dirmngr: First take on ntbtls cert verification.
[gnupg.git] / dirmngr / t-http.c
1 /* t-http.c
2  * Copyright (C) 1999, 2001, 2002, 2003, 2004, 2006, 2009, 2010,
3  *               2011 Free Software Foundation, Inc.
4  * Copyright (C) 2014 Werner Koch
5  *
6  * This file is part of GnuPG.
7  *
8  * This file is free software; you can redistribute it and/or modify
9  * it under the terms of either
10  *
11  *   - the GNU Lesser General Public License as published by the Free
12  *     Software Foundation; either version 3 of the License, or (at
13  *     your option) any later version.
14  *
15  * or
16  *
17  *   - the GNU General Public License as published by the Free
18  *     Software Foundation; either version 2 of the License, or (at
19  *     your option) any later version.
20  *
21  * or both in parallel, as here.
22  *
23  * This file is distributed in the hope that it will be useful,
24  * but WITHOUT ANY WARRANTY; without even the implied warranty of
25  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
26  * GNU General Public License for more details.
27  *
28  * You should have received a copy of the GNU General Public License
29  * along with this program; if not, see <https://www.gnu.org/licenses/>.
30  */
31
32 #include <config.h>
33 #include <stdlib.h>
34 #include <stdio.h>
35 #include <string.h>
36 #include <sys/types.h>
37 #include <sys/stat.h>
38 #include <unistd.h>
39 #include <assuan.h>
40
41 #include "util.h"
42 #include "logging.h"
43 #include "http.h"
44
45 #if HTTP_USE_NTBTLS
46 # include <ntbtls.h>
47 #elif HTTP_USE_GNUTLS
48 # include <gnutls/gnutls.h>  /* For init, logging, and deinit.  */
49 #endif /*HTTP_USE_GNUTLS*/
50
51 #define PGM "t-http"
52
53 static int verbose;
54 static int debug;
55 static int no_verify;
56
57 /* static void */
58 /* read_dh_params (const char *fname) */
59 /* { */
60 /*   gpg_error_t err; */
61 /*   int rc; */
62 /*   FILE *fp; */
63 /*   struct stat st; */
64 /*   char *buf; */
65 /*   size_t buflen; */
66 /*   gnutls_datum_t datum; */
67
68 /*   fp = fopen (fname, "rb"); */
69 /*   if (!fp) */
70 /*     { */
71 /*       err = gpg_error_from_syserror (); */
72 /*       log_fatal ("can't open '%s': %s\n", fname, gpg_strerror (err)); */
73 /*     } */
74
75 /*   if (fstat (fileno(fp), &st)) */
76 /*     { */
77 /*       err = gpg_error_from_syserror (); */
78 /*       log_fatal ("can't stat '%s': %s\n", fname, gpg_strerror (err)); */
79 /*     } */
80
81 /*   buflen = st.st_size; */
82 /*   buf = xmalloc (buflen+1); */
83 /*   if (fread (buf, buflen, 1, fp) != 1) */
84 /*     { */
85 /*       err = gpg_error_from_syserror (); */
86 /*       log_fatal ("error reading '%s': %s\n", fname, gpg_strerror (err)); */
87 /*     } */
88 /*   fclose (fp); */
89
90 /*   datum.size = buflen; */
91 /*   datum.data = buf; */
92
93 /*   rc = gnutls_dh_params_import_pkcs3 (dh_params, &datum, GNUTLS_X509_FMT_PEM); */
94 /*   if (rc < 0) */
95 /*     log_fatal ("gnutls_dh_param_import failed: %s\n", gnutls_strerror (rc)); */
96
97 /*   xfree (buf); */
98 /* } */
99
100
101
102 #if HTTP_USE_GNUTLS
103 static gpg_error_t
104 verify_callback (http_t hd, http_session_t session, int reserved)
105 {
106   (void)hd;
107   (void)reserved;
108   return no_verify? 0 : http_verify_server_credentials (session);
109 }
110 #endif
111
112 #if HTTP_USE_GNUTLS
113 static void
114 my_gnutls_log (int level, const char *text)
115 {
116   fprintf (stderr, "gnutls:L%d: %s", level, text);
117 }
118 #endif
119
120
121 static gpg_error_t
122 my_http_tls_verify_cb (void *opaque,
123                        http_t http,
124                        http_session_t session,
125                        unsigned int http_flags,
126                        void *tls_context)
127 {
128   gpg_error_t err;
129   int idx;
130   ksba_cert_t cert;
131   ksba_cert_t hostcert = NULL;
132
133   (void)opaque;
134   (void)http;
135   (void)session;
136
137
138   /* Get the peer's certs fron ntbtls.  */
139   for (idx = 0;
140        (cert = ntbtls_x509_get_peer_cert (tls_context, idx)); idx++)
141     {
142       if (!idx)
143         {
144           log_info ("Received host certificate\n");
145           hostcert = cert;
146         }
147       else
148         {
149
150           log_info ("Received additional certificate\n");
151           ksba_cert_release (cert);
152         }
153     }
154   if (!idx)
155     {
156       err  = gpg_error (GPG_ERR_MISSING_CERT);
