d16479e5806a3627a0b611cbdab5d748628d48f0
[users/jgh/exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2019 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef SUPPORT_DANE
32 # include "danessl.h"
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44 #if OPENSSL_VERSION_NUMBER >= 0x00908000L
45 # define EXIM_HAVE_RSA_GENKEY_EX
46 #endif
47 #if OPENSSL_VERSION_NUMBER >= 0x10100000L
48 # define EXIM_HAVE_OCSP_RESP_COUNT
49 # define OPENSSL_AUTO_SHA256
50 #else
51 # define EXIM_HAVE_EPHEM_RSA_KEX
52 # define EXIM_HAVE_RAND_PSEUDO
53 #endif
54 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
55 # define EXIM_HAVE_SHA256
56 #endif
57
58 /* X509_check_host provides sane certificate hostname checking, but was added
59 to OpenSSL late, after other projects forked off the code-base.  So in
60 addition to guarding against the base version number, beware that LibreSSL
61 does not (at this time) support this function.
62
63 If LibreSSL gains a different API, perhaps via libtls, then we'll probably
64 opt to disentangle and ask a LibreSSL user to provide glue for a third
65 crypto provider for libtls instead of continuing to tie the OpenSSL glue
66 into even twistier knots.  If LibreSSL gains the same API, we can just
67 change this guard and punt the issue for a while longer. */
68
69 #ifndef LIBRESSL_VERSION_NUMBER
70 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
71 #  define EXIM_HAVE_OPENSSL_CHECKHOST
72 #  define EXIM_HAVE_OPENSSL_DH_BITS
73 #  define EXIM_HAVE_OPENSSL_TLS_METHOD
74 #  define EXIM_HAVE_OPENSSL_KEYLOG
75 #  define EXIM_HAVE_OPENSSL_CIPHER_GET_ID
76 #  define EXIM_HAVE_SESSION_TICKET
77 #  define EXIM_HAVE_OPESSL_TRACE
78 #  define EXIM_HAVE_OPESSL_GET0_SERIAL
79 #  ifndef DISABLE_OCSP
80 #   define EXIM_HAVE_OCSP
81 #  endif
82 # else
83 #  define EXIM_NEED_OPENSSL_INIT
84 # endif
85 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
86     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
87 #  define EXIM_HAVE_OPENSSL_CHECKHOST
88 # endif
89 #endif
90
91 #if !defined(LIBRESSL_VERSION_NUMBER) \
92     || LIBRESSL_VERSION_NUMBER >= 0x20010000L
93 # if !defined(OPENSSL_NO_ECDH)
94 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
95 #   define EXIM_HAVE_ECDH
96 #  endif
97 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
98 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
99 #  endif
100 # endif
101 #endif
102
103 #ifndef LIBRESSL_VERSION_NUMBER
104 # if OPENSSL_VERSION_NUMBER >= 0x010101000L
105 #  define OPENSSL_HAVE_KEYLOG_CB
106 #  define OPENSSL_HAVE_NUM_TICKETS
107 #  define EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
108 # else
109 #  define OPENSSL_BAD_SRVR_OURCERT
110 # endif
111 #endif
112
113 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
114 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
115 # define DISABLE_OCSP
116 #endif
117
118 #ifdef EXPERIMENTAL_TLS_RESUME
119 # if OPENSSL_VERSION_NUMBER < 0x0101010L
120 #  error OpenSSL version too old for session-resumption
121 # endif
122 #endif
123
124 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
125 # include <openssl/x509v3.h>
126 #endif
127
128 #ifndef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
129 # ifndef EXIM_HAVE_OPENSSL_CIPHER_GET_ID
130 #  define SSL_CIPHER_get_id(c) (c->id)
131 # endif
132 # ifndef MACRO_PREDEF
133 #  include "tls-cipher-stdname.c"
134 # endif
135 #endif
136
137 /*************************************************
138 *        OpenSSL option parse                    *
139 *************************************************/
140
141 typedef struct exim_openssl_option {
142   uschar *name;
143   long    value;
144 } exim_openssl_option;
145 /* We could use a macro to expand, but we need the ifdef and not all the
146 options document which version they were introduced in.  Policylet: include
147 all options unless explicitly for DTLS, let the administrator choose which
148 to apply.
149
150 This list is current as of:
151   ==>  1.0.1b  <==
152 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
153 Plus SSL_OP_NO_TLSv1_3 for 1.1.2-dev
154 Plus SSL_OP_NO_RENEGOTIATION for 1.1.1
155
156 XXX could we autobuild this list, as with predefined-macros?
157 Seems just parsing ssl.h for SSL_OP_.* would be enough.
158 Also allow a numeric literal?
159 */
160 static exim_openssl_option exim_openssl_options[] = {
161 /* KEEP SORTED ALPHABETICALLY! */
162 #ifdef SSL_OP_ALL
163   { US"all", (long) SSL_OP_ALL },
164 #endif
165 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
166   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
167 #endif
168 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
169   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
170 #endif
171 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
172   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
173 #endif
174 #ifdef SSL_OP_EPHEMERAL_RSA
175   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
176 #endif
177 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
178   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
179 #endif
180 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
181   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
182 #endif
183 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
184   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
185 #endif
186 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
187   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
188 #endif
189 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
190   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
191 #endif
192 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
193   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
194 #endif
195 #ifdef SSL_OP_NO_COMPRESSION
196   { US"no_compression", SSL_OP_NO_COMPRESSION },
197 #endif
198 #ifdef SSL_OP_NO_RENEGOTIATION
199   { US"no_renegotiation", SSL_OP_NO_RENEGOTIATION },
200 #endif
201 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
202   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
203 #endif
204 #ifdef SSL_OP_NO_SSLv2
205   { US"no_sslv2", SSL_OP_NO_SSLv2 },
206 #endif
207 #ifdef SSL_OP_NO_SSLv3
208   { US"no_sslv3", SSL_OP_NO_SSLv3 },
209 #endif
210 #ifdef SSL_OP_NO_TICKET
211   { US"no_ticket", SSL_OP_NO_TICKET },
212 #endif
213 #ifdef SSL_OP_NO_TLSv1
214   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
215 #endif
216 #ifdef SSL_OP_NO_TLSv1_1
217 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
218   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
219 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
220 #else
221   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
222 #endif
223 #endif
224 #ifdef SSL_OP_NO_TLSv1_2
225   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
226 #endif
227 #ifdef SSL_OP_NO_TLSv1_3
228   { US"no_tlsv1_3", SSL_OP_NO_TLSv1_3 },
229 #endif
230 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
231   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
232 #endif
233 #ifdef SSL_OP_SINGLE_DH_USE
234   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
235 #endif
236 #ifdef SSL_OP_SINGLE_ECDH_USE
237   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
238 #endif
239 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
240   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
241 #endif
242 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
243   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
244 #endif
245 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
246   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
247 #endif
248 #ifdef SSL_OP_TLS_D5_BUG
249   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
250 #endif
251 #ifdef SSL_OP_TLS_ROLLBACK_BUG
252   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
253 #endif
254 };
255
256 #ifndef MACRO_PREDEF
257 static int exim_openssl_options_size = nelem(exim_openssl_options);
258 #endif
259
260 #ifdef MACRO_PREDEF
261 void
262 options_tls(void)
263 {
264 uschar buf[64];
265
266 for (struct exim_openssl_option * o = exim_openssl_options;
267      o < exim_openssl_options + nelem(exim_openssl_options); o++)
268   {
269   /* Trailing X is workaround for problem with _OPT_OPENSSL_NO_TLSV1
270   being a ".ifdef _OPT_OPENSSL_NO_TLSV1_3" match */
271
272   spf(buf, sizeof(buf), US"_OPT_OPENSSL_%T_X", o->name);
273   builtin_macro_create(buf);
274   }
275
276 # ifdef EXPERIMENTAL_TLS_RESUME
277 builtin_macro_create_var(US"_RESUME_DECODE", RESUME_DECODE_STRING );
278 # endif
279 # ifdef SSL_OP_NO_TLSv1_3
280 builtin_macro_create(US"_HAVE_TLS1_3");
281 # endif
282 # ifdef OPENSSL_BAD_SRVR_OURCERT
283 builtin_macro_create(US"_TLS_BAD_MULTICERT_IN_OURCERT");
284 # endif
285 # ifdef EXIM_HAVE_OCSP
286 builtin_macro_create(US"_HAVE_TLS_OCSP");
287 builtin_macro_create(US"_HAVE_TLS_OCSP_LIST");
288 # endif
289 }
290 #else
291
292 /******************************************************************************/
293
294 /* Structure for collecting random data for seeding. */
295
296 typedef struct randstuff {
297   struct timeval tv;
298   pid_t          p;
299 } randstuff;
300
301 /* Local static variables */
302
303 static BOOL client_verify_callback_called = FALSE;
304 static BOOL server_verify_callback_called = FALSE;
305 static const uschar *sid_ctx = US"exim";
306
307 /* We have three different contexts to care about.
308
309 Simple case: client, `client_ctx`
310  As a client, we can be doing a callout or cut-through delivery while receiving
311  a message.  So we have a client context, which should have options initialised
312  from the SMTP Transport.  We may also concurrently want to make TLS connections
313  to utility daemons, so client-contexts are allocated and passed around in call
314  args rather than using a gobal.
315
316 Server:
317  There are two cases: with and without ServerNameIndication from the client.
318  Given TLS SNI, we can be using different keys, certs and various other
319  configuration settings, because they're re-expanded with $tls_sni set.  This
320  allows vhosting with TLS.  This SNI is sent in the handshake.
321  A client might not send SNI, so we need a fallback, and an initial setup too.
322  So as a server, we start out using `server_ctx`.
323  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
324  `server_sni` from `server_ctx` and then initialise settings by re-expanding
325  configuration.
326 */
327
328 typedef struct {
329   SSL_CTX *     ctx;
330   SSL *         ssl;
331   gstring *     corked;
332 } exim_openssl_client_tls_ctx;
333
334 static SSL_CTX *server_ctx = NULL;
335 static SSL     *server_ssl = NULL;
336
337 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
338 static SSL_CTX *server_sni = NULL;
339 #endif
340
341 static char ssl_errstring[256];
342
343 static int  ssl_session_timeout = 7200;         /* Two hours */
344 static BOOL client_verify_optional = FALSE;
345 static BOOL server_verify_optional = FALSE;
346
347 static BOOL reexpand_tls_files_for_sni = FALSE;
348
349
350 typedef struct ocsp_resp {
351   struct ocsp_resp *    next;
352   OCSP_RESPONSE *       resp;
353 } ocsp_resplist;
354
355 typedef struct tls_ext_ctx_cb {
356   tls_support * tlsp;
357   uschar *certificate;
358   uschar *privatekey;
359   BOOL is_server;
360 #ifndef DISABLE_OCSP
361   STACK_OF(X509) *verify_stack;         /* chain for verifying the proof */
362   union {
363     struct {
364       uschar        *file;
365       const uschar  *file_expanded;
366       ocsp_resplist *olist;
367     } server;
368     struct {
369       X509_STORE    *verify_store;      /* non-null if status requested */
370       BOOL          verify_required;
371     } client;
372   } u_ocsp;
373 #endif
374   uschar *dhparam;
375   /* these are cached from first expand */
376   uschar *server_cipher_list;
377   /* only passed down to tls_error: */
378   host_item *host;
379   const uschar * verify_cert_hostnames;
380 #ifndef DISABLE_EVENT
381   uschar * event_action;
382 #endif
383 } tls_ext_ctx_cb;
384
385 /* should figure out a cleanup of API to handle state preserved per
386 implementation, for various reasons, which can be void * in the APIs.
387 For now, we hack around it. */
388 tls_ext_ctx_cb *client_static_cbinfo = NULL;    /*XXX should not use static; multiple concurrent clients! */
389 tls_ext_ctx_cb *server_static_cbinfo = NULL;
390
391 static int
392 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
393     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr );
394
395 /* Callbacks */
396 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
397 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
398 #endif
399 #ifndef DISABLE_OCSP
400 static int tls_server_stapling_cb(SSL *s, void *arg);
401 #endif
402
403
404
405 /* Daemon-called, before every connection, key create/rotate */
406 #ifdef EXPERIMENTAL_TLS_RESUME
407 static void tk_init(void);
408 static int tls_exdata_idx = -1;
409 #endif
410
411 void
412 tls_daemon_init(void)
413 {
414 #ifdef EXPERIMENTAL_TLS_RESUME
415 tk_init();
416 #endif
417 return;
418 }
419
420
421 /*************************************************
422 *               Handle TLS error                 *
423 *************************************************/
424
425 /* Called from lots of places when errors occur before actually starting to do
426 the TLS handshake, that is, while the session is still in clear. Always returns
427 DEFER for a server and FAIL for a client so that most calls can use "return
428 tls_error(...)" to do this processing and then give an appropriate return. A
429 single function is used for both server and client, because it is called from
430 some shared functions.
431
432 Argument:
433   prefix    text to include in the logged error
434   host      NULL if setting up a server;
435             the connected host if setting up a client
436   msg       error message or NULL if we should ask OpenSSL
437   errstr    pointer to output error message
438
439 Returns:    OK/DEFER/FAIL
440 */
441
442 static int
443 tls_error(uschar * prefix, const host_item * host, uschar * msg, uschar ** errstr)
444 {
445 if (!msg)
446   {
447   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
448   msg = US ssl_errstring;
449   }
450
451 msg = string_sprintf("(%s): %s", prefix, msg);
452 DEBUG(D_tls) debug_printf("TLS error '%s'\n", msg);
453 if (errstr) *errstr = msg;
454 return host ? FAIL : DEFER;
455 }
456
457
458
459 /*************************************************
460 *        Callback to generate RSA key            *
461 *************************************************/
462
463 /*
464 Arguments:
465   s          SSL connection (not used)
466   export     not used
467   keylength  keylength
468
469 Returns:     pointer to generated key
470 */
471
472 static RSA *
473 rsa_callback(SSL *s, int export, int keylength)
474 {
475 RSA *rsa_key;
476 #ifdef EXIM_HAVE_RSA_GENKEY_EX
477 BIGNUM *bn = BN_new();
478 #endif
479
480 export = export;     /* Shut picky compilers up */
481 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
482
483 #ifdef EXIM_HAVE_RSA_GENKEY_EX
484 if (  !BN_set_word(bn, (unsigned long)RSA_F4)
485    || !(rsa_key = RSA_new())
486    || !RSA_generate_key_ex(rsa_key, keylength, bn, NULL)
487    )
488 #else
489 if (!(rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL)))
490 #endif
491
492   {
493   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
494   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
495     ssl_errstring);
496   return NULL;
497   }
498 return rsa_key;
499 }
500
501
502
503 /* Extreme debug
504 #ifndef DISABLE_OCSP
505 void
506 x509_store_dump_cert_s_names(X509_STORE * store)
507 {
508 STACK_OF(X509_OBJECT) * roots= store->objs;
509 static uschar name[256];
510
511 for (int i= 0; i < sk_X509_OBJECT_num(roots); i++)
512   {
513   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
514   if(tmp_obj->type == X509_LU_X509)
515     {
516     X509_NAME * sn = X509_get_subject_name(tmp_obj->data.x509);
517     if (X509_NAME_oneline(sn, CS name, sizeof(name)))
518       {
519       name[sizeof(name)-1] = '\0';
520       debug_printf(" %s\n", name);
521       }
522     }
523   }
524 }
525 #endif
526 */
527
528
529 #ifndef DISABLE_EVENT
530 static int
531 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
532   BOOL *calledp, const BOOL *optionalp, const uschar * what)
533 {
534 uschar * ev;
535 uschar * yield;
536 X509 * old_cert;
537
538 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
539 if (ev)
540   {
541   DEBUG(D_tls) debug_printf("verify_event: %s %d\n", what, depth);
542   old_cert = tlsp->peercert;
543   tlsp->peercert = X509_dup(cert);
544   /* NB we do not bother setting peerdn */
545   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
546     {
547     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
548                 "depth=%d cert=%s: %s",
549               tlsp == &tls_out ? deliver_host_address : sender_host_address,
550               what, depth, dn, yield);
551     *calledp = TRUE;
552     if (!*optionalp)
553       {
554       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
555       return 1;                     /* reject (leaving peercert set) */
556       }
557     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
558       "(host in tls_try_verify_hosts)\n");
559     tlsp->verify_override = TRUE;
560     }
561   X509_free(tlsp->peercert);
562   tlsp->peercert = old_cert;
563   }
564 return 0;
565 }
566 #endif
567
568 /*************************************************
569 *        Callback for verification               *
570 *************************************************/
571
572 /* The SSL library does certificate verification if set up to do so. This
573 callback has the current yes/no state is in "state". If verification succeeded,
574 we set the certificate-verified flag. If verification failed, what happens
575 depends on whether the client is required to present a verifiable certificate
576 or not.
577
578 If verification is optional, we change the state to yes, but still log the
579 verification error. For some reason (it really would help to have proper
580 documentation of OpenSSL), this callback function then gets called again, this
581 time with state = 1.  We must take care not to set the private verified flag on
582 the second time through.
