gio/gtlsclientconnection.c

   1 /* GIO - GLib Input, Output and Streaming Library
   2  *
   3  * Copyright © 2010 Red Hat, Inc
   4  *
   5  * This library is free software; you can redistribute it and/or
   6  * modify it under the terms of the GNU Lesser General Public
   7  * License as published by the Free Software Foundation; either
   8  * version 2 of the License, or (at your option) any later version.
   9  *
  10  * This library is distributed in the hope that it will be useful,
  11  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  12  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  13  * Lesser General Public License for more details.
  14  *
  15  * You should have received a copy of the GNU Lesser General
  16  * Public License along with this library; if not, see <http://www.gnu.org/licenses/>.
  17  */
  18
  19 #include "config.h"
  20 #include "glib.h"
  21
  22 #include "gtlsclientconnection.h"
  23 #include "ginitable.h"
  24 #include "gioenumtypes.h"
  25 #include "gsocket.h"
  26 #include "gsocketconnectable.h"
  27 #include "gtlsbackend.h"
  28 #include "gtlscertificate.h"
  29 #include "glibintl.h"
  30
  31 /**
  32  * SECTION:gtlsclientconnection
  33  * @short_description: TLS client-side connection
  34  * @include: gio/gio.h
  35  *
  36  * #GTlsClientConnection is the client-side subclass of
  37  * #GTlsConnection, representing a client-side TLS connection.
  38  */
  39
  40 /**
  41  * GTlsClientConnection:
  42  *
  43  * Abstract base class for the backend-specific client connection
  44  * type.
  45  *
  46  * Since: 2.28
  47  */
  48
  49 G_DEFINE_INTERFACE (GTlsClientConnection, g_tls_client_connection, G_TYPE_TLS_CONNECTION)
  50
  51 static void
  52 g_tls_client_connection_default_init (GTlsClientConnectionInterface *iface)
  53 {
  54   /**
  55    * GTlsClientConnection:validation-flags:
  56    *
  57    * What steps to perform when validating a certificate received from
  58    * a server. Server certificates that fail to validate in all of the
  59    * ways indicated here will be rejected unless the application
  60    * overrides the default via #GTlsConnection::accept-certificate.
  61    *
  62    * Since: 2.28
  63    */
  64   g_object_interface_install_property (iface,
  65                                        g_param_spec_flags ("validation-flags",
  66                                                            P_("Validation flags"),
  67                                                            P_("What certificate validation to perform"),
  68                                                            G_TYPE_TLS_CERTIFICATE_FLAGS,
  69                                                            G_TLS_CERTIFICATE_VALIDATE_ALL,
  70                                                            G_PARAM_READWRITE |
  71                                                            G_PARAM_CONSTRUCT |
  72                                                            G_PARAM_STATIC_STRINGS));
  73
  74   /**
  75    * GTlsClientConnection:server-identity:
  76    *
  77    * A #GSocketConnectable describing the identity of the server that
  78    * is expected on the other end of the connection.
  79    *
  80    * If the %G_TLS_CERTIFICATE_BAD_IDENTITY flag is set in
  81    * #GTlsClientConnection:validation-flags, this object will be used
  82    * to determine the expected identify of the remote end of the
  83    * connection; if #GTlsClientConnection:server-identity is not set,
  84    * or does not match the identity presented by the server, then the
  85    * %G_TLS_CERTIFICATE_BAD_IDENTITY validation will fail.
  86    *
  87    * In addition to its use in verifying the server certificate,
  88    * this is also used to give a hint to the server about what
  89    * certificate we expect, which is useful for servers that serve
  90    * virtual hosts.
  91    *
  92    * Since: 2.28
  93    */
  94   g_object_interface_install_property (iface,
  95                                        g_param_spec_object ("server-identity",
  96                                                             P_("Server identity"),
  97                                                             P_("GSocketConnectable identifying the server"),
  98                                                             G_TYPE_SOCKET_CONNECTABLE,
  99                                                             G_PARAM_READWRITE |
 100                                                             G_PARAM_CONSTRUCT |
 101                                                             G_PARAM_STATIC_STRINGS));
 102
 103   /**
 104    * GTlsClientConnection:use-ssl3:
 105    *
 106    * If %TRUE, tells the connection to use a fallback version of TLS
 107    * or SSL, rather than trying to negotiate the best version of TLS
 108    * to use. This can be used when talking to servers that don't
 109    * implement version negotiation correctly and therefore refuse to
 110    * handshake at all with a "modern" TLS handshake.
 111    *
 112    * Despite the property name, the fallback version is not
 113    * necessarily SSL 3.0; if SSL 3.0 has been disabled, the
 114    * #GTlsClientConnection will use the next highest available version
 115    * (normally TLS 1.0) as the fallback version.
