c97dc1bff2f48a19d4bd1ebe7ce3c85c9d68db03
[users/jgh/exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2019 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef SUPPORT_DANE
32 # include "danessl.h"
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44 #if OPENSSL_VERSION_NUMBER >= 0x00908000L
45 # define EXIM_HAVE_RSA_GENKEY_EX
46 #endif
47 #if OPENSSL_VERSION_NUMBER >= 0x10100000L
48 # define EXIM_HAVE_OCSP_RESP_COUNT
49 # define OPENSSL_AUTO_SHA256
50 #else
51 # define EXIM_HAVE_EPHEM_RSA_KEX
52 # define EXIM_HAVE_RAND_PSEUDO
53 #endif
54 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
55 # define EXIM_HAVE_SHA256
56 #endif
57
58 /* X509_check_host provides sane certificate hostname checking, but was added
59 to OpenSSL late, after other projects forked off the code-base.  So in
60 addition to guarding against the base version number, beware that LibreSSL
61 does not (at this time) support this function.
62
63 If LibreSSL gains a different API, perhaps via libtls, then we'll probably
64 opt to disentangle and ask a LibreSSL user to provide glue for a third
65 crypto provider for libtls instead of continuing to tie the OpenSSL glue
66 into even twistier knots.  If LibreSSL gains the same API, we can just
67 change this guard and punt the issue for a while longer. */
68
69 #ifndef LIBRESSL_VERSION_NUMBER
70 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
71 #  define EXIM_HAVE_OPENSSL_CHECKHOST
72 #  define EXIM_HAVE_OPENSSL_DH_BITS
73 #  define EXIM_HAVE_OPENSSL_TLS_METHOD
74 #  define EXIM_HAVE_OPENSSL_KEYLOG
75 #  define EXIM_HAVE_OPENSSL_CIPHER_GET_ID
76 #  define EXIM_HAVE_SESSION_TICKET
77 #  define EXIM_HAVE_OPESSL_TRACE
78 #  define EXIM_HAVE_OPESSL_GET0_SERIAL
79 #  ifndef DISABLE_OCSP
80 #   define EXIM_HAVE_OCSP
81 #  endif
82 # else
83 #  define EXIM_NEED_OPENSSL_INIT
84 # endif
85 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
86     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
87 #  define EXIM_HAVE_OPENSSL_CHECKHOST
88 # endif
89 #endif
90
91 #if !defined(LIBRESSL_VERSION_NUMBER) \
92     || LIBRESSL_VERSION_NUMBER >= 0x20010000L
93 # if !defined(OPENSSL_NO_ECDH)
94 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
95 #   define EXIM_HAVE_ECDH
96 #  endif
97 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
98 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
99 #  endif
100 # endif
101 #endif
102
103 #ifndef LIBRESSL_VERSION_NUMBER
104 # if OPENSSL_VERSION_NUMBER >= 0x010101000L
105 #  define OPENSSL_HAVE_KEYLOG_CB
106 #  define OPENSSL_HAVE_NUM_TICKETS
107 #  define EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
108 # else
109 #  define OPENSSL_BAD_SRVR_OURCERT
110 # endif
111 #endif
112
113 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
114 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
115 # define DISABLE_OCSP
116 #endif
117
118 #ifdef EXPERIMENTAL_TLS_RESUME
119 # if OPENSSL_VERSION_NUMBER < 0x0101010L
120 #  error OpenSSL version too old for session-resumption
121 # endif
122 #endif
123
124 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
125 # include <openssl/x509v3.h>
126 #endif
127
128 #ifndef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
129 # ifndef EXIM_HAVE_OPENSSL_CIPHER_GET_ID
130 #  define SSL_CIPHER_get_id(c) (c->id)
131 # endif
132 # ifndef MACRO_PREDEF
133 #  include "tls-cipher-stdname.c"
134 # endif
135 #endif
136
137 /*************************************************
138 *        OpenSSL option parse                    *
139 *************************************************/
140
141 typedef struct exim_openssl_option {
142   uschar *name;
143   long    value;
144 } exim_openssl_option;
145 /* We could use a macro to expand, but we need the ifdef and not all the
146 options document which version they were introduced in.  Policylet: include
147 all options unless explicitly for DTLS, let the administrator choose which
148 to apply.
149
150 This list is current as of:
151   ==>  1.0.1b  <==
152 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
153 Plus SSL_OP_NO_TLSv1_3 for 1.1.2-dev
154 Plus SSL_OP_NO_RENEGOTIATION for 1.1.1
155
156 XXX could we autobuild this list, as with predefined-macros?
157 Seems just parsing ssl.h for SSL_OP_.* would be enough.
158 Also allow a numeric literal?
159 */
160 static exim_openssl_option exim_openssl_options[] = {
161 /* KEEP SORTED ALPHABETICALLY! */
162 #ifdef SSL_OP_ALL
163   { US"all", (long) SSL_OP_ALL },
164 #endif
165 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
166   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
167 #endif
168 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
169   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
170 #endif
171 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
172   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
173 #endif
174 #ifdef SSL_OP_EPHEMERAL_RSA
175   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
176 #endif
177 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
178   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
179 #endif
180 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
181   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
182 #endif
183 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
184   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
185 #endif
186 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
187   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
188 #endif
189 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
190   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
191 #endif
192 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
193   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
194 #endif
195 #ifdef SSL_OP_NO_COMPRESSION
196   { US"no_compression", SSL_OP_NO_COMPRESSION },
197 #endif
198 #ifdef SSL_OP_NO_RENEGOTIATION
199   { US"no_renegotiation", SSL_OP_NO_RENEGOTIATION },
200 #endif
201 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
202   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
203 #endif
204 #ifdef SSL_OP_NO_SSLv2
205   { US"no_sslv2", SSL_OP_NO_SSLv2 },
206 #endif
207 #ifdef SSL_OP_NO_SSLv3
208   { US"no_sslv3", SSL_OP_NO_SSLv3 },
209 #endif
210 #ifdef SSL_OP_NO_TICKET
211   { US"no_ticket", SSL_OP_NO_TICKET },
212 #endif
213 #ifdef SSL_OP_NO_TLSv1
214   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
215 #endif
216 #ifdef SSL_OP_NO_TLSv1_1
217 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
218   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
219 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
220 #else
221   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
222 #endif
223 #endif
224 #ifdef SSL_OP_NO_TLSv1_2
225   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
226 #endif
227 #ifdef SSL_OP_NO_TLSv1_3
228   { US"no_tlsv1_3", SSL_OP_NO_TLSv1_3 },
229 #endif
230 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
231   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
232 #endif
233 #ifdef SSL_OP_SINGLE_DH_USE
234   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
235 #endif
236 #ifdef SSL_OP_SINGLE_ECDH_USE
237   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
238 #endif
239 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
240   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
241 #endif
242 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
243   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
244 #endif
245 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
246   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
247 #endif
248 #ifdef SSL_OP_TLS_D5_BUG
249   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
250 #endif
251 #ifdef SSL_OP_TLS_ROLLBACK_BUG
252   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
253 #endif
254 };
255
256 #ifndef MACRO_PREDEF
257 static int exim_openssl_options_size = nelem(exim_openssl_options);
258 #endif
259
260 #ifdef MACRO_PREDEF
261 void
262 options_tls(void)
263 {
264 uschar buf[64];
265
266 for (struct exim_openssl_option * o = exim_openssl_options;
267      o < exim_openssl_options + nelem(exim_openssl_options); o++)
268   {
269   /* Trailing X is workaround for problem with _OPT_OPENSSL_NO_TLSV1
270   being a ".ifdef _OPT_OPENSSL_NO_TLSV1_3" match */
271
272   spf(buf, sizeof(buf), US"_OPT_OPENSSL_%T_X", o->name);
273   builtin_macro_create(buf);
274   }
275
276 # ifdef EXPERIMENTAL_TLS_RESUME
277 builtin_macro_create_var(US"_RESUME_DECODE", RESUME_DECODE_STRING );
278 # endif
279 # ifdef SSL_OP_NO_TLSv1_3
280 builtin_macro_create(US"_HAVE_TLS1_3");
281 # endif
282 # ifdef OPENSSL_BAD_SRVR_OURCERT
283 builtin_macro_create(US"_TLS_BAD_MULTICERT_IN_OURCERT");
284 # endif
285 # ifdef EXIM_HAVE_OCSP
286 builtin_macro_create(US"_HAVE_TLS_OCSP");
287 builtin_macro_create(US"_HAVE_TLS_OCSP_LIST");
288 # endif
289 }
290 #else
291
292 /******************************************************************************/
293
294 /* Structure for collecting random data for seeding. */
295
296 typedef struct randstuff {
297   struct timeval tv;
298   pid_t          p;
299 } randstuff;
300
301 /* Local static variables */
302
303 static BOOL client_verify_callback_called = FALSE;
304 static BOOL server_verify_callback_called = FALSE;
305 static const uschar *sid_ctx = US"exim";
306
307 /* We have three different contexts to care about.
308
309 Simple case: client, `client_ctx`
310  As a client, we can be doing a callout or cut-through delivery while receiving
311  a message.  So we have a client context, which should have options initialised
312  from the SMTP Transport.  We may also concurrently want to make TLS connections
313  to utility daemons, so client-contexts are allocated and passed around in call
314  args rather than using a gobal.
315
316 Server:
317  There are two cases: with and without ServerNameIndication from the client.
318  Given TLS SNI, we can be using different keys, certs and various other
319  configuration settings, because they're re-expanded with $tls_sni set.  This
320  allows vhosting with TLS.  This SNI is sent in the handshake.
321  A client might not send SNI, so we need a fallback, and an initial setup too.
322  So as a server, we start out using `server_ctx`.
323  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
324  `server_sni` from `server_ctx` and then initialise settings by re-expanding
325  configuration.
326 */
327
328 typedef struct {
329   SSL_CTX *     ctx;
330   SSL *         ssl;
331   gstring *     corked;
332 } exim_openssl_client_tls_ctx;
333
334 static SSL_CTX *server_ctx = NULL;
335 static SSL     *server_ssl = NULL;
336
337 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
338 static SSL_CTX *server_sni = NULL;
339 #endif
340
341 static char ssl_errstring[256];
342
343 static int  ssl_session_timeout = 7200;         /* Two hours */
344 static BOOL client_verify_optional = FALSE;
345 static BOOL server_verify_optional = FALSE;
346
347 static BOOL reexpand_tls_files_for_sni = FALSE;
348
349
350 typedef struct ocsp_resp {
351   struct ocsp_resp *    next;
352   OCSP_RESPONSE *       resp;
353 } ocsp_resplist;
354
355 typedef struct tls_ext_ctx_cb {
356   tls_support * tlsp;
357   uschar *certificate;
358   uschar *privatekey;
359   BOOL is_server;
360 #ifndef DISABLE_OCSP
361   STACK_OF(X509) *verify_stack;         /* chain for verifying the proof */
362   union {
363     struct {
364       uschar        *file;
365       const uschar  *file_expanded;
366       ocsp_resplist *olist;
367     } server;
368     struct {
369       X509_STORE    *verify_store;      /* non-null if status requested */
370       BOOL          verify_required;
371     } client;
372   } u_ocsp;
373 #endif
374   uschar *dhparam;
375   /* these are cached from first expand */
376   uschar *server_cipher_list;
377   /* only passed down to tls_error: */
378   host_item *host;
379   const uschar * verify_cert_hostnames;
380 #ifndef DISABLE_EVENT
381   uschar * event_action;
382 #endif
383 } tls_ext_ctx_cb;
384
385 /* should figure out a cleanup of API to handle state preserved per
386 implementation, for various reasons, which can be void * in the APIs.
387 For now, we hack around it. */
388 tls_ext_ctx_cb *client_static_cbinfo = NULL;    /*XXX should not use static; multiple concurrent clients! */
389 tls_ext_ctx_cb *server_static_cbinfo = NULL;
390
391 static int
392 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
393     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr );
394
395 /* Callbacks */
396 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
397 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
398 #endif
399 #ifndef DISABLE_OCSP
400 static int tls_server_stapling_cb(SSL *s, void *arg);
401 #endif
402
403
404
405 /* Daemon-called, before every connection, key create/rotate */
406 #ifdef EXPERIMENTAL_TLS_RESUME
407 static void tk_init(void);
408 static int tls_exdata_idx = -1;
409 #endif
410
411 void
412 tls_daemon_init(void)
413 {
414 #ifdef EXPERIMENTAL_TLS_RESUME
415 tk_init();
416 #endif
417 return;
418 }
419
420
421 /*************************************************
422 *               Handle TLS error                 *
423 *************************************************/
424
425 /* Called from lots of places when errors occur before actually starting to do
426 the TLS handshake, that is, while the session is still in clear. Always returns
427 DEFER for a server and FAIL for a client so that most calls can use "return
428 tls_error(...)" to do this processing and then give an appropriate return. A
429 single function is used for both server and client, because it is called from
430 some shared functions.
431
432 Argument:
433   prefix    text to include in the logged error
434   host      NULL if setting up a server;
435             the connected host if setting up a client
436   msg       error message or NULL if we should ask OpenSSL
437   errstr    pointer to output error message
438
439 Returns:    OK/DEFER/FAIL
440 */
441
442 static int
443 tls_error(uschar * prefix, const host_item * host, uschar * msg, uschar ** errstr)
444 {
445 if (!msg)
446   {
447   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
448   msg = US ssl_errstring;
449   }
450
451 msg = string_sprintf("(%s): %s", prefix, msg);
452 DEBUG(D_tls) debug_printf("TLS error '%s'\n", msg);
453 if (errstr) *errstr = msg;
454 return host ? FAIL : DEFER;
455 }
456
457
458
459 /*************************************************
460 *        Callback to generate RSA key            *
461 *************************************************/
462
463 /*
464 Arguments:
465   s          SSL connection (not used)
466   export     not used
467   keylength  keylength
468
469 Returns:     pointer to generated key
470 */
471
472 static RSA *
473 rsa_callback(SSL *s, int export, int keylength)
474 {
475 RSA *rsa_key;
476 #ifdef EXIM_HAVE_RSA_GENKEY_EX
477 BIGNUM *bn = BN_new();
478 #endif
479
480 export = export;     /* Shut picky compilers up */
481 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
482
483 #ifdef EXIM_HAVE_RSA_GENKEY_EX
484 if (  !BN_set_word(bn, (unsigned long)RSA_F4)
485    || !(rsa_key = RSA_new())
486    || !RSA_generate_key_ex(rsa_key, keylength, bn, NULL)
487    )
488 #else
489 if (!(rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL)))
490 #endif
491
492   {
493   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
494   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
495     ssl_errstring);
496   return NULL;
497   }
498 return rsa_key;
499 }
500
501
502
503 /* Extreme debug
504 #ifndef DISABLE_OCSP
505 void
506 x509_store_dump_cert_s_names(X509_STORE * store)
507 {
508 STACK_OF(X509_OBJECT) * roots= store->objs;
509 static uschar name[256];
510
511 for (int i= 0; i < sk_X509_OBJECT_num(roots); i++)
512   {
513   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
514   if(tmp_obj->type == X509_LU_X509)
515     {
516     X509_NAME * sn = X509_get_subject_name(tmp_obj->data.x509);
517     if (X509_NAME_oneline(sn, CS name, sizeof(name)))
518       {
519       name[sizeof(name)-1] = '\0';
520       debug_printf(" %s\n", name);
521       }
522     }
523   }
524 }
525 #endif
526 */
527
528
529 #ifndef DISABLE_EVENT
530 static int
531 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
532   BOOL *calledp, const BOOL *optionalp, const uschar * what)
533 {
534 uschar * ev;
535 uschar * yield;
536 X509 * old_cert;
537
538 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
539 if (ev)
540   {
541   DEBUG(D_tls) debug_printf("verify_event: %s %d\n", what, depth);
542   old_cert = tlsp->peercert;
543   tlsp->peercert = X509_dup(cert);
544   /* NB we do not bother setting peerdn */
545   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
546     {
547     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
548                 "depth=%d cert=%s: %s",
549               tlsp == &tls_out ? deliver_host_address : sender_host_address,
550               what, depth, dn, yield);
551     *calledp = TRUE;
552     if (!*optionalp)
553       {
554       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
555       return 1;                     /* reject (leaving peercert set) */
556       }
557     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
558       "(host in tls_try_verify_hosts)\n");
559     tlsp->verify_override = TRUE;
560     }
561   X509_free(tlsp->peercert);
562   tlsp->peercert = old_cert;
563   }
564 return 0;
565 }
566 #endif
567
568 /*************************************************
569 *        Callback for verification               *
570 *************************************************/
571
572 /* The SSL library does certificate verification if set up to do so. This
573 callback has the current yes/no state is in "state". If verification succeeded,
574 we set the certificate-verified flag. If verification failed, what happens
575 depends on whether the client is required to present a verifiable certificate
576 or not.