157       goto leave;
158     }
159
160   err = 0;
161
162  leave:
163   ksba_cert_release (hostcert);
164   log_info ("my_http_tls_verify_cb returns: %s\n", gpg_strerror (err));
165   return err;
166 }
167
168
169
170 /* Prepend FNAME with the srcdir environment variable's value and
171    return an allocated filename. */
172 static char *
173 prepend_srcdir (const char *fname)
174 {
175   static const char *srcdir;
176   char *result;
177
178   if (!srcdir && !(srcdir = getenv ("srcdir")))
179     srcdir = ".";
180
181   result = xmalloc (strlen (srcdir) + 1 + strlen (fname) + 1);
182   strcpy (result, srcdir);
183   strcat (result, "/");
184   strcat (result, fname);
185   return result;
186 }
187
188
189 int
190 main (int argc, char **argv)
191 {
192   int last_argc = -1;
193   gpg_error_t err;
194   int rc;  parsed_uri_t uri;
195   uri_tuple_t r;
196   http_t hd;
197   int c;
198   unsigned int my_http_flags = 0;
199   int no_out = 0;
200   int tls_dbg = 0;
201   const char *cafile = NULL;
202   http_session_t session = NULL;
203
204   gpgrt_init ();
205   log_set_prefix (PGM, GPGRT_LOG_WITH_PREFIX | GPGRT_LOG_WITH_PID);
206   if (argc)
207     { argc--; argv++; }
208   while (argc && last_argc != argc )
209     {
210       last_argc = argc;
211       if (!strcmp (*argv, "--"))
212         {
213           argc--; argv++;
214           break;
215         }
216       else if (!strcmp (*argv, "--help"))
217         {
218           fputs ("usage: " PGM " URL\n"
219                  "Options:\n"
220                  "  --verbose         print timings etc.\n"
221                  "  --debug           flyswatter\n"
222                  "  --tls-debug N     use TLS debug level N\n"
223                  "  --cacert FNAME    expect CA certificate in file FNAME\n"
224                  "  --no-verify       do not verify the certificate\n"
225                  "  --force-tls       use HTTP_FLAG_FORCE_TLS\n"
226                  "  --force-tor       use HTTP_FLAG_FORCE_TOR\n"
227                  "  --no-out          do not print the content\n",
228                  stdout);
229           exit (0);
230         }
231       else if (!strcmp (*argv, "--verbose"))
232         {
233           verbose++;
234           argc--; argv++;
235         }
236       else if (!strcmp (*argv, "--debug"))
237         {
238           verbose += 2;
239           debug++;
240           argc--; argv++;
241         }
242       else if (!strcmp (*argv, "--tls-debug"))
243         {
244           argc--; argv++;
245           if (argc)
246             {
247               tls_dbg = atoi (*argv);
248               argc--; argv++;
249             }
250         }
251       else if (!strcmp (*argv, "--cacert"))
252         {
253           argc--; argv++;
254           if (argc)
255             {
256               cafile = *argv;
257               argc--; argv++;
258             }
259         }
260       else if (!strcmp (*argv, "--no-verify"))
261         {
262           no_verify = 1;
263           argc--; argv++;
264         }
265       else if (!strcmp (*argv, "--force-tls"))
266         {
267           my_http_flags |= HTTP_FLAG_FORCE_TLS;
268           argc--; argv++;
269         }
270       else if (!strcmp (*argv, "--force-tor"))
271         {
272           my_http_flags |= HTTP_FLAG_FORCE_TOR;
273           argc--; argv++;
274         }
275       else if (!strcmp (*argv, "--no-out"))
276         {
277           no_out = 1;
278           argc--; argv++;
279         }
280       else if (!strncmp (*argv, "--", 2))
281         {
282           fprintf (stderr, PGM ": unknown option '%s'\n", *argv);
283           exit (1);
284         }
285     }
286   if (argc != 1)
287     {
288       fprintf (stderr, PGM ": no or too many URLS given\n");
289       exit (1);
290     }
291
292   if (!cafile)
293     cafile = prepend_srcdir ("tls-ca.pem");
294
295   /* http.c makes use of the assuan socket wrapper.  */
296   assuan_sock_init ();
297
298 #if HTTP_USE_NTBTLS
299   log_info ("new session.\n");
300   err = http_session_new (&session, NULL, HTTP_FLAG_TRUST_DEF,
301                           my_http_tls_verify_cb, NULL);
302   if (err)
303     log_error ("http_session_new failed: %s\n", gpg_strerror (err));
304   ntbtls_set_debug (tls_dbg, NULL, NULL);
305
306 #elif HTTP_USE_GNUTLS
307
308   rc = gnutls_global_init ();
309   if (rc)