583
584 Note: this function is not called if the client fails to present a certificate
585 when asked. We get here only if a certificate has been received. Handling of
586 optional verification for this case is done when requesting SSL to verify, by
587 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
588
589 May be called multiple times for different issues with a certificate, even
590 for a given "depth" in the certificate chain.
591
592 Arguments:
593   preverify_ok current yes/no state as 1/0
594   x509ctx      certificate information.
595   tlsp         per-direction (client vs. server) support data
596   calledp      has-been-called flag
597   optionalp    verification-is-optional flag
598
599 Returns:     0 if verification should fail, otherwise 1
600 */
601
602 static int
603 verify_callback(int preverify_ok, X509_STORE_CTX * x509ctx,
604   tls_support * tlsp, BOOL * calledp, BOOL * optionalp)
605 {
606 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
607 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
608 uschar dn[256];
609
610 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
611   {
612   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
613   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
614     tlsp == &tls_out ? deliver_host_address : sender_host_address);
615   return 0;
616   }
617 dn[sizeof(dn)-1] = '\0';
618
619 tlsp->verify_override = FALSE;
620 if (preverify_ok == 0)
621   {
622   uschar * extra = verify_mode ? string_sprintf(" (during %c-verify for [%s])",
623       *verify_mode, sender_host_address)
624     : US"";
625   log_write(0, LOG_MAIN, "[%s] SSL verify error%s: depth=%d error=%s cert=%s",
626     tlsp == &tls_out ? deliver_host_address : sender_host_address,
627     extra, depth,
628     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)), dn);
629   *calledp = TRUE;
630   if (!*optionalp)
631     {
632     if (!tlsp->peercert)
633       tlsp->peercert = X509_dup(cert);  /* record failing cert */
634     return 0;                           /* reject */
635     }
636   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
637     "tls_try_verify_hosts)\n");
638   tlsp->verify_override = TRUE;
639   }
640
641 else if (depth != 0)
642   {
643   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
644 #ifndef DISABLE_OCSP
645   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
646     {   /* client, wanting stapling  */
647     /* Add the server cert's signing chain as the one
648     for the verification of the OCSP stapled information. */
649
650     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
651                              cert))
652       ERR_clear_error();
653     sk_X509_push(client_static_cbinfo->verify_stack, cert);
654     }
655 #endif
656 #ifndef DISABLE_EVENT
657     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
658       return 0;                         /* reject, with peercert set */
659 #endif
660   }
661 else
662   {
663   const uschar * verify_cert_hostnames;
664
665   if (  tlsp == &tls_out
666      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
667         /* client, wanting hostname check */
668     {
669
670 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
671 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
672 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
673 # endif
674 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
675 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
676 # endif
677     int sep = 0;
678     const uschar * list = verify_cert_hostnames;
679     uschar * name;
680     int rc;
681     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
682       if ((rc = X509_check_host(cert, CCS name, 0,
683                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
684                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
685                   NULL)))
686         {
687         if (rc < 0)
688           {
689           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
690             tlsp == &tls_out ? deliver_host_address : sender_host_address);
691           name = NULL;
692           }
693         break;
694         }
695     if (!name)
696 #else
697     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
698 #endif
699       {
700       uschar * extra = verify_mode
701         ? string_sprintf(" (during %c-verify for [%s])",
702           *verify_mode, sender_host_address)
703         : US"";
704       log_write(0, LOG_MAIN,
705         "[%s] SSL verify error%s: certificate name mismatch: DN=\"%s\" H=\"%s\"",
706         tlsp == &tls_out ? deliver_host_address : sender_host_address,
707         extra, dn, verify_cert_hostnames);
708       *calledp = TRUE;
709       if (!*optionalp)
710         {
711         if (!tlsp->peercert)
712           tlsp->peercert = X509_dup(cert);      /* record failing cert */
713         return 0;                               /* reject */
714         }
715       DEBUG(D_tls) debug_printf("SSL verify name failure overridden (host in "
716         "tls_try_verify_hosts)\n");
717       tlsp->verify_override = TRUE;
718       }
719     }
720
721 #ifndef DISABLE_EVENT
722   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
723     return 0;                           /* reject, with peercert set */
724 #endif
725
726   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
727     *calledp ? "" : " authenticated", dn);
728   *calledp = TRUE;
729   }
730
731 return 1;   /* accept, at least for this level */
732 }
733
734 static int
735 verify_callback_client(int preverify_ok, X509_STORE_CTX *x509ctx)
736 {
737 return verify_callback(preverify_ok, x509ctx, &tls_out,
738   &client_verify_callback_called, &client_verify_optional);
739 }
740
741 static int
742 verify_callback_server(int preverify_ok, X509_STORE_CTX *x509ctx)
743 {
744 return verify_callback(preverify_ok, x509ctx, &tls_in,
745   &server_verify_callback_called, &server_verify_optional);
746 }
747
748
749 #ifdef SUPPORT_DANE
750
751 /* This gets called *by* the dane library verify callback, which interposes
752 itself.
753 */
754 static int
755 verify_callback_client_dane(int preverify_ok, X509_STORE_CTX * x509ctx)
756 {
757 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
758 uschar dn[256];
759 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
760 #ifndef DISABLE_EVENT
761 BOOL dummy_called, optional = FALSE;
762 #endif
763
764 if (!X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn)))
765   {
766   DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n");
767   log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
768     deliver_host_address);
769   return 0;
770   }
771 dn[sizeof(dn)-1] = '\0';
772
773 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
774   preverify_ok ? "ok":"BAD", depth, dn);
775
776 #ifndef DISABLE_EVENT
777   if (verify_event(&tls_out, cert, depth, dn,
778           &dummy_called, &optional, US"DANE"))
779     return 0;                           /* reject, with peercert set */
780 #endif
781
782 if (preverify_ok == 1)
783   {
784   tls_out.dane_verified = TRUE;
785 #ifndef DISABLE_OCSP
786   if (client_static_cbinfo->u_ocsp.client.verify_store)
787     {   /* client, wanting stapling  */
788     /* Add the server cert's signing chain as the one
789     for the verification of the OCSP stapled information. */
790
791     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
792                              cert))
793       ERR_clear_error();
794     sk_X509_push(client_static_cbinfo->verify_stack, cert);
795     }
796 #endif
797   }
798 else
799   {
800   int err = X509_STORE_CTX_get_error(x509ctx);
801   DEBUG(D_tls)
802     debug_printf(" - err %d '%s'\n", err, X509_verify_cert_error_string(err));
803   if (err == X509_V_ERR_APPLICATION_VERIFICATION)
804     preverify_ok = 1;
805   }
806 return preverify_ok;
807 }
808
809 #endif  /*SUPPORT_DANE*/
810
811
812 /*************************************************
813 *           Information callback                 *
814 *************************************************/
815
816 /* The SSL library functions call this from time to time to indicate what they
817 are doing. We copy the string to the debugging output when TLS debugging has
818 been requested.
819
820 Arguments:
821   s         the SSL connection
822   where
823   ret
824
825 Returns:    nothing
826 */
827
828 static void
829 info_callback(SSL *s, int where, int ret)
830 {
831 DEBUG(D_tls)
832   {
833   const uschar * str;
834
835   if (where & SSL_ST_CONNECT)
836      str = US"SSL_connect";
837   else if (where & SSL_ST_ACCEPT)
838      str = US"SSL_accept";
839   else
840      str = US"SSL info (undefined)";
841
842   if (where & SSL_CB_LOOP)
843      debug_printf("%s: %s\n", str, SSL_state_string_long(s));
844   else if (where & SSL_CB_ALERT)
845     debug_printf("SSL3 alert %s:%s:%s\n",
846           str = where & SSL_CB_READ ? US"read" : US"write",
847           SSL_alert_type_string_long(ret), SSL_alert_desc_string_long(ret));
848   else if (where & SSL_CB_EXIT)
849      if (ret == 0)
850         debug_printf("%s: failed in %s\n", str, SSL_state_string_long(s));
851      else if (ret < 0)
852         debug_printf("%s: error in %s\n", str, SSL_state_string_long(s));
853   else if (where & SSL_CB_HANDSHAKE_START)
854      debug_printf("%s: hshake start: %s\n", str, SSL_state_string_long(s));
855   else if (where & SSL_CB_HANDSHAKE_DONE)
856      debug_printf("%s: hshake done: %s\n", str, SSL_state_string_long(s));
857   }
858 }
859
860 #ifdef OPENSSL_HAVE_KEYLOG_CB
861 static void
862 keylog_callback(const SSL *ssl, const char *line)
863 {
864 char * filename;
865 FILE * fp;
866 DEBUG(D_tls) debug_printf("%.200s\n", line);
867 if (!(filename = getenv("SSLKEYLOGFILE"))) return;
868 if (!(fp = fopen(filename, "a"))) return;
869 fprintf(fp, "%s\n", line);
870 fclose(fp);
871 }
872 #endif
873
874
875 #ifdef EXPERIMENTAL_TLS_RESUME
876 /* Manage the keysets used for encrypting the session tickets, on the server. */
877
878 typedef struct {                        /* Session ticket encryption key */
879   uschar        name[16];
880
881   const EVP_CIPHER *    aes_cipher;
882   uschar                aes_key[32];    /* size needed depends on cipher. aes_128 implies 128/8 = 16? */
883   const EVP_MD *        hmac_hash;
884   uschar                hmac_key[16];
885   time_t                renew;
886   time_t                expire;
887 } exim_stek;
888
889 static exim_stek exim_tk;       /* current key */
890 static exim_stek exim_tk_old;   /* previous key */
891
892 static void
893 tk_init(void)
894 {
895 time_t t = time(NULL);
896
897 if (exim_tk.name[0])
898   {
899   if (exim_tk.renew >= t) return;
900   exim_tk_old = exim_tk;
901   }
902
903 if (f.running_in_test_harness) ssl_session_timeout = 6;
904
905 DEBUG(D_tls) debug_printf("OpenSSL: %s STEK\n", exim_tk.name[0] ? "rotating" : "creating");
906 if (RAND_bytes(exim_tk.aes_key, sizeof(exim_tk.aes_key)) <= 0) return;
907 if (RAND_bytes(exim_tk.hmac_key, sizeof(exim_tk.hmac_key)) <= 0) return;
908 if (RAND_bytes(exim_tk.name+1, sizeof(exim_tk.name)-1) <= 0) return;
909
910 exim_tk.name[0] = 'E';
911 exim_tk.aes_cipher = EVP_aes_256_cbc();
912 exim_tk.hmac_hash = EVP_sha256();
913 exim_tk.expire = t + ssl_session_timeout;
914 exim_tk.renew = t + ssl_session_timeout/2;
915 }
916
917 static exim_stek *
918 tk_current(void)
919 {
920 if (!exim_tk.name[0]) return NULL;
921 return &exim_tk;
922 }
923
924 static exim_stek *
925 tk_find(const uschar * name)
926 {
927 return memcmp(name, exim_tk.name, sizeof(exim_tk.name)) == 0 ? &exim_tk
928   : memcmp(name, exim_tk_old.name, sizeof(exim_tk_old.name)) == 0 ? &exim_tk_old
929   : NULL;
930 }
931
932 /* Callback for session tickets, on server */
933 static int
934 ticket_key_callback(SSL * ssl, uschar key_name[16],
935   uschar * iv, EVP_CIPHER_CTX * ctx, HMAC_CTX * hctx, int enc)
936 {
937 tls_support * tlsp = server_static_cbinfo->tlsp;
938 exim_stek * key;
939
940 if (enc)
941   {
942   DEBUG(D_tls) debug_printf("ticket_key_callback: create new session\n");
943   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
944
945   if (RAND_bytes(iv, EVP_MAX_IV_LENGTH) <= 0)
946     return -1; /* insufficient random */
947
948   if (!(key = tk_current()))    /* current key doesn't exist or isn't valid */
949      return 0;                  /* key couldn't be created */
950   memcpy(key_name, key->name, 16);
951   DEBUG(D_tls) debug_printf("STEK expire " TIME_T_FMT "\n", key->expire - time(NULL));
952
953   /*XXX will want these dependent on the ssl session strength */
954   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
955                 key->hmac_hash, NULL);
956   EVP_EncryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
957
958   DEBUG(D_tls) debug_printf("ticket created\n");
959   return 1;
960   }
961 else
962   {
963   time_t now = time(NULL);
964
965   DEBUG(D_tls) debug_printf("ticket_key_callback: retrieve session\n");
966   tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
967
968   if (!(key = tk_find(key_name)) || key->expire < now)
969     {
970     DEBUG(D_tls)
971       {
972       debug_printf("ticket not usable (%s)\n", key ? "expired" : "not found");
973       if (key) debug_printf("STEK expire " TIME_T_FMT "\n", key->expire - now);
974       }
975     return 0;
976     }
977
978   HMAC_Init_ex(hctx, key->hmac_key, sizeof(key->hmac_key),
979                 key->hmac_hash, NULL);
980   EVP_DecryptInit_ex(ctx, key->aes_cipher, NULL, key->aes_key, iv);
981
982   DEBUG(D_tls) debug_printf("ticket usable, STEK expire " TIME_T_FMT "\n", key->expire - now);
983
984   /* The ticket lifetime and renewal are the same as the STEK lifetime and
985   renewal, which is overenthusiastic.  A factor of, say, 3x longer STEK would
986   be better.  To do that we'd have to encode ticket lifetime in the name as
987   we don't yet see the restored session.  Could check posthandshake for TLS1.3
988   and trigger a new ticket then, but cannot do that for TLS1.2 */
989   return key->renew < now ? 2 : 1;
990   }
991 }
992 #endif
993
994
995
996 /*************************************************
997 *                Initialize for DH               *
998 *************************************************/
999
1000 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
1001
1002 Arguments:
1003   sctx      The current SSL CTX (inbound or outbound)
1004   dhparam   DH parameter file or fixed parameter identity string
1005   host      connected host, if client; NULL if server
1006   errstr    error string pointer
1007
1008 Returns:    TRUE if OK (nothing to set up, or setup worked)
1009 */
1010
1011 static BOOL
1012 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host, uschar ** errstr)
1013 {
1014 BIO *bio;
1015 DH *dh;
1016 uschar *dhexpanded;
1017 const char *pem;
1018 int dh_bitsize;
1019
1020 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded, errstr))
1021   return FALSE;
1022
1023 if (!dhexpanded || !*dhexpanded)
1024   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
1025 else if (dhexpanded[0] == '/')
1026   {
1027   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
1028     {
1029     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
1030           host, US strerror(errno), errstr);
1031     return FALSE;
1032     }
1033   }
1034 else
1035   {
1036   if (Ustrcmp(dhexpanded, "none") == 0)
1037     {
1038     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
1039     return TRUE;
1040     }
1041
1042   if (!(pem = std_dh_prime_named(dhexpanded)))
1043     {
1044     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
1045         host, US strerror(errno), errstr);
1046     return FALSE;
1047     }
1048   bio = BIO_new_mem_buf(CS pem, -1);
1049   }
1050
1051 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
1052   {
1053   BIO_free(bio);
1054   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
1055       host, NULL, errstr);
1056   return FALSE;
1057   }
1058
1059 /* note: our default limit of 2236 is not a multiple of 8; the limit comes from
1060  * an NSS limit, and the GnuTLS APIs handle bit-sizes fine, so we went with
1061  * 2236.  But older OpenSSL can only report in bytes (octets), not bits.
1062  * If someone wants to dance at the edge, then they can raise the limit or use
1063  * current libraries. */
1064 #ifdef EXIM_HAVE_OPENSSL_DH_BITS
1065 /* Added in commit 26c79d5641d; `git describe --contains` says OpenSSL_1_1_0-pre1~1022
1066  * This predates OpenSSL_1_1_0 (before a, b, ...) so is in all 1.1.0 */
1067 dh_bitsize = DH_bits(dh);
1068 #else
1069 dh_bitsize = 8 * DH_size(dh);
1070 #endif
1071
1072 /* Even if it is larger, we silently return success rather than cause things
1073  * to fail out, so that a too-large DH will not knock out all TLS; it's a
1074  * debatable choice. */
1075 if (dh_bitsize > tls_dh_max_bits)
1076   {
1077   DEBUG(D_tls)
1078     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d\n",
1079         dh_bitsize, tls_dh_max_bits);
1080   }
1081 else
1082   {
1083   SSL_CTX_set_tmp_dh(sctx, dh);
1084   DEBUG(D_tls)
1085     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
1086       dhexpanded ? dhexpanded : US"default", dh_bitsize);
1087   }
1088
1089 DH_free(dh);
1090 BIO_free(bio);
1091
1092 return TRUE;
1093 }
1094
1095
1096
1097
1098 /*************************************************
1099 *               Initialize for ECDH              *
1100 *************************************************/
1101
1102 /* Load parameters for ECDH encryption.
1103
1104 For now, we stick to NIST P-256 because: it's simple and easy to configure;
1105 it avoids any patent issues that might bite redistributors; despite events in
1106 the news and concerns over curve choices, we're not cryptographers, we're not
1107 pretending to be, and this is "good enough" to be better than no support,
1108 protecting against most adversaries.  Given another year or two, there might
1109 be sufficient clarity about a "right" way forward to let us make an informed
1110 decision, instead of a knee-jerk reaction.
1111
1112 Longer-term, we should look at supporting both various named curves and
1113 external files generated with "openssl ecparam", much as we do for init_dh().
