988 rc = gnutls_priority_init(&priority_cache, CS expciphers, &errpos);
3989 validate_check_rc(string_sprintf(
3990       "gnutls_priority_init(%s) failed at offset %ld, \"%.8s..\"",
3991       expciphers, errpos - CS expciphers, errpos));
3992
3993 #undef return_deinit
3994 #undef validate_check_rc
3995 #ifndef GNUTLS_AUTO_GLOBAL_INIT
3996 gnutls_global_deinit();
3997 #endif
3998
3999 return NULL;
4000 }
4001
4002
4003
4004
4005 /*************************************************
4006 *         Report the library versions.           *
4007 *************************************************/
4008
4009 /* See a description in tls-openssl.c for an explanation of why this exists.
4010
4011 Arguments:   a FILE* to print the results to
4012 Returns:     nothing
4013 */
4014
4015 void
4016 tls_version_report(FILE *f)
4017 {
4018 fprintf(f, "Library version: GnuTLS: Compile: %s\n"
4019            "                         Runtime: %s\n",
4020            LIBGNUTLS_VERSION,
4021            gnutls_check_version(NULL));
4022 }
4023
4024 #endif  /*!MACRO_PREDEF*/
4025 /* vi: aw ai sw=2
4026 */
4027 /* End of tls-gnu.c */