577
578 If verification is optional, we change the state to yes, but still log the
579 verification error. For some reason (it really would help to have proper
580 documentation of OpenSSL), this callback function then gets called again, this
581 time with state = 1.  We must take care not to set the private verified flag on
582 the second time through.
583
584 Note: this function is not called if the client fails to present a certificate
585 when asked. We get here only if a certificate has been received. Handling of
586 optional verification for this case is done when requesting SSL to verify, by
587 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
588
589 May be called multiple times for different issues with a certificate, even
590 for a given "depth" in the certificate chain.
591
592 Arguments:
593   preverify_ok current yes/no state as 1/0
594   x509ctx      certificate information.
595   tlsp         per-direction (client vs. server) support data
596   calledp      has-been-called flag
597   optionalp    verification-is-optional flag
598
599 Returns:     0 if verification should fail, otherwise 1
600 */
601
602 static int
603 verify_callback(int preverify_ok, X509_STORE_CTX * x509ctx,
604   tls_support * tlsp, BOOL * calledp, BOOL * optionalp)
605 {
606 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
607 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
608 uschar dn[256];
609
610 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
611   {
612   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
613   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
614     tlsp == &tls_out ? deliver_host_address : sender_host_address);
615   return 0;
616   }
617 dn[sizeof(dn)-1] = '\0';
618
619 tlsp->verify_override = FALSE;
620 if (preverify_ok == 0)
621   {
622   uschar * extra = verify_mode ? string_sprintf(" (during %c-verify for [%s])",
623       *verify_mode, sender_host_address)
624     : US"";
625   log_write(0, LOG_MAIN, "[%s] SSL verify error%s: depth=%d error=%s cert=%s",
626     tlsp == &tls_out ? deliver_host_address : sender_host_address,
627     extra, depth,
628     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)), dn);
629   *calledp = TRUE;
630   if (!*optionalp)
631     {
632     if (!tlsp->peercert)
633       tlsp->peercert = X509_dup(cert);  /* record failing cert */
634     return 0;                           /* reject */
635     }
636   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
637     "tls_try_verify_hosts)\n");
638   tlsp->verify_override = TRUE;
639   }
640
641 else if (depth != 0)
642   {
643   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
644 #ifndef DISABLE_OCSP
645   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
646     {   /* client, wanting stapling  */
647     /* Add the server cert's signing chain as the one
648     for the verification of the OCSP stapled information. */
649
650     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
651                              cert))
652       ERR_clear_error();
653     sk_X509_push(client_static_cbinfo->verify_stack, cert);
654     }
655 #endif
656 #ifndef DISABLE_EVENT
657     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
658       return 0;                         /* reject, with peercert set */
659 #endif
660   }
661 else
662   {
663   const uschar * verify_cert_hostnames;
664
665   if (  tlsp == &tls_out
666      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
667         /* client, wanting hostname check */
668     {
669
670 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
671 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
672 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
673 # endif
674 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
675 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
676 # endif
677     int sep = 0;
678     const uschar * list = verify_cert_hostnames;
679     uschar * name;
680     int rc;
681     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
682       if ((rc = X509_check_host(cert, CCS name, 0,
683                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
684                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
685                   NULL)))
686         {
687         if (rc < 0)
688           {
689           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
690             tlsp == &tls_out ? deliver_host_address : sender_host_address);
691           name = NULL;
692           }
693         break;
694         }
695     if (!name)
696 #else
697     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
698 #endif
699       {
700       uschar * extra = verify_mode
701         ? string_sprintf(" (during %c-verify for [%s])",
702           *verify_mode, sender_host_address)
703         : US"";
704       log_write(0, LOG_MAIN,
705         "[%s] SSL verify error%s: certificate name mismatch: DN=\"%s\" H=\"%s\"",
706         tlsp == &tls_out ? deliver_host_address : sender_host_address,
707         extra, dn, verify_cert_hostnames);
708       *calledp = TRUE;
709       if (!*optionalp)
710         {
711         if (!tlsp->peercert)
712           tlsp->peercert = X509_dup(cert);      /* record failing cert */
713         return 0;                               /* reject */
714         }
715       DEBUG(D_tls) debug_printf("SSL verify name failure overridden (host in "
716         "tls_try_verify_hosts)\n");
717       tlsp->verify_override = TRUE;
718       }
719     }
720
721 #ifndef DISABLE_EVENT
722   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
723     return 0;                           /* reject, with peercert set */
724 #endif
725
726   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
727     *calledp ? "" : " authenticated", dn);
728   *calledp = TRUE;
729   }
730
731 return 1;   /* accept, at least for this level */
732 }
733
734 static int
735 verify_callback_client(int preverify_ok, X509_STORE_CTX *x509ctx)
736 {
737 return verify_callback(preverify_ok, x509ctx, &tls_out,
738   &client_verify_callback_called, &client_verify_optional);
739 }
740
741 static int
742 verify_callback_server(int preverify_ok, X509_STORE_CTX *x509ctx)
743 {
744 return verify_callback(preverify_ok, x509ctx, &tls_in,
745   &server_verify_callback_called, &server_verify_optional);
746 }
747
748
749 #ifdef SUPPORT_DANE
750
751 /* This gets called *by* the dane library verify callback, which interposes
752 itself.
753 */
754 static int
755 verify_callback_client_dane(int preverify_ok, X509_STORE_CTX * x509ctx)
756 {
757 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
758 uschar dn[256];
759 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
760 #ifndef DISABLE_EVENT
761 BOOL dummy_called, optional = FALSE;
762 #endif
763
764 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
765   {
766   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
767   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
768     deliver_host_address);
769   return 0;
770   }
771 dn[sizeof(dn)-1] = '\0';
772
773 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
774   preverify_ok ? "ok":"BAD", depth, dn);
775
776 #ifndef DISABLE_EVENT
777   if (verify_event(&tls_out, cert, depth, dn,
778           &dummy_called, &optional, US"DANE"))
779     return 0;                           /* reject, with peercert set */
780 #endif
781
782 if (preverify_ok == 1)
783   {
784   tls_out.dane_verified = TRUE;
785 #ifndef DISABLE_OCSP
786   if (client_static_cbinfo->u_ocsp.client.verify_store)
787     {   /* client, wanting stapling  */
788     /* Add the server cert's signing chain as the one
789     for the verification of the OCSP stapled information. */
790
791     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
792                              cert))
793       ERR_clear_error();
794     sk_X509_push(client_static_cbinfo->verify_stack, cert);
795     }
796 #endif
797   }
798 else
799   {
800   int err = X509_STORE_CTX_get_error(x509ctx);
801   DEBUG(D_tls)
802     debug_printf(" - err %d '%s'\n", err, X509_verify_cert_error_string(err));
803   if (err == X509_V_ERR_APPLICATION_VERIFICATION)
804     preverify_ok = 1;
805   }
806 return preverify_ok;
807 }
808
809 #endif  /*SUPPORT_DANE*/
810
811
812 /*************************************************
813 *           Information callback                 *
814 *************************************************/
815
816 /* The SSL library functions call this from time to time to indicate what they
817 are doing. We copy the string to the debugging output when TLS debugging has
818 been requested.
819
820 Arguments:
821   s         the SSL connection
822   where
823   ret
824
825 Returns:    nothing
826 */
827
828 static void
829 info_callback(SSL *s, int where, int ret)
830 {
831 DEBUG(D_tls)
832   {
833   const uschar * str;
834
835   if (where & SSL_ST_CONNECT)
836      str = US"SSL_connect";
837   else if (where & SSL_ST_ACCEPT)
838      str = US"SSL_accept";
839   else
840      str = US"SSL info (undefined)";
841
842   if (where & SSL_CB_LOOP)
843      debug_printf("%s: %s\n", str, SSL_state_string_long(s));
844   else if (where & SSL_CB_ALERT)
845     debug_printf("SSL3 alert %s:%s:%s\n",
846           str = where & SSL_CB_READ ? US"read" : US"write",
847           SSL_alert_type_string_long(ret), SSL_alert_desc_string_long(ret));
848   else if (where & SSL_CB_EXIT)
849      if (ret == 0)
850         debug_printf("%s: failed in %s\n", str, SSL_state_string_long(s));
851      else if (ret < 0)
852         debug_printf("%s: error in %s\n", str, SSL_state_string_long(s));
853   else if (where & SSL_CB_HANDSHAKE_START)
854      debug_printf("%s: hshake start: %s\n", str, SSL_state_string_long(s));
855   else if (where & SSL_CB_HANDSHAKE_DONE)
856      debug_printf("%s: hshake done: %s\n", str, SSL_state_string_long(s));
857   }
858 }
859
860 #ifdef OPENSSL_HAVE_KEYLOG_CB
861 static void
862 keylog_callback(const SSL *ssl, const char *line)
863 {
864 char * filename;
865 FILE * fp;
866 DEBUG(D_tls) debug_printf("%.200s\n", line);
867 if (!(filename = getenv("SSLKEYLOGFILE"))) return;
868 if (!(fp = fopen(filename, "a"))) return;
869 fprintf(fp, "%s\n", line);
870 fclose(fp);
871 }
872 #endif
873
874
875 #ifdef EXPERIMENTAL_TLS_RESUME
876 /* Manage the keysets used for encrypting the session tickets, on the server. */
877
878 typedef struct {                        /* Session ticket encryption key */
879   uschar        name[16];
880
881   const EVP_CIPHER *    aes_cipher;
882   uschar                aes_key[32];    /* size needed depends on cipher. aes_128 implies 128/8 = 16? */
883   const EVP_MD *        hmac_hash;
884   uschar                hmac_key[16];
885   time_t                renew;
886   time_t                expire;
887 } exim_stek;
888
889 static exim_stek exim_tk;       /* current key */
890 static exim_stek exim_tk_old;   /* previous key */
891
892 static void
893 tk_init(void)
894 {
895 time_t t = time(NULL);
896
897 if (exim_tk.name[0])
898   {
899   if (exim_tk.renew >= t) return;
900   exim_tk_old = exim_tk;
901   }
902
903 if (f.running_in_test_harness) ssl_session_timeout = 6;
904
905 DEBUG(D_tls) debug_printf("OpenSSL: %s STEK\n", exim_tk.name[0] ? "rotating" : "creating");
906 if (RAND_bytes(exim_tk.aes_key, sizeof(exim_tk.aes_key)) <= 0) return;
907 if (RAND_bytes(exim_tk.hmac_key, sizeof(exim_tk.hmac_key)) <= 0) return;
908 if (RAND_bytes(exim_tk.name+1, sizeof(exim_tk.name)-1) <= 0) return;
909
910 exim_tk.name[0] = 'E';
911 exim_tk.aes_cipher = EVP_aes_256_cbc();
912 exim_tk.hmac_hash = EVP_sha256();
913 exim_tk.expire = t + ssl_session_timeout;
914 exim_tk.renew = t + ssl_session_timeout/2;
915 }
916
917 static exim_stek *
918 tk_current(void)
919 {
920 if (!exim_tk.name[0]) return NULL;
921 return &exim_tk;
922 }
923
924 static exim_stek *
925 tk_find(const uschar * name)
926 {
927 return memcmp(name, exim_tk.name, sizeof(exim_tk.name)) == 0 ? &exim_tk
928   : memcmp(name, exim_tk_old.name, sizeof(exim_tk_old.name)) == 0 ? &exim_tk_old
929   : NULL;
930 }
931
932 /* Callback for session tickets, on server */
933 static int
934 ticket_key_callback(SSL * ssl, uschar key_name[16],
935   uschar * iv, EVP_CIPHER_CTX * ctx, HMAC_CTX * hctx, int enc)
936 {
937 tls_support * tlsp = server_static_cbinfo->tlsp;
938 exim_stek * key;
939
940 if (enc)
941   {
942   DEBUG(D_tls) debug_printf("ticket_key_callback: create new session\n");
943   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
944
945   if (RAND_bytes(iv, EVP_MAX_IV_LENGTH) <= 0)
946     return -1; /* insufficient random */
947
948   if (!(key = tk_current()))    /* current key doesn't exist or isn't valid */
949      return 0;                  /* key couldn't be created */
950   memcpy(key_name, key->name, 16);
951   DEBUG(D_tls) debug_printf("STEK expire " TIME_T_FMT "\n", key->expire - time(NULL));
952
953   /*XXX will want these dependent on the ssl session strength */
954   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
955                 key->hmac_hash, NULL);
956   EVP_EncryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
957
958   DEBUG(D_tls) debug_printf("ticket created\n");
959   return 1;
960   }
961 else
962   {
963   time_t now = time(NULL);
964
965   DEBUG(D_tls) debug_printf("ticket_key_callback: retrieve session\n");
966   tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
967
968   if (!(key = tk_find(key_name)) || key->expire < now)
969     {
970     DEBUG(D_tls)
971       {
972       debug_printf("ticket not usable (%s)\n", key ? "expired" : "not found");
973       if (key) debug_printf("STEK expire " TIME_T_FMT "\n", key->expire - now);
974       }
975     return 0;
976     }
977
978   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
979                 key->hmac_hash, NULL);
980   EVP_DecryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
981
982   DEBUG(D_tls) debug_printf("ticket usable, STEK expire " TIME_T_FMT "\n", key->expire - now);
983
984   /* The ticket lifetime and renewal are the same as the STEK lifetime and
985   renewal, which is overenthusiastic.  A factor of, say, 3x longer STEK would
986   be better.  To do that we'd have to encode ticket lifetime in the name as
987   we don't yet see the restored session.  Could check posthandshake for TLS1.3
988   and trigger a new ticket then, but cannot do that for TLS1.2 */
989   return key->renew < now ? 2 : 1;
990   }
991 }
992 #endif
993
994
995
996 /*************************************************
997 *                Initialize for DH               *
998 *************************************************/
999
1000 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
1001
1002 Arguments:
1003   sctx      The current SSL CTX (inbound or outbound)
1004   dhparam   DH parameter file or fixed parameter identity string
1005   host      connected host, if client; NULL if server
1006   errstr    error string pointer
1007
1008 Returns:    TRUE if OK (nothing to set up, or setup worked)
1009 */
1010
1011 static BOOL
1012 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host, uschar ** errstr)
1013 {
1014 BIO *bio;
1015 DH *dh;
1016 uschar *dhexpanded;
1017 const char *pem;
1018 int dh_bitsize;
1019
1020 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded, errstr))
1021   return FALSE;
1022
1023 if (!dhexpanded || !*dhexpanded)
1024   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
1025 else if (dhexpanded[0] == '/')
1026   {
1027   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
1028     {
1029     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
1030           host, US strerror(errno), errstr);
1031     return FALSE;
1032     }
1033   }
1034 else
1035   {
1036   if (Ustrcmp(dhexpanded, "none") == 0)
1037     {
1038     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
1039     return TRUE;
1040     }
1041
1042   if (!(pem = std_dh_prime_named(dhexpanded)))
1043     {
1044     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
1045         host, US strerror(errno), errstr);
1046     return FALSE;
1047     }
1048   bio = BIO_new_mem_buf(CS pem, -1);
1049   }
1050
1051 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
1052   {
1053   BIO_free(bio);
1054   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
1055       host, NULL, errstr);
1056   return FALSE;
1057   }
1058
1059 /* note: our default limit of 2236 is not a multiple of 8; the limit comes from
1060  * an NSS limit, and the GnuTLS APIs handle bit-sizes fine, so we went with
1061  * 2236.  But older OpenSSL can only report in bytes (octets), not bits.
1062  * If someone wants to dance at the edge, then they can raise the limit or use
1063  * current libraries. */
1064 #ifdef EXIM_HAVE_OPENSSL_DH_BITS
1065 /* Added in commit 26c79d5641d; `git describe --contains` says OpenSSL_1_1_0-pre1~1022
1066  * This predates OpenSSL_1_1_0 (before a, b, ...) so is in all 1.1.0 */
1067 dh_bitsize = DH_bits(dh);
1068 #else
1069 dh_bitsize = 8 * DH_size(dh);
1070 #endif
1071
1072 /* Even if it is larger, we silently return success rather than cause things
1073  * to fail out, so that a too-large DH will not knock out all TLS; it's a
1074  * debatable choice. */
1075 if (dh_bitsize > tls_dh_max_bits)
1076   {
1077   DEBUG(D_tls)
1078     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d\n",
1079         dh_bitsize, tls_dh_max_bits);
1080   }
1081 else
1082   {
1083   SSL_CTX_set_tmp_dh(sctx, dh);
1084   DEBUG(D_tls)
1085     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
1086       dhexpanded ? dhexpanded : US"default", dh_bitsize);
1087   }
1088
1089 DH_free(dh);
1090 BIO_free(bio);
1091
1092 return TRUE;
1093 }
1094
1095
1096
1097
1098 /*************************************************
1099 *               Initialize for ECDH              *
1100 *************************************************/
1101
1102 /* Load parameters for ECDH encryption.
1103
1104 For now, we stick to NIST P-256 because: it's simple and easy to configure;
1105 it avoids any patent issues that might bite redistributors; despite events in
1106 the news and concerns over curve choices, we're not cryptographers, we're not
1107 pretending to be, and this is "good enough" to be better than no support,
1108 protecting against most adversaries.  Given another year or two, there might
1109 be sufficient clarity about a "right" way forward to let us make an informed
1110 decision, instead of a knee-jerk reaction.
