dirmngr: First take on ntbtls cert verification.
[gnupg.git] / dirmngr / http-ntbtls.c
1 /* http-ntbtls.c - Support for using NTBTLS with http.c
2  * Copyright (C) 2017  Werner Koch
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, see <https://www.gnu.org/licenses/>.
18  */
19
20 #include <config.h>
21
22 #include <stdio.h>
23 #include <stdlib.h>
24 #include <string.h>
25
26 #include "dirmngr.h"
27 #include "certcache.h"
28 #include "validate.h"
29
30 #ifdef HTTP_USE_NTBTLS
31 # include <ntbtls.h>
32
33
34
35 /* The callback used to verify the peer's certificate.  */
36 gpg_error_t
37 gnupg_http_tls_verify_cb (void *opaque,
38                           http_t http,
39                           http_session_t session,
40                           unsigned int http_flags,
41                           void *tls_context)
42 {
43   ctrl_t ctrl = opaque;
44   gpg_error_t err;
45   int idx;
46   ksba_cert_t cert;
47   ksba_cert_t hostcert = NULL;
48   unsigned int validate_flags;
49
50   (void)http;
51   (void)session;
52
53   log_assert (ctrl && ctrl->magic == SERVER_CONTROL_MAGIC);
54
55   /* Get the peer's certs fron ntbtls.  */
56   for (idx = 0;
57        (cert = ntbtls_x509_get_peer_cert (tls_context, idx)); idx++)
58     {
59       if (!idx)
60         hostcert = cert;
61       else
62         {
63           /* Quick hack to make verification work by inserting the supplied
64            * certs into the cache.  FIXME! */
65           cache_cert (cert);
66           ksba_cert_release (cert);
67         }
68     }
69   if (!idx)
70     {
71       err  = gpg_error (GPG_ERR_MISSING_CERT);
72       goto leave;
73     }
74
75   validate_flags = VALIDATE_FLAG_TLS;
76   /* if ((http_flags & HTTP_FLAG_TRUST_DEF)) */
77   /*   validate_flags |= VALIDATE_FLAG_??; */
78   if ((http_flags & HTTP_FLAG_TRUST_SYS))
79     validate_flags |= VALIDATE_FLAG_SYSTRUST;
80
81   /* FIXME: For now we don't use CRLs.  */
82   validate_flags |= VALIDATE_FLAG_NOCRLCHECK;
83
84   err = validate_cert_chain (ctrl, hostcert, NULL, validate_flags, NULL);
85
86  leave:
87   ksba_cert_release (hostcert);
88   return err;
89 }
90
91
92 #else /*!HTTP_USE_NTBTLS*/
93
94 /* Dummy function used when not build without ntbtls support.  */
95 gpg_error_t
96 gnupg_http_tls_verify_cb (void *opaque,
97                           http_t http,
98                           http_session_t session,
99                           unsigned int flags,
100                           void *tls_context)
101 {
102   (void)opaque;
103   (void)http;
104   (void)session;
105   (void)flags;
106   (void)tls_context;
107   return gpg_error (GPG_ERR_NOT_IMPLEMENTED);
108 }
109 #endif /*!HTTP_USE_NTBTLS*/