1114 We should also support "none" as a value, to explicitly avoid initialisation.
1115
1116 Patches welcome.
1117
1118 Arguments:
1119   sctx      The current SSL CTX (inbound or outbound)
1120   host      connected host, if client; NULL if server
1121   errstr    error string pointer
1122
1123 Returns:    TRUE if OK (nothing to set up, or setup worked)
1124 */
1125
1126 static BOOL
1127 init_ecdh(SSL_CTX * sctx, host_item * host, uschar ** errstr)
1128 {
1129 #ifdef OPENSSL_NO_ECDH
1130 return TRUE;
1131 #else
1132
1133 EC_KEY * ecdh;
1134 uschar * exp_curve;
1135 int nid;
1136 BOOL rv;
1137
1138 if (host)       /* No ECDH setup for clients, only for servers */
1139   return TRUE;
1140
1141 # ifndef EXIM_HAVE_ECDH
1142 DEBUG(D_tls)
1143   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
1144 return TRUE;
1145 # else
1146
1147 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve, errstr))
1148   return FALSE;
1149 if (!exp_curve || !*exp_curve)
1150   return TRUE;
1151
1152 /* "auto" needs to be handled carefully.
1153  * OpenSSL <  1.0.2: we do not select anything, but fallback to prime256v1
1154  * OpenSSL <  1.1.0: we have to call SSL_CTX_set_ecdh_auto
1155  *                   (openssl/ssl.h defines SSL_CTRL_SET_ECDH_AUTO)
1156  * OpenSSL >= 1.1.0: we do not set anything, the libray does autoselection
1157  *                   https://github.com/openssl/openssl/commit/fe6ef2472db933f01b59cad82aa925736935984b
1158  */
1159 if (Ustrcmp(exp_curve, "auto") == 0)
1160   {
1161 #if OPENSSL_VERSION_NUMBER < 0x10002000L
1162   DEBUG(D_tls) debug_printf(
1163     "ECDH OpenSSL < 1.0.2: temp key parameter settings: overriding \"auto\" with \"prime256v1\"\n");
1164   exp_curve = US"prime256v1";
1165 #else
1166 # if defined SSL_CTRL_SET_ECDH_AUTO
1167   DEBUG(D_tls) debug_printf(
1168     "ECDH OpenSSL 1.0.2+ temp key parameter settings: autoselection\n");
1169   SSL_CTX_set_ecdh_auto(sctx, 1);
1170   return TRUE;
1171 # else
1172   DEBUG(D_tls) debug_printf(
1173     "ECDH OpenSSL 1.1.0+ temp key parameter settings: default selection\n");
1174   return TRUE;
1175 # endif
1176 #endif
1177   }
1178
1179 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
1180 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
1181 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
1182    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
1183 #   endif
1184    )
1185   {
1186   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'", exp_curve),
1187     host, NULL, errstr);
1188   return FALSE;
1189   }
1190
1191 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
1192   {
1193   tls_error(US"Unable to create ec curve", host, NULL, errstr);
1194   return FALSE;
1195   }
1196
1197 /* The "tmp" in the name here refers to setting a temporary key
1198 not to the stability of the interface. */
1199
1200 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
1201   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL, errstr);
1202 else
1203   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
1204
1205 EC_KEY_free(ecdh);
1206 return !rv;
1207
1208 # endif /*EXIM_HAVE_ECDH*/
1209 #endif /*OPENSSL_NO_ECDH*/
1210 }
1211
1212
1213
1214
1215 #ifndef DISABLE_OCSP
1216 /*************************************************
1217 *       Load OCSP information into state         *
1218 *************************************************/
1219 /* Called to load the server OCSP response from the given file into memory, once
1220 caller has determined this is needed.  Checks validity.  Debugs a message
1221 if invalid.
1222
1223 ASSUMES: single response, for single cert.
1224
1225 Arguments:
1226   sctx            the SSL_CTX* to update
1227   cbinfo          various parts of session state
1228   filename        the filename putatively holding an OCSP response
1229   is_pem          file is PEM format; otherwise is DER
1230
1231 */
1232
1233 static void
1234 ocsp_load_response(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo,
1235   const uschar * filename, BOOL is_pem)
1236 {
1237 BIO * bio;
1238 OCSP_RESPONSE * resp;
1239 OCSP_BASICRESP * basic_response;
1240 OCSP_SINGLERESP * single_response;
1241 ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
1242 STACK_OF(X509) * sk;
1243 unsigned long verify_flags;
1244 int status, reason, i;
1245
1246 DEBUG(D_tls)
1247   debug_printf("tls_ocsp_file (%s)  '%s'\n", is_pem ? "PEM" : "DER", filename);
1248
1249 if (!(bio = BIO_new_file(CS filename, "rb")))
1250   {
1251   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
1252       filename);
1253   return;
1254   }
1255
1256 if (is_pem)
1257   {
1258   uschar * data, * freep;
1259   char * dummy;
1260   long len;
1261   if (!PEM_read_bio(bio, &dummy, &dummy, &data, &len))
1262     {
1263     DEBUG(D_tls) debug_printf("Failed to read PEM file \"%s\"\n",
1264         filename);
1265     return;
1266     }
1267 debug_printf("read pem file\n");
1268   freep = data;
1269   resp = d2i_OCSP_RESPONSE(NULL, CUSS &data, len);
1270   OPENSSL_free(freep);
1271   }
1272 else
1273   resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
1274 BIO_free(bio);
1275
1276 if (!resp)
1277   {
1278   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
1279   return;
1280   }
1281
1282 if ((status = OCSP_response_status(resp)) != OCSP_RESPONSE_STATUS_SUCCESSFUL)
1283   {
1284   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
1285       OCSP_response_status_str(status), status);
1286   goto bad;
1287   }
1288
1289 #ifdef notdef
1290   {
1291   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
1292   OCSP_RESPONSE_print(bp, resp, 0);  /* extreme debug: stapling content */
1293   BIO_free(bp);
1294   }
1295 #endif
1296
1297 if (!(basic_response = OCSP_response_get1_basic(resp)))
1298   {
1299   DEBUG(D_tls)
1300     debug_printf("OCSP response parse error: unable to extract basic response.\n");
1301   goto bad;
1302   }
1303
1304 sk = cbinfo->verify_stack;
1305 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
1306
1307 /* May need to expose ability to adjust those flags?
1308 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
1309 OCSP_TRUSTOTHER OCSP_NOINTERN */
1310
1311 /* This does a full verify on the OCSP proof before we load it for serving
1312 up; possibly overkill - just date-checks might be nice enough.
1313
1314 OCSP_basic_verify takes a "store" arg, but does not
1315 use it for the chain verification, which is all we do
1316 when OCSP_NOVERIFY is set.  The content from the wire
1317 "basic_response" and a cert-stack "sk" are all that is used.
1318
1319 We have a stack, loaded in setup_certs() if tls_verify_certificates
1320 was a file (not a directory, or "system").  It is unfortunate we
1321 cannot used the connection context store, as that would neatly
1322 handle the "system" case too, but there seems to be no library
1323 function for getting a stack from a store.
1324 [ In OpenSSL 1.1 - ?  X509_STORE_CTX_get0_chain(ctx) ? ]
1325 We do not free the stack since it could be needed a second time for
1326 SNI handling.
1327
1328 Separately we might try to replace using OCSP_basic_verify() - which seems to not
1329 be a public interface into the OpenSSL library (there's no manual entry) -
1330 But what with?  We also use OCSP_basic_verify in the client stapling callback.
1331 And there we NEED it; we must verify that status... unless the
1332 library does it for us anyway?  */
1333
1334 if ((i = OCSP_basic_verify(basic_response, sk, NULL, verify_flags)) < 0)
1335   {
1336   DEBUG(D_tls)
1337     {
1338     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1339     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
1340     }
1341   goto bad;
1342   }
1343
1344 /* Here's the simplifying assumption: there's only one response, for the
1345 one certificate we use, and nothing for anything else in a chain.  If this
1346 proves false, we need to extract a cert id from our issued cert
1347 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
1348 right cert in the stack and then calls OCSP_single_get0_status()).
1349
1350 I'm hoping to avoid reworking a bunch more of how we handle state here.
1351
1352 XXX that will change when we add support for (TLS1.3) whole-chain stapling
1353 */
1354
1355 if (!(single_response = OCSP_resp_get0(basic_response, 0)))
1356   {
1357   DEBUG(D_tls)
1358     debug_printf("Unable to get first response from OCSP basic response.\n");
1359   goto bad;
1360   }
1361
1362 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
1363 if (status != V_OCSP_CERTSTATUS_GOOD)
1364   {
1365   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
1366       OCSP_cert_status_str(status), status,
1367       OCSP_crl_reason_str(reason), reason);
1368   goto bad;
1369   }
1370
1371 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1372   {
1373   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
1374   goto bad;
1375   }
1376
1377 supply_response:
1378   /* Add the resp to the list used by tls_server_stapling_cb() */
1379   {
1380   ocsp_resplist ** op = &cbinfo->u_ocsp.server.olist, * oentry;
1381   while (oentry = *op)
1382     op = &oentry->next;
1383   *op = oentry = store_get(sizeof(ocsp_resplist), FALSE);
1384   oentry->next = NULL;
1385   oentry->resp = resp;
1386   }
1387 return;
1388
1389 bad:
1390   if (f.running_in_test_harness)
1391     {
1392     extern char ** environ;
1393     if (environ) for (uschar ** p = USS environ; *p; p++)
1394       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
1395         {
1396         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
1397         goto supply_response;
1398         }
1399     }
1400 return;
1401 }
1402
1403
1404 static void
1405 ocsp_free_response_list(tls_ext_ctx_cb * cbinfo)
1406 {
1407 for (ocsp_resplist * olist = cbinfo->u_ocsp.server.olist; olist;
1408      olist = olist->next)
1409   OCSP_RESPONSE_free(olist->resp);
1410 cbinfo->u_ocsp.server.olist = NULL;
1411 }
1412 #endif  /*!DISABLE_OCSP*/
1413
1414
1415
1416
1417 /* Create and install a selfsigned certificate, for use in server mode */
1418
1419 static int
1420 tls_install_selfsign(SSL_CTX * sctx, uschar ** errstr)
1421 {
1422 X509 * x509 = NULL;
1423 EVP_PKEY * pkey;
1424 RSA * rsa;
1425 X509_NAME * name;
1426 uschar * where;
1427
1428 where = US"allocating pkey";
1429 if (!(pkey = EVP_PKEY_new()))
1430   goto err;
1431
1432 where = US"allocating cert";
1433 if (!(x509 = X509_new()))
1434   goto err;
1435
1436 where = US"generating pkey";
1437 if (!(rsa = rsa_callback(NULL, 0, 2048)))
1438   goto err;
1439
1440 where = US"assigning pkey";
1441 if (!EVP_PKEY_assign_RSA(pkey, rsa))
1442   goto err;
1443
1444 X509_set_version(x509, 2);                              /* N+1 - version 3 */
1445 ASN1_INTEGER_set(X509_get_serialNumber(x509), 1);
1446 X509_gmtime_adj(X509_get_notBefore(x509), 0);
1447 X509_gmtime_adj(X509_get_notAfter(x509), (long)60 * 60);        /* 1 hour */
1448 X509_set_pubkey(x509, pkey);
1449
1450 name = X509_get_subject_name(x509);
1451 X509_NAME_add_entry_by_txt(name, "C",
1452                           MBSTRING_ASC, CUS "UK", -1, -1, 0);
1453 X509_NAME_add_entry_by_txt(name, "O",
1454                           MBSTRING_ASC, CUS "Exim Developers", -1, -1, 0);
1455 X509_NAME_add_entry_by_txt(name, "CN",
1456                           MBSTRING_ASC, CUS smtp_active_hostname, -1, -1, 0);
1457 X509_set_issuer_name(x509, name);
1458
1459 where = US"signing cert";
1460 if (!X509_sign(x509, pkey, EVP_md5()))
1461   goto err;
1462
1463 where = US"installing selfsign cert";
1464 if (!SSL_CTX_use_certificate(sctx, x509))
1465   goto err;
1466
1467 where = US"installing selfsign key";
1468 if (!SSL_CTX_use_PrivateKey(sctx, pkey))
1469   goto err;
1470
1471 return OK;
1472
1473 err:
1474   (void) tls_error(where, NULL, NULL, errstr);
1475   if (x509) X509_free(x509);
1476   if (pkey) EVP_PKEY_free(pkey);
1477   return DEFER;
1478 }
1479
1480
1481
1482
1483 static int
1484 tls_add_certfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1485   uschar ** errstr)
1486 {
1487 DEBUG(D_tls) debug_printf("tls_certificate file '%s'\n", file);
1488 if (!SSL_CTX_use_certificate_chain_file(sctx, CS file))
1489   return tls_error(string_sprintf(
1490     "SSL_CTX_use_certificate_chain_file file=%s", file),
1491       cbinfo->host, NULL, errstr);
1492 return 0;
1493 }
1494
1495 static int
1496 tls_add_pkeyfile(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo, uschar * file,
1497   uschar ** errstr)
1498 {
1499 DEBUG(D_tls) debug_printf("tls_privatekey file  '%s'\n", file);
1500 if (!SSL_CTX_use_PrivateKey_file(sctx, CS file, SSL_FILETYPE_PEM))
1501   return tls_error(string_sprintf(
1502     "SSL_CTX_use_PrivateKey_file file=%s", file), cbinfo->host, NULL, errstr);
1503 return 0;
1504 }
1505
1506
1507 /*************************************************
1508 *        Expand key and cert file specs          *
1509 *************************************************/
1510
1511 /* Called once during tls_init and possibly again during TLS setup, for a
1512 new context, if Server Name Indication was used and tls_sni was seen in
1513 the certificate string.
1514
1515 Arguments:
1516   sctx            the SSL_CTX* to update
1517   cbinfo          various parts of session state
1518   errstr          error string pointer
1519
1520 Returns:          OK/DEFER/FAIL
1521 */
1522
1523 static int
1524 tls_expand_session_files(SSL_CTX * sctx, tls_ext_ctx_cb * cbinfo,
1525   uschar ** errstr)
1526 {
1527 uschar * expanded;
1528
1529 if (!cbinfo->certificate)
1530   {
1531   if (!cbinfo->is_server)               /* client */
1532     return OK;
1533                                         /* server */
1534   if (tls_install_selfsign(sctx, errstr) != OK)
1535     return DEFER;
1536   }
1537 else
1538   {
1539   int err;
1540
1541   if ( !reexpand_tls_files_for_sni
1542      && (  Ustrstr(cbinfo->certificate, US"tls_sni")
1543         || Ustrstr(cbinfo->certificate, US"tls_in_sni")
1544         || Ustrstr(cbinfo->certificate, US"tls_out_sni")
1545      )  )
1546     reexpand_tls_files_for_sni = TRUE;
1547
1548   if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded, errstr))
1549     return DEFER;
1550
1551   if (expanded)
1552     if (cbinfo->is_server)
1553       {
1554       const uschar * file_list = expanded;
1555       int sep = 0;
1556       uschar * file;
1557 #ifndef DISABLE_OCSP
1558       const uschar * olist = cbinfo->u_ocsp.server.file;
1559       int osep = 0;
1560       uschar * ofile;
1561       BOOL fmt_pem = FALSE;
1562
1563       if (olist)
1564         if (!expand_check(olist, US"tls_ocsp_file", USS &olist, errstr))
1565           return DEFER;
1566       if (olist && !*olist)
1567         olist = NULL;
1568
1569       if (  cbinfo->u_ocsp.server.file_expanded && olist
1570          && (Ustrcmp(olist, cbinfo->u_ocsp.server.file_expanded) == 0))
1571         {
1572         DEBUG(D_tls) debug_printf(" - value unchanged, using existing values\n");
1573         olist = NULL;
1574         }
1575       else
1576         {
1577         ocsp_free_response_list(cbinfo);
1578         cbinfo->u_ocsp.server.file_expanded = olist;
1579         }
1580 #endif
1581
1582       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1583         {
1584         if ((err = tls_add_certfile(sctx, cbinfo, file, errstr)))
1585           return err;
1586
1587 #ifndef DISABLE_OCSP
1588         if (olist)
1589           if ((ofile = string_nextinlist(&olist, &osep, NULL, 0)))
1590             {
1591             if (Ustrncmp(ofile, US"PEM ", 4) == 0)
1592               {
1593               fmt_pem = TRUE;
1594               ofile += 4;
1595               }
1596             else if (Ustrncmp(ofile, US"DER ", 4) == 0)
1597               {
1598               fmt_pem = FALSE;
1599               ofile += 4;
1600               }
1601             ocsp_load_response(sctx, cbinfo, ofile, fmt_pem);
1602             }
1603           else
1604             DEBUG(D_tls) debug_printf("ran out of ocsp file list\n");
1605 #endif
1606         }
1607       }
1608     else        /* would there ever be a need for multiple client certs? */
1609       if ((err = tls_add_certfile(sctx, cbinfo, expanded, errstr)))
1610         return err;
1611
1612   if (  cbinfo->privatekey
1613      && !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded, errstr))
1614     return DEFER;
1615
1616   /* If expansion was forced to fail, key_expanded will be NULL. If the result
1617   of the expansion is an empty string, ignore it also, and assume the private
1618   key is in the same file as the certificate. */
1619
1620   if (expanded && *expanded)
1621     if (cbinfo->is_server)
1622       {
1623       const uschar * file_list = expanded;
1624       int sep = 0;
1625       uschar * file;
1626
1627       while (file = string_nextinlist(&file_list, &sep, NULL, 0))
1628         if ((err = tls_add_pkeyfile(sctx, cbinfo, file, errstr)))
1629           return err;
1630       }
1631     else        /* would there ever be a need for multiple client certs? */
1632       if ((err = tls_add_pkeyfile(sctx, cbinfo, expanded, errstr)))
1633         return err;
1634   }
1635
1636 return OK;
1637 }
1638
1639
1640
1641
1642 /*************************************************
1643 *            Callback to handle SNI              *
1644 *************************************************/
1645
1646 /* Called when acting as server during the TLS session setup if a Server Name
1647 Indication extension was sent by the client.
1648
1649 API documentation is OpenSSL s_server.c implementation.
1650
1651 Arguments:
1652   s               SSL* of the current session
1653   ad              unknown (part of OpenSSL API) (unused)
1654   arg             Callback of "our" registered data
1655
1656 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
1657
1658 XXX might need to change to using ClientHello callback,
1659 per https://www.openssl.org/docs/manmaster/man3/SSL_client_hello_cb_fn.html
1660 */
1661
1662 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1663 static int
1664 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
1665 {
1666 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
1667 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1668 int rc;
1669 int old_pool = store_pool;
1670 uschar * dummy_errstr;
1671
1672 if (!servername)
1673   return SSL_TLSEXT_ERR_OK;
1674
1675 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
1676     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
1677
1678 /* Make the extension value available for expansion */
1679 store_pool = POOL_PERM;
1680 tls_in.sni = string_copy_taint(US servername, TRUE);
1681 store_pool = old_pool;
1682
1683 if (!reexpand_tls_files_for_sni)
1684   return SSL_TLSEXT_ERR_OK;
1685
1686 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
1687 not confident that memcpy wouldn't break some internal reference counting.
