mbedtls: Fix setting allowed cipher suites

[project/ustream-ssl.git] / ustream-openssl.c
diff --git a/ustream-openssl.c b/ustream-openssl.c

index c826e4e..eb03dab 100644 (file)
--- a/ustream-openssl.c
+++ b/ustream-openssl.c
@@ -16,6 +16,9 @@
   * OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
   */
  
+#include <string.h>
+#include <ctype.h>
+#include <openssl/x509v3.h>
  #include "ustream-ssl.h"
  #include "ustream-internal.h"
  
@@ -32,33 +35,46 @@ __ustream_ssl_context_new(bool server)
                 _init = true;
         }
  
-#ifdef CYASSL_OPENSSL_H_
         if (server)
+#ifdef CYASSL_OPENSSL_H_
                 m = SSLv23_server_method();
-       else
-               m = SSLv23_client_method();
  #else
-       if (server)
-               m = TLSv1_server_method();
-       else
-               m = TLSv1_client_method();
+               m = TLSv1_2_server_method();
  #endif
+       else
+               m = SSLv23_client_method();
  
         c = SSL_CTX_new((void *) m);
         if (!c)
                 return NULL;
  
+       SSL_CTX_set_verify(c, SSL_VERIFY_NONE, NULL);
+#ifndef OPENSSL_NO_ECDH
+       SSL_CTX_set_ecdh_auto(c, 1);
+#endif
         if (server)
-               SSL_CTX_set_verify(c, SSL_VERIFY_NONE, NULL);
+               SSL_CTX_set_cipher_list(c, "DEFAULT:!RC4:@STRENGTH");
+       SSL_CTX_set_quiet_shutdown(c, 1);
  
         return (void *) c;
  }
  
+__hidden int __ustream_ssl_add_ca_crt_file(struct ustream_ssl_ctx *ctx, const char *file)
+{
+       int ret;
+
+       ret = SSL_CTX_load_verify_locations((void *) ctx, file, NULL);
+       if (ret < 1)
+               return -1;
+
+       return 0;
+}
+
  __hidden int __ustream_ssl_set_crt_file(struct ustream_ssl_ctx *ctx, const char *file)
  {
         int ret;
  
-       ret = SSL_CTX_use_certificate_file((void *) ctx, file, SSL_FILETYPE_PEM);
+       ret = SSL_CTX_use_certificate_chain_file((void *) ctx, file);
         if (ret < 1)
                 ret = SSL_CTX_use_certificate_file((void *) ctx, file, SSL_FILETYPE_ASN1);
  
@@ -87,12 +103,56 @@ __hidden void __ustream_ssl_context_free(struct ustream_ssl_ctx *ctx)
         SSL_CTX_free((void *) ctx);
  }
  
+void __ustream_ssl_session_free(void *ssl)
+{
+       SSL_shutdown(ssl);
+       SSL_free(ssl);
+}
+
  static void ustream_ssl_error(struct ustream_ssl *us, int ret)
  {
         us->error = ret;
         uloop_timeout_set(&us->error_timer, 0);
  }
  
+#ifndef CYASSL_OPENSSL_H_
+
+static bool ustream_ssl_verify_cn(struct ustream_ssl *us, X509 *cert)
+{
+       int ret;
+
+       if (!us->peer_cn)
+               return false;
+
+       ret = X509_check_host(cert, us->peer_cn, 0, X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS, NULL);
+       return ret == 1;
+}
+
+
+static void ustream_ssl_verify_cert(struct ustream_ssl *us)
+{
+       void *ssl = us->ssl;
+       X509 *cert;
+       int res;
+
+       res = SSL_get_verify_result(ssl);
+       if (res != X509_V_OK) {
+               if (us->notify_verify_error)
+                       us->notify_verify_error(us, res, X509_verify_cert_error_string(res));
+               return;
+       }
+
+       cert = SSL_get_peer_certificate(ssl);
+       if (!cert)
+               return;
+
+       us->valid_cert = true;
+       us->valid_cn = ustream_ssl_verify_cn(us, cert);
+       X509_free(cert);
+}
+
+#endif
+
  __hidden enum ssl_conn_status __ustream_ssl_connect(struct ustream_ssl *us)
  {
         void *ssl = us->ssl;
@@ -103,8 +163,12 @@ __hidden enum ssl_conn_status __ustream_ssl_connect(struct ustream_ssl *us)
         else
                 r = SSL_connect(ssl);
  
-       if (r == 1)
+       if (r == 1) {
+#ifndef CYASSL_OPENSSL_H_
+               ustream_ssl_verify_cert(us);
+#endif
                 return U_SSL_OK;
+       }
  
         r = SSL_get_error(ssl, r);
         if (r == SSL_ERROR_WANT_READ || r == SSL_ERROR_WANT_WRITE)