]> git.netwichtig.de Git - user/henk/code/exim.git/blobdiff - src/src/tls.c
projects / user / henk / code / exim.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
Merge branch 'master' of ssh://git.exim.org/home/git/exim
[user/henk/code/exim.git] / src / src / tls.c
diff --git a/src/src/tls.c b/src/src/tls.c
index 75c46e9e4560b65f641718bc319cfa15ba5bc3a3..f2ab56706201a8bbc267ea0a031b71366438604a 100644 (file)
--- a/src/src/tls.c
+++ b/src/src/tls.c
@@ -196,6 +196,8 @@ modify_variable(US"tls_sni",                  &dest_tsp->sni);
 #endif
 }
 
+
+#ifdef SUPPORT_TLS
 /************************************************
 *      TLS certificate name operations         *
 ************************************************/
@@ -239,7 +241,7 @@ uschar * match = NULL;
 int len;
 uschar * list = NULL;
 
-while (ele = string_nextinlist(&mod, &insep, NULL, 0))
+while ((ele = string_nextinlist(&mod, &insep, NULL, 0)))
   if (ele[0] != '>')
     match = ele;       /* field tag to match */
   else if (ele[1])
@@ -248,13 +250,87 @@ while (ele = string_nextinlist(&mod, &insep, NULL, 0))
 dn_to_list(dn);
 insep = ',';
 len = Ustrlen(match);
-while (ele = string_nextinlist(&dn, &insep, NULL, 0))
+while ((ele = string_nextinlist(&dn, &insep, NULL, 0)))
   if (Ustrncmp(ele, match, len) == 0 && ele[len] == '=')
     list = string_append_listele(list, outsep, ele+len+1);
 return list;
 }
 
 
+# ifdef EXPERIMENTAL_CERTNAMES
+/* Compare a domain name with a possibly-wildcarded name. Wildcards
+are restricted to a single one, as the first element of patterns
+having at least three dot-separated elements.  Case-independent.
+Return TRUE for a match
+*/
+static BOOL
+is_name_match(const uschar * name, const uschar * pat)
+{
+uschar * cp;
+return *pat == '*'             /* possible wildcard match */
+  ?    *++pat == '.'           /* starts star, dot              */
+    && !Ustrchr(++pat, '*')    /* has no more stars             */
+    && Ustrchr(pat, '.')       /* and has another dot.          */
+    && (cp = Ustrchr(name, '.'))/* The name has at least one dot */
+    && strcmpic(++cp, pat) == 0 /* and we only compare after it. */
+  :    !Ustrchr(pat+1, '*')
+    && strcmpic(name, pat) == 0;
+}
+
+/* Compare a list of names with the dnsname elements
+of the Subject Alternate Name, if any, and the
+Subject otherwise.
+
+Arguments:
+       namelist names to compare
+       cert     certificate
+
+Returns:
+       TRUE/FALSE
+*/
+
+BOOL
+tls_is_name_for_cert(uschar * namelist, void * cert)
+{
+uschar * altnames = tls_cert_subject_altname(cert, US"dns");
+uschar * subjdn;
+uschar * certname;
+int cmp_sep = 0;
+uschar * cmpname;
+
+if ((altnames = tls_cert_subject_altname(cert, US"dns")))
+  {
+  int alt_sep = '\n';
+  while ((cmpname = string_nextinlist(&namelist, &cmp_sep, NULL, 0)))
+    {
+    uschar * an = altnames;
+    while ((certname = string_nextinlist(&an, &alt_sep, NULL, 0)))
+      if (is_name_match(cmpname, certname))
+       return TRUE;
+    }
+  }
+
+else if ((subjdn = tls_cert_subject(cert, NULL)))
+  {
+  int sn_sep = ',';
+
+  dn_to_list(subjdn);
+  while ((cmpname = string_nextinlist(&namelist, &cmp_sep, NULL, 0)))
+    {
+    uschar * sn = subjdn;
+    while ((certname = string_nextinlist(&sn, &sn_sep, NULL, 0)))
+      if (  *certname++ == 'C'
+        && *certname++ == 'N'
+        && *certname++ == '='
+        && is_name_match(cmpname, certname)
+        )
+       return TRUE;
+    }
+  }
+return FALSE;
+}
+# endif        /*EXPERIMENTAL_CERTNAMES*/
+#endif /*SUPPORT_TLS*/
 
 /* vi: aw ai sw=2
 */