1111
1112 Longer-term, we should look at supporting both various named curves and
1113 external files generated with "openssl ecparam", much as we do for init_dh().
1114 We should also support "none" as a value, to explicitly avoid initialisation.
1115
1116 Patches welcome.
1117
1118 Arguments:
1119   sctx      The current SSL CTX (inbound or outbound)
1120   host      connected host, if client; NULL if server
1121   errstr    error string pointer
1122
1123 Returns:    TRUE if OK (nothing to set up, or setup worked)
1124 */
1125
1126 static BOOL
1127 init_ecdh(SSL_CTX * sctx, host_item * host, uschar ** errstr)
1128 {
1129 #ifdef OPENSSL_NO_ECDH
1130 return TRUE;
1131 #else
1132
1133 EC_KEY * ecdh;
1134 uschar * exp_curve;
1135 int nid;
1136 BOOL rv;
1137
1138 if (host)       /* No ECDH setup for clients, only for servers */
1139   return TRUE;
1140
1141 # ifndef EXIM_HAVE_ECDH
1142 DEBUG(D_tls)
1143   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
1144 return TRUE;
1145 # else
1146
1147 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve, errstr))
1148   return FALSE;
1149 if (!exp_curve || !*exp_curve)
1150   return TRUE;
1151
1152 /* "auto" needs to be handled carefully.
1153  * OpenSSL <  1.0.2: we do not select anything, but fallback to prime256v1
1154  * OpenSSL <  1.1.0: we have to call SSL_CTX_set_ecdh_auto
1155  *                   (openssl/ssl.h defines SSL_CTRL_SET_ECDH_AUTO)
1156  * OpenSSL >= 1.1.0: we do not set anything, the libray does autoselection
1157  *                   https://github.com/openssl/openssl/commit/fe6ef2472db933f01b59cad82aa925736935984b
1158  */
1159 if (Ustrcmp(exp_curve, "auto") == 0)
1160   {
1161 #if OPENSSL_VERSION_NUMBER < 0x10002000L
1162   DEBUG(D_tls) debug_printf(
1163     "ECDH OpenSSL < 1.0.2: temp key parameter settings: overriding \"auto\" with \"prime256v1\"\n");
1164   exp_curve = US"prime256v1";
1165 #else
1166 # if defined SSL_CTRL_SET_ECDH_AUTO
1167   DEBUG(D_tls) debug_printf(
1168     "ECDH OpenSSL 1.0.2+ temp key parameter settings: autoselection\n");
1169   SSL_CTX_set_ecdh_auto(sctx, 1);
1170   return TRUE;
1171 # else
1172   DEBUG(D_tls) debug_printf(
1173     "ECDH OpenSSL 1.1.0+ temp key parameter settings: default selection\n");
1174   return TRUE;
1175 # endif
1176 #endif
1177   }
1178
1179 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
1180 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
1181 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
1182    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
1183 #   endif
1184    )
1185   {
1186   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'", exp_curve),
1187     host, NULL, errstr);
1188   return FALSE;
1189   }
1190
1191 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
1192   {
1193   tls_error(US"Unable to create ec curve", host, NULL, errstr);
1194   return FALSE;
1195   }
1196
1197 /* The "tmp" in the name here refers to setting a temporary key
1198 not to the stability of the interface. */
1199
1200 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
1201   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL, errstr);
1202 else
1203   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
1204
1205 EC_KEY_free(ecdh);
1206 return !rv;
1207
1208 # endif /*EXIM_HAVE_ECDH*/
1209 #endif /*OPENSSL_NO_ECDH*/
1210 }
1211
1212
1213
1214
1215 #ifndef DISABLE_OCSP
1216 /*************************************************
1217 *       Load OCSP information into state         *
1218 *************************************************/
1219 /* Called to load the server OCSP response from the given file into memory, once
1220 caller has determined this is needed.  Checks validity.  Debugs a message
1221 if invalid.
1222
1223 ASSUMES: single response, for single cert.
1224
1225 Arguments:
1226   sctx            the SSL_CTX* to update
1227   cbinfo          various parts of session state
1228   filename        the filename putatively holding an OCSP response
1229   is_pem          file is PEM format; otherwise is DER
1230
1231 */
1232
1233 static void
1234 ocsp_load_response(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo,
1235   const uschar * filename, BOOL is_pem)
1236 {
1237 BIO * bio;
1238 OCSP_RESPONSE * resp;
1239 OCSP_BASICRESP * basic_response;
1240 OCSP_SINGLERESP * single_response;
1241 ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
1242 STACK_OF(X509) * sk;
1243 unsigned long verify_flags;
1244 int status, reason, i;
1245
1246 DEBUG(D_tls)
1247   debug_printf("tls_ocsp_file (%s)  '%s'\n", is_pem ? "PEM" : "DER", filename);
1248
1249 if (!(bio = BIO_new_file(CS filename, "rb")))
1250   {
1251   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
1252       filename);
1253   return;
1254   }
1255
1256 if (is_pem)
1257   {
1258   uschar * data, * freep;
1259   char * dummy;
1260   long len;
1261   if (!PEM_read_bio(bio, &dummy, &dummy, &data, &len))
1262     {
1263     DEBUG(D_tls) debug_printf("Failed to read PEM file \"%s\"\n",
1264         filename);
1265     return;
1266     }
1267 debug_printf("read pem file\n");
1268   freep = data;
1269   resp = d2i_OCSP_RESPONSE(NULL, CUSS &data, len);
1270   OPENSSL_free(freep);
1271   }
1272 else
1273   resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
1274 BIO_free(bio);
1275
1276 if (!resp)
1277   {
1278   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
1279   return;
1280   }
1281
1282 if ((status = OCSP_response_status(resp)) != OCSP_RESPONSE_STATUS_SUCCESSFUL)
1283   {
1284   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
1285       OCSP_response_status_str(status), status);
1286   goto bad;
1287   }
1288
1289 #ifdef notdef
1290   {
1291   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
1292   OCSP_RESPONSE_print(bp, resp, 0);  /* extreme debug: stapling content */
1293   BIO_free(bp);
1294   }
1295 #endif
1296
1297 if (!(basic_response = OCSP_response_get1_basic(resp)))
1298   {
1299   DEBUG(D_tls)
1300     debug_printf("OCSP response parse error: unable to extract basic response.\n");
1301   goto bad;
1302   }
1303
1304 sk = cbinfo->verify_stack;
1305 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
1306
1307 /* May need to expose ability to adjust those flags?
1308 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
1309 OCSP_TRUSTOTHER OCSP_NOINTERN */
1310
1311 /* This does a full verify on the OCSP proof before we load it for serving
1312 up; possibly overkill - just date-checks might be nice enough.
1313
1314 OCSP_basic_verify takes a "store" arg, but does not
1315 use it for the chain verification, which is all we do
1316 when OCSP_NOVERIFY is set.  The content from the wire
1317 "basic_response" and a cert-stack "sk" are all that is used.
1318
1319 We have a stack, loaded in setup_certs() if tls_verify_certificates
1320 was a file (not a directory, or "system").  It is unfortunate we
1321 cannot used the connection context store, as that would neatly
1322 handle the "system" case too, but there seems to be no library
1323 function for getting a stack from a store.
1324 [ In OpenSSL 1.1 - ?  X509_STORE_CTX_get0_chain(ctx) ? ]
1325 We do not free the stack since it could be needed a second time for
1326 SNI handling.
1327
1328 Separately we might try to replace using OCSP_basic_verify() - which seems to not
1329 be a public interface into the OpenSSL library (there's no manual entry) -
1330 But what with?  We also use OCSP_basic_verify in the client stapling callback.
1331 And there we NEED it; we must verify that status... unless the
1332 library does it for us anyway?  */
1333
1334 if ((i = OCSP_basic_verify(basic_response, sk, NULL, verify_flags)) < 0)
1335   {
1336   DEBUG(D_tls)
1337     {
1338     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1339     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
1340     }
1341   goto bad;
1342   }
1343
1344 /* Here's the simplifying assumption: there's only one response, for the
1345 one certificate we use, and nothing for anything else in a chain.  If this
1346 proves false, we need to extract a cert id from our issued cert
1347 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
1348 right cert in the stack and then calls OCSP_single_get0_status()).
1349
1350 I'm hoping to avoid reworking a bunch more of how we handle state here.
1351
1352 XXX that will change when we add support for (TLS1.3) whole-chain stapling
1353 */
1354
1355 if (!(single_response = OCSP_resp_get0(basic_response, 0)))
1356   {
1357   DEBUG(D_tls)
1358     debug_printf("Unable to get first response from OCSP basic response.\n");
1359   goto bad;
1360   }
1361
1362 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
1363 if (status != V_OCSP_CERTSTATUS_GOOD)
1364   {
1365   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
1366       OCSP_cert_status_str(status), status,
1367       OCSP_crl_reason_str(reason), reason);
1368   goto bad;
1369   }
1370
1371 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1372   {
1373   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
1374   goto bad;
1375   }
1376
1377 supply_response:
1378   /* Add the resp to the list used by tls_server_stapling_cb() */
1379   {
1380   ocsp_resplist ** op = &cbinfo->u_ocsp.server.olist, * oentry;
1381   while (oentry = *op)
1382     op = &oentry->next;
1383   *op = oentry = store_get(sizeof(ocsp_resplist), FALSE);
1384   oentry->next = NULL;
1385   oentry->resp = resp;
1386   }
1387 return;
1388
1389 bad:
1390   if (f.running_in_test_harness)
1391     {
1392     extern char ** environ;
1393     if (environ) for (uschar ** p = USS environ; *p; p++)
1394       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
1395         {
1396         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
1397         goto supply_response;
1398         }
1399     }
1400 return;
1401 }
1402
1403
1404 static void
1405 ocsp_free_response_list(tls_ext_ctx_cb * cbinfo)
1406 {
1407 for (ocsp_resplist * olist = cbinfo->u_ocsp.server.olist; olist;
1408      olist = olist->next)
1409   OCSP_RESPONSE_free(olist->resp);
1410 cbinfo->u_ocsp.server.olist = NULL;
1411 }
1412 #endif  /*!DISABLE_OCSP*/
1413
1414
1415
1416
1417 /* Create and install a selfsigned certificate, for use in server mode */
1418
1419 static int
1420 tls_install_selfsign(SSL_CTX * sctx, uschar ** errstr)
1421 {
1422 X509 * x509 = NULL;
1423 EVP_PKEY * pkey;
1424 RSA * rsa;
1425 X509_NAME * name;
1426 uschar * where;
1427
1428 where = US"allocating pkey";
1429 if (!(pkey = EVP_PKEY_new()))
1430   goto err;
1431
1432 where = US"allocating cert";
1433 if (!(x509 = X509_new()))
1434   goto err;
1435
1436 where = US"generating pkey";
1437 if (!(rsa = rsa_callback(NULL, 0, 2048)))
1438   goto err;
1439
1440 where = US"assigning pkey";
1441 if (!EVP_PKEY_assign_RSA(pkey, rsa))
1442   goto err;
1443
1444 X509_set_version(x509, 2);                              /* N+1 - version 3 */
1445 ASN1_INTEGER_set(X509_get_serialNumber(x509), 1);
1446 X509_gmtime_adj(X509_get_notBefore(x509), 0);
1447 X509_gmtime_adj(X509_get_notAfter(x509), (long)60 * 60);        /* 1 hour */
1448 X509_set_pubkey(x509, pkey);
1449
1450 name = X509_get_subject_name(x509);
1451 X509_NAME_add_entry_by_txt(name, "C",
1452                           MBSTRING_ASC, CUS "UK", -1, -1, 0);
1453 X509_NAME_add_entry_by_txt(name, "O",
1454                           MBSTRING_ASC, CUS "Exim Developers", -1, -1, 0);
1455 X509_NAME_add_entry_by_txt(name, "CN",
1456                           MBSTRING_ASC, CUS smtp_active_hostname, -1, -1, 0);
1457 X509_set_issuer_name(x509, name);
1458
1459 where = US"signing cert";
1460 if (!X509_sign(x509, pkey, EVP_md5()))
1461   goto err;
1462
1463 where = US"installing selfsign cert";
1464 if (!SSL_CTX_use_certificate(sctx, x509))
1465   goto err;
1466
1467 where = US"installing selfsign key";
1468 if (!SSL_CTX_use_PrivateKey(sctx, pkey))
1469   goto err;
1470
1471 return OK;
1472
1473 err:
1474   (void) tls_error(where, NULL, NULL, errstr);
1475   if (x509) X509_free(x509);
1476   if (pkey) EVP_PKEY_free(pkey);
1477   return DEFER;
1478 }
1479
1480
1481
1482
1483 static int
1484 tls_add_certfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1485   uschar ** errstr)
1486 {
1487 DEBUG(D_tls) debug_printf("tls_certificate file '%s'\n", file);
1488 if (!SSL_CTX_use_certificate_chain_file(sctx, CS file))
1489   return tls_error(string_sprintf(
1490     "SSL_CTX_use_certificate_chain_file file=%s", file),
1491       cbinfo->host, NULL, errstr);
1492 return 0;
1493 }
1494
1495 static int
1496 tls_add_pkeyfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1497   uschar ** errstr)
1498 {
1499 DEBUG(D_tls) debug_printf("tls_privatekey file  '%s'\n", file);
1500 if (!SSL_CTX_use_PrivateKey_file(sctx, CS file, SSL_FILETYPE_PEM))
1501   return tls_error(string_sprintf(
1502     "SSL_CTX_use_PrivateKey_file file=%s", file), cbinfo->host, NULL, errstr);
1503 return 0;
1504 }
1505
1506
1507 /*************************************************
1508 *        Expand key and cert file specs          *
1509 *************************************************/
1510
1511 /* Called once during tls_init and possibly again during TLS setup, for a
1512 new context, if Server Name Indication was used and tls_sni was seen in
1513 the certificate string.
1514
1515 Arguments:
1516   sctx            the SSL_CTX* to update
1517   cbinfo          various parts of session state
1518   errstr          error string pointer
1519
1520 Returns:          OK/DEFER/FAIL
1521 */
1522
1523 static int
1524 tls_expand_session_files(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo,
1525   uschar ** errstr)
1526 {
1527 uschar * expanded;
1528
1529 if (!cbinfo->certificate)
1530   {
1531   if (!cbinfo->is_server)               /* client */
1532     return OK;
1533                                         /* server */
1534   if (tls_install_selfsign(sctx, errstr) != OK)
1535     return DEFER;
1536   }
1537 else
1538   {
1539   int err;
1540
1541   if ( !reexpand_tls_files_for_sni
1542      && (  Ustrstr(cbinfo->certificate, US"tls_sni")
1543         || Ustrstr(cbinfo->certificate, US"tls_in_sni")
1544         || Ustrstr(cbinfo->certificate, US"tls_out_sni")
1545      )  )
1546     reexpand_tls_files_for_sni = TRUE;
1547
1548   if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded, errstr))
1549     return DEFER;
1550
1551   if (expanded)
1552     if (cbinfo->is_server)
1553       {
1554       const uschar * file_list = expanded;
1555       int sep = 0;
1556       uschar * file;
1557 #ifndef DISABLE_OCSP
1558       const uschar * olist = cbinfo->u_ocsp.server.file;
1559       int osep = 0;
1560       uschar * ofile;
1561       BOOL fmt_pem = FALSE;
1562
1563       if (olist)
1564         if (!expand_check(olist, US"tls_ocsp_file", USS &olist, errstr))
1565           return DEFER;
1566       if (olist && !*olist)
1567         olist = NULL;
1568
1569       if (  cbinfo->u_ocsp.server.file_expanded && olist
1570          && (Ustrcmp(olist, cbinfo->u_ocsp.server.file_expanded) == 0))
1571         {
1572         DEBUG(D_tls) debug_printf(" - value unchanged, using existing values\n");
1573         olist = NULL;
1574         }
1575       else
1576         {
1577         ocsp_free_response_list(cbinfo);
1578         cbinfo->u_ocsp.server.file_expanded = olist;
1579         }
1580 #endif
1581
1582       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1583         {
1584         if ((err = tls_add_certfile(sctx, cbinfo, file, errstr)))
1585           return err;
1586
1587 #ifndef DISABLE_OCSP
1588         if (olist)
1589           if ((ofile = string_nextinlist(&olist, &osep, NULL, 0)))
1590             {
1591             if (Ustrncmp(ofile, US"PEM ", 4) == 0)
1592               {
1593               fmt_pem = TRUE;
1594               ofile += 4;
1595               }
1596             else if (Ustrncmp(ofile, US"DER ", 4) == 0)
1597               {
1598               fmt_pem = FALSE;
1599               ofile += 4;
1600               }
1601             ocsp_load_response(sctx, cbinfo, ofile, fmt_pem);
1602             }
1603           else
1604             DEBUG(D_tls) debug_printf("ran out of ocsp file list\n");
1605 #endif
1606         }
1607       }
1608     else        /* would there ever be a need for multiple client certs? */
1609       if ((err = tls_add_certfile(sctx, cbinfo, expanded, errstr)))
1610         return err;
1611
1612   if (  cbinfo->privatekey
1613      && !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded, errstr))
1614     return DEFER;
1615
1616   /* If expansion was forced to fail, key_expanded will be NULL. If the result
1617   of the expansion is an empty string, ignore it also, and assume the private
1618   key is in the same file as the certificate. */
1619
1620   if (expanded && *expanded)
1621     if (cbinfo->is_server)
1622       {
1623       const uschar * file_list = expanded;
1624       int sep = 0;
1625       uschar * file;
1626
1627       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1628         if ((err = tls_add_pkeyfile(sctx, cbinfo, file, errstr)))
1629           return err;
1630       }
1631     else        /* would there ever be a need for multiple client certs? */
1632       if ((err = tls_add_pkeyfile(sctx, cbinfo, expanded, errstr)))
1633         return err;
1634   }
1635
1636 return OK;
1637 }
1638
1639
1640
1641
1642 /*************************************************
1643 *            Callback to handle SNI              *
1644 *************************************************/
1645
1646 /* Called when acting as server during the TLS session setup if a Server Name
1647 Indication extension was sent by the client.
1648
1649 API documentation is OpenSSL s_server.c implementation.
1650
1651 Arguments:
1652   s               SSL* of the current session
1653   ad              unknown (part of OpenSSL API) (unused)
1654   arg             Callback of "our" registered data
1655
1656 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
1657
1658 XXX might need to change to using ClientHello callback,
1659 per https://www.openssl.org/docs/manmaster/man3/SSL_client_hello_cb_fn.html
1660 */
1661
1662 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1663 static int
1664 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
1665 {
1666 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
1667 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1668 int rc;
1669 int old_pool = store_pool;
1670 uschar * dummy_errstr;
1671
1672 if (!servername)
1673   return SSL_TLSEXT_ERR_OK;
1674
1675 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
1676     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
1677
1678 /* Make the extension value available for expansion */
1679 store_pool = POOL_PERM;
1680 tls_in.sni = string_copy_taint(US servername, TRUE);
1681 store_pool = old_pool;
1682
1683 if (!reexpand_tls_files_for_sni)
1684   return SSL_TLSEXT_ERR_OK;
1685
1686 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
1687 not confident that memcpy wouldn't break some internal reference counting.
