Fix usage of ARGPARSE_OPTS.
[gnupg.git] / dirmngr / http-ntbtls.c
1 /* http-ntbtls.c - Support for using NTBTLS with http.c
2  * Copyright (C) 2017  Werner Koch
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, see <https://www.gnu.org/licenses/>.
18  */
19
20 #include <config.h>
21
22 #include <stdio.h>
23 #include <stdlib.h>
24 #include <string.h>
25
26 #include "dirmngr.h"
27 #include "certcache.h"
28 #include "validate.h"
29 #include "http-common.h"
30
31 #ifdef HTTP_USE_NTBTLS
32 # include <ntbtls.h>
33
34
35 /* The callback used to verify the peer's certificate.  */
36 gpg_error_t
37 gnupg_http_tls_verify_cb (void *opaque,
38                           http_t http,
39                           http_session_t session,
40                           unsigned int http_flags,
41                           void *tls_context)
42 {
43   ctrl_t ctrl = opaque;
44   ntbtls_t tls = tls_context;
45   gpg_error_t err;
46   int idx;
47   ksba_cert_t cert;
48   ksba_cert_t hostcert = NULL;
49   unsigned int validate_flags;
50   const char *hostname;
51
52   (void)http;
53   (void)session;
54
55   log_assert (ctrl && ctrl->magic == SERVER_CONTROL_MAGIC);
56   log_assert (!ntbtls_check_context (tls));
57
58   /* Get the peer's certs fron ntbtls.  */
59   for (idx = 0;
60        (cert = ntbtls_x509_get_peer_cert (tls, idx)); idx++)
61     {
62       if (!idx)
63         hostcert = cert;
64       else
65         {
66           /* Quick hack to make verification work by inserting the supplied
67            * certs into the cache.  FIXME! */
68           cache_cert (cert);
69           ksba_cert_release (cert);
70         }
71     }
72   if (!idx)
73     {
74       err  = gpg_error (GPG_ERR_MISSING_CERT);
75       goto leave;
76     }
77
78   validate_flags = VALIDATE_FLAG_TLS;
79
80   /* If we are using the standard hkps:// pool use the dedicated
81    * root certificate.  */
82   hostname = ntbtls_get_hostname (tls);
83   if (hostname
84       && !ascii_strcasecmp (hostname, get_default_keyserver (1)))
85     {
86       validate_flags |= VALIDATE_FLAG_TRUST_HKPSPOOL;
87     }
88   else /* Use the certificates as requested from the HTTP module.  */
89     {
90       if ((http_flags & HTTP_FLAG_TRUST_DEF))
91         validate_flags |= VALIDATE_FLAG_TRUST_HKP;
92       if ((http_flags & HTTP_FLAG_TRUST_SYS))
93         validate_flags |= VALIDATE_FLAG_TRUST_SYSTEM;
94     }
95
96   if ((http_flags & HTTP_FLAG_NO_CRL))
97     validate_flags |= VALIDATE_FLAG_NOCRLCHECK;
98
99   err = validate_cert_chain (ctrl, hostcert, NULL, validate_flags, NULL);
100
101  leave:
102   ksba_cert_release (hostcert);
103   return err;
104 }
105
106
107 #else /*!HTTP_USE_NTBTLS*/
108
109 /* Dummy function used when not build without ntbtls support.  */
110 gpg_error_t
111 gnupg_http_tls_verify_cb (void *opaque,
112                           http_t http,
113                           http_session_t session,
114                           unsigned int flags,
115                           void *tls_context)
116 {
117   (void)opaque;
118   (void)http;
119   (void)session;
120   (void)flags;
121   (void)tls_context;
122   return gpg_error (GPG_ERR_NOT_IMPLEMENTED);
123 }
124 #endif /*!HTTP_USE_NTBTLS*/