1688 Especially since there's a references struct member, which would be off. */
1689
1690 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
1691 if (!(server_sni = SSL_CTX_new(TLS_server_method())))
1692 #else
1693 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1694 #endif
1695   {
1696   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
1697   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1698   goto bad;
1699   }
1700
1701 /* Not sure how many of these are actually needed, since SSL object
1702 already exists.  Might even need this selfsame callback, for reneg? */
1703
1704 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1705 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1706 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1707 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1708 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1709 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1710
1711 if (  !init_dh(server_sni, cbinfo->dhparam, NULL, &dummy_errstr)
1712    || !init_ecdh(server_sni, NULL, &dummy_errstr)
1713    )
1714   goto bad;
1715
1716 if (  cbinfo->server_cipher_list
1717    && !SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list))
1718   goto bad;
1719
1720 #ifndef DISABLE_OCSP
1721 if (cbinfo->u_ocsp.server.file)
1722   {
1723   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1724   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1725   }
1726 #endif
1727
1728 if ((rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE,
1729                       verify_callback_server, &dummy_errstr)) != OK)
1730   goto bad;
1731
1732 /* do this after setup_certs, because this can require the certs for verifying
1733 OCSP information. */
1734 if ((rc = tls_expand_session_files(server_sni, cbinfo, &dummy_errstr)) != OK)
1735   goto bad;
1736
1737 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1738 SSL_set_SSL_CTX(s, server_sni);
1739 return SSL_TLSEXT_ERR_OK;
1740
1741 bad: return SSL_TLSEXT_ERR_ALERT_FATAL;
1742 }
1743 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1744
1745
1746
1747
1748 #ifndef DISABLE_OCSP
1749
1750 /*************************************************
1751 *        Callback to handle OCSP Stapling        *
1752 *************************************************/
1753
1754 /* Called when acting as server during the TLS session setup if the client
1755 requests OCSP information with a Certificate Status Request.
1756
1757 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1758 project.
1759
1760 */
1761
1762 static int
1763 tls_server_stapling_cb(SSL *s, void *arg)
1764 {
1765 const tls_ext_ctx_cb * cbinfo = (tls_ext_ctx_cb *) arg;
1766 ocsp_resplist * olist = cbinfo->u_ocsp.server.olist;
1767 uschar * response_der;  /*XXX blob */
1768 int response_der_len;
1769
1770 DEBUG(D_tls)
1771   debug_printf("Received TLS status request (OCSP stapling); %s response list\n",
1772     olist ? "have" : "lack");
1773
1774 tls_in.ocsp = OCSP_NOT_RESP;
1775 if (!olist)
1776   return SSL_TLSEXT_ERR_NOACK;
1777
1778 #ifdef EXIM_HAVE_OPESSL_GET0_SERIAL
1779  {
1780   const X509 * cert_sent = SSL_get_certificate(s);
1781   const ASN1_INTEGER * cert_serial = X509_get0_serialNumber(cert_sent);
1782   const BIGNUM * cert_bn = ASN1_INTEGER_to_BN(cert_serial, NULL);
1783   const X509_NAME * cert_issuer = X509_get_issuer_name(cert_sent);
1784   uschar * chash;
1785   uint chash_len;
1786
1787   for (; olist; olist = olist->next)
1788     {
1789     OCSP_BASICRESP * bs = OCSP_response_get1_basic(olist->resp);
1790     const OCSP_SINGLERESP * single = OCSP_resp_get0(bs, 0);
1791     const OCSP_CERTID * cid = OCSP_SINGLERESP_get0_id(single);
1792     ASN1_INTEGER * res_cert_serial;
1793     const BIGNUM * resp_bn;
1794     ASN1_OCTET_STRING * res_cert_iNameHash;
1795
1796
1797     (void) OCSP_id_get0_info(&res_cert_iNameHash, NULL, NULL, &res_cert_serial,
1798       (OCSP_CERTID *) cid);
1799     resp_bn = ASN1_INTEGER_to_BN(res_cert_serial, NULL);
1800
1801     DEBUG(D_tls)
1802       {
1803       debug_printf("cert serial: %s\n", BN_bn2hex(cert_bn));
1804       debug_printf("resp serial: %s\n", BN_bn2hex(resp_bn));
1805       }
1806
1807     if (BN_cmp(cert_bn, resp_bn) == 0)
1808       {
1809       DEBUG(D_tls) debug_printf("matched serial for ocsp\n");
1810
1811       /*XXX TODO: check the rest of the list for duplicate matches.
1812       If any, need to also check the Issuer Name hash.
1813       Without this, we will provide the wrong status in the case of
1814       duplicate id. */
1815
1816       break;
1817       }
1818     DEBUG(D_tls) debug_printf("not match serial for ocsp\n");
1819     }
1820   if (!olist)
1821     {
1822     DEBUG(D_tls) debug_printf("failed to find match for ocsp\n");
1823     return SSL_TLSEXT_ERR_NOACK;
1824     }
1825  }
1826 #else
1827 if (olist->next)
1828   {
1829   DEBUG(D_tls) debug_printf("OpenSSL version too early to support multi-leaf OCSP\n");
1830   return SSL_TLSEXT_ERR_NOACK;
1831   }
1832 #endif
1833
1834 /*XXX could we do the i2d earlier, rather than during the callback? */
1835 response_der = NULL;
1836 response_der_len = i2d_OCSP_RESPONSE(olist->resp, &response_der);
1837 if (response_der_len <= 0)
1838   return SSL_TLSEXT_ERR_NOACK;
1839
1840 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1841 tls_in.ocsp = OCSP_VFIED;
1842 return SSL_TLSEXT_ERR_OK;
1843 }
1844
1845
1846 static void
1847 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1848 {
1849 BIO_printf(bp, "\t%s: ", str);
1850 ASN1_GENERALIZEDTIME_print(bp, time);
1851 BIO_puts(bp, "\n");
1852 }
1853
1854 static int
1855 tls_client_stapling_cb(SSL *s, void *arg)
1856 {
1857 tls_ext_ctx_cb * cbinfo = arg;
1858 const unsigned char * p;
1859 int len;
1860 OCSP_RESPONSE * rsp;
1861 OCSP_BASICRESP * bs;
1862 int i;
1863
1864 DEBUG(D_tls) debug_printf("Received TLS status callback (OCSP stapling):\n");
1865 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1866 if(!p)
1867  {
1868   /* Expect this when we requested ocsp but got none */
1869   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1870     log_write(0, LOG_MAIN, "Required TLS certificate status not received");
1871   else
1872     DEBUG(D_tls) debug_printf(" null\n");
1873   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1874  }
1875
1876 if (!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1877   {
1878   tls_out.ocsp = OCSP_FAILED;   /*XXX should use tlsp-> to permit concurrent outbound */
1879   if (LOGGING(tls_cipher))
1880     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1881   else
1882     DEBUG(D_tls) debug_printf(" parse error\n");
1883   return 0;
1884   }
1885
1886 if (!(bs = OCSP_response_get1_basic(rsp)))
1887   {
1888   tls_out.ocsp = OCSP_FAILED;
1889   if (LOGGING(tls_cipher))
1890     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1891   else
1892     DEBUG(D_tls) debug_printf(" error parsing response\n");
1893   OCSP_RESPONSE_free(rsp);
1894   return 0;
1895   }
1896
1897 /* We'd check the nonce here if we'd put one in the request. */
1898 /* However that would defeat cacheability on the server so we don't. */
1899
1900 /* This section of code reworked from OpenSSL apps source;
1901    The OpenSSL Project retains copyright:
1902    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1903 */
1904   {
1905     BIO * bp = NULL;
1906 #ifndef EXIM_HAVE_OCSP_RESP_COUNT
1907     STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1908 #endif
1909
1910     DEBUG(D_tls) bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
1911
1912     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1913
1914     /* Use the chain that verified the server cert to verify the stapled info */
1915     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1916
1917     if ((i = OCSP_basic_verify(bs, cbinfo->verify_stack,
1918               cbinfo->u_ocsp.client.verify_store, OCSP_NOEXPLICIT)) <= 0)
1919       if (ERR_peek_error())
1920         {
1921         tls_out.ocsp = OCSP_FAILED;
1922         if (LOGGING(tls_cipher)) log_write(0, LOG_MAIN,
1923                 "Received TLS cert status response, itself unverifiable: %s",
1924                 ERR_reason_error_string(ERR_peek_error()));
1925         BIO_printf(bp, "OCSP response verify failure\n");
1926         ERR_print_errors(bp);
1927         OCSP_RESPONSE_print(bp, rsp, 0);
1928         goto failed;
1929         }
1930       else
1931         DEBUG(D_tls) debug_printf("no explicit trust for OCSP signing"
1932           " in the root CA certificate; ignoring\n");
1933
1934     DEBUG(D_tls) debug_printf("OCSP response well-formed and signed OK\n");
1935
1936     /*XXX So we have a good stapled OCSP status.  How do we know
1937     it is for the cert of interest?  OpenSSL 1.1.0 has a routine
1938     OCSP_resp_find_status() which matches on a cert id, which presumably
1939     we should use. Making an id needs OCSP_cert_id_new(), which takes
1940     issuerName, issuerKey, serialNumber.  Are they all in the cert?
1941
1942     For now, carry on blindly accepting the resp. */
1943
1944     for (int idx =
1945 #ifdef EXIM_HAVE_OCSP_RESP_COUNT
1946             OCSP_resp_count(bs) - 1;
1947 #else
1948             sk_OCSP_SINGLERESP_num(sresp) - 1;
1949 #endif
1950          idx >= 0; idx--)
1951       {
1952       OCSP_SINGLERESP * single = OCSP_resp_get0(bs, idx);
1953       int status, reason;
1954       ASN1_GENERALIZEDTIME * rev, * thisupd, * nextupd;
1955
1956   /*XXX so I can see putting a loop in here to handle a rsp with >1 singleresp
1957   - but what happens with a GnuTLS-style input?
1958
1959   we could do with a debug label for each singleresp
1960   - it has a certID with a serialNumber, but I see no API to get that
1961   */
1962       status = OCSP_single_get0_status(single, &reason, &rev,
1963                   &thisupd, &nextupd);
1964
1965       DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1966       DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1967       if (!OCSP_check_validity(thisupd, nextupd,
1968             EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1969         {
1970         tls_out.ocsp = OCSP_FAILED;
1971         DEBUG(D_tls) ERR_print_errors(bp);
1972         log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1973         goto failed;
1974         }
1975
1976       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1977                     OCSP_cert_status_str(status));
1978       switch(status)
1979         {
1980         case V_OCSP_CERTSTATUS_GOOD:
1981           continue;     /* the idx loop */
1982         case V_OCSP_CERTSTATUS_REVOKED:
1983           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1984               reason != -1 ? "; reason: " : "",
1985               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1986           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1987           break;
1988         default:
1989           log_write(0, LOG_MAIN,
1990               "Server certificate status unknown, in OCSP stapling");
1991           break;
1992         }
1993
1994       goto failed;
1995       }
1996
1997     i = 1;
1998     tls_out.ocsp = OCSP_VFIED;
1999     goto good;
2000
2001   failed:
2002     tls_out.ocsp = OCSP_FAILED;
2003     i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
2004   good:
2005     BIO_free(bp);
2006   }
2007
2008 OCSP_RESPONSE_free(rsp);
2009 return i;
2010 }
2011 #endif  /*!DISABLE_OCSP*/
2012
2013
2014 /*************************************************
2015 *            Initialize for TLS                  *
2016 *************************************************/
2017
2018 static void
2019 tls_openssl_init(void)
2020 {
2021 #ifdef EXIM_NEED_OPENSSL_INIT
2022 SSL_load_error_strings();          /* basic set up */
2023 OpenSSL_add_ssl_algorithms();
2024 #endif
2025
2026 #if defined(EXIM_HAVE_SHA256) && !defined(OPENSSL_AUTO_SHA256)
2027 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2028 list of available digests. */
2029 EVP_add_digest(EVP_sha256());
2030 #endif
2031 }
2032
2033
2034
2035 /* Called from both server and client code, to do preliminary initialization
2036 of the library.  We allocate and return a context structure.
2037
2038 Arguments:
2039   ctxp            returned SSL context
2040   host            connected host, if client; NULL if server
2041   dhparam         DH parameter file
2042   certificate     certificate file
2043   privatekey      private key
2044   ocsp_file       file of stapling info (server); flag for require ocsp (client)
2045   addr            address if client; NULL if server (for some randomness)
2046   cbp             place to put allocated callback context
2047   errstr          error string pointer
2048
2049 Returns:          OK/DEFER/FAIL
2050 */
2051
2052 static int
2053 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
2054   uschar *privatekey,
2055 #ifndef DISABLE_OCSP
2056   uschar *ocsp_file,
2057 #endif
2058   address_item *addr, tls_ext_ctx_cb ** cbp,
2059   tls_support * tlsp,
2060   uschar ** errstr)
2061 {
2062 SSL_CTX * ctx;
2063 long init_options;
2064 int rc;
2065 tls_ext_ctx_cb * cbinfo;
2066
2067 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
2068 cbinfo->tlsp = tlsp;
2069 cbinfo->certificate = certificate;
2070 cbinfo->privatekey = privatekey;
2071 cbinfo->is_server = host==NULL;
2072 #ifndef DISABLE_OCSP
2073 cbinfo->verify_stack = NULL;
2074 if (!host)
2075   {
2076   cbinfo->u_ocsp.server.file = ocsp_file;
2077   cbinfo->u_ocsp.server.file_expanded = NULL;
2078   cbinfo->u_ocsp.server.olist = NULL;
2079   }
2080 else
2081   cbinfo->u_ocsp.client.verify_store = NULL;
2082 #endif
2083 cbinfo->dhparam = dhparam;
2084 cbinfo->server_cipher_list = NULL;
2085 cbinfo->host = host;
2086 #ifndef DISABLE_EVENT
2087 cbinfo->event_action = NULL;
2088 #endif
2089
2090 tls_openssl_init();
2091
2092 /* Create a context.
2093 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
2094 negotiation in the different methods; as far as I can tell, the only
2095 *_{server,client}_method which allows negotiation is SSLv23, which exists even
2096 when OpenSSL is built without SSLv2 support.
2097 By disabling with openssl_options, we can let admins re-enable with the
2098 existing knob. */
2099
2100 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
2101 if (!(ctx = SSL_CTX_new(host ? TLS_client_method() : TLS_server_method())))
2102 #else
2103 if (!(ctx = SSL_CTX_new(host ? SSLv23_client_method() : SSLv23_server_method())))
2104 #endif
2105   return tls_error(US"SSL_CTX_new", host, NULL, errstr);
2106
2107 /* It turns out that we need to seed the random number generator this early in
2108 order to get the full complement of ciphers to work. It took me roughly a day
2109 of work to discover this by experiment.