1688 Especially since there's a references struct member, which would be off. */
1689
1690 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
1691 if (!(server_sni = SSL_CTX_new(TLS_server_method())))
1692 #else
1693 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1694 #endif
1695   {
1696   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1697   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1698   goto bad;
1699   }
1700
1701 /* Not sure how many of these are actually needed, since SSL object
1702 already exists.  Might even need this selfsame callback, for reneg? */
1703
1704 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1705 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1706 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1707 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1708 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1709 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1710
1711 if (  !init_dh(server_sni, cbinfo->dhparam, NULL, &dummy_errstr)
1712    || !init_ecdh(server_sni, NULL, &dummy_errstr)
1713    )
1714   goto bad;
1715
1716 if (  cbinfo->server_cipher_list
1717    && !SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list))
1718   goto bad;
1719
1720 #ifndef DISABLE_OCSP
1721 if (cbinfo->u_ocsp.server.file)
1722   {
1723   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1724   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1725   }
1726 #endif
1727
1728 if ((rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE,
1729                       verify_callback_server, &dummy_errstr)) != OK)
1730   goto bad;
1731
1732 /* do this after setup_certs, because this can require the certs for verifying
1733 OCSP information. */
1734 if ((rc = tls_expand_session_files(server_sni, cbinfo, &dummy_errstr)) != OK)
1735   goto bad;
1736
1737 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1738 SSL_set_SSL_CTX(s, server_sni);
1739 return SSL_TLSEXT_ERR_OK;
1740
1741 bad: return SSL_TLSEXT_ERR_ALERT_FATAL;
1742 }
1743 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1744
1745
1746
1747
1748 #ifndef DISABLE_OCSP
1749
1750 /*************************************************
1751 *        Callback to handle OCSP Stapling        *
1752 *************************************************/
1753
1754 /* Called when acting as server during the TLS session setup if the client
1755 requests OCSP information with a Certificate Status Request.
1756
1757 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1758 project.
1759
1760 */
1761
1762 static int
1763 tls_server_stapling_cb(SSL *s, void *arg)
1764 {
1765 const tls_ext_ctx_cb * cbinfo = (tls_ext_ctx_cb *) arg;
1766 ocsp_resplist * olist = cbinfo->u_ocsp.server.olist;
1767 uschar * response_der;  /*XXX blob */
1768 int response_der_len;
1769
1770 DEBUG(D_tls)
1771   debug_printf("Received TLS status request (OCSP stapling); %s response list\n",
1772     olist ? "have" : "lack");
1773
1774 tls_in.ocsp = OCSP_NOT_RESP;
1775 if (!olist)
1776   return SSL_TLSEXT_ERR_NOACK;
1777
1778 #ifdef EXIM_HAVE_OPESSL_GET0_SERIAL
1779  {
1780   const X509 * cert_sent = SSL_get_certificate(s);
1781   const ASN1_INTEGER * cert_serial = X509_get0_serialNumber(cert_sent);
1782   const BIGNUM * cert_bn = ASN1_INTEGER_to_BN(cert_serial, NULL);
1783   const X509_NAME * cert_issuer = X509_get_issuer_name(cert_sent);
1784   uschar * chash;
1785   uint chash_len;
1786
1787   for (; olist; olist = olist->next)
1788     {
1789     OCSP_BASICRESP * bs = OCSP_response_get1_basic(olist->resp);
1790     const OCSP_SINGLERESP * single = OCSP_resp_get0(bs, 0);
1791     const OCSP_CERTID * cid = OCSP_SINGLERESP_get0_id(single);
1792     ASN1_INTEGER * res_cert_serial;
1793     const BIGNUM * resp_bn;
1794     ASN1_OCTET_STRING * res_cert_iNameHash;
1795
1796
1797     (void) OCSP_id_get0_info(&res_cert_iNameHash, NULL, NULL, &res_cert_serial,
1798       (OCSP_CERTID *) cid);
1799     resp_bn = ASN1_INTEGER_to_BN(res_cert_serial, NULL);
1800
1801     DEBUG(D_tls)
1802       {
1803       debug_printf("cert serial: %s\n", BN_bn2hex(cert_bn));
1804       debug_printf("resp serial: %s\n", BN_bn2hex(resp_bn));
1805       }
1806
1807     if (BN_cmp(cert_bn, resp_bn) == 0)
1808       {
1809       DEBUG(D_tls) debug_printf("matched serial for ocsp\n");
1810
1811       /*XXX TODO: check the rest of the list for duplicate matches.
1812       If any, need to also check the Issuer Name hash.
1813       Without this, we will provide the wrong status in the case of
1814       duplicate id. */
1815
1816       break;
1817       }
1818     DEBUG(D_tls) debug_printf("not match serial for ocsp\n");
1819     }
1820   if (!olist)
1821     {
1822     DEBUG(D_tls) debug_printf("failed to find match for ocsp\n");
1823     return SSL_TLSEXT_ERR_NOACK;
1824     }
1825  }
1826 #else
1827 if (olist->next)
1828   {
1829   DEBUG(D_tls) debug_printf("OpenSSL version too early to support multi-leaf OCSP\n");
1830   return SSL_TLSEXT_ERR_NOACK;
1831   }
1832 #endif
1833
1834 /*XXX could we do the i2d earlier, rather than during the callback? */
1835 response_der = NULL;
1836 response_der_len = i2d_OCSP_RESPONSE(olist->resp, &response_der);
1837 if (response_der_len <= 0)
1838   return SSL_TLSEXT_ERR_NOACK;
1839
1840 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1841 tls_in.ocsp = OCSP_VFIED;
1842 return SSL_TLSEXT_ERR_OK;
1843 }
1844
1845
1846 static void
1847 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1848 {
1849 BIO_printf(bp, "\t%s: ", str);
1850 ASN1_GENERALIZEDTIME_print(bp, time);
1851 BIO_puts(bp, "\n");
1852 }
1853
1854 static int
1855 tls_client_stapling_cb(SSL *s, void *arg)
1856 {
1857 tls_ext_ctx_cb * cbinfo = arg;
1858 const unsigned char * p;
1859 int len;
1860 OCSP_RESPONSE * rsp;
1861 OCSP_BASICRESP * bs;
1862 int i;
1863
1864 DEBUG(D_tls) debug_printf("Received TLS status callback (OCSP stapling):\n");
1865 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1866 if(!p)
1867  {
1868   /* Expect this when we requested ocsp but got none */
1869   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1870     log_write(0, LOG_MAIN, "Required TLS certificate status not received");
1871   else
1872     DEBUG(D_tls) debug_printf(" null\n");
1873   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1874  }
1875
1876 if (!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1877   {
1878   tls_out.ocsp = OCSP_FAILED;   /*XXX should use tlsp-> to permit concurrent outbound */
1879   if (LOGGING(tls_cipher))
1880     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1881   else
1882     DEBUG(D_tls) debug_printf(" parse error\n");
1883   return 0;
1884   }
1885
1886 if (!(bs = OCSP_response_get1_basic(rsp)))
1887   {
1888   tls_out.ocsp = OCSP_FAILED;
1889   if (LOGGING(tls_cipher))
1890     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1891   else
1892     DEBUG(D_tls) debug_printf(" error parsing response\n");
1893   OCSP_RESPONSE_free(rsp);
1894   return 0;
1895   }
1896
1897 /* We'd check the nonce here if we'd put one in the request. */
1898 /* However that would defeat cacheability on the server so we don't. */
1899
1900 /* This section of code reworked from OpenSSL apps source;
1901    The OpenSSL Project retains copyright:
1902    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1903 */
1904   {
1905     BIO * bp = NULL;
1906 #ifndef EXIM_HAVE_OCSP_RESP_COUNT
1907     STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1908 #endif
1909
1910     DEBUG(D_tls) bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
1911
1912     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1913
1914     /* Use the chain that verified the server cert to verify the stapled info */
1915     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1916
1917     if ((i = OCSP_basic_verify(bs, cbinfo->verify_stack,
1918               cbinfo->u_ocsp.client.verify_store, OCSP_NOEXPLICIT)) <= 0)
1919       if (ERR_peek_error())
1920         {
1921         tls_out.ocsp = OCSP_FAILED;
1922         if (LOGGING(tls_cipher)) log_write(0, LOG_MAIN,
1923                 "Received TLS cert status response, itself unverifiable: %s",
1924                 ERR_reason_error_string(ERR_peek_error()));
1925         BIO_printf(bp, "OCSP response verify failure\n");
1926         ERR_print_errors(bp);
1927         OCSP_RESPONSE_print(bp, rsp, 0);
1928         goto failed;
1929         }
1930       else
1931         DEBUG(D_tls) debug_printf("no explicit trust for OCSP signing"
1932           " in the root CA certificate; ignoring\n");
1933
1934     DEBUG(D_tls) debug_printf("OCSP response well-formed and signed OK\n");
1935
1936     /*XXX So we have a good stapled OCSP status.  How do we know
1937     it is for the cert of interest?  OpenSSL 1.1.0 has a routine
1938     OCSP_resp_find_status() which matches on a cert id, which presumably
1939     we should use. Making an id needs OCSP_cert_id_new(), which takes
1940     issuerName, issuerKey, serialNumber.  Are they all in the cert?
1941
1942     For now, carry on blindly accepting the resp. */
1943
1944     for (int idx =
1945 #ifdef EXIM_HAVE_OCSP_RESP_COUNT
1946             OCSP_resp_count(bs) - 1;
1947 #else
1948             sk_OCSP_SINGLERESP_num(sresp) - 1;
1949 #endif
1950          idx >= 0; idx--)
1951       {
1952       OCSP_SINGLERESP * single = OCSP_resp_get0(bs, idx);
1953       int status, reason;
1954       ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
1955
1956   /*XXX so I can see putting a loop in here to handle a rsp with >1 singleresp
1957   - but what happens with a GnuTLS-style input?
1958
1959   we could do with a debug label for each singleresp
1960   - it has a certID with a serialNumber, but I see no API to get that
1961   */
1962       status = OCSP_single_get0_status(single, &reason, &rev,
1963                   &thisupd, &nextupd);
1964
1965       DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1966       DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1967       if (!OCSP_check_validity(thisupd, nextupd,
1968             EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1969         {
1970         tls_out.ocsp = OCSP_FAILED;
1971         DEBUG(D_tls) ERR_print_errors(bp);
1972         log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1973         goto failed;
1974         }
1975
1976       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1977                     OCSP_cert_status_str(status));
1978       switch(status)
1979         {
1980         case V_OCSP_CERTSTATUS_GOOD:
1981           continue;     /* the idx loop */
1982         case V_OCSP_CERTSTATUS_REVOKED:
1983           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1984               reason != -1 ? "; reason: " : "",
1985               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1986           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1987           break;
1988         default:
1989           log_write(0, LOG_MAIN,
1990               "Server certificate status unknown, in OCSP stapling");
1991           break;
1992         }
1993
1994       goto failed;
1995       }
1996
1997     i = 1;
1998     tls_out.ocsp = OCSP_VFIED;
1999     goto good;
2000
2001   failed:
2002     tls_out.ocsp = OCSP_FAILED;
2003     i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
2004   good:
2005     BIO_free(bp);
2006   }
2007
2008 OCSP_RESPONSE_free(rsp);
2009 return i;
2010 }
2011 #endif  /*!DISABLE_OCSP*/
2012
2013
2014 /*************************************************
2015 *            Initialize for TLS                  *
2016 *************************************************/
2017
2018 static void
2019 tls_openssl_init(void)
2020 {
2021 #ifdef EXIM_NEED_OPENSSL_INIT
2022 SSL_load_error_strings();          /* basic set up */
2023 OpenSSL_add_ssl_algorithms();
2024 #endif
2025
2026 #if defined(EXIM_HAVE_SHA256) && !defined(OPENSSL_AUTO_SHA256)
2027 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2028 list of available digests. */
2029 EVP_add_digest(EVP_sha256());
2030 #endif
2031 }
2032
2033
2034
2035 /* Called from both server and client code, to do preliminary initialization
2036 of the library.  We allocate and return a context structure.
2037
2038 Arguments:
2039   ctxp            returned SSL context
2040   host            connected host, if client; NULL if server
2041   dhparam         DH parameter file
2042   certificate     certificate file
2043   privatekey      private key
2044   ocsp_file       file of stapling info (server); flag for require ocsp (client)
2045   addr            address if client; NULL if server (for some randomness)
2046   cbp             place to put allocated callback context
2047   errstr          error string pointer
2048
2049 Returns:          OK/DEFER/FAIL
2050 */
2051
2052 static int
2053 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
2054   uschar *privatekey,
2055 #ifndef DISABLE_OCSP
2056   uschar *ocsp_file,
2057 #endif
2058   address_item *addr, tls_ext_ctx_cb ** cbp,
2059   tls_support * tlsp,
2060   uschar ** errstr)
2061 {
2062 SSL_CTX * ctx;
2063 long init_options;
2064 int rc;
2065 tls_ext_ctx_cb * cbinfo;
2066
2067 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
2068 cbinfo->tlsp = tlsp;
2069 cbinfo->certificate = certificate;
2070 cbinfo->privatekey = privatekey;
2071 cbinfo->is_server = host==NULL;
2072 #ifndef DISABLE_OCSP
2073 cbinfo->verify_stack = NULL;
2074 if (!host)
2075   {
2076   cbinfo->u_ocsp.server.file = ocsp_file;
2077   cbinfo->u_ocsp.server.file_expanded = NULL;
2078   cbinfo->u_ocsp.server.olist = NULL;
2079   }
2080 else
2081   cbinfo->u_ocsp.client.verify_store = NULL;
2082 #endif
2083 cbinfo->dhparam = dhparam;
2084 cbinfo->server_cipher_list = NULL;
2085 cbinfo->host = host;
2086 #ifndef DISABLE_EVENT
2087 cbinfo->event_action = NULL;
2088 #endif
2089
2090 tls_openssl_init();
2091
2092 /* Create a context.
2093 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
2094 negotiation in the different methods; as far as I can tell, the only
2095 *_{server,client}_method which allows negotiation is SSLv23, which exists even
2096 when OpenSSL is built without SSLv2 support.
2097 By disabling with openssl_options, we can let admins re-enable with the
2098 existing knob. */
2099
2100 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
2101 if (!(ctx = SSL_CTX_new(host ? TLS_client_method() : TLS_server_method())))
2102 #else
2103 if (!(ctx = SSL_CTX_new(host ? SSLv23_client_method() : SSLv23_server_method())))
2104 #endif
2105   return tls_error(US"SSL_CTX_new", host, NULL, errstr);
2106
2107 /* It turns out that we need to seed the random number generator this early in
2108 order to get the full complement of ciphers to work. It took me roughly a day
2109 of work to discover this by experiment.
