openconnect: Pass server certificate hash directly to openconnect
authorDavid Woodhouse <dwmw2@infradead.org>
Fri, 19 Nov 2010 17:52:38 +0000 (18:52 +0100)
committerSamuel Ortiz <sameo@linux.intel.com>
Fri, 19 Nov 2010 17:52:38 +0000 (18:52 +0100)
commit98b05f0ce35eac8a32d7cb992307f2e2f2f2a436
treea4952a97f1e41f334639051ee3df49d81ef00523
parent9a6f696c4473c7bce5d9faf860db7758e1ca4afc
openconnect: Pass server certificate hash directly to openconnect

When we spawn openconnect to make a VPN connection, it obviously needs
to validate the server's SSL certificate to protect against a MiTM
attack. But it may not have full access to the user's CA chain, or the
user may have manually accepted a dubious certificate.

To allow for this, the GUI authentication dialog returns a SHA1 of the
server's SSL certificate fingerprint, for the *specific* server that it
managed to authenticate to.

The intention is that this should be passed through to openconnect when
it connects. That way, openconnect doesn't need to do any normal
validation; it only needs to compare the certificate with what's
expected.

From openconnect v2.26, certificate validation is enabled by default;
rather than only when a --cafile option is given. So it's important that
we start passing the certificate fingerprint through, to avoid
connection failures (which we don't currently detect and report
gracefully, btw).
plugins/openconnect.c
test/connect-vpn