2110
2111 On systems that have /dev/urandom, SSL may automatically seed itself from
2112 there. Otherwise, we have to make something up as best we can. Double check
2113 afterwards. */
2114
2115 if (!RAND_status())
2116   {
2117   randstuff r;
2118   gettimeofday(&r.tv, NULL);
2119   r.p = getpid();
2120
2121   RAND_seed(US (&r), sizeof(r));
2122   RAND_seed(US big_buffer, big_buffer_size);
2123   if (addr != NULL) RAND_seed(US addr, sizeof(addr));
2124
2125   if (!RAND_status())
2126     return tls_error(US"RAND_status", host,
2127       US"unable to seed random number generator", errstr);
2128   }
2129
2130 /* Set up the information callback, which outputs if debugging is at a suitable
2131 level. */
2132
2133 DEBUG(D_tls)
2134   {
2135   SSL_CTX_set_info_callback(ctx, (void (*)())info_callback);
2136 #if defined(EXIM_HAVE_OPESSL_TRACE) && !defined(OPENSSL_NO_SSL_TRACE)
2137   /* this needs a debug build of OpenSSL */
2138   SSL_CTX_set_msg_callback(ctx, (void (*)())SSL_trace);
2139 #endif
2140 #ifdef OPENSSL_HAVE_KEYLOG_CB
2141   SSL_CTX_set_keylog_callback(ctx, (void (*)())keylog_callback);
2142 #endif
2143   }
2144
2145 /* Automatically re-try reads/writes after renegotiation. */
2146 (void) SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
2147
2148 /* Apply administrator-supplied work-arounds.
2149 Historically we applied just one requested option,
2150 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
2151 moved to an administrator-controlled list of options to specify and
2152 grandfathered in the first one as the default value for "openssl_options".
2153
2154 No OpenSSL version number checks: the options we accept depend upon the
2155 availability of the option value macros from OpenSSL.  */
2156
2157 if (!tls_openssl_options_parse(openssl_options, &init_options))
2158   return tls_error(US"openssl_options parsing failed", host, NULL, errstr);
2159
2160 #ifdef EXPERIMENTAL_TLS_RESUME
2161 tlsp->resumption = RESUME_SUPPORTED;
2162 #endif
2163 if (init_options)
2164   {
2165 #ifdef EXPERIMENTAL_TLS_RESUME
2166   /* Should the server offer session resumption? */
2167   if (!host && verify_check_host(&tls_resumption_hosts) == OK)
2168     {
2169     DEBUG(D_tls) debug_printf("tls_resumption_hosts overrides openssl_options\n");
2170     init_options &= ~SSL_OP_NO_TICKET;
2171     tlsp->resumption |= RESUME_SERVER_TICKET; /* server will give ticket on request */
2172     tlsp->host_resumable = TRUE;
2173     }
2174 #endif
2175
2176   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
2177   if (!(SSL_CTX_set_options(ctx, init_options)))
2178     return tls_error(string_sprintf(
2179           "SSL_CTX_set_option(%#lx)", init_options), host, NULL, errstr);
2180   }
2181 else
2182   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
2183
2184 /* We'd like to disable session cache unconditionally, but foolish Outlook
2185 Express clients then give up the first TLS connection and make a second one
2186 (which works).  Only when there is an IMAP service on the same machine.
2187 Presumably OE is trying to use the cache for A on B.  Leave it enabled for
2188 now, until we work out a decent way of presenting control to the config.  It
2189 will never be used because we use a new context every time. */
2190 #ifdef notdef
2191 (void) SSL_CTX_set_session_cache_mode(ctx, SSL_SESS_CACHE_OFF);
2192 #endif
2193
2194 /* Initialize with DH parameters if supplied */
2195 /* Initialize ECDH temp key parameter selection */
2196
2197 if (  !init_dh(ctx, dhparam, host, errstr)
2198    || !init_ecdh(ctx, host, errstr)
2199    )
2200   return DEFER;
2201
2202 /* Set up certificate and key (and perhaps OCSP info) */
2203
2204 if ((rc = tls_expand_session_files(ctx, cbinfo, errstr)) != OK)
2205   return rc;
2206
2207 /* If we need to handle SNI or OCSP, do so */
2208
2209 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2210 # ifndef DISABLE_OCSP
2211   if (!(cbinfo->verify_stack = sk_X509_new_null()))
2212     {
2213     DEBUG(D_tls) debug_printf("failed to create stack for stapling verify\n");
2214     return FAIL;
2215     }
2216 # endif
2217
2218 if (!host)              /* server */
2219   {
2220 # ifndef DISABLE_OCSP
2221   /* We check u_ocsp.server.file, not server.olist, because we care about if
2222   the option exists, not what the current expansion might be, as SNI might
2223   change the certificate and OCSP file in use between now and the time the
2224   callback is invoked. */
2225   if (cbinfo->u_ocsp.server.file)
2226     {
2227     SSL_CTX_set_tlsext_status_cb(ctx, tls_server_stapling_cb);
2228     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2229     }
2230 # endif
2231   /* We always do this, so that $tls_sni is available even if not used in
2232   tls_certificate */
2233   SSL_CTX_set_tlsext_servername_callback(ctx, tls_servername_cb);
2234   SSL_CTX_set_tlsext_servername_arg(ctx, cbinfo);
2235   }
2236 # ifndef DISABLE_OCSP
2237 else                    /* client */
2238   if(ocsp_file)         /* wanting stapling */
2239     {
2240     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
2241       {
2242       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
2243       return FAIL;
2244       }
2245     SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
2246     SSL_CTX_set_tlsext_status_arg(ctx, cbinfo);
2247     }
2248 # endif
2249 #endif
2250
2251 cbinfo->verify_cert_hostnames = NULL;
2252
2253 #ifdef EXIM_HAVE_EPHEM_RSA_KEX
2254 /* Set up the RSA callback */
2255 SSL_CTX_set_tmp_rsa_callback(ctx, rsa_callback);
2256 #endif
2257
2258 /* Finally, set the session cache timeout, and we are done.
2259 The period appears to be also used for (server-generated) session tickets */
2260
2261 SSL_CTX_set_timeout(ctx, ssl_session_timeout);
2262 DEBUG(D_tls) debug_printf("Initialized TLS\n");
2263
2264 *cbp = cbinfo;
2265 *ctxp = ctx;
2266
2267 return OK;
2268 }
2269
2270
2271
2272
2273 /*************************************************
2274 *           Get name of cipher in use            *
2275 *************************************************/
2276
2277 /*
2278 Argument:   pointer to an SSL structure for the connection
2279             pointer to number of bits for cipher
2280 Returns:    pointer to allocated string in perm-pool
2281 */
2282
2283 static uschar *
2284 construct_cipher_name(SSL * ssl, const uschar * ver, int * bits)
2285 {
2286 int pool = store_pool;
2287 /* With OpenSSL 1.0.0a, 'c' needs to be const but the documentation doesn't
2288 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
2289 the accessor functions use const in the prototype. */
2290
2291 const SSL_CIPHER * c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
2292 uschar * s;
2293
2294 SSL_CIPHER_get_bits(c, bits);
2295
2296 store_pool = POOL_PERM;
2297 s = string_sprintf("%s:%s:%u", ver, SSL_CIPHER_get_name(c), *bits);
2298 store_pool = pool;
2299 DEBUG(D_tls) debug_printf("Cipher: %s\n", s);
2300 return s;
2301 }
2302
2303
2304 /* Get IETF-standard name for ciphersuite.
2305 Argument:   pointer to an SSL structure for the connection
2306 Returns:    pointer to string
2307 */
2308
2309 static const uschar *
2310 cipher_stdname_ssl(SSL * ssl)
2311 {
2312 #ifdef EXIM_HAVE_OPENSSL_CIPHER_STD_NAME
2313 return CUS SSL_CIPHER_standard_name(SSL_get_current_cipher(ssl));
2314 #else
2315 ushort id = 0xffff & SSL_CIPHER_get_id(SSL_get_current_cipher(ssl));
2316 return cipher_stdname(id >> 8, id & 0xff);
2317 #endif
2318 }
2319
2320
2321 static const uschar *
2322 tlsver_name(SSL * ssl)
2323 {
2324 uschar * s, * p;
2325 int pool = store_pool;
2326
2327 store_pool = POOL_PERM;
2328 s = string_copy(US SSL_get_version(ssl));
2329 store_pool = pool;
2330 if ((p = Ustrchr(s, 'v')))      /* TLSv1.2 -> TLS1.2 */
2331   for (;; p++) if (!(*p = p[1])) break;
2332 return CUS s;
2333 }
2334
2335
2336 static void
2337 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned siz)
2338 {
2339 /*XXX we might consider a list-of-certs variable for the cert chain.
2340 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
2341 in list-handling functions, also consider the difference between the entire
2342 chain and the elements sent by the peer. */
2343
2344 tlsp->peerdn = NULL;
2345
2346 /* Will have already noted peercert on a verify fail; possibly not the leaf */
2347 if (!tlsp->peercert)
2348   tlsp->peercert = SSL_get_peer_certificate(ssl);
2349 /* Beware anonymous ciphers which lead to server_cert being NULL */
2350 if (tlsp->peercert)
2351   if (!X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, siz))
2352     { DEBUG(D_tls) debug_printf("X509_NAME_oneline() error\n"); }
2353   else
2354     {
2355     int oldpool = store_pool;
2356
2357     peerdn[siz-1] = '\0';               /* paranoia */
2358     store_pool = POOL_PERM;
2359     tlsp->peerdn = string_copy(peerdn);
2360     store_pool = oldpool;
2361
2362     /* We used to set CV in the cert-verify callbacks (either plain or dane)
2363     but they don't get called on session-resumption.  So use the official
2364     interface, which uses the resumed value.  Unfortunately this claims verified
2365     when it actually failed but we're in try-verify mode, due to us wanting the
2366     knowlege that it failed so needing to have the callback and forcing a
2367     permissive return.  If we don't force it, the TLS startup is failed.
2368     The extra bit of information is set in verify_override in the cb, stashed
2369     for resumption next to the TLS session, and used here. */
2370
2371     if (!tlsp->verify_override)
2372       tlsp->certificate_verified =
2373 #ifdef SUPPORT_DANE
2374         tlsp->dane_verified ||
2375 #endif
2376         SSL_get_verify_result(ssl) == X509_V_OK;
2377     }
2378 }
2379
2380
2381
2382
2383
2384 /*************************************************
2385 *        Set up for verifying certificates       *
2386 *************************************************/
2387
2388 #ifndef DISABLE_OCSP
2389 /* Load certs from file, return TRUE on success */
2390
2391 static BOOL
2392 chain_from_pem_file(const uschar * file, STACK_OF(X509) * verify_stack)
2393 {
2394 BIO * bp;
2395 X509 * x;
2396
2397 while (sk_X509_num(verify_stack) > 0)
2398   X509_free(sk_X509_pop(verify_stack));
2399
2400 if (!(bp = BIO_new_file(CS file, "r"))) return FALSE;
2401 while ((x = PEM_read_bio_X509(bp, NULL, 0, NULL)))
2402   sk_X509_push(verify_stack, x);
2403 BIO_free(bp);
2404 return TRUE;
2405 }
2406 #endif
2407
2408
2409
2410 /* Called by both client and server startup; on the server possibly
2411 repeated after a Server Name Indication.
2412
2413 Arguments:
2414   sctx          SSL_CTX* to initialise
2415   certs         certs file or NULL
2416   crl           CRL file or NULL
2417   host          NULL in a server; the remote host in a client
2418   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
2419                 otherwise passed as FALSE
2420   cert_vfy_cb   Callback function for certificate verification
2421   errstr        error string pointer
2422
2423 Returns:        OK/DEFER/FAIL
2424 */
2425
2426 static int
2427 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
2428     int (*cert_vfy_cb)(int, X509_STORE_CTX *), uschar ** errstr)
2429 {
2430 uschar *expcerts, *expcrl;
2431
2432 if (!expand_check(certs, US"tls_verify_certificates", &expcerts, errstr))
2433   return DEFER;
2434 DEBUG(D_tls) debug_printf("tls_verify_certificates: %s\n", expcerts);
2435
2436 if (expcerts && *expcerts)
2437   {
2438   /* Tell the library to use its compiled-in location for the system default
2439   CA bundle. Then add the ones specified in the config, if any. */
2440
2441   if (!SSL_CTX_set_default_verify_paths(sctx))
2442     return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL, errstr);
2443
2444   if (Ustrcmp(expcerts, "system") != 0)
2445     {
2446     struct stat statbuf;
2447
2448     if (Ustat(expcerts, &statbuf) < 0)
2449       {
2450       log_write(0, LOG_MAIN|LOG_PANIC,
2451         "failed to stat %s for certificates", expcerts);
2452       return DEFER;
2453       }
2454     else
2455       {
2456       uschar *file, *dir;
2457       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
2458         { file = NULL; dir = expcerts; }
2459       else
2460         {
2461         file = expcerts; dir = NULL;
2462 #ifndef DISABLE_OCSP
2463         /* In the server if we will be offering an OCSP proof, load chain from
2464         file for verifying the OCSP proof at load time. */
2465
2466 /*XXX Glitch!   The file here is tls_verify_certs: the chain for verifying the client cert.
2467 This is inconsistent with the need to verify the OCSP proof of the server cert.
2468 */
2469
2470         if (  !host
2471            && statbuf.st_size > 0
2472            && server_static_cbinfo->u_ocsp.server.file
2473            && !chain_from_pem_file(file, server_static_cbinfo->verify_stack)
2474            )
2475           {
2476           log_write(0, LOG_MAIN|LOG_PANIC,
2477             "failed to load cert chain from %s", file);
2478           return DEFER;
2479           }
2480 #endif
2481         }
2482
2483       /* If a certificate file is empty, the next function fails with an
2484       unhelpful error message. If we skip it, we get the correct behaviour (no
2485       certificates are recognized, but the error message is still misleading (it
2486       says no certificate was supplied).  But this is better. */
2487
2488       if (  (!file || statbuf.st_size > 0)
2489          && !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
2490         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL, errstr);
2491
2492       /* Load the list of CAs for which we will accept certs, for sending
2493       to the client.  This is only for the one-file tls_verify_certificates
2494       variant.
2495       If a list isn't loaded into the server, but some verify locations are set,
2496       the server end appears to make a wildcard request for client certs.
2497       Meanwhile, the client library as default behaviour *ignores* the list
2498       we send over the wire - see man SSL_CTX_set_client_cert_cb.
2499       Because of this, and that the dir variant is likely only used for
2500       the public-CA bundle (not for a private CA), not worth fixing.  */
2501
2502       if (file)
2503         {
2504         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
2505
2506         SSL_CTX_set_client_CA_list(sctx, names);
2507         DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
2508                                     sk_X509_NAME_num(names));
2509         }
2510       }
2511     }
2512
2513   /* Handle a certificate revocation list. */
2514
2515 #if OPENSSL_VERSION_NUMBER > 0x00907000L
2516
2517   /* This bit of code is now the version supplied by Lars Mainka. (I have
2518   merely reformatted it into the Exim code style.)
2519
2520   "From here I changed the code to add support for multiple crl's
2521   in pem format in one file or to support hashed directory entries in
2522   pem format instead of a file. This method now uses the library function
2523   X509_STORE_load_locations to add the CRL location to the SSL context.
2524   OpenSSL will then handle the verify against CA certs and CRLs by
2525   itself in the verify callback." */
2526
2527   if (!expand_check(crl, US"tls_crl", &expcrl, errstr)) return DEFER;
2528   if (expcrl && *expcrl)
2529     {
2530     struct stat statbufcrl;
2531     if (Ustat(expcrl, &statbufcrl) < 0)
2532       {
2533       log_write(0, LOG_MAIN|LOG_PANIC,
2534         "failed to stat %s for certificates revocation lists", expcrl);
2535       return DEFER;
2536       }
2537     else
2538       {
2539       /* is it a file or directory? */
2540       uschar *file, *dir;
2541       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
2542       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
2543         {
2544         file = NULL;
2545         dir = expcrl;
2546         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
2547         }
2548       else
2549         {
2550         file = expcrl;
2551         dir = NULL;
2552         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
2553         }
2554       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
2555         return tls_error(US"X509_STORE_load_locations", host, NULL, errstr);
2556
2557       /* setting the flags to check against the complete crl chain */
2558
2559       X509_STORE_set_flags(cvstore,
2560         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
2561       }
2562     }
2563
2564 #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
2565
2566   /* If verification is optional, don't fail if no certificate */
2567
2568   SSL_CTX_set_verify(sctx,
2569     SSL_VERIFY_PEER | (optional ? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
2570     cert_vfy_cb);
2571   }
2572
2573 return OK;
2574 }
2575
2576
2577
2578 /*************************************************
2579 *       Start a TLS session in a server          *
2580 *************************************************/
2581
2582 /* This is called when Exim is running as a server, after having received
2583 the STARTTLS command. It must respond to that command, and then negotiate
2584 a TLS session.
2585
2586 Arguments:
2587   require_ciphers   allowed ciphers
2588   errstr            pointer to error message
2589
2590 Returns:            OK on success
2591                     DEFER for errors before the start of the negotiation
2592                     FAIL for errors during the negotiation; the server can't
2593                       continue running.