2110
2111 On systems that have /dev/urandom, SSL may automatically seed itself from
2112 there. Otherwise, we have to make something up as best we can. Double check
2113 afterwards. */
2114
2115 if (!RAND_status())
2116   {
2117   randstuff r;
2118   gettimeofday(&r.tv, NULL);
2119   r.p = getpid();
2120
2121   RAND_seed(US (&r), sizeof(r));
2122   RAND_seed(US big_buffer, big_buffer_size);
2123   if (addr != NULL) RAND_seed(US addr, sizeof(addr));
2124
2125   if (!RAND_status())
2126     return tls_error(US"RAND_status", host,
2127       US"unable to seed random number generator", errstr);
2128   }
2129
2130 /* Set up the information callback, which outputs if debugging is at a suitable
2131 level. */
2132
2133 DEBUG(D_tls)
2134   {
2135   SSL_CTX_set_info_callback(ctx, (void (*)())info_callback);
2136 #if defined(EXIM_HAVE_OPESSL_TRACE) && !defined(OPENSSL_NO_SSL_TRACE)
2137   /* this needs a debug build of OpenSSL */
2138   SSL_CTX_set_msg_callback(ctx, (void (*)())SSL_trace);
2139 #endif
2140 #ifdef OPENSSL_HAVE_KEYLOG_CB
2141   SSL_CTX_set_keylog_callback(ctx, (void (*)())keylog_callback);
2142 #endif
2143   }
2144
2145 /* Automatically re-try reads/writes after renegotiation. */
2146 (void) SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
2147
2148 /* Apply administrator-supplied work-arounds.
2149 Historically we applied just one requested option,
2150 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
2151 moved to an administrator-controlled list of options to specify and
2152 grandfathered in the first one as the default value for "openssl_options".
2153
2154 No OpenSSL version number checks: the options we accept depend upon the
2155 availability of the option value macros from OpenSSL.  */
2156
2157 if (!tls_openssl_options_parse(openssl_options, &init_options))
2158   return tls_error(US"openssl_options parsing failed", host, NULL, errstr);
2159
2160 #ifdef EXPERIMENTAL_TLS_RESUME
2161 tlsp->resumption = RESUME_SUPPORTED;
2162 #endif
2163 if (init_options)
2164   {
2165 #ifdef EXPERIMENTAL_TLS_RESUME
2166   /* Should the server offer session resumption? */
2167   if (!host && verify_check_host(&tls_resumption_hosts) == OK)
2168     {
2169     DEBUG(D_tls) debug_printf("tls_resumption_hosts overrides openssl_options\n");
2170     init_options &= ~SSL_OP_NO_TICKET;
2171     tlsp->resumption |= RESUME_SERVER_TICKET; /* server will give ticket on request */
2172     tlsp->host_resumable = TRUE;
2173     }
2174 #endif
2175
2176   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
2177   if (!(SSL_CTX_set_options(ctx, init_options)))
2178     return tls_error(string_sprintf(
2179           "SSL_CTX_set_option(%#lx)", init_options), host, NULL, errstr);
2180   }
2181 else
2182   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
2183
2184 /* We'd like to disable session cache unconditionally, but foolish Outlook
2185 Express clients then give up the first TLS connection and make a second one
2186 (which works).  Only when there is an IMAP service on the same machine.
2187 Presumably OE is trying to use the cache for A on B.  Leave it enabled for
2188 now, until we work out a decent way of presenting control to the config.  It
2189 will never be used because we use a new context every time. */
2190 #ifdef notdef
2191 (void) SSL_CTX_set_session_cache_mode(ctx, SSL_SESS_CACHE_OFF);
2192 #endif
2193
2194 /* Initialize with DH parameters if supplied */
2195 /* Initialize ECDH temp key parameter selection */
2196
2197 if (  !init_dh(ctx, dhparam, host, errstr)
2198    || !init_ecdh(ctx, host, errstr)
2199    )
2200   return DEFER;
2201
2202 /* Set up certificate and key (and perhaps OCSP info) */
2203
2204 if ((rc = tls_expand_session_files(ctx, cbinfo, errstr)) != OK)
2205   return rc;
2206
2207 /* If we need to handle SNI or OCSP, do so */
2208
2209 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2210 # ifndef DISABLE_OCSP
2211   if (!(cbinfo->verify_stack = sk_X509_new_null()))
2212     {
2213     DEBUG(D_tls) debug_printf("failed to create stack for stapling verify\n");
2214     return FAIL;
2215     }
2216 # endif
2217
2218 if (!host)              /* server */
2219   {
2220 # ifndef DISABLE_OCSP
2221   /* We check u_ocsp.server.file, not server.olist, because we care about if
2222   the option exists, not what the current expansion might be, as SNI might
2223   change the certificate and OCSP file in use between now and the time the
2224   callback is invoked. */
2225   if (cbinfo->u_ocsp.server.file)
2226     {
2227     SSL_CTX_set_tlsext_status_cb(ctx, tls_server_stapling_cb);
2228     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2229     }
2230 # endif
2231   /* We always do this, so that $tls_sni is available even if not used in
2232   tls_certificate */
2233   SSL_CTX_set_tlsext_servername_callback(ctx, tls_servername_cb);
2234   SSL_CTX_set_tlsext_servername_arg(ctx, cbinfo);
2235   }
2236 # ifndef DISABLE_OCSP
2237 else                    /* client */
2238   if(ocsp_file)         /* wanting stapling */
2239     {
2240     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
2241       {
2242       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
2243       return FAIL;
2244       }
2245     SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
2246     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2247     }
2248 # endif
2249 #endif
2250
2251 cbinfo->verify_cert_hostnames = NULL;
2252
2253 #ifdef EXIM_HAVE_EPHEM_RSA_KEX
2254 /* Set up the RSA callback */
2255 SSL_CTX_set_tmp_rsa_callback(ctx, rsa_callback);
2256 #endif
2257
2258 /* Finally, set the session cache timeout, and we are done.
2259 The period appears to be also used for (server-generated) session tickets */
2260
2261 SSL_CTX_set_timeout(ctx, ssl_session_timeout);
2262 DEBUG(D_tls) debug_printf("Initialized TLS\n");
2263
2264 *cbp = cbinfo;
2265 *ctxp = ctx;
2266
2267 return OK;
2268 }
2269
2270
2271
2272
2273 /*************************************************
2274 *           Get name of cipher in use            *
2275 *************************************************/
2276
2277 /*
2278 Argument:   pointer to an SSL structure for the connection
2279             pointer to number of bits for cipher
2280 Returns:    pointer to allocated string in perm-pool
2281 */
2282
2283 static uschar *
2284 construct_cipher_name(SSL * ssl, const uschar * ver, int * bits)
2285 {
2286 int pool = store_pool;
2287 /* With OpenSSL 1.0.0a, 'c' needs to be const but the documentation doesn't
2288 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
2289 the accessor functions use const in the prototype. */
2290
2291 const SSL_CIPHER * c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
2292 uschar * s;
2293
2294 SSL_CIPHER_get_bits(c, bits);
2295
2296 store_pool = POOL_PERM;
2297 s = string_sprintf("%s:%s:%u", ver, SSL_CIPHER_get_name(c), *bits);
2298 store_pool = pool;
2299 DEBUG(D_tls) debug_printf("Cipher: %s\n", s);
2300 return s;
2301 }
2302
2303
2304 /* Get IETF-standard name for ciphersuite.
2305 Argument:   pointer to an SSL structure for the connection
2306 Returns:    pointer to string
2307 */
2308
2309 static const uschar *
2310 cipher_stdname_ssl(SSL * ssl)
2311 {
2312 #ifdef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
2313 return CUS SSL_CIPHER_standard_name(SSL_get_current_cipher(ssl));
2314 #else
2315 ushort id = 0xffff & SSL_CIPHER_get_id(SSL_get_current_cipher(ssl));
2316 return cipher_stdname(id >> 8, id & 0xff);
2317 #endif
2318 }
2319
2320
2321 static const uschar *
2322 tlsver_name(SSL * ssl)
2323 {
2324 uschar * s, * p;
2325 int pool = store_pool;
2326
2327 store_pool = POOL_PERM;
2328 s = string_copy(US SSL_get_version(ssl));
2329 store_pool = pool;
2330 if ((p = Ustrchr(s, 'v')))      /* TLSv1.2 -> TLS1.2 */
2331   for (;; p++) if (!(*p = p[1])) break;
2332 return CUS s;
2333 }
2334
2335
2336 static void
2337 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned siz)
2338 {
2339 /*XXX we might consider a list-of-certs variable for the cert chain.
2340 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
2341 in list-handling functions, also consider the difference between the entire
2342 chain and the elements sent by the peer. */
2343
2344 tlsp->peerdn = NULL;
2345
2346 /* Will have already noted peercert on a verify fail; possibly not the leaf */
2347 if (!tlsp->peercert)
2348   tlsp->peercert = SSL_get_peer_certificate(ssl);
2349 /* Beware anonymous ciphers which lead to server_cert being NULL */
2350 if (tlsp->peercert)
2351   if (!X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, siz))
2352     { DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n"); }
2353   else
2354     {
2355     int oldpool = store_pool;
2356
2357     peerdn[siz-1] = '\0';               /* paranoia */
2358     store_pool = POOL_PERM;
2359     tlsp->peerdn = string_copy(peerdn);
2360     store_pool = oldpool;
2361
2362     /* We used to set CV in the cert-verify callbacks (either plain or dane)
2363     but they don't get called on session-resumption.  So use the official
2364     interface, which uses the resumed value.  Unfortunately this claims verified
2365     when it actually failed but we're in try-verify mode, due to us wanting the
2366     knowlege that it failed so needing to have the callback and forcing a
2367     permissive return.  If we don't force it, the TLS startup is failed.
2368     The extra bit of information is set in verify_override in the cb, stashed
2369     for resumption next to the TLS session, and used here. */
2370
2371     if (!tlsp->verify_override)
2372       tlsp->certificate_verified =
2373 #ifdef SUPPORT_DANE
2374         tlsp->dane_verified ||
2375 #endif
2376         SSL_get_verify_result(ssl) == X509_V_OK;
2377     }
2378 }
2379
2380
2381
2382
2383
2384 /*************************************************
2385 *        Set up for verifying certificates       *
2386 *************************************************/
2387
2388 #ifndef DISABLE_OCSP
2389 /* Load certs from file, return TRUE on success */
2390
2391 static BOOL
2392 chain_from_pem_file(const uschar * file, STACK_OF(X509) * verify_stack)
2393 {
2394 BIO * bp;
2395 X509 * x;
2396
2397 while (sk_X509_num(verify_stack) > 0)
2398   X509_free(sk_X509_pop(verify_stack));
2399
2400 if (!(bp = BIO_new_file(CS file, "r"))) return FALSE;
2401 while ((x = PEM_read_bio_X509(bp, NULL, 0, NULL)))
2402   sk_X509_push(verify_stack, x);
2403 BIO_free(bp);
2404 return TRUE;
2405 }
2406 #endif
2407
2408
2409
2410 /* Called by both client and server startup; on the server possibly
2411 repeated after a Server Name Indication.
2412
2413 Arguments:
2414   sctx          SSL_CTX* to initialise
2415   certs         certs file or NULL
2416   crl           CRL file or NULL
2417   host          NULL in a server; the remote host in a client
2418   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
2419                 otherwise passed as FALSE
2420   cert_vfy_cb   Callback function for certificate verification
2421   errstr        error string pointer
2422
2423 Returns:        OK/DEFER/FAIL
2424 */
2425
2426 static int
2427 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
2428     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr)
2429 {
2430 uschar *expcerts, *expcrl;
2431
2432 if (!expand_check(certs, US"tls_verify_certificates", &expcerts, errstr))
2433   return DEFER;
2434 DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
2435
2436 if (expcerts && *expcerts)
2437   {
2438   /* Tell the library to use its compiled-in location for the system default
2439   CA bundle. Then add the ones specified in the config, if any. */
2440
2441   if (!SSL_CTX_set_default_verify_paths(sctx))
2442     return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL, errstr);
2443
2444   if (Ustrcmp(expcerts, "system") != 0)
2445     {
2446     struct stat statbuf;
2447
2448     if (Ustat(expcerts, &statbuf) < 0)
2449       {
2450       log_write(0, LOG_MAIN|LOG_PANIC,
2451         "failed to stat %s for certificates", expcerts);
2452       return DEFER;
2453       }
2454     else
2455       {
2456       uschar *file, *dir;
2457       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
2458         { file = NULL; dir = expcerts; }
2459       else
2460         {
2461         file = expcerts; dir = NULL;
2462 #ifndef DISABLE_OCSP
2463         /* In the server if we will be offering an OCSP proof, load chain from
2464         file for verifying the OCSP proof at load time. */
2465
2466 /*XXX Glitch!   The file here is tls_verify_certs: the chain for verifying the client cert.
2467 This is inconsistent with the need to verify the OCSP proof of the server cert.
2468 */
2469
2470         if (  !host
2471            && statbuf.st_size > 0
2472            && server_static_cbinfo->u_ocsp.server.file
2473            && !chain_from_pem_file(file, server_static_cbinfo->verify_stack)
2474            )
2475           {
2476           log_write(0, LOG_MAIN|LOG_PANIC,
2477             "failed to load cert chain from %s", file);
2478           return DEFER;
2479           }
2480 #endif
2481         }
2482
2483       /* If a certificate file is empty, the next function fails with an
2484       unhelpful error message. If we skip it, we get the correct behaviour (no
2485       certificates are recognized, but the error message is still misleading (it
2486       says no certificate was supplied).  But this is better. */
2487
2488       if (  (!file || statbuf.st_size > 0)
2489          && !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
2490         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL, errstr);
2491
2492       /* Load the list of CAs for which we will accept certs, for sending
2493       to the client.  This is only for the one-file tls_verify_certificates
2494       variant.
2495       If a list isn't loaded into the server, but some verify locations are set,
2496       the server end appears to make a wildcard request for client certs.
2497       Meanwhile, the client library as default behaviour *ignores* the list
2498       we send over the wire - see man SSL_CTX_set_client_cert_cb.
2499       Because of this, and that the dir variant is likely only used for
2500       the public-CA bundle (not for a private CA), not worth fixing.  */
2501
2502       if (file)
2503         {
2504         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
2505
2506         SSL_CTX_set_client_CA_list(sctx, names);
2507         DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
2508                                     sk_X509_NAME_num(names));
2509         }
2510       }
2511     }
2512
2513   /* Handle a certificate revocation list. */
2514
2515 #if OPENSSL_VERSION_NUMBER > 0x00907000L
2516
2517   /* This bit of code is now the version supplied by Lars Mainka. (I have
2518   merely reformatted it into the Exim code style.)
2519
2520   "From here I changed the code to add support for multiple crl's
2521   in pem format in one file or to support hashed directory entries in
2522   pem format instead of a file. This method now uses the library function
2523   X509_STORE_load_locations to add the CRL location to the SSL context.
2524   OpenSSL will then handle the verify against CA certs and CRLs by
2525   itself in the verify callback." */
2526
2527   if (!expand_check(crl, US"tls_crl", &expcrl, errstr)) return DEFER;
2528   if (expcrl && *expcrl)
2529     {
2530     struct stat statbufcrl;
2531     if (Ustat(expcrl, &statbufcrl) < 0)
2532       {
2533       log_write(0, LOG_MAIN|LOG_PANIC,
2534         "failed to stat %s for certificates revocation lists", expcrl);
2535       return DEFER;
2536       }
2537     else
2538       {
2539       /* is it a file or directory? */
2540       uschar *file, *dir;
2541       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
2542       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
2543         {
2544         file = NULL;
2545         dir = expcrl;
2546         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
2547         }
2548       else
2549         {
2550         file = expcrl;
2551         dir = NULL;
2552         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
2553         }
2554       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
2555         return tls_error(US"X509_STORE_load_locations", host, NULL, errstr);
2556
2557       /* setting the flags to check against the complete crl chain */
2558
2559       X509_STORE_set_flags(cvstore,
2560         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
2561       }
2562     }
2563
2564 #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
2565
2566   /* If verification is optional, don't fail if no certificate */
2567
2568   SSL_CTX_set_verify(sctx,
2569     SSL_VERIFY_PEER | (optional ? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
2570     cert_vfy_cb);
2571   }
2572
2573 return OK;
2574 }
2575
2576
2577
2578 /*************************************************
2579 *       Start a TLS session in a server          *
2580 *************************************************/
2581
2582 /* This is called when Exim is running as a server, after having received
2583 the STARTTLS command. It must respond to that command, and then negotiate
2584 a TLS session.
2585
2586 Arguments:
2587   require_ciphers   allowed ciphers
2588   errstr            pointer to error message
2589
2590 Returns:            OK on success
2591                     DEFER for errors before the start of the negotiation
2592                     FAIL for errors during the negotiation; the server can't
2593                       continue running.