310     log_error ("gnutls_global_init failed: %s\n", gnutls_strerror (rc));
311
312   http_register_tls_callback (verify_callback);
313   http_register_tls_ca (cafile);
314
315   err = http_session_new (&session, NULL, HTTP_FLAG_TRUST_DEF, NULL, NULL);
316   if (err)
317     log_error ("http_session_new failed: %s\n", gpg_strerror (err));
318
319   /* rc = gnutls_dh_params_init(&dh_params); */
320   /* if (rc) */
321   /*   log_error ("gnutls_dh_params_init failed: %s\n", gnutls_strerror (rc)); */
322   /* read_dh_params ("dh_param.pem"); */
323
324   /* rc = gnutls_certificate_set_x509_trust_file */
325   /*   (certcred, "ca.pem", GNUTLS_X509_FMT_PEM); */
326   /* if (rc) */
327   /*   log_error ("gnutls_certificate_set_x509_trust_file failed: %s\n", */
328   /*              gnutls_strerror (rc)); */
329
330   /* gnutls_certificate_set_dh_params (certcred, dh_params); */
331
332   gnutls_global_set_log_function (my_gnutls_log);
333   if (tls_dbg)
334     gnutls_global_set_log_level (tls_dbg);
335
336 #endif /*HTTP_USE_GNUTLS*/
337
338   rc = http_parse_uri (&uri, *argv, 1);
339   if (rc)
340     {
341       log_error ("'%s': %s\n", *argv, gpg_strerror (rc));
342       return 1;
343     }
344
345   printf ("Scheme: %s\n", uri->scheme);
346   if (uri->opaque)
347     printf ("Value : %s\n", uri->path);
348   else
349     {
350       printf ("Auth  : %s\n", uri->auth? uri->auth:"[none]");
351       printf ("Host  : %s\n", uri->host);
352       printf ("Port  : %u\n", uri->port);
353       printf ("Path  : %s\n", uri->path);
354       for (r = uri->params; r; r = r->next)
355         {
356           printf ("Params: %s", r->name);
357           if (!r->no_value)
358             {
359               printf ("=%s", r->value);
360               if (strlen (r->value) != r->valuelen)
361                 printf (" [real length=%d]", (int) r->valuelen);
362             }
363           putchar ('\n');
364         }
365       for (r = uri->query; r; r = r->next)
366         {
367           printf ("Query : %s", r->name);
368           if (!r->no_value)
369             {
370               printf ("=%s", r->value);
371               if (strlen (r->value) != r->valuelen)
372                 printf (" [real length=%d]", (int) r->valuelen);
373             }
374           putchar ('\n');
375         }
376       printf ("Flags :%s%s%s%s\n",
377               uri->is_http? " http":"",
378               uri->opaque?  " opaque":"",
379               uri->v6lit?   " v6lit":"",
380               uri->onion?   " onion":"");
381       printf ("TLS   : %s\n",
382               uri->use_tls? "yes":
383               (my_http_flags&HTTP_FLAG_FORCE_TLS)? "forced" : "no");
384       printf ("Tor   : %s\n",
385               (my_http_flags&HTTP_FLAG_FORCE_TOR)? "yes" : "no");
386
387     }
388   fflush (stdout);
389   http_release_parsed_uri (uri);
390   uri = NULL;
391
392   rc = http_open_document (&hd, *argv, NULL, my_http_flags,
393                            NULL, session, NULL, NULL);
394   if (rc)
395     {
396       log_error ("can't get '%s': %s\n", *argv, gpg_strerror (rc));
397       return 1;
398     }
399   log_info ("open_http_document succeeded; status=%u\n",
400             http_get_status_code (hd));
401
402   {
403     const char **names;
404     int i;
405
406     names = http_get_header_names (hd);
407     if (!names)
408       log_fatal ("http_get_header_names failed: %s\n",
409                  gpg_strerror (gpg_error_from_syserror ()));
410     for (i = 0; names[i]; i++)
411       printf ("HDR: %s: %s\n", names[i], http_get_header (hd, names[i]));
412     xfree (names);
413   }
414   fflush (stdout);
415
416   switch (http_get_status_code (hd))
417     {
418     case 200:
419     case 400:
420     case 401:
421     case 403:
422     case 404:
423       {
424         unsigned long count = 0;
425         while ((c = es_getc (http_get_read_ptr (hd))) != EOF)
426           {
427             count++;
428             if (!no_out)
429               putchar (c);
430           }
431         log_info ("Received bytes: %lu\n", count);
432       }
433       break;
434     case 301:
435     case 302:
436     case 307:
437       log_info ("Redirected to: %s\n", http_get_header (hd, "Location"));
438       break;
439     }
440   http_close (hd, 0);
441
442   http_session_release (session);
443 #ifdef HTTP_USE_GNUTLS
444   gnutls_global_deinit ();
445 #endif /*HTTP_USE_GNUTLS*/
446
447   return 0;
448 }