2594 */
2595
2596 int
2597 tls_server_start(const uschar * require_ciphers, uschar ** errstr)
2598 {
2599 int rc;
2600 uschar * expciphers;
2601 tls_ext_ctx_cb * cbinfo;
2602 static uschar peerdn[256];
2603
2604 /* Check for previous activation */
2605
2606 if (tls_in.active.sock >= 0)
2607   {
2608   tls_error(US"STARTTLS received after TLS started", NULL, US"", errstr);
2609   smtp_printf("554 Already in TLS\r\n", FALSE);
2610   return FAIL;
2611   }
2612
2613 /* Initialize the SSL library. If it fails, it will already have logged
2614 the error. */
2615
2616 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
2617 #ifndef DISABLE_OCSP
2618     tls_ocsp_file,
2619 #endif
2620     NULL, &server_static_cbinfo, &tls_in, errstr);
2621 if (rc != OK) return rc;
2622 cbinfo = server_static_cbinfo;
2623
2624 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers, errstr))
2625   return FAIL;
2626
2627 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2628 were historically separated by underscores. So that I can use either form in my
2629 tests, and also for general convenience, we turn underscores into hyphens here.
2630
2631 XXX SSL_CTX_set_cipher_list() is replaced by SSL_CTX_set_ciphersuites()
2632 for TLS 1.3 .  Since we do not call it at present we get the default list:
2633 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
2634 */
2635
2636 if (expciphers)
2637   {
2638   for (uschar * s = expciphers; *s; s++ ) if (*s == '_') *s = '-';
2639   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2640   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
2641     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL, errstr);
2642   cbinfo->server_cipher_list = expciphers;
2643   }
2644
2645 /* If this is a host for which certificate verification is mandatory or
2646 optional, set up appropriately. */
2647
2648 tls_in.certificate_verified = FALSE;
2649 #ifdef SUPPORT_DANE
2650 tls_in.dane_verified = FALSE;
2651 #endif
2652 server_verify_callback_called = FALSE;
2653
2654 if (verify_check_host(&tls_verify_hosts) == OK)
2655   {
2656   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2657                         FALSE, verify_callback_server, errstr);
2658   if (rc != OK) return rc;
2659   server_verify_optional = FALSE;
2660   }
2661 else if (verify_check_host(&tls_try_verify_hosts) == OK)
2662   {
2663   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
2664                         TRUE, verify_callback_server, errstr);
2665   if (rc != OK) return rc;
2666   server_verify_optional = TRUE;
2667   }
2668
2669 #ifdef EXPERIMENTAL_TLS_RESUME
2670 SSL_CTX_set_tlsext_ticket_key_cb(server_ctx, ticket_key_callback);
2671 /* despite working, appears to always return failure, so ignoring */
2672 #endif
2673 #ifdef OPENSSL_HAVE_NUM_TICKETS
2674 # ifdef EXPERIMENTAL_TLS_RESUME
2675 SSL_CTX_set_num_tickets(server_ctx, tls_in.host_resumable ? 1 : 0);
2676 # else
2677 SSL_CTX_set_num_tickets(server_ctx, 0); /* send no TLS1.3 stateful-tickets */
2678 # endif
2679 #endif
2680
2681
2682 /* Prepare for new connection */
2683
2684 if (!(server_ssl = SSL_new(server_ctx)))
2685   return tls_error(US"SSL_new", NULL, NULL, errstr);
2686
2687 /* Warning: we used to SSL_clear(ssl) here, it was removed.
2688  *
2689  * With the SSL_clear(), we get strange interoperability bugs with
2690  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
2691  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
2692  *
2693  * The SSL_clear() call is to let an existing SSL* be reused, typically after
2694  * session shutdown.  In this case, we have a brand new object and there's no
2695  * obvious reason to immediately clear it.  I'm guessing that this was
2696  * originally added because of incomplete initialisation which the clear fixed,
2697  * in some historic release.
2698  */
2699
2700 /* Set context and tell client to go ahead, except in the case of TLS startup
2701 on connection, where outputting anything now upsets the clients and tends to
2702 make them disconnect. We need to have an explicit fflush() here, to force out
2703 the response. Other smtp_printf() calls do not need it, because in non-TLS
2704 mode, the fflush() happens when smtp_getc() is called. */
2705
2706 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
2707 if (!tls_in.on_connect)
2708   {
2709   smtp_printf("220 TLS go ahead\r\n", FALSE);
2710   fflush(smtp_out);
2711   }
2712
2713 /* Now negotiate the TLS session. We put our own timer on it, since it seems
2714 that the OpenSSL library doesn't. */
2715
2716 SSL_set_wfd(server_ssl, fileno(smtp_out));
2717 SSL_set_rfd(server_ssl, fileno(smtp_in));
2718 SSL_set_accept_state(server_ssl);
2719
2720 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
2721
2722 sigalrm_seen = FALSE;
2723 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
2724 rc = SSL_accept(server_ssl);
2725 ALARM_CLR(0);
2726
2727 if (rc <= 0)
2728   {
2729   int error = SSL_get_error(server_ssl, rc);
2730   switch(error)
2731     {
2732     case SSL_ERROR_NONE:
2733       break;
2734
2735     case SSL_ERROR_ZERO_RETURN:
2736       DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2737       (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2738
2739       if (SSL_get_shutdown(server_ssl) == SSL_RECEIVED_SHUTDOWN)
2740             SSL_shutdown(server_ssl);
2741
2742       tls_close(NULL, TLS_NO_SHUTDOWN);
2743       return FAIL;
2744
2745     /* Handle genuine errors */
2746     case SSL_ERROR_SSL:
2747       {
2748       uschar * s = US"SSL_accept";
2749       unsigned long e = ERR_peek_error();
2750       if (ERR_GET_REASON(e) == SSL_R_WRONG_VERSION_NUMBER)
2751         s = string_sprintf("%s (%s)", s, SSL_get_version(server_ssl));
2752       (void) tls_error(s, NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2753       return FAIL;
2754       }
2755
2756     default:
2757       DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2758       if (error == SSL_ERROR_SYSCALL)
2759         {
2760         if (!errno)
2761           {
2762           *errstr = US"SSL_accept: TCP connection closed by peer";
2763           return FAIL;
2764           }
2765         DEBUG(D_tls) debug_printf(" - syscall %s\n", strerror(errno));
2766         }
2767       (void) tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL, errstr);
2768       return FAIL;
2769     }
2770   }
2771
2772 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
2773 ERR_clear_error();      /* Even success can leave errors in the stack. Seen with
2774                         anon-authentication ciphersuite negotiated. */
2775
2776 #ifdef EXPERIMENTAL_TLS_RESUME
2777 if (SSL_session_reused(server_ssl))
2778   {
2779   tls_in.resumption |= RESUME_USED;
2780   DEBUG(D_tls) debug_printf("Session reused\n");
2781   }
2782 #endif
2783
2784 /* TLS has been set up. Record data for the connection,
2785 adjust the input functions to read via TLS, and initialize things. */
2786
2787 tls_in.ext_master_secret = SSL_get_extms_support(server_ssl) == 1;
2788 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
2789
2790 tls_in.ver = tlsver_name(server_ssl);
2791 tls_in.cipher = construct_cipher_name(server_ssl, tls_in.ver, &tls_in.bits);
2792 tls_in.cipher_stdname = cipher_stdname_ssl(server_ssl);
2793
2794 DEBUG(D_tls)
2795   {
2796   uschar buf[2048];
2797   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)))
2798     debug_printf("Shared ciphers: %s\n", buf);
2799
2800 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
2801   {
2802   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
2803   SSL_SESSION_print_keylog(bp, SSL_get_session(server_ssl));
2804   BIO_free(bp);
2805   }
2806 #endif
2807
2808 #ifdef EXIM_HAVE_SESSION_TICKET
2809   {
2810   SSL_SESSION * ss = SSL_get_session(server_ssl);
2811   if (SSL_SESSION_has_ticket(ss))       /* 1.1.0 */
2812     debug_printf("The session has a ticket, life %lu seconds\n",
2813       SSL_SESSION_get_ticket_lifetime_hint(ss));
2814   }
2815 #endif
2816   }
2817
2818 /* Record the certificate we presented */
2819   {
2820   X509 * crt = SSL_get_certificate(server_ssl);
2821   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
2822   }
2823
2824 /* Channel-binding info for authenticators
2825 See description in https://paquier.xyz/postgresql-2/channel-binding-openssl/ */
2826   {
2827   uschar c, * s;
2828   size_t len = SSL_get_peer_finished(server_ssl, &c, 0);
2829   int old_pool = store_pool;
2830   
2831   SSL_get_peer_finished(server_ssl, s = store_get((int)len, FALSE), len);
2832   store_pool = POOL_PERM;
2833     tls_in.channelbinding = b64encode_taint(CUS s, (int)len, FALSE);
2834   store_pool = old_pool;
2835   DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p\n", tls_in.channelbinding);
2836   }
2837
2838 /* Only used by the server-side tls (tls_in), including tls_getc.
2839    Client-side (tls_out) reads (seem to?) go via
2840    smtp_read_response()/ip_recv().
2841    Hence no need to duplicate for _in and _out.
2842  */
2843 if (!ssl_xfer_buffer) ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
2844 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
2845 ssl_xfer_eof = ssl_xfer_error = FALSE;
2846
2847 receive_getc = tls_getc;
2848 receive_getbuf = tls_getbuf;
2849 receive_get_cache = tls_get_cache;
2850 receive_ungetc = tls_ungetc;
2851 receive_feof = tls_feof;
2852 receive_ferror = tls_ferror;
2853 receive_smtp_buffered = tls_smtp_buffered;
2854
2855 tls_in.active.sock = fileno(smtp_out);
2856 tls_in.active.tls_ctx = NULL;   /* not using explicit ctx for server-side */
2857 return OK;
2858 }
2859
2860
2861
2862
2863 static int
2864 tls_client_basic_ctx_init(SSL_CTX * ctx,
2865     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo,
2866     uschar ** errstr)
2867 {
2868 int rc;
2869 /* stick to the old behaviour for compatibility if tls_verify_certificates is
2870    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
2871    the specified host patterns if one of them is defined */
2872
2873 if (  (  !ob->tls_verify_hosts
2874       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
2875       )
2876    || verify_check_given_host(CUSS &ob->tls_verify_hosts, host) == OK
2877    )
2878   client_verify_optional = FALSE;
2879 else if (verify_check_given_host(CUSS &ob->tls_try_verify_hosts, host) == OK)
2880   client_verify_optional = TRUE;
2881 else
2882   return OK;
2883
2884 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
2885       ob->tls_crl, host, client_verify_optional, verify_callback_client,
2886       errstr)) != OK)
2887   return rc;
2888
2889 if (verify_check_given_host(CUSS &ob->tls_verify_cert_hostnames, host) == OK)
2890   {
2891   cbinfo->verify_cert_hostnames =
2892 #ifdef SUPPORT_I18N
2893     string_domain_utf8_to_alabel(host->name, NULL);
2894 #else
2895     host->name;
2896 #endif
2897   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
2898                     cbinfo->verify_cert_hostnames);
2899   }
2900 return OK;
2901 }
2902
2903
2904 #ifdef SUPPORT_DANE
2905 static int
2906 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa, uschar ** errstr)
2907 {
2908 dns_scan dnss;
2909 const char * hostnames[2] = { CS host->name, NULL };
2910 int found = 0;
2911
2912 if (DANESSL_init(ssl, NULL, hostnames) != 1)
2913   return tls_error(US"hostnames load", host, NULL, errstr);
2914
2915 for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
2916      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
2917     ) if (rr->type == T_TLSA && rr->size > 3)
2918   {
2919   const uschar * p = rr->data;
2920   uint8_t usage, selector, mtype;
2921   const char * mdname;
2922
2923   usage = *p++;
2924
2925   /* Only DANE-TA(2) and DANE-EE(3) are supported */
2926   if (usage != 2 && usage != 3) continue;
2927
2928   selector = *p++;
2929   mtype = *p++;
2930
2931   switch (mtype)
2932     {
2933     default: continue;  /* Only match-types 0, 1, 2 are supported */
2934     case 0:  mdname = NULL; break;
2935     case 1:  mdname = "sha256"; break;
2936     case 2:  mdname = "sha512"; break;
2937     }
2938
2939   found++;
2940   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
2941     {
2942     default:
2943       return tls_error(US"tlsa load", host, NULL, errstr);
2944     case 0:     /* action not taken */
2945     case 1:     break;
2946     }
2947
2948   tls_out.tlsa_usage |= 1<<usage;
2949   }
2950
2951 if (found)
2952   return OK;
2953
2954 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
2955 return DEFER;
2956 }
2957 #endif  /*SUPPORT_DANE*/
2958
2959
2960
2961 #ifdef EXPERIMENTAL_TLS_RESUME
2962 /* On the client, get any stashed session for the given IP from hints db
2963 and apply it to the ssl-connection for attempted resumption. */
2964
2965 static void
2966 tls_retrieve_session(tls_support * tlsp, SSL * ssl, const uschar * key)
2967 {
2968 tlsp->resumption |= RESUME_SUPPORTED;
2969 if (tlsp->host_resumable)
2970   {
2971   dbdata_tls_session * dt;
2972   int len;
2973   open_db dbblock, * dbm_file;
2974
2975   tlsp->resumption |= RESUME_CLIENT_REQUESTED;
2976   DEBUG(D_tls) debug_printf("checking for resumable session for %s\n", key);
2977   if ((dbm_file = dbfn_open(US"tls", O_RDONLY, &dbblock, FALSE, FALSE)))
2978     {
2979     /* key for the db is the IP */
2980     if ((dt = dbfn_read_with_length(dbm_file, key, &len)))
2981       {
2982       SSL_SESSION * ss = NULL;
2983       const uschar * sess_asn1 = dt->session;
2984
2985       len -= sizeof(dbdata_tls_session);
2986       if (!(d2i_SSL_SESSION(&ss, &sess_asn1, (long)len)))
2987         {
2988         DEBUG(D_tls)
2989           {
2990           ERR_error_string_n(ERR_get_error(),
2991             ssl_errstring, sizeof(ssl_errstring));
2992           debug_printf("decoding session: %s\n", ssl_errstring);
2993           }
2994         }
2995 #ifdef EXIM_HAVE_SESSION_TICKET
2996       else if ( SSL_SESSION_get_ticket_lifetime_hint(ss) + dt->time_stamp
2997                < time(NULL))
2998         {
2999         DEBUG(D_tls) debug_printf("session expired\n");
3000         dbfn_delete(dbm_file, key);
3001         }
3002 #endif
3003       else if (!SSL_set_session(ssl, ss))
3004         {
3005         DEBUG(D_tls)
3006           {
3007           ERR_error_string_n(ERR_get_error(),
3008             ssl_errstring, sizeof(ssl_errstring));
3009           debug_printf("applying session to ssl: %s\n", ssl_errstring);
3010           }
3011         }
3012       else
3013         {
3014         DEBUG(D_tls) debug_printf("good session\n");
3015         tlsp->resumption |= RESUME_CLIENT_SUGGESTED;
3016         tlsp->verify_override = dt->verify_override;
3017         tlsp->ocsp = dt->ocsp;
3018         }
3019       }
3020     else
3021       DEBUG(D_tls) debug_printf("no session record\n");
3022     dbfn_close(dbm_file);
3023     }
3024   }
3025 }
3026
3027
3028 /* On the client, save the session for later resumption */
3029
3030 static int
3031 tls_save_session_cb(SSL * ssl, SSL_SESSION * ss)
3032 {
3033 tls_ext_ctx_cb * cbinfo = SSL_get_ex_data(ssl, tls_exdata_idx);
3034 tls_support * tlsp;
3035
3036 DEBUG(D_tls) debug_printf("tls_save_session_cb\n");
3037
3038 if (!cbinfo || !(tlsp = cbinfo->tlsp)->host_resumable) return 0;
3039
3040 # ifdef OPENSSL_HAVE_NUM_TICKETS
3041 if (SSL_SESSION_is_resumable(ss))       /* 1.1.1 */
3042 # endif
3043   {
3044   int len = i2d_SSL_SESSION(ss, NULL);
3045   int dlen = sizeof(dbdata_tls_session) + len;
3046   dbdata_tls_session * dt = store_get(dlen, TRUE);
3047   uschar * s = dt->session;
3048   open_db dbblock, * dbm_file;
3049
3050   DEBUG(D_tls) debug_printf("session is resumable\n");
3051   tlsp->resumption |= RESUME_SERVER_TICKET;     /* server gave us a ticket */
3052
3053   dt->verify_override = tlsp->verify_override;
3054   dt->ocsp = tlsp->ocsp;
3055   (void) i2d_SSL_SESSION(ss, &s);               /* s gets bumped to end */
3056
3057   if ((dbm_file = dbfn_open(US"tls", O_RDWR, &dbblock, FALSE, FALSE)))
3058     {
3059     const uschar * key = cbinfo->host->address;
3060     dbfn_delete(dbm_file, key);
3061     dbfn_write(dbm_file, key, dt, dlen);
3062     dbfn_close(dbm_file);
3063     DEBUG(D_tls) debug_printf("wrote session (len %u) to db\n",
3064                   (unsigned)dlen);
3065     }
3066   }
3067 return 1;
3068 }
3069
3070
3071 static void
3072 tls_client_ctx_resume_prehandshake(
3073   exim_openssl_client_tls_ctx * exim_client_ctx, tls_support * tlsp,
3074   smtp_transport_options_block * ob, host_item * host)
3075 {
3076 /* Should the client request a session resumption ticket? */
3077 if (verify_check_given_host(CUSS &ob->tls_resumption_hosts, host) == OK)
3078   {
3079   tlsp->host_resumable = TRUE;
3080
3081   SSL_CTX_set_session_cache_mode(exim_client_ctx->ctx,
3082         SSL_SESS_CACHE_CLIENT
3083         | SSL_SESS_CACHE_NO_INTERNAL | SSL_SESS_CACHE_NO_AUTO_CLEAR);
3084   SSL_CTX_sess_set_new_cb(exim_client_ctx->ctx, tls_save_session_cb);
3085   }
3086 }
3087
3088 static BOOL
3089 tls_client_ssl_resume_prehandshake(SSL * ssl, tls_support * tlsp,
3090   host_item * host, uschar ** errstr)
3091 {
3092 if (tlsp->host_resumable)
3093   {
3094   DEBUG(D_tls)
3095     debug_printf("tls_resumption_hosts overrides openssl_options, enabling tickets\n");
3096   SSL_clear_options(ssl, SSL_OP_NO_TICKET);
3097
3098   tls_exdata_idx = SSL_get_ex_new_index(0, 0, 0, 0, 0);
3099   if (!SSL_set_ex_data(ssl, tls_exdata_idx, client_static_cbinfo))
3100     {
3101     tls_error(US"set ex_data", host, NULL, errstr);
3102     return FALSE;
3103     }
3104   debug_printf("tls_exdata_idx %d cbinfo %p\n", tls_exdata_idx, client_static_cbinfo);
3105   }
3106
3107 tlsp->resumption = RESUME_SUPPORTED;
3108 /* Pick up a previous session, saved on an old ticket */
3109 tls_retrieve_session(tlsp, ssl, host->address);
3110 return TRUE;
3111 }
3112
3113 static void
3114 tls_client_resume_posthandshake(exim_openssl_client_tls_ctx * exim_client_ctx,
3115   tls_support * tlsp)
3116 {
3117 if (SSL_session_reused(exim_client_ctx->ssl))
3118   {
3119   DEBUG(D_tls) debug_printf("The session was reused\n");
3120   tlsp->resumption |= RESUME_USED;
3121   }
3122 }
3123 #endif  /* EXPERIMENTAL_TLS_RESUME */
3124
3125
3126 /*************************************************
3127 *    Start a TLS session in a client             *
3128 *************************************************/
3129
3130 /* Called from the smtp transport after STARTTLS has been accepted.