2594 */
2595
2596 int
2597 tls_server_start(const uschar * require_ciphers, uschar ** errstr)
2598 {
2599 int rc;
2600 uschar * expciphers;
2601 tls_ext_ctx_cb * cbinfo;
2602 static uschar peerdn[256];
2603
2604 /* Check for previous activation */
2605
2606 if (tls_in.active.sock >= 0)
2607   {
2608   tls_error(US"STARTTLS received after TLS started", NULL, US"", errstr);
2609   smtp_printf("554 Already in TLS\r\n", FALSE);
2610   return FAIL;
2611   }
2612
2613 /* Initialize the SSL library. If it fails, it will already have logged
2614 the error. */
2615
2616 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
2617 #ifndef DISABLE_OCSP
2618     tls_ocsp_file,
2619 #endif
2620     NULL, &server_static_cbinfo, &tls_in, errstr);
2621 if (rc != OK) return rc;
2622 cbinfo = server_static_cbinfo;
2623
2624 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers, errstr))
2625   return FAIL;
2626
2627 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2628 were historically separated by underscores. So that I can use either form in my
2629 tests, and also for general convenience, we turn underscores into hyphens here.
2630
2631 XXX SSL_CTX_set_cipher_list() is replaced by SSL_CTX_set_ciphersuites()
2632 for TLS 1.3 .  Since we do not call it at present we get the default list:
2633 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
2634 */
2635
2636 if (expciphers)
2637   {
2638   for (uschar * s = expciphers; *s; s++ ) if (*s == '_') *s = '-';
2639   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2640   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
2641     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL, errstr);
2642   cbinfo->server_cipher_list = expciphers;
2643   }
2644
2645 /* If this is a host for which certificate verification is mandatory or
2646 optional, set up appropriately. */
2647
2648 tls_in.certificate_verified = FALSE;
2649 #ifdef SUPPORT_DANE
2650 tls_in.dane_verified = FALSE;
2651 #endif
2652 server_verify_callback_called = FALSE;
2653
2654 if (verify_check_host(&tls_verify_hosts) == OK)
2655   {
2656   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2657                         FALSE, verify_callback_server, errstr);
2658   if (rc != OK) return rc;
2659   server_verify_optional = FALSE;
2660   }
2661 else if (verify_check_host(&tls_try_verify_hosts) == OK)
2662   {
2663   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2664                         TRUE, verify_callback_server, errstr);
2665   if (rc != OK) return rc;
2666   server_verify_optional = TRUE;
2667   }
2668
2669 #ifdef EXPERIMENTAL_TLS_RESUME
2670 SSL_CTX_set_tlsext_ticket_key_cb(server_ctx, ticket_key_callback);
2671 /* despite working, appears to always return failure, so ignoring */
2672 #endif
2673 #ifdef OPENSSL_HAVE_NUM_TICKETS
2674 # ifdef EXPERIMENTAL_TLS_RESUME
2675 SSL_CTX_set_num_tickets(server_ctx, tls_in.host_resumable ? 1 : 0);
2676 # else
2677 SSL_CTX_set_num_tickets(server_ctx, 0); /* send no TLS1.3 stateful-tickets */
2678 # endif
2679 #endif
2680
2681
2682 /* Prepare for new connection */
2683
2684 if (!(server_ssl = SSL_new(server_ctx)))
2685   return tls_error(US"SSL_new", NULL, NULL, errstr);
2686
2687 /* Warning: we used to SSL_clear(ssl) here, it was removed.
2688  *
2689  * With the SSL_clear(), we get strange interoperability bugs with
2690  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
2691  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
2692  *
2693  * The SSL_clear() call is to let an existing SSL* be reused, typically after
2694  * session shutdown.  In this case, we have a brand new object and there's no
2695  * obvious reason to immediately clear it.  I'm guessing that this was
2696  * originally added because of incomplete initialisation which the clear fixed,
2697  * in some historic release.
2698  */
2699
2700 /* Set context and tell client to go ahead, except in the case of TLS startup
2701 on connection, where outputting anything now upsets the clients and tends to
2702 make them disconnect. We need to have an explicit fflush() here, to force out
2703 the response. Other smtp_printf() calls do not need it, because in non-TLS
2704 mode, the fflush() happens when smtp_getc() is called. */
2705
2706 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
2707 if (!tls_in.on_connect)
2708   {
2709   smtp_printf("220 TLS go ahead\r\n", FALSE);
2710   fflush(smtp_out);
2711   }
2712
2713 /* Now negotiate the TLS session. We put our own timer on it, since it seems
2714 that the OpenSSL library doesn't. */
2715
2716 SSL_set_wfd(server_ssl, fileno(smtp_out));
2717 SSL_set_rfd(server_ssl, fileno(smtp_in));
2718 SSL_set_accept_state(server_ssl);
2719
2720 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
2721
2722 sigalrm_seen = FALSE;
2723 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
2724 rc = SSL_accept(server_ssl);
2725 ALARM_CLR(0);
2726
2727 if (rc <= 0)
2728   {
2729   int error = SSL_get_error(server_ssl, rc);
2730   switch(error)
2731     {
2732     case SSL_ERROR_NONE:
2733       break;
2734
2735     case SSL_ERROR_ZERO_RETURN:
2736       DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2737       (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2738
2739       if (SSL_get_shutdown(server_ssl) == SSL_RECEIVED_SHUTDOWN)
2740             SSL_shutdown(server_ssl);
2741
2742       tls_close(NULL, TLS_NO_SHUTDOWN);
2743       return FAIL;
2744
2745     /* Handle genuine errors */
2746     case SSL_ERROR_SSL:
2747       {
2748       uschar * s = US"SSL_accept";
2749       unsigned long e = ERR_peek_error();
2750       if (ERR_GET_REASON(e) == SSL_R_WRONG_VERSION_NUMBER)
2751         s = string_sprintf("%s (%s)", s, SSL_get_version(server_ssl));
2752       (void) tls_error(s, NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2753       return FAIL;
2754       }
2755
2756     default:
2757       DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2758       if (error == SSL_ERROR_SYSCALL)
2759         {
2760         if (!errno)
2761           {
2762           *errstr = US"SSL_accept: TCP connection closed by peer";
2763           return FAIL;
2764           }
2765         DEBUG(D_tls) debug_printf(" - syscall %s\n", strerror(errno));
2766         }
2767       (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2768       return FAIL;
2769     }
2770   }
2771
2772 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
2773 ERR_clear_error();      /* Even success can leave errors in the stack. Seen with
2774                         anon-authentication ciphersuite negotiated. */
2775
2776 #ifdef EXPERIMENTAL_TLS_RESUME
2777 if (SSL_session_reused(server_ssl))
2778   {
2779   tls_in.resumption |= RESUME_USED;
2780   DEBUG(D_tls) debug_printf("Session reused\n");
2781   }
2782 #endif
2783
2784 /* TLS has been set up. Record data for the connection,
2785 adjust the input functions to read via TLS, and initialize things. */
2786
2787 #ifdef SSL_get_extms_support
2788 tls_in.ext_master_secret = SSL_get_extms_support(server_ssl) == 1;
2789 #endif
2790 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
2791
2792 tls_in.ver = tlsver_name(server_ssl);
2793 tls_in.cipher = construct_cipher_name(server_ssl, tls_in.ver, &tls_in.bits);
2794 tls_in.cipher_stdname = cipher_stdname_ssl(server_ssl);
2795
2796 DEBUG(D_tls)
2797   {
2798   uschar buf[2048];
2799   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)))
2800     debug_printf("Shared ciphers: %s\n", buf);
2801
2802 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
2803   {
2804   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
2805   SSL_SESSION_print_keylog(bp, SSL_get_session(server_ssl));
2806   BIO_free(bp);
2807   }
2808 #endif
2809
2810 #ifdef EXIM_HAVE_SESSION_TICKET
2811   {
2812   SSL_SESSION * ss = SSL_get_session(server_ssl);
2813   if (SSL_SESSION_has_ticket(ss))       /* 1.1.0 */
2814     debug_printf("The session has a ticket, life %lu seconds\n",
2815       SSL_SESSION_get_ticket_lifetime_hint(ss));
2816   }
2817 #endif
2818   }
2819
2820 /* Record the certificate we presented */
2821   {
2822   X509 * crt = SSL_get_certificate(server_ssl);
2823   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
2824   }
2825
2826 /* Channel-binding info for authenticators
2827 See description in https://paquier.xyz/postgresql-2/channel-binding-openssl/ */
2828   {
2829   uschar c, * s;
2830   size_t len = SSL_get_peer_finished(server_ssl, &c, 0);
2831   int old_pool = store_pool;
2832   
2833   SSL_get_peer_finished(server_ssl, s = store_get((int)len, FALSE), len);
2834   store_pool = POOL_PERM;
2835     tls_in.channelbinding = b64encode_taint(CUS s, (int)len, FALSE);
2836   store_pool = old_pool;
2837   DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p\n", tls_in.channelbinding);
2838   }
2839
2840 /* Only used by the server-side tls (tls_in), including tls_getc.
2841    Client-side (tls_out) reads (seem to?) go via
2842    smtp_read_response()/ip_recv().
2843    Hence no need to duplicate for _in and _out.
2844  */
2845 if (!ssl_xfer_buffer) ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
2846 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
2847 ssl_xfer_eof = ssl_xfer_error = FALSE;
2848
2849 receive_getc = tls_getc;
2850 receive_getbuf = tls_getbuf;
2851 receive_get_cache = tls_get_cache;
2852 receive_ungetc = tls_ungetc;
2853 receive_feof = tls_feof;
2854 receive_ferror = tls_ferror;
2855 receive_smtp_buffered = tls_smtp_buffered;
2856
2857 tls_in.active.sock = fileno(smtp_out);
2858 tls_in.active.tls_ctx = NULL;   /* not using explicit ctx for server-side */
2859 return OK;
2860 }
2861
2862
2863
2864
2865 static int
2866 tls_client_basic_ctx_init(SSL_CTX * ctx,
2867     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo,
2868     uschar ** errstr)
2869 {
2870 int rc;
2871 /* stick to the old behaviour for compatibility if tls_verify_certificates is
2872    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
2873    the specified host patterns if one of them is defined */
2874
2875 if (  (  !ob->tls_verify_hosts
2876       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
2877       )
2878    || verify_check_given_host(CUSS &ob->tls_verify_hosts, host) == OK
2879    )
2880   client_verify_optional = FALSE;
2881 else if (verify_check_given_host(CUSS &ob->tls_try_verify_hosts, host) == OK)
2882   client_verify_optional = TRUE;
2883 else
2884   return OK;
2885
2886 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
2887       ob->tls_crl, host, client_verify_optional, verify_callback_client,
2888       errstr)) != OK)
2889   return rc;
2890
2891 if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
2892   {
2893   cbinfo->verify_cert_hostnames =
2894 #ifdef SUPPORT_I18N
2895     string_domain_utf8_to_alabel(host->name, NULL);
2896 #else
2897     host->name;
2898 #endif
2899   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
2900                     cbinfo->verify_cert_hostnames);
2901   }
2902 return OK;
2903 }
2904
2905
2906 #ifdef SUPPORT_DANE
2907 static int
2908 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa, uschar ** errstr)
2909 {
2910 dns_scan dnss;
2911 const char * hostnames[2] = { CS host->name, NULL };
2912 int found = 0;
2913
2914 if (DANESSL_init(ssl, NULL, hostnames) != 1)
2915   return tls_error(US"hostnames load", host, NULL, errstr);
2916
2917 for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
2918      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
2919     ) if (rr->type == T_TLSA && rr->size > 3)
2920   {
2921   const uschar * p = rr->data;
2922   uint8_t usage, selector, mtype;
2923   const char * mdname;
2924
2925   usage = *p++;
2926
2927   /* Only DANE-TA(2) and DANE-EE(3) are supported */
2928   if (usage != 2 && usage != 3) continue;
2929
2930   selector = *p++;
2931   mtype = *p++;
2932
2933   switch (mtype)
2934     {
2935     default: continue;  /* Only match-types 0, 1, 2 are supported */
2936     case 0:  mdname = NULL; break;
2937     case 1:  mdname = "sha256"; break;
2938     case 2:  mdname = "sha512"; break;
2939     }
2940
2941   found++;
2942   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
2943     {
2944     default:
2945       return tls_error(US"tlsa load", host, NULL, errstr);
2946     case 0:     /* action not taken */
2947     case 1:     break;
2948     }
2949
2950   tls_out.tlsa_usage |= 1<<usage;
2951   }
2952
2953 if (found)
2954   return OK;
2955
2956 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
2957 return DEFER;
2958 }
2959 #endif  /*SUPPORT_DANE*/
2960
2961
2962
2963 #ifdef EXPERIMENTAL_TLS_RESUME
2964 /* On the client, get any stashed session for the given IP from hints db
2965 and apply it to the ssl-connection for attempted resumption. */
2966
2967 static void
2968 tls_retrieve_session(tls_support * tlsp, SSL * ssl, const uschar * key)
2969 {
2970 tlsp->resumption |= RESUME_SUPPORTED;
2971 if (tlsp->host_resumable)
2972   {
2973   dbdata_tls_session * dt;
2974   int len;
2975   open_db dbblock, * dbm_file;
2976
2977   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
2978   DEBUG(D_tls) debug_printf("checking for resumable session for %s\n", key);
2979   if ((dbm_file = dbfn_open(US"tls", O_RDONLY, &dbblock, FALSE, FALSE)))
2980     {
2981     /* key for the db is the IP */
2982     if ((dt = dbfn_read_with_length(dbm_file, key, &len)))
2983       {
2984       SSL_SESSION * ss = NULL;
2985       const uschar * sess_asn1 = dt->session;
2986
2987       len -= sizeof(dbdata_tls_session);
2988       if (!(d2i_SSL_SESSION(&ss, &sess_asn1, (long)len)))
2989         {
2990         DEBUG(D_tls)
2991           {
2992           ERR_error_string_n(ERR_get_error(),
2993             ssl_errstring, sizeof(ssl_errstring));
2994           debug_printf("decoding session: %s\n", ssl_errstring);
2995           }
2996         }
2997 #ifdef EXIM_HAVE_SESSION_TICKET
2998       else if ( SSL_SESSION_get_ticket_lifetime_hint(ss) + dt->time_stamp
2999                < time(NULL))
3000         {
3001         DEBUG(D_tls) debug_printf("session expired\n");
3002         dbfn_delete(dbm_file, key);
3003         }
3004 #endif
3005       else if (!SSL_set_session(ssl, ss))
3006         {
3007         DEBUG(D_tls)
3008           {
3009           ERR_error_string_n(ERR_get_error(),
3010             ssl_errstring, sizeof(ssl_errstring));
3011           debug_printf("applying session to ssl: %s\n", ssl_errstring);
3012           }
3013         }
3014       else
3015         {
3016         DEBUG(D_tls) debug_printf("good session\n");
3017         tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
3018         tlsp->verify_override = dt->verify_override;
3019         tlsp->ocsp = dt->ocsp;
3020         }
3021       }
3022     else
3023       DEBUG(D_tls) debug_printf("no session record\n");
3024     dbfn_close(dbm_file);
3025     }
3026   }
3027 }
3028
3029
3030 /* On the client, save the session for later resumption */
3031
3032 static int
3033 tls_save_session_cb(SSL * ssl, SSL_SESSION * ss)
3034 {
3035 tls_ext_ctx_cb * cbinfo = SSL_get_ex_data(ssl, tls_exdata_idx);
3036 tls_support * tlsp;
3037
3038 DEBUG(D_tls) debug_printf("tls_save_session_cb\n");
3039
3040 if (!cbinfo || !(tlsp = cbinfo->tlsp)->host_resumable) return 0;
3041
3042 # ifdef OPENSSL_HAVE_NUM_TICKETS
3043 if (SSL_SESSION_is_resumable(ss))       /* 1.1.1 */
3044 # endif
3045   {
3046   int len = i2d_SSL_SESSION(ss, NULL);
3047   int dlen = sizeof(dbdata_tls_session) + len;
3048   dbdata_tls_session * dt = store_get(dlen, TRUE);
3049   uschar * s = dt->session;
3050   open_db dbblock, * dbm_file;
3051
3052   DEBUG(D_tls) debug_printf("session is resumable\n");
3053   tlsp->resumption |= RESUME_SERVER_TICKET;     /* server gave us a ticket */
3054
3055   dt->verify_override = tlsp->verify_override;
3056   dt->ocsp = tlsp->ocsp;
3057   (void) i2d_SSL_SESSION(ss, &s);               /* s gets bumped to end */
3058
3059   if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
3060     {
3061     const uschar * key = cbinfo->host->address;
3062     dbfn_delete(dbm_file, key);
3063     dbfn_write(dbm_file, key, dt, dlen);
3064     dbfn_close(dbm_file);
3065     DEBUG(D_tls) debug_printf("wrote session (len %u) to db\n",
3066                   (unsigned)dlen);
3067     }
3068   }
3069 return 1;
3070 }
3071
3072
3073 static void
3074 tls_client_ctx_resume_prehandshake(
3075   exim_openssl_client_tls_ctx * exim_client_ctx, tls_support * tlsp,
3076   smtp_transport_options_block * ob, host_item * host)
3077 {
3078 /* Should the client request a session resumption ticket? */
3079 if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
3080   {
3081   tlsp->host_resumable = TRUE;
3082
3083   SSL_CTX_set_session_cache_mode(exim_client_ctx->ctx,
3084         SSL_SESS_CACHE_CLIENT
3085         | SSL_SESS_CACHE_NO_INTERNAL | SSL_SESS_CACHE_NO_AUTO_CLEAR);
3086   SSL_CTX_sess_set_new_cb(exim_client_ctx->ctx, tls_save_session_cb);
3087   }
3088 }
3089
3090 static BOOL
3091 tls_client_ssl_resume_prehandshake(SSL * ssl, tls_support * tlsp,
3092   host_item * host, uschar ** errstr)
3093 {
3094 if (tlsp->host_resumable)
3095   {
3096   DEBUG(D_tls)
3097     debug_printf("tls_resumption_hosts overrides openssl_options, enabling tickets\n");
3098   SSL_clear_options(ssl, SSL_OP_NO_TICKET);
3099
3100   tls_exdata_idx = SSL_get_ex_new_index(0, 0, 0, 0, 0);
3101   if (!SSL_set_ex_data(ssl, tls_exdata_idx, client_static_cbinfo))
3102     {
3103     tls_error(US"set ex_data", host, NULL, errstr);
3104     return FALSE;
3105     }
3106   debug_printf("tls_exdata_idx %d cbinfo %p\n", tls_exdata_idx, client_static_cbinfo);
3107   }
3108
3109 tlsp->resumption = RESUME_SUPPORTED;
3110 /* Pick up a previous session, saved on an old ticket */
3111 tls_retrieve_session(tlsp, ssl, host->address);
3112 return TRUE;
3113 }
3114
3115 static void
3116 tls_client_resume_posthandshake(exim_openssl_client_tls_ctx * exim_client_ctx,
3117   tls_support * tlsp)
3118 {
3119 if (SSL_session_reused(exim_client_ctx->ssl))
3120   {
3121   DEBUG(D_tls) debug_printf("The session was reused\n");
3122   tlsp->resumption |= RESUME_USED;
3123   }
3124 }
3125 #endif  /* EXPERIMENTAL_TLS_RESUME */
3126
3127
3128 /*************************************************
3129 *    Start a TLS session in a client             *
3130 *************************************************/
3131
3132 /* Called from the smtp transport after STARTTLS has been accepted.
