gpg: Remove PGP6 compliance mode.
[gnupg.git] / dirmngr / http-ntbtls.c
1 /* http-ntbtls.c - Support for using NTBTLS with http.c
2  * Copyright (C) 2017  Werner Koch
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, see <https://www.gnu.org/licenses/>.
18  */
19
20 #include <config.h>
21
22 #include <stdio.h>
23 #include <stdlib.h>
24 #include <string.h>
25
26 #include "dirmngr.h"
27 #include "certcache.h"
28 #include "validate.h"
29 #include "http-common.h"
30
31 #ifdef HTTP_USE_NTBTLS
32 # include <ntbtls.h>
33
34
35 /* The callback used to verify the peer's certificate.  */
36 gpg_error_t
37 gnupg_http_tls_verify_cb (void *opaque,
38                           http_t http,
39                           http_session_t session,
40                           unsigned int http_flags,
41                           void *tls_context)
42 {
43   ctrl_t ctrl = opaque;
44   ntbtls_t tls = tls_context;
45   gpg_error_t err;
46   int idx;
47   ksba_cert_t cert;
48   ksba_cert_t hostcert = NULL;
49   unsigned int validate_flags;
50   const char *hostname;
51
52   (void)http;
53   (void)session;
54
55   log_assert (ctrl && ctrl->magic == SERVER_CONTROL_MAGIC);
56   log_assert (!ntbtls_check_context (tls));
57
58   /* Get the peer's certs fron ntbtls.  */
59   for (idx = 0;
60        (cert = ntbtls_x509_get_peer_cert (tls, idx)); idx++)
61     {
62       if (!idx)
63         hostcert = cert;
64       else
65         {
66           /* Quick hack to make verification work by inserting the supplied
67            * certs into the cache.  FIXME! */
68           cache_cert (cert);
69           ksba_cert_release (cert);
70         }
71     }
72   if (!idx)
73     {
74       err  = gpg_error (GPG_ERR_MISSING_CERT);
75       goto leave;
76     }
77
78   validate_flags = VALIDATE_FLAG_TLS;
79
80   /* If we are using the standard hkps:// pool use the dedicated
81    * root certificate.  */
82   hostname = ntbtls_get_hostname (tls);
83   if (hostname
84       && !ascii_strcasecmp (hostname, get_default_keyserver (1)))
85     {
86       validate_flags |= VALIDATE_FLAG_TRUST_HKPSPOOL;
87     }
88   else /* Use the certificates as requested from the HTTP module.  */
89     {
90       if ((http_flags & HTTP_FLAG_TRUST_CFG))
91         validate_flags |= VALIDATE_FLAG_TRUST_CONFIG;
92       if ((http_flags & HTTP_FLAG_TRUST_DEF))
93         validate_flags |= VALIDATE_FLAG_TRUST_HKP;
94       if ((http_flags & HTTP_FLAG_TRUST_SYS))
95         validate_flags |= VALIDATE_FLAG_TRUST_SYSTEM;
96
97       /* If HKP trust is requested and there are no HKP certificates
98        * configured, also try the standard system certificates.  */
99       if ((validate_flags & VALIDATE_FLAG_TRUST_HKP)
100           && !cert_cache_any_in_class (CERTTRUST_CLASS_HKP))
101         validate_flags |= VALIDATE_FLAG_TRUST_SYSTEM;
102     }
103
104   if ((http_flags & HTTP_FLAG_NO_CRL))
105     validate_flags |= VALIDATE_FLAG_NOCRLCHECK;
106
107   err = validate_cert_chain (ctrl, hostcert, NULL, validate_flags, NULL);
108
109  leave:
110   ksba_cert_release (hostcert);
111   return err;
112 }
113
114
115 #else /*!HTTP_USE_NTBTLS*/
116
117 /* Dummy function used when not build without ntbtls support.  */
118 gpg_error_t
119 gnupg_http_tls_verify_cb (void *opaque,
120                           http_t http,
121                           http_session_t session,
122                           unsigned int flags,
123                           void *tls_context)
124 {
125   (void)opaque;
126   (void)http;
127   (void)session;
128   (void)flags;
129   (void)tls_context;
130   return gpg_error (GPG_ERR_NOT_IMPLEMENTED);
131 }
132 #endif /*!HTTP_USE_NTBTLS*/