3131
3132 Arguments:
3133   cctx          connection context
3134   conn_args     connection details
3135   cookie        datum for randomness; can be NULL
3136   tlsp          record details of TLS channel configuration here; must be non-NULL
3137   errstr        error string pointer
3138
3139 Returns:        TRUE for success with TLS session context set in connection context,
3140                 FALSE on error
3141 */
3142
3143 BOOL
3144 tls_client_start(client_conn_ctx * cctx, smtp_connect_args * conn_args,
3145   void * cookie, tls_support * tlsp, uschar ** errstr)
3146 {
3147 host_item * host = conn_args->host;             /* for msgs and option-tests */
3148 transport_instance * tb = conn_args->tblock;    /* always smtp or NULL */
3149 smtp_transport_options_block * ob = tb
3150   ? (smtp_transport_options_block *)tb->options_block
3151   : &smtp_transport_option_defaults;
3152 exim_openssl_client_tls_ctx * exim_client_ctx;
3153 uschar * expciphers;
3154 int rc;
3155 static uschar peerdn[256];
3156
3157 #ifndef DISABLE_OCSP
3158 BOOL request_ocsp = FALSE;
3159 BOOL require_ocsp = FALSE;
3160 #endif
3161
3162 rc = store_pool;
3163 store_pool = POOL_PERM;
3164 exim_client_ctx = store_get(sizeof(exim_openssl_client_tls_ctx), FALSE);
3165 exim_client_ctx->corked = NULL;
3166 store_pool = rc;
3167
3168 #ifdef SUPPORT_DANE
3169 tlsp->tlsa_usage = 0;
3170 #endif
3171
3172 #ifndef DISABLE_OCSP
3173   {
3174 # ifdef SUPPORT_DANE
3175   if (  conn_args->dane
3176      && ob->hosts_request_ocsp[0] == '*'
3177      && ob->hosts_request_ocsp[1] == '\0'
3178      )
3179     {
3180     /* Unchanged from default.  Use a safer one under DANE */
3181     request_ocsp = TRUE;
3182     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
3183                                       "   {= {4}{$tls_out_tlsa_usage}} } "
3184                                  " {*}{}}";
3185     }
3186 # endif
3187
3188   if ((require_ocsp =
3189         verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK))
3190     request_ocsp = TRUE;
3191   else
3192 # ifdef SUPPORT_DANE
3193     if (!request_ocsp)
3194 # endif
3195       request_ocsp =
3196         verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3197   }
3198 #endif
3199
3200 rc = tls_init(&exim_client_ctx->ctx, host, NULL,
3201     ob->tls_certificate, ob->tls_privatekey,
3202 #ifndef DISABLE_OCSP
3203     (void *)(long)request_ocsp,
3204 #endif
3205     cookie, &client_static_cbinfo, tlsp, errstr);
3206 if (rc != OK) return FALSE;
3207
3208 tlsp->certificate_verified = FALSE;
3209 client_verify_callback_called = FALSE;
3210
3211 expciphers = NULL;
3212 #ifdef SUPPORT_DANE
3213 if (conn_args->dane)
3214   {
3215   /* We fall back to tls_require_ciphers if unset, empty or forced failure, but
3216   other failures should be treated as problems. */
3217   if (ob->dane_require_tls_ciphers &&
3218       !expand_check(ob->dane_require_tls_ciphers, US"dane_require_tls_ciphers",
3219         &expciphers, errstr))
3220     return FALSE;
3221   if (expciphers && *expciphers == '\0')
3222     expciphers = NULL;
3223   }
3224 #endif
3225 if (!expciphers &&
3226     !expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
3227       &expciphers, errstr))
3228   return FALSE;
3229
3230 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
3231 are separated by underscores. So that I can use either form in my tests, and
3232 also for general convenience, we turn underscores into hyphens here. */
3233
3234 if (expciphers)
3235   {
3236   uschar *s = expciphers;
3237   while (*s) { if (*s == '_') *s = '-'; s++; }
3238   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
3239   if (!SSL_CTX_set_cipher_list(exim_client_ctx->ctx, CS expciphers))
3240     {
3241     tls_error(US"SSL_CTX_set_cipher_list", host, NULL, errstr);
3242     return FALSE;
3243     }
3244   }
3245
3246 #ifdef SUPPORT_DANE
3247 if (conn_args->dane)
3248   {
3249   SSL_CTX_set_verify(exim_client_ctx->ctx,
3250     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
3251     verify_callback_client_dane);
3252
3253   if (!DANESSL_library_init())
3254     {
3255     tls_error(US"library init", host, NULL, errstr);
3256     return FALSE;
3257     }
3258   if (DANESSL_CTX_init(exim_client_ctx->ctx) <= 0)
3259     {
3260     tls_error(US"context init", host, NULL, errstr);
3261     return FALSE;
3262     }
3263   }
3264 else
3265
3266 #endif
3267
3268   if (tls_client_basic_ctx_init(exim_client_ctx->ctx, host, ob,
3269         client_static_cbinfo, errstr) != OK)
3270     return FALSE;
3271
3272 #ifdef EXPERIMENTAL_TLS_RESUME
3273 tls_client_ctx_resume_prehandshake(exim_client_ctx, tlsp, ob, host);
3274 #endif
3275
3276
3277 if (!(exim_client_ctx->ssl = SSL_new(exim_client_ctx->ctx)))
3278   {
3279   tls_error(US"SSL_new", host, NULL, errstr);
3280   return FALSE;
3281   }
3282 SSL_set_session_id_context(exim_client_ctx->ssl, sid_ctx, Ustrlen(sid_ctx));
3283
3284 SSL_set_fd(exim_client_ctx->ssl, cctx->sock);
3285 SSL_set_connect_state(exim_client_ctx->ssl);
3286
3287 if (ob->tls_sni)
3288   {
3289   if (!expand_check(ob->tls_sni, US"tls_sni", &tlsp->sni, errstr))
3290     return FALSE;
3291   if (!tlsp->sni)
3292     {
3293     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
3294     }
3295   else if (!Ustrlen(tlsp->sni))
3296     tlsp->sni = NULL;
3297   else
3298     {
3299 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
3300     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tlsp->sni);
3301     SSL_set_tlsext_host_name(exim_client_ctx->ssl, tlsp->sni);
3302 #else
3303     log_write(0, LOG_MAIN, "SNI unusable with this OpenSSL library version; ignoring \"%s\"\n",
3304           tlsp->sni);
3305 #endif
3306     }
3307   }
3308
3309 #ifdef SUPPORT_DANE
3310 if (conn_args->dane)
3311   if (dane_tlsa_load(exim_client_ctx->ssl, host, &conn_args->tlsa_dnsa, errstr) != OK)
3312     return FALSE;
3313 #endif
3314
3315 #ifndef DISABLE_OCSP
3316 /* Request certificate status at connection-time.  If the server
3317 does OCSP stapling we will get the callback (set in tls_init()) */
3318 # ifdef SUPPORT_DANE
3319 if (request_ocsp)
3320   {
3321   const uschar * s;
3322   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3323      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
3324      )
3325     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
3326         this means we avoid the OCSP request, we wasted the setup
3327         cost in tls_init(). */
3328     require_ocsp = verify_check_given_host(CUSS &ob->hosts_require_ocsp, host) == OK;
3329     request_ocsp = require_ocsp
3330       || verify_check_given_host(CUSS &ob->hosts_request_ocsp, host) == OK;
3331     }
3332   }
3333 # endif
3334
3335 if (request_ocsp)
3336   {
3337   SSL_set_tlsext_status_type(exim_client_ctx->ssl, TLSEXT_STATUSTYPE_ocsp);
3338   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
3339   tlsp->ocsp = OCSP_NOT_RESP;
3340   }
3341 #endif
3342
3343 #ifdef EXPERIMENTAL_TLS_RESUME
3344 if (!tls_client_ssl_resume_prehandshake(exim_client_ctx->ssl, tlsp, host,
3345       errstr))
3346   return FALSE;
3347 #endif
3348
3349 #ifndef DISABLE_EVENT
3350 client_static_cbinfo->event_action = tb ? tb->event_action : NULL;
3351 #endif
3352
3353 /* There doesn't seem to be a built-in timeout on connection. */
3354
3355 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
3356 sigalrm_seen = FALSE;
3357 ALARM(ob->command_timeout);
3358 rc = SSL_connect(exim_client_ctx->ssl);
3359 ALARM_CLR(0);
3360
3361 #ifdef SUPPORT_DANE
3362 if (conn_args->dane)
3363   DANESSL_cleanup(exim_client_ctx->ssl);
3364 #endif
3365
3366 if (rc <= 0)
3367   {
3368   tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL, errstr);
3369   return FALSE;
3370   }
3371
3372 DEBUG(D_tls)
3373   {
3374   debug_printf("SSL_connect succeeded\n");
3375 #ifdef EXIM_HAVE_OPENSSL_KEYLOG
3376   {
3377   BIO * bp = BIO_new_fp(debug_file, BIO_NOCLOSE);
3378   SSL_SESSION_print_keylog(bp, SSL_get_session(exim_client_ctx->ssl));
3379   BIO_free(bp);
3380   }
3381 #endif
3382   }
3383
3384 #ifdef EXPERIMENTAL_TLS_RESUME
3385 tls_client_resume_posthandshake(exim_client_ctx, tlsp);
3386 #endif
3387
3388 tlsp->ext_master_secret = SSL_get_extms_support(exim_client_ctx->ssl) == 1;
3389 peer_cert(exim_client_ctx->ssl, tlsp, peerdn, sizeof(peerdn));
3390
3391 tlsp->ver = tlsver_name(exim_client_ctx->ssl);
3392 tlsp->cipher = construct_cipher_name(exim_client_ctx->ssl, tlsp->ver, &tlsp->bits);
3393 tlsp->cipher_stdname = cipher_stdname_ssl(exim_client_ctx->ssl);
3394
3395 /* Record the certificate we presented */
3396   {
3397   X509 * crt = SSL_get_certificate(exim_client_ctx->ssl);
3398   tlsp->ourcert = crt ? X509_dup(crt) : NULL;
3399   }
3400
3401 /*XXX will this work with continued-TLS? */
3402 /* Channel-binding info for authenticators */
3403   {
3404   uschar c, * s;
3405   size_t len = SSL_get_finished(exim_client_ctx->ssl, &c, 0);
3406   int old_pool = store_pool;
3407   
3408   SSL_get_finished(exim_client_ctx->ssl, s = store_get((int)len, TRUE), len);
3409   store_pool = POOL_PERM;
3410     tlsp->channelbinding = b64encode_taint(CUS s, (int)len, TRUE);
3411   store_pool = old_pool;
3412   DEBUG(D_tls) debug_printf("Have channel bindings cached for possible auth usage %p %p\n", tlsp->channelbinding, tlsp);
3413   }
3414
3415 tlsp->active.sock = cctx->sock;
3416 tlsp->active.tls_ctx = exim_client_ctx;
3417 cctx->tls_ctx = exim_client_ctx;
3418 return TRUE;
3419 }
3420
3421
3422
3423
3424
3425 static BOOL
3426 tls_refill(unsigned lim)
3427 {
3428 int error;
3429 int inbytes;
3430
3431 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
3432   ssl_xfer_buffer, ssl_xfer_buffer_size);
3433
3434 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
3435 inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer,
3436                   MIN(ssl_xfer_buffer_size, lim));
3437 error = SSL_get_error(server_ssl, inbytes);
3438 if (smtp_receive_timeout > 0) ALARM_CLR(0);
3439
3440 if (had_command_timeout)                /* set by signal handler */
3441   smtp_command_timeout_exit();          /* does not return */
3442 if (had_command_sigterm)
3443   smtp_command_sigterm_exit();
3444 if (had_data_timeout)
3445   smtp_data_timeout_exit();
3446 if (had_data_sigint)
3447   smtp_data_sigint_exit();
3448
3449 /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
3450 closed down, not that the socket itself has been closed down. Revert to
3451 non-SSL handling. */
3452
3453 switch(error)
3454   {
3455   case SSL_ERROR_NONE:
3456     break;
3457
3458   case SSL_ERROR_ZERO_RETURN:
3459     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3460
3461     if (SSL_get_shutdown(server_ssl) == SSL_RECEIVED_SHUTDOWN)
3462           SSL_shutdown(server_ssl);
3463
3464     tls_close(NULL, TLS_NO_SHUTDOWN);
3465     return FALSE;
3466
3467   /* Handle genuine errors */
3468   case SSL_ERROR_SSL:
3469     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3470     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
3471     ssl_xfer_error = TRUE;
3472     return FALSE;
3473
3474   default:
3475     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
3476     DEBUG(D_tls) if (error == SSL_ERROR_SYSCALL)
3477       debug_printf(" - syscall %s\n", strerror(errno));
3478     ssl_xfer_error = TRUE;
3479     return FALSE;
3480   }
3481
3482 #ifndef DISABLE_DKIM
3483 dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
3484 #endif
3485 ssl_xfer_buffer_hwm = inbytes;
3486 ssl_xfer_buffer_lwm = 0;
3487 return TRUE;
3488 }
3489
3490
3491 /*************************************************
3492 *            TLS version of getc                 *
3493 *************************************************/
3494
3495 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
3496 it refills the buffer via the SSL reading function.