3133
3134 Arguments:
3135   cctx          connection context
3136   conn_args     connection details
3137   cookie        datum for randomness; can be NULL
3138   tlsp          record details of TLS channel configuration here; must be non-NULL
3139   errstr        error string pointer
3140
3141 Returns:        TRUE for success with TLS session context set in connection context,
3142                 FALSE on error
3143 */
3144
3145 BOOL
3146 tls_client_start(client_conn_ctx * cctx, smtp_connect_args * conn_args,
3147   void * cookie, tls_support * tlsp, uschar ** errstr)
3148 {
3149 host_item * host = conn_args->host;             /* for msgs and option-tests */
3150 transport_instance * tb = conn_args->tblock;    /* always smtp or NULL */
3151 smtp_transport_options_block * ob = tb
3152   ? (smtp_transport_options_block *)tb->options_block
3153   : &smtp_transport_option_defaults;
3154 exim_openssl_client_tls_ctx * exim_client_ctx;
3155 uschar * expciphers;
3156 int rc;
3157 static uschar peerdn[256];
3158
3159 #ifndef DISABLE_OCSP
3160 BOOL request_ocsp = FALSE;
3161 BOOL require_ocsp = FALSE;
3162 #endif
3163
3164 rc = store_pool;
3165 store_pool = POOL_PERM;
3166 exim_client_ctx = store_get(sizeof(exim_openssl_client_tls_ctx), FALSE);
3167 exim_client_ctx->corked = NULL;
3168 store_pool = rc;
3169
3170 #ifdef SUPPORT_DANE
3171 tlsp->tlsa_usage = 0;
3172 #endif
3173
3174 #ifndef DISABLE_OCSP
3175   {
3176 # ifdef SUPPORT_DANE
3177   if (  conn_args->dane
3178      && ob->hosts_request_ocsp[0] == '*'
3179      && ob->hosts_request_ocsp[1] == '\0'
3180      )
3181     {
3182     /* Unchanged from default.  Use a safer one under DANE */
3183     request_ocsp = TRUE;
3184     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
3185                                       "   {= {4}{$tls_out_tlsa_usage}} } "
3186                                  " {*}{}}";
3187     }
3188 # endif
3189
3190   if ((require_ocsp =
3191         verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK))
3192     request_ocsp = TRUE;
3193   else
3194 # ifdef SUPPORT_DANE
3195     if (!request_ocsp)
3196 # endif
3197       request_ocsp =
3198         verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3199   }
3200 #endif
3201
3202 rc = tls_init(&exim_client_ctx->ctx, host, NULL,
3203     ob->tls_certificate, ob->tls_privatekey,
3204 #ifndef DISABLE_OCSP
3205     (void *)(long)request_ocsp,
3206 #endif
3207     cookie, &client_static_cbinfo, tlsp, errstr);
3208 if (rc != OK) return FALSE;
3209
3210 tlsp->certificate_verified = FALSE;
3211 client_verify_callback_called = FALSE;
3212
3213 expciphers = NULL;
3214 #ifdef SUPPORT_DANE
3215 if (conn_args->dane)
3216   {
3217   /* We fall back to tls_require_ciphers if unset, empty or forced failure, but
3218   other failures should be treated as problems. */
3219   if (ob->dane_require_tls_ciphers &&
3220       !expand_check(ob->dane_require_tls_ciphers, US"dane_require_tls_ciphers",
3221         &expciphers, errstr))
3222     return FALSE;
3223   if (expciphers && *expciphers == '\0')
3224     expciphers = NULL;
3225   }
3226 #endif
3227 if (!expciphers &&
3228     !expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
3229       &expciphers, errstr))
3230   return FALSE;
3231
3232 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
3233 are separated by underscores. So that I can use either form in my tests, and
3234 also for general convenience, we turn underscores into hyphens here. */
3235
3236 if (expciphers)
3237   {
3238   uschar *s = expciphers;
3239   while (*s) { if (*s == '_') *s = '-'; s++; }
3240   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
3241   if (!SSL_CTX_set_cipher_list(exim_client_ctx->ctx, CS expciphers))
3242     {
3243     tls_error(US"SSL_CTX_set_cipher_list", host, NULL, errstr);
3244     return FALSE;
3245     }
3246   }
3247
3248 #ifdef SUPPORT_DANE
3249 if (conn_args->dane)
3250   {
3251   SSL_CTX_set_verify(exim_client_ctx->ctx,
3252     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
3253     verify_callback_client_dane);
3254
3255   if (!DANESSL_library_init())
3256     {
3257     tls_error(US"library init", host, NULL, errstr);
3258     return FALSE;
3259     }
3260   if (DANESSL_CTX_init(exim_client_ctx->ctx) <= 0)
3261     {
3262     tls_error(US"context init", host, NULL, errstr);
3263     return FALSE;
3264     }
3265   }
3266 else
3267
3268 #endif
3269
3270   if (tls_client_basic_ctx_init(exim_client_ctx->ctx, host, ob,
3271         client_static_cbinfo, errstr) != OK)
3272     return FALSE;
3273
3274 #ifdef EXPERIMENTAL_TLS_RESUME
3275 tls_client_ctx_resume_prehandshake(exim_client_ctx, tlsp, ob, host);
3276 #endif
3277
3278
3279 if (!(exim_client_ctx->ssl = SSL_new(exim_client_ctx->ctx)))
3280   {
3281   tls_error(US"SSL_new", host, NULL, errstr);
3282   return FALSE;
3283   }
3284 SSL_set_session_id_context(exim_client_ctx->ssl, sid_ctx, Ustrlen(sid_ctx));
3285
3286 SSL_set_fd(exim_client_ctx->ssl, cctx->sock);
3287 SSL_set_connect_state(exim_client_ctx->ssl);
3288
3289 if (ob->tls_sni)
3290   {
3291   if (!expand_check(ob->tls_sni, US"tls_sni", &tlsp->sni, errstr))
3292     return FALSE;
3293   if (!tlsp->sni)
3294     {
3295     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
3296     }
3297   else if (!Ustrlen(tlsp->sni))
3298     tlsp->sni = NULL;
3299   else
3300     {
3301 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
3302     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tlsp->sni);
3303     SSL_set_tlsext_host_name(exim_client_ctx->ssl, tlsp->sni);
3304 #else
3305     log_write(0, LOG_MAIN, "SNI unusable with this OpenSSL library version; ignoring \"%s\"\n",
3306           tlsp->sni);
3307 #endif
3308     }
3309   }
3310
3311 #ifdef SUPPORT_DANE
3312 if (conn_args->dane)
3313   if (dane_tlsa_load(exim_client_ctx->ssl, host, &conn_args->tlsa_dnsa, errstr) != OK)
3314     return FALSE;
3315 #endif
3316
3317 #ifndef DISABLE_OCSP
3318 /* Request certificate status at connection-time.  If the server
3319 does OCSP stapling we will get the callback (set in tls_init()) */
3320 # ifdef SUPPORT_DANE
3321 if (request_ocsp)
3322   {
3323   const uschar * s;
3324   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3325      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3326      )
3327     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
3328         this means we avoid the OCSP request, we wasted the setup
3329         cost in tls_init(). */
3330     require_ocsp = verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK;
3331     request_ocsp = require_ocsp
3332       || verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3333     }
3334   }
3335 # endif
3336
3337 if (request_ocsp)
3338   {
3339   SSL_set_tlsext_status_type(exim_client_ctx->ssl, TLSEXT_STATUSTYPE_ocsp);
3340   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
3341   tlsp->ocsp = OCSP_NOT_RESP;
3342   }
3343 #endif
3344
3345 #ifdef EXPERIMENTAL_TLS_RESUME
3346 if (!tls_client_ssl_resume_prehandshake(exim_client_ctx->ssl, tlsp, host,
3347       errstr))
3348   return FALSE;
3349 #endif
3350
3351 #ifndef DISABLE_EVENT
3352 client_static_cbinfo->event_action = tb ? tb->event_action : NULL;
3353 #endif
3354
3355 /* There doesn't seem to be a built-in timeout on connection. */
3356
3357 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
3358 sigalrm_seen = FALSE;
3359 ALARM(ob->command_timeout);
3360 rc = SSL_connect(exim_client_ctx->ssl);
3361 ALARM_CLR(0);
3362
3363 #ifdef SUPPORT_DANE
3364 if (conn_args->dane)
3365   DANESSL_cleanup(exim_client_ctx->ssl);
3366 #endif
3367
3368 if (rc <= 0)
3369   {
3370   tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL, errstr);
3371   return FALSE;
3372   }
3373
3374 DEBUG(D_tls)
3375   {
3376   debug_printf("SSL_connect succeeded\n");
3377 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
3378   {
3379   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
3380   SSL_SESSION_print_keylog(bp, SSL_get_session(exim_client_ctx->ssl));
3381   BIO_free(bp);
3382   }
3383 #endif
3384   }
3385
3386 #ifdef EXPERIMENTAL_TLS_RESUME
3387 tls_client_resume_posthandshake(exim_client_ctx, tlsp);
3388 #endif
3389
3390 #ifdef SSL_get_extms_support
3391 tlsp->ext_master_secret = SSL_get_extms_support(exim_client_ctx->ssl) == 1;
3392 #endif
3393 peer_cert(exim_client_ctx->ssl, tlsp, peerdn, sizeof(peerdn));
3394
3395 tlsp->ver = tlsver_name(exim_client_ctx->ssl);
3396 tlsp->cipher = construct_cipher_name(exim_client_ctx->ssl, tlsp->ver, &tlsp->bits);
3397 tlsp->cipher_stdname = cipher_stdname_ssl(exim_client_ctx->ssl);
3398
3399 /* Record the certificate we presented */
3400   {
3401   X509 * crt = SSL_get_certificate(exim_client_ctx->ssl);
3402   tlsp->ourcert = crt ? X509_dup(crt) : NULL;
3403   }
3404
3405 /*XXX will this work with continued-TLS? */
3406 /* Channel-binding info for authenticators */
3407   {
3408   uschar c, * s;
3409   size_t len = SSL_get_finished(exim_client_ctx->ssl, &c, 0);
3410   int old_pool = store_pool;
3411   
3412   SSL_get_finished(exim_client_ctx->ssl, s = store_get((int)len, TRUE), len);
3413   store_pool = POOL_PERM;
3414     tlsp->channelbinding = b64encode_taint(CUS s, (int)len, TRUE);
3415   store_pool = old_pool;
3416   DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p %p\n", tlsp->channelbinding, tlsp);
3417   }
3418
3419 tlsp->active.sock = cctx->sock;
3420 tlsp->active.tls_ctx = exim_client_ctx;
3421 cctx->tls_ctx = exim_client_ctx;
3422 return TRUE;
3423 }
3424
3425
3426
3427
3428
3429 static BOOL
3430 tls_refill(unsigned lim)
3431 {
3432 int error;
3433 int inbytes;
3434
3435 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
3436   ssl_xfer_buffer, ssl_xfer_buffer_size);
3437
3438 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
3439 inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer,
3440                   MIN(ssl_xfer_buffer_size, lim));
3441 error = SSL_get_error(server_ssl, inbytes);
3442 if (smtp_receive_timeout > 0) ALARM_CLR(0);
3443
3444 if (had_command_timeout)                /* set by signal handler */
3445   smtp_command_timeout_exit();          /* does not return */
3446 if (had_command_sigterm)
3447   smtp_command_sigterm_exit();
3448 if (had_data_timeout)
3449   smtp_data_timeout_exit();
3450 if (had_data_sigint)
3451   smtp_data_sigint_exit();
3452
3453 /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
3454 closed down, not that the socket itself has been closed down. Revert to
3455 non-SSL handling. */
3456
3457 switch(error)
3458   {
3459   case SSL_ERROR_NONE:
3460     break;
3461
3462   case SSL_ERROR_ZERO_RETURN:
3463     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3464
3465     if (SSL_get_shutdown(server_ssl) == SSL_RECEIVED_SHUTDOWN)
3466           SSL_shutdown(server_ssl);
3467
3468     tls_close(NULL, TLS_NO_SHUTDOWN);
3469     return FALSE;
3470
3471   /* Handle genuine errors */
3472   case SSL_ERROR_SSL:
3473     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3474     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
3475     ssl_xfer_error = TRUE;
3476     return FALSE;
3477
3478   default:
3479     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
3480     DEBUG(D_tls) if (error == SSL_ERROR_SYSCALL)
3481       debug_printf(" - syscall %s\n", strerror(errno));
3482     ssl_xfer_error = TRUE;
3483     return FALSE;
3484   }
3485
3486 #ifndef DISABLE_DKIM
3487 dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
3488 #endif
3489 ssl_xfer_buffer_hwm = inbytes;
3490 ssl_xfer_buffer_lwm = 0;
3491 return TRUE;
3492 }
3493
3494
3495 /*************************************************
3496 *            TLS version of getc                 *
3497 *************************************************/
3498
3499 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
3500 it refills the buffer via the SSL reading function.
3501
3502 Arguments:  lim         Maximum amount to read/buffer
3503 Returns:    the next character or EOF
3504
3505 Only used by the server-side TLS.
3506 */
3507
3508 int
3509 tls_getc(unsigned lim)
3510 {
3511 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3512   if (!tls_refill(lim))
3513     return ssl_xfer_error ? EOF : smtp_getc(lim);
3514
3515 /* Something in the buffer; return next uschar */
3516
3517 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
3518 }
3519
3520 uschar *
3521 tls_getbuf(unsigned * len)
3522 {
3523 unsigned size;
3524 uschar * buf;
3525
3526 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3527   if (!tls_refill(*len))
3528     {
3529     if (!ssl_xfer_error) return smtp_getbuf(len);
3530     *len = 0;
3531     return NULL;
3532     }
3533
3534 if ((size = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm) > *len)
3535   size = *len;
3536 buf = &ssl_xfer_buffer[ssl_xfer_buffer_lwm];
3537 ssl_xfer_buffer_lwm += size;
3538 *len = size;
3539 return buf;
3540 }
3541
3542
3543 void
3544 tls_get_cache()
3545 {
3546 #ifndef DISABLE_DKIM
3547 int n = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm;
3548 if (n > 0)
3549   dkim_exim_verify_feed(ssl_xfer_buffer+ssl_xfer_buffer_lwm, n);
3550 #endif
3551 }
3552
3553
3554 BOOL
3555 tls_could_read(void)
3556 {
3557 return ssl_xfer_buffer_lwm < ssl_xfer_buffer_hwm || SSL_pending(server_ssl) > 0;
3558 }
3559
3560
3561 /*************************************************
3562 *          Read bytes from TLS channel           *
3563 *************************************************/
3564
3565 /*
3566 Arguments:
3567   ct_ctx    client context pointer, or NULL for the one global server context
3568   buff      buffer of data
3569   len       size of buffer
3570
3571 Returns:    the number of bytes read
3572             -1 after a failed read, including EOF
3573
3574 Only used by the client-side TLS.
3575 */
3576
3577 int
3578 tls_read(void * ct_ctx, uschar *buff, size_t len)
3579 {
3580 SSL * ssl = ct_ctx ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3581 int inbytes;
3582 int error;
3583
3584 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
3585   buff, (unsigned int)len);
3586
3587 inbytes = SSL_read(ssl, CS buff, len);
3588 error = SSL_get_error(ssl, inbytes);
3589
3590 if (error == SSL_ERROR_ZERO_RETURN)
3591   {
3592   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3593   return -1;
3594   }
3595 else if (error != SSL_ERROR_NONE)
3596   return -1;
3597
3598 return inbytes;
3599 }
3600
3601
3602
3603
3604
3605 /*************************************************
3606 *         Write bytes down TLS channel           *
3607 *************************************************/
3608
3609 /*
3610 Arguments:
3611   ct_ctx    client context pointer, or NULL for the one global server context
3612   buff      buffer of data
3613   len       number of bytes
3614   more      further data expected soon
3615
3616 Returns:    the number of bytes after a successful write,
3617             -1 after a failed write
3618
3619 Used by both server-side and client-side TLS.  Calling with len zero and more unset
3620 will flush buffered writes; buff can be null for this case.
3621 */
3622
3623 int
3624 tls_write(void * ct_ctx, const uschar * buff, size_t len, BOOL more)
3625 {
3626 size_t olen = len;
3627 int outbytes, error;
3628 SSL * ssl = ct_ctx
3629   ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3630 static gstring * server_corked = NULL;
3631 gstring ** corkedp = ct_ctx
3632   ? &((exim_openssl_client_tls_ctx *)ct_ctx)->corked : &server_corked;
3633 gstring * corked = *corkedp;
3634
3635 DEBUG(D_tls) debug_printf("%s(%p, %lu%s)\n", __FUNCTION__,
3636   buff, (unsigned long)len, more ? ", more" : "");
3637
3638 /* Lacking a CORK or MSG_MORE facility (such as GnuTLS has) we copy data when
3639 "more" is notified.  This hack is only ok if small amounts are involved AND only
3640 one stream does it, in one context (i.e. no store reset).  Currently it is used
3641 for the responses to the received SMTP MAIL , RCPT, DATA sequence, only.
3642 We support callouts done by the server process by using a separate client
3643 context for the stashed information. */
3644 /* + if PIPE_COMMAND, banner & ehlo-resp for smmtp-on-connect. Suspect there's
3645 a store reset there, so use POOL_PERM. */
3646 /* + if CHUNKING, cmds EHLO,MAIL,RCPT(s),BDAT */
3647
3648 if ((more || corked))
3649   {
3650   if (!len) buff = US &error;   /* dummy just so that string_catn is ok */
3651
3652 #ifndef DISABLE_PIPE_CONNECT
3653   int save_pool = store_pool;
3654   store_pool = POOL_PERM;
3655 #endif
3656
3657   corked = string_catn(corked, buff, len);
3658
3659 #ifndef DISABLE_PIPE_CONNECT
3660   store_pool = save_pool;
3661 #endif
3662
3663   if (more)
3664     {
3665     *corkedp = corked;
3666     return len;
3667     }
3668   buff = CUS corked->s;
3669   len = corked->ptr;
3670   *corkedp = NULL;
3671   }
3672
3673 for (int left = len; left > 0;)
3674   {
3675   DEBUG(D_tls) debug_printf("SSL_write(%p, %p, %d)\n", ssl, buff, left);
3676   outbytes = SSL_write(ssl, CS buff, left);
3677   error = SSL_get_error(ssl, outbytes);
3678   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
3679   switch (error)
3680     {
3681     case SSL_ERROR_NONE:        /* the usual case */
3682       left -= outbytes;
3683       buff += outbytes;
3684       break;
3685
3686     case SSL_ERROR_SSL:
3687       ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3688       log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
3689       return -1;
3690
3691     case SSL_ERROR_ZERO_RETURN:
3692       log_write(0, LOG_MAIN, "SSL channel closed on write");
3693       return -1;
3694
3695     case SSL_ERROR_SYSCALL:
3696       log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
3697         sender_fullhost ? sender_fullhost : US"<unknown>",
3698         strerror(errno));
3699       return -1;
3700
3701     default:
3702       log_write(0, LOG_MAIN, "SSL_write error %d", error);
3703       return -1;
3704     }
3705   }
3706 return olen;
3707 }
3708
3709
3710
3711 /*************************************************
3712 *         Close down a TLS session               *
3713 *************************************************/
3714
3715 /* This is also called from within a delivery subprocess forked from the
3716 daemon, to shut down the TLS library, without actually doing a shutdown (which
3717 would tamper with the SSL session in the parent process).
3718
3719 Arguments:
3720   ct_ctx        client TLS context pointer, or NULL for the one global server context
3721   shutdown      1 if TLS close-alert is to be sent,
3722                 2 if also response to be waited for
3723
3724 Returns:     nothing
3725
3726 Used by both server-side and client-side TLS.
3727 */
3728
3729 void
3730 tls_close(void * ct_ctx, int shutdown)
3731 {
3732 exim_openssl_client_tls_ctx * o_ctx = ct_ctx;
3733 SSL_CTX **ctxp = o_ctx ? &o_ctx->ctx : &server_ctx;
3734 SSL **sslp =     o_ctx ? &o_ctx->ssl : &server_ssl;
3735 int *fdp = o_ctx ? &tls_out.active.sock : &tls_in.active.sock;
3736
3737 if (*fdp < 0) return;  /* TLS was not active */
3738
3739 if (shutdown)
3740   {
3741   int rc;
3742   DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
3743     shutdown > 1 ? " (with response-wait)" : "");
3744
3745   if (  (rc = SSL_shutdown(*sslp)) == 0 /* send "close notify" alert */
3746      && shutdown > 1)
3747     {
3748     ALARM(2);
3749     rc = SSL_shutdown(*sslp);           /* wait for response */
3750     ALARM_CLR(0);
3751     }
3752
3753   if (rc < 0) DEBUG(D_tls)
3754     {
3755     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3756     debug_printf("SSL_shutdown: %s\n", ssl_errstring);
3757     }
3758   }
3759
3760 if (!o_ctx)             /* server side */
3761   {
3762 #ifndef DISABLE_OCSP
3763   sk_X509_pop_free(server_static_cbinfo->verify_stack, X509_free);
3764   server_static_cbinfo->verify_stack = NULL;
3765 #endif
3766
3767   receive_getc =        smtp_getc;
3768   receive_getbuf =      smtp_getbuf;
3769   receive_get_cache =   smtp_get_cache;
3770   receive_ungetc =      smtp_ungetc;
3771   receive_feof =        smtp_feof;
3772   receive_ferror =      smtp_ferror;
3773   receive_smtp_buffered = smtp_buffered;
3774   tls_in.active.tls_ctx = NULL;
3775   tls_in.sni = NULL;
3776   /* Leave bits, peercert, cipher, peerdn, certificate_verified set, for logging */
3777   }
3778
3779 SSL_CTX_free(*ctxp);
3780 SSL_free(*sslp);
3781 *ctxp = NULL;
3782 *sslp = NULL;
3783 *fdp = -1;
3784 }
3785
3786
3787
3788
3789 /*************************************************
3790 *  Let tls_require_ciphers be checked at startup *
3791 *************************************************/
3792
3793 /* The tls_require_ciphers option, if set, must be something which the
3794 library can parse.
3795
3796 Returns:     NULL on success, or error message
3797 */
3798
3799 uschar *
3800 tls_validate_require_cipher(void)
3801 {
3802 SSL_CTX *ctx;
3803 uschar *s, *expciphers, *err;
3804
3805 tls_openssl_init();
3806
3807 if (!(tls_require_ciphers && *tls_require_ciphers))
3808   return NULL;
3809
3810 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers,
3811                   &err))
3812   return US"failed to expand tls_require_ciphers";
3813
3814 if (!(expciphers && *expciphers))
3815   return NULL;
3816
3817 /* normalisation ripped from above */
3818 s = expciphers;
3819 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
3820
3821 err = NULL;
3822
3823 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
3824 if (!(ctx = SSL_CTX_new(TLS_server_method())))
3825 #else
3826 if (!(ctx = SSL_CTX_new(SSLv23_server_method())))
3827 #endif
3828   {
3829   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3830   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
3831   }
3832
3833 DEBUG(D_tls)
3834   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
3835
3836 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
3837   {
3838   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3839   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed: %s",
3840                       expciphers, ssl_errstring);
3841   }
3842
3843 SSL_CTX_free(ctx);
3844
3845 return err;
3846 }
3847
3848
3849
3850
3851 /*************************************************
3852 *         Report the library versions.           *
3853 *************************************************/
3854
3855 /* There have historically been some issues with binary compatibility in
3856 OpenSSL libraries; if Exim (like many other applications) is built against
3857 one version of OpenSSL but the run-time linker picks up another version,
3858 it can result in serious failures, including crashing with a SIGSEGV.  So
3859 report the version found by the compiler and the run-time version.
3860
3861 Note: some OS vendors backport security fixes without changing the version
3862 number/string, and the version date remains unchanged.  The _build_ date
3863 will change, so we can more usefully assist with version diagnosis by also
3864 reporting the build date.
3865
3866 Arguments:   a FILE* to print the results to
3867 Returns:     nothing
3868 */
3869
3870 void
3871 tls_version_report(FILE *f)
3872 {
3873 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
3874            "                          Runtime: %s\n"
3875            "                                 : %s\n",
3876            OPENSSL_VERSION_TEXT,
3877            SSLeay_version(SSLEAY_VERSION),
3878            SSLeay_version(SSLEAY_BUILT_ON));
3879 /* third line is 38 characters for the %s and the line is 73 chars long;
3880 the OpenSSL output includes a "built on: " prefix already. */
3881 }
3882
3883
3884
3885
3886 /*************************************************
3887 *            Random number generation            *
3888 *************************************************/
3889
3890 /* Pseudo-random number generation.  The result is not expected to be
3891 cryptographically strong but not so weak that someone will shoot themselves
3892 in the foot using it as a nonce in input in some email header scheme or
3893 whatever weirdness they'll twist this into.  The result should handle fork()
3894 and avoid repeating sequences.  OpenSSL handles that for us.
3895
3896 Arguments:
3897   max       range maximum
3898 Returns     a random number in range [0, max-1]
3899 */
3900
3901 int
3902 vaguely_random_number(int max)
3903 {
3904 unsigned int r;
3905 int i, needed_len;
3906 static pid_t pidlast = 0;
3907 pid_t pidnow;
3908 uschar smallbuf[sizeof(r)];
3909
3910 if (max <= 1)
3911   return 0;
3912
3913 pidnow = getpid();
3914 if (pidnow != pidlast)
3915   {
3916   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
3917   is unique for each thread", this doesn't apparently apply across processes,
3918   so our own warning from vaguely_random_number_fallback() applies here too.
3919   Fix per PostgreSQL. */
3920   if (pidlast != 0)
3921     RAND_cleanup();
3922   pidlast = pidnow;
3923   }
3924
3925 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
3926 if (!RAND_status())
3927   {
3928   randstuff r;
3929   gettimeofday(&r.tv, NULL);
3930   r.p = getpid();
3931
3932   RAND_seed(US (&r), sizeof(r));
3933   }
3934 /* We're after pseudo-random, not random; if we still don't have enough data
3935 in the internal PRNG then our options are limited.  We could sleep and hope
3936 for entropy to come along (prayer technique) but if the system is so depleted
3937 in the first place then something is likely to just keep taking it.  Instead,
3938 we'll just take whatever little bit of pseudo-random we can still manage to
3939 get. */
3940
3941 needed_len = sizeof(r);
3942 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
3943 asked for a number less than 10. */
3944 for (r = max, i = 0; r; ++i)
3945   r >>= 1;
3946 i = (i + 7) / 8;
3947 if (i < needed_len)
3948   needed_len = i;
3949
3950 #ifdef EXIM_HAVE_RAND_PSEUDO
3951 /* We do not care if crypto-strong */
3952 i = RAND_pseudo_bytes(smallbuf, needed_len);
3953 #else
3954 i = RAND_bytes(smallbuf, needed_len);
3955 #endif
3956
3957 if (i < 0)
3958   {
3959   DEBUG(D_all)
3960     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
3961   return vaguely_random_number_fallback(max);
3962   }
3963
3964 r = 0;
3965 for (uschar * p = smallbuf; needed_len; --needed_len, ++p)
3966   r = 256 * r + *p;
3967
3968 /* We don't particularly care about weighted results; if someone wants
3969 smooth distribution and cares enough then they should submit a patch then. */
3970 return r % max;
3971 }
3972
3973
3974
3975
3976 /*************************************************
3977 *        OpenSSL option parse                    *
3978 *************************************************/
3979
3980 /* Parse one option for tls_openssl_options_parse below
3981
3982 Arguments:
3983   name    one option name
3984   value   place to store a value for it
3985 Returns   success or failure in parsing
3986 */
3987
3988
3989
3990 static BOOL
3991 tls_openssl_one_option_parse(uschar *name, long *value)
3992 {
3993 int first = 0;
3994 int last = exim_openssl_options_size;
3995 while (last > first)
3996   {
3997   int middle = (first + last)/2;
3998   int c = Ustrcmp(name, exim_openssl_options[middle].name);
3999   if (c == 0)
4000     {
4001     *value = exim_openssl_options[middle].value;
4002     return TRUE;
4003     }
4004   else if (c > 0)
4005     first = middle + 1;
4006   else
4007     last = middle;
4008   }
4009 return FALSE;
4010 }
4011
4012
4013
4014
4015 /*************************************************
4016 *        OpenSSL option parsing logic            *
4017 *************************************************/
4018
4019 /* OpenSSL has a number of compatibility options which an administrator might
4020 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
4021 we look like log_selector.
4022
4023 Arguments:
4024   option_spec  the administrator-supplied string of options
4025   results      ptr to long storage for the options bitmap
4026 Returns        success or failure
4027 */
4028
4029 BOOL
4030 tls_openssl_options_parse(uschar *option_spec, long *results)
4031 {
4032 long result, item;
4033 uschar * exp, * end;
4034 uschar keep_c;
4035 BOOL adding, item_parsed;
4036
4037 /* Server: send no (<= TLS1.2) session tickets */
4038 result = SSL_OP_NO_TICKET;
4039
4040 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
4041 from default because it increases BEAST susceptibility. */
4042 #ifdef SSL_OP_NO_SSLv2
4043 result |= SSL_OP_NO_SSLv2;
4044 #endif
4045 #ifdef SSL_OP_NO_SSLv3
4046 result |= SSL_OP_NO_SSLv3;
4047 #endif
4048 #ifdef SSL_OP_SINGLE_DH_USE
4049 result |= SSL_OP_SINGLE_DH_USE;
4050 #endif
4051 #ifdef SSL_OP_NO_RENEGOTIATION
4052 result |= SSL_OP_NO_RENEGOTIATION;
4053 #endif
4054
4055 if (!option_spec)
4056   {
4057   *results = result;
4058   return TRUE;
4059   }
4060
4061 if (!expand_check(option_spec, US"openssl_options", &exp, &end))
4062   return FALSE;
4063
4064 for (uschar * s = exp; *s; /**/)
4065   {
4066   while (isspace(*s)) ++s;
4067   if (*s == '\0')
4068     break;
4069   if (*s != '+' && *s != '-')
4070     {
4071     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
4072         "+ or - expected but found \"%s\"\n", s);
4073     return FALSE;
4074     }
4075   adding = *s++ == '+';
4076   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
4077   keep_c = *end;
4078   *end = '\0';
4079   item_parsed = tls_openssl_one_option_parse(s, &item);
4080   *end = keep_c;
4081   if (!item_parsed)
4082     {
4083     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
4084     return FALSE;
4085     }
4086   DEBUG(D_tls) debug_printf("openssl option, %s %08lx: %08lx (%s)\n",
4087       adding ? "adding to    " : "removing from", result, item, s);
4088   if (adding)
4089     result |= item;
4090   else
4091     result &= ~item;
4092   s = end;
4093   }
4094
4095 *results = result;
4096 return TRUE;
4097 }
4098
4099 #endif  /*!MACRO_PREDEF*/
4100 /* vi: aw ai sw=2
4101 */
4102 /* End of tls-openssl.c */