3497
3498 Arguments:  lim         Maximum amount to read/buffer
3499 Returns:    the next character or EOF
3500
3501 Only used by the server-side TLS.
3502 */
3503
3504 int
3505 tls_getc(unsigned lim)
3506 {
3507 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3508   if (!tls_refill(lim))
3509     return ssl_xfer_error ? EOF : smtp_getc(lim);
3510
3511 /* Something in the buffer; return next uschar */
3512
3513 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
3514 }
3515
3516 uschar *
3517 tls_getbuf(unsigned * len)
3518 {
3519 unsigned size;
3520 uschar * buf;
3521
3522 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
3523   if (!tls_refill(*len))
3524     {
3525     if (!ssl_xfer_error) return smtp_getbuf(len);
3526     *len = 0;
3527     return NULL;
3528     }
3529
3530 if ((size = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm) > *len)
3531   size = *len;
3532 buf = &ssl_xfer_buffer[ssl_xfer_buffer_lwm];
3533 ssl_xfer_buffer_lwm += size;
3534 *len = size;
3535 return buf;
3536 }
3537
3538
3539 void
3540 tls_get_cache()
3541 {
3542 #ifndef DISABLE_DKIM
3543 int n = ssl_xfer_buffer_hwm - ssl_xfer_buffer_lwm;
3544 if (n > 0)
3545   dkim_exim_verify_feed(ssl_xfer_buffer+ssl_xfer_buffer_lwm, n);
3546 #endif
3547 }
3548
3549
3550 BOOL
3551 tls_could_read(void)
3552 {
3553 return ssl_xfer_buffer_lwm < ssl_xfer_buffer_hwm || SSL_pending(server_ssl) > 0;
3554 }
3555
3556
3557 /*************************************************
3558 *          Read bytes from TLS channel           *
3559 *************************************************/
3560
3561 /*
3562 Arguments:
3563   ct_ctx    client context pointer, or NULL for the one global server context
3564   buff      buffer of data
3565   len       size of buffer
3566
3567 Returns:    the number of bytes read
3568             -1 after a failed read, including EOF
3569
3570 Only used by the client-side TLS.
3571 */
3572
3573 int
3574 tls_read(void * ct_ctx, uschar *buff, size_t len)
3575 {
3576 SSL * ssl = ct_ctx ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3577 int inbytes;
3578 int error;
3579
3580 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
3581   buff, (unsigned int)len);
3582
3583 inbytes = SSL_read(ssl, CS buff, len);
3584 error = SSL_get_error(ssl, inbytes);
3585
3586 if (error == SSL_ERROR_ZERO_RETURN)
3587   {
3588   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
3589   return -1;
3590   }
3591 else if (error != SSL_ERROR_NONE)
3592   return -1;
3593
3594 return inbytes;
3595 }
3596
3597
3598
3599
3600
3601 /*************************************************
3602 *         Write bytes down TLS channel           *
3603 *************************************************/
3604
3605 /*
3606 Arguments:
3607   ct_ctx    client context pointer, or NULL for the one global server context
3608   buff      buffer of data
3609   len       number of bytes
3610   more      further data expected soon
3611
3612 Returns:    the number of bytes after a successful write,
3613             -1 after a failed write
3614
3615 Used by both server-side and client-side TLS.  Calling with len zero and more unset
3616 will flush buffered writes; buff can be null for this case.
3617 */
3618
3619 int
3620 tls_write(void * ct_ctx, const uschar * buff, size_t len, BOOL more)
3621 {
3622 size_t olen = len;
3623 int outbytes, error;
3624 SSL * ssl = ct_ctx
3625   ? ((exim_openssl_client_tls_ctx *)ct_ctx)->ssl : server_ssl;
3626 static gstring * server_corked = NULL;
3627 gstring ** corkedp = ct_ctx
3628   ? &((exim_openssl_client_tls_ctx *)ct_ctx)->corked : &server_corked;
3629 gstring * corked = *corkedp;
3630
3631 DEBUG(D_tls) debug_printf("%s(%p, %lu%s)\n", __FUNCTION__,
3632   buff, (unsigned long)len, more ? ", more" : "");
3633
3634 /* Lacking a CORK or MSG_MORE facility (such as GnuTLS has) we copy data when
3635 "more" is notified.  This hack is only ok if small amounts are involved AND only
3636 one stream does it, in one context (i.e. no store reset).  Currently it is used
3637 for the responses to the received SMTP MAIL , RCPT, DATA sequence, only.
3638 We support callouts done by the server process by using a separate client
3639 context for the stashed information. */
3640 /* + if PIPE_COMMAND, banner & ehlo-resp for smmtp-on-connect. Suspect there's
3641 a store reset there, so use POOL_PERM. */
3642 /* + if CHUNKING, cmds EHLO,MAIL,RCPT(s),BDAT */
3643
3644 if ((more || corked))
3645   {
3646   if (!len) buff = US &error;   /* dummy just so that string_catn is ok */
3647
3648 #ifndef DISABLE_PIPE_CONNECT
3649   int save_pool = store_pool;
3650   store_pool = POOL_PERM;
3651 #endif
3652
3653   corked = string_catn(corked, buff, len);
3654
3655 #ifndef DISABLE_PIPE_CONNECT
3656   store_pool = save_pool;
3657 #endif
3658
3659   if (more)
3660     {
3661     *corkedp = corked;
3662     return len;
3663     }
3664   buff = CUS corked->s;
3665   len = corked->ptr;
3666   *corkedp = NULL;
3667   }
3668
3669 for (int left = len; left > 0;)
3670   {
3671   DEBUG(D_tls) debug_printf("SSL_write(%p, %p, %d)\n", ssl, buff, left);
3672   outbytes = SSL_write(ssl, CS buff, left);
3673   error = SSL_get_error(ssl, outbytes);
3674   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
3675   switch (error)
3676     {
3677     case SSL_ERROR_NONE:        /* the usual case */
3678       left -= outbytes;
3679       buff += outbytes;
3680       break;
3681
3682     case SSL_ERROR_SSL:
3683       ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3684       log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
3685       return -1;
3686
3687     case SSL_ERROR_ZERO_RETURN:
3688       log_write(0, LOG_MAIN, "SSL channel closed on write");
3689       return -1;
3690
3691     case SSL_ERROR_SYSCALL:
3692       log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
3693         sender_fullhost ? sender_fullhost : US"<unknown>",
3694         strerror(errno));
3695       return -1;
3696
3697     default:
3698       log_write(0, LOG_MAIN, "SSL_write error %d", error);
3699       return -1;
3700     }
3701   }
3702 return olen;
3703 }
3704
3705
3706
3707 /*************************************************
3708 *         Close down a TLS session               *
3709 *************************************************/
3710
3711 /* This is also called from within a delivery subprocess forked from the
3712 daemon, to shut down the TLS library, without actually doing a shutdown (which
3713 would tamper with the SSL session in the parent process).
3714
3715 Arguments:
3716   ct_ctx        client TLS context pointer, or NULL for the one global server context
3717   shutdown      1 if TLS close-alert is to be sent,
3718                 2 if also response to be waited for
3719
3720 Returns:     nothing
3721
3722 Used by both server-side and client-side TLS.
3723 */
3724
3725 void
3726 tls_close(void * ct_ctx, int shutdown)
3727 {
3728 exim_openssl_client_tls_ctx * o_ctx = ct_ctx;
3729 SSL_CTX **ctxp = o_ctx ? &o_ctx->ctx : &server_ctx;
3730 SSL **sslp =     o_ctx ? &o_ctx->ssl : &server_ssl;
3731 int *fdp = o_ctx ? &tls_out.active.sock : &tls_in.active.sock;
3732
3733 if (*fdp < 0) return;  /* TLS was not active */
3734
3735 if (shutdown)
3736   {
3737   int rc;
3738   DEBUG(D_tls) debug_printf("tls_close(): shutting down TLS%s\n",
3739     shutdown > 1 ? " (with response-wait)" : "");
3740
3741   if (  (rc = SSL_shutdown(*sslp)) == 0 /* send "close notify" alert */
3742      && shutdown > 1)
3743     {
3744     ALARM(2);
3745     rc = SSL_shutdown(*sslp);           /* wait for response */
3746     ALARM_CLR(0);
3747     }
3748
3749   if (rc < 0) DEBUG(D_tls)
3750     {
3751     ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3752     debug_printf("SSL_shutdown: %s\n", ssl_errstring);
3753     }
3754   }
3755
3756 if (!o_ctx)             /* server side */
3757   {
3758 #ifndef DISABLE_OCSP
3759   sk_X509_pop_free(server_static_cbinfo->verify_stack, X509_free);
3760   server_static_cbinfo->verify_stack = NULL;
3761 #endif
3762
3763   receive_getc =        smtp_getc;
3764   receive_getbuf =      smtp_getbuf;
3765   receive_get_cache =   smtp_get_cache;
3766   receive_ungetc =      smtp_ungetc;
3767   receive_feof =        smtp_feof;
3768   receive_ferror =      smtp_ferror;
3769   receive_smtp_buffered = smtp_buffered;
3770   tls_in.active.tls_ctx = NULL;
3771   tls_in.sni = NULL;
3772   /* Leave bits, peercert, cipher, peerdn, certificate_verified set, for logging */
3773   }
3774
3775 SSL_CTX_free(*ctxp);
3776 SSL_free(*sslp);
3777 *ctxp = NULL;
3778 *sslp = NULL;
3779 *fdp = -1;
3780 }
3781
3782
3783
3784
3785 /*************************************************
3786 *  Let tls_require_ciphers be checked at startup *
3787 *************************************************/
3788
3789 /* The tls_require_ciphers option, if set, must be something which the
3790 library can parse.
3791
3792 Returns:     NULL on success, or error message
3793 */
3794
3795 uschar *
3796 tls_validate_require_cipher(void)
3797 {
3798 SSL_CTX *ctx;
3799 uschar *s, *expciphers, *err;
3800
3801 tls_openssl_init();
3802
3803 if (!(tls_require_ciphers && *tls_require_ciphers))
3804   return NULL;
3805
3806 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers,
3807                   &err))
3808   return US"failed to expand tls_require_ciphers";
3809
3810 if (!(expciphers && *expciphers))
3811   return NULL;
3812
3813 /* normalisation ripped from above */
3814 s = expciphers;
3815 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
3816
3817 err = NULL;
3818
3819 #ifdef EXIM_HAVE_OPENSSL_TLS_METHOD
3820 if (!(ctx = SSL_CTX_new(TLS_server_method())))
3821 #else
3822 if (!(ctx = SSL_CTX_new(SSLv23_server_method())))
3823 #endif
3824   {
3825   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3826   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
3827   }
3828
3829 DEBUG(D_tls)
3830   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
3831
3832 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
3833   {
3834   ERR_error_string_n(ERR_get_error(), ssl_errstring, sizeof(ssl_errstring));
3835   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed: %s",
3836                       expciphers, ssl_errstring);
3837   }
3838
3839 SSL_CTX_free(ctx);
3840
3841 return err;
3842 }
3843
3844
3845
3846
3847 /*************************************************
3848 *         Report the library versions.           *
3849 *************************************************/
3850
3851 /* There have historically been some issues with binary compatibility in
3852 OpenSSL libraries; if Exim (like many other applications) is built against
3853 one version of OpenSSL but the run-time linker picks up another version,
3854 it can result in serious failures, including crashing with a SIGSEGV.  So
3855 report the version found by the compiler and the run-time version.
3856
3857 Note: some OS vendors backport security fixes without changing the version
3858 number/string, and the version date remains unchanged.  The _build_ date
3859 will change, so we can more usefully assist with version diagnosis by also
3860 reporting the build date.
3861
3862 Arguments:   a FILE* to print the results to
3863 Returns:     nothing
3864 */
3865
3866 void
3867 tls_version_report(FILE *f)
3868 {
3869 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
3870            "                          Runtime: %s\n"
3871            "                                 : %s\n",
3872            OPENSSL_VERSION_TEXT,
3873            SSLeay_version(SSLEAY_VERSION),
3874            SSLeay_version(SSLEAY_BUILT_ON));
3875 /* third line is 38 characters for the %s and the line is 73 chars long;
3876 the OpenSSL output includes a "built on: " prefix already. */
3877 }
3878
3879
3880
3881
3882 /*************************************************
3883 *            Random number generation            *
3884 *************************************************/
3885
3886 /* Pseudo-random number generation.  The result is not expected to be
3887 cryptographically strong but not so weak that someone will shoot themselves
3888 in the foot using it as a nonce in input in some email header scheme or
3889 whatever weirdness they'll twist this into.  The result should handle fork()
3890 and avoid repeating sequences.  OpenSSL handles that for us.
3891
3892 Arguments:
3893   max       range maximum
3894 Returns     a random number in range [0, max-1]
3895 */
3896
3897 int
3898 vaguely_random_number(int max)
3899 {
3900 unsigned int r;
3901 int i, needed_len;
3902 static pid_t pidlast = 0;
3903 pid_t pidnow;
3904 uschar smallbuf[sizeof(r)];
3905
3906 if (max <= 1)
3907   return 0;
3908
3909 pidnow = getpid();
3910 if (pidnow != pidlast)
3911   {
3912   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
3913   is unique for each thread", this doesn't apparently apply across processes,
3914   so our own warning from vaguely_random_number_fallback() applies here too.
3915   Fix per PostgreSQL. */
3916   if (pidlast != 0)
3917     RAND_cleanup();
3918   pidlast = pidnow;
3919   }
3920
3921 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
3922 if (!RAND_status())
3923   {
3924   randstuff r;
3925   gettimeofday(&r.tv, NULL);
3926   r.p = getpid();
3927
3928   RAND_seed(US (&r), sizeof(r));
3929   }
3930 /* We're after pseudo-random, not random; if we still don't have enough data
3931 in the internal PRNG then our options are limited.  We could sleep and hope
3932 for entropy to come along (prayer technique) but if the system is so depleted
3933 in the first place then something is likely to just keep taking it.  Instead,
3934 we'll just take whatever little bit of pseudo-random we can still manage to
3935 get. */
3936
3937 needed_len = sizeof(r);
3938 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
3939 asked for a number less than 10. */
3940 for (r = max, i = 0; r; ++i)
3941   r >>= 1;
3942 i = (i + 7) / 8;
3943 if (i < needed_len)
3944   needed_len = i;
3945
3946 #ifdef EXIM_HAVE_RAND_PSEUDO
3947 /* We do not care if crypto-strong */
3948 i = RAND_pseudo_bytes(smallbuf, needed_len);
3949 #else
3950 i = RAND_bytes(smallbuf, needed_len);
3951 #endif
3952
3953 if (i < 0)
3954   {
3955   DEBUG(D_all)
3956     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
3957   return vaguely_random_number_fallback(max);
3958   }
3959
3960 r = 0;
3961 for (uschar * p = smallbuf; needed_len; --needed_len, ++p)
3962   r = 256 * r + *p;
3963
3964 /* We don't particularly care about weighted results; if someone wants
3965 smooth distribution and cares enough then they should submit a patch then. */
3966 return r % max;
3967 }
3968
3969
3970
3971
3972 /*************************************************
3973 *        OpenSSL option parse                    *
3974 *************************************************/
3975
3976 /* Parse one option for tls_openssl_options_parse below
3977
3978 Arguments:
3979   name    one option name
3980   value   place to store a value for it
3981 Returns   success or failure in parsing
3982 */
3983
3984
3985
3986 static BOOL
3987 tls_openssl_one_option_parse(uschar *name, long *value)
3988 {
3989 int first = 0;
3990 int last = exim_openssl_options_size;
3991 while (last > first)
3992   {
3993   int middle = (first + last)/2;
3994   int c = Ustrcmp(name, exim_openssl_options[middle].name);
3995   if (c == 0)
3996     {
3997     *value = exim_openssl_options[middle].value;
3998     return TRUE;
3999     }
4000   else if (c > 0)
4001     first = middle + 1;
4002   else
4003     last = middle;
4004   }
4005 return FALSE;
4006 }
4007
4008
4009
4010
4011 /*************************************************
4012 *        OpenSSL option parsing logic            *
4013 *************************************************/
4014
4015 /* OpenSSL has a number of compatibility options which an administrator might
4016 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
4017 we look like log_selector.
4018
4019 Arguments:
4020   option_spec  the administrator-supplied string of options
4021   results      ptr to long storage for the options bitmap
4022 Returns        success or failure
4023 */
4024
4025 BOOL
4026 tls_openssl_options_parse(uschar *option_spec, long *results)
4027 {
4028 long result, item;
4029 uschar * exp, * end;
4030 uschar keep_c;
4031 BOOL adding, item_parsed;
4032
4033 /* Server: send no (<= TLS1.2) session tickets */
4034 result = SSL_OP_NO_TICKET;
4035
4036 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
4037 from default because it increases BEAST susceptibility. */
4038 #ifdef SSL_OP_NO_SSLv2
4039 result |= SSL_OP_NO_SSLv2;
4040 #endif
4041 #ifdef SSL_OP_NO_SSLv3
4042 result |= SSL_OP_NO_SSLv3;
4043 #endif
4044 #ifdef SSL_OP_SINGLE_DH_USE
4045 result |= SSL_OP_SINGLE_DH_USE;
4046 #endif
4047 #ifdef SSL_OP_NO_RENEGOTIATION
4048 result |= SSL_OP_NO_RENEGOTIATION;
4049 #endif
4050
4051 if (!option_spec)
4052   {
4053   *results = result;
4054   return TRUE;
4055   }
4056
4057 if (!expand_check(option_spec, US"openssl_options", &exp, &end))
4058   return FALSE;
4059
4060 for (uschar * s = exp; *s; /**/)
4061   {
4062   while (isspace(*s)) ++s;
4063   if (*s == '\0')
4064     break;
4065   if (*s != '+' && *s != '-')
4066     {
4067     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
4068         "+ or - expected but found \"%s\"\n", s);
4069     return FALSE;
4070     }
4071   adding = *s++ == '+';
4072   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
4073   keep_c = *end;
4074   *end = '\0';
4075   item_parsed = tls_openssl_one_option_parse(s, &item);
4076   *end = keep_c;
4077   if (!item_parsed)
4078     {
4079     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
4080     return FALSE;
4081     }
4082   DEBUG(D_tls) debug_printf("openssl option, %s %08lx: %08lx (%s)\n",
4083       adding ? "adding to    " : "removing from", result, item, s);
4084   if (adding)
4085     result |= item;
4086   else
4087     result &= ~item;
4088   s = end;
4089   }
4090
4091 *results = result;
4092 return TRUE;
4093 }
4094
4095 #endif  /*!MACRO_PREDEF*/
4096 /* vi: aw ai sw=2
4097 */
4098 /* End of tls-openssl.c */