 116    *
 117    * Since: 2.28
 118    */
 119   g_object_interface_install_property (iface,
 120                                        g_param_spec_boolean ("use-ssl3",
 121                                                              P_("Use fallback"),
 122                                                              P_("Use fallback version of SSL/TLS rather than most recent version"),
 123                                                              FALSE,
 124                                                              G_PARAM_READWRITE |
 125                                                              G_PARAM_CONSTRUCT |
 126                                                              G_PARAM_STATIC_STRINGS));
 127
 128   /**
 129    * GTlsClientConnection:accepted-cas: (type GLib.List) (element-type GLib.ByteArray):
 130    *
 131    * A list of the distinguished names of the Certificate Authorities
 132    * that the server will accept client certificates signed by. If the
 133    * server requests a client certificate during the handshake, then
 134    * this property will be set after the handshake completes.
 135    *
 136    * Each item in the list is a #GByteArray which contains the complete
 137    * subject DN of the certificate authority.
 138    *
 139    * Since: 2.28
 140    */
 141   g_object_interface_install_property (iface,
 142                                        g_param_spec_pointer ("accepted-cas",
 143                                                              P_("Accepted CAs"),
 144                                                              P_("Distinguished names of the CAs the server accepts certificates from"),
 145                                                              G_PARAM_READABLE |
 146                                                              G_PARAM_STATIC_STRINGS));
 147 }
 148
 149 /**
 150  * g_tls_client_connection_new:
 151  * @base_io_stream: the #GIOStream to wrap
 152  * @server_identity: (allow-none): the expected identity of the server
 153  * @error: #GError for error reporting, or %NULL to ignore.
 154  *
 155  * Creates a new #GTlsClientConnection wrapping @base_io_stream (which
 156  * must have pollable input and output streams) which is assumed to
 157  * communicate with the server identified by @server_identity.
 158  *
 159  * Returns: (transfer full) (type GTlsClientConnection): the new
 160  * #GTlsClientConnection, or %NULL on error
 161  *
 162  * Since: 2.28
 163  */
 164 GIOStream *
 165 g_tls_client_connection_new (GIOStream           *base_io_stream,
 166                              GSocketConnectable  *server_identity,
 167                              GError             **error)
 168 {
 169   GObject *conn;
 170   GTlsBackend *backend;
 171
 172   backend = g_tls_backend_get_default ();
 173   conn = g_initable_new (g_tls_backend_get_client_connection_type (backend),
 174                          NULL, error,
 175                          "base-io-stream", base_io_stream,
 176                          "server-identity", server_identity,
 177                          NULL);
 178   return G_IO_STREAM (conn);
 179 }
 180
 181 /**
 182  * g_tls_client_connection_get_validation_flags:
 183  * @conn: the #GTlsClientConnection
 184  *
 185  * Gets @conn's validation flags
 186  *
 187  * Returns: the validation flags
 188  *
 189  * Since: 2.28
 190  */
 191 GTlsCertificateFlags
 192 g_tls_client_connection_get_validation_flags (GTlsClientConnection *conn)
 193 {
 194   GTlsCertificateFlags flags = 0;
 195
 196   g_return_val_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn), 0);
 197
 198   g_object_get (G_OBJECT (conn), "validation-flags", &flags, NULL);
 199   return flags;
 200 }
 201
 202 /**
 203  * g_tls_client_connection_set_validation_flags:
 204  * @conn: the #GTlsClientConnection
 205  * @flags: the #GTlsCertificateFlags to use
 206  *
 207  * Sets @conn's validation flags, to override the default set of
 208  * checks performed when validating a server certificate. By default,
 209  * %G_TLS_CERTIFICATE_VALIDATE_ALL is used.
 210  *
 211  * Since: 2.28
 212  */
 213 void
 214 g_tls_client_connection_set_validation_flags (GTlsClientConnection  *conn,
 215                                               GTlsCertificateFlags   flags)
 216 {
 217   g_return_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn));
 218
 219   g_object_set (G_OBJECT (conn), "validation-flags", flags, NULL);
 220 }
 221
 222 /**
 223  * g_tls_client_connection_get_server_identity:
 224  * @conn: the #GTlsClientConnection
 225  *
 226  * Gets @conn's expected server identity
 227  *
 228  * Returns: (transfer none): a #GSocketConnectable describing the
 229  * expected server identity, or %NULL if the expected identity is not
 230  * known.
 231  *
 232  * Since: 2.28
 233  */
 234 GSocketConnectable *
 235 g_tls_client_connection_get_server_identity (GTlsClientConnection *conn)
 236 {
 237   GSocketConnectable *identity = NULL;
 238
 239   g_return_val_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn), 0);
 240
 241   g_object_get (G_OBJECT (conn), "server-identity", &identity, NULL);
 242   if (identity)
 243     g_object_unref (identity);
 244   return identity;
 245 }
 246
 247 /**
 248  * g_tls_client_connection_set_server_identity:
 249  * @conn: the #GTlsClientConnection
 250  * @identity: a #GSocketConnectable describing the expected server identity
 251  *
 252  * Sets @conn's expected server identity, which is used both to tell
 253  * servers on virtual hosts which certificate to present, and also
 254  * to let @conn know what name to look for in the certificate when
 255  * performing %G_TLS_CERTIFICATE_BAD_IDENTITY validation, if enabled.
 256  *
 257  * Since: 2.28
 258  */
 259 void
 260 g_tls_client_connection_set_server_identity (GTlsClientConnection *conn,
 261                                              GSocketConnectable   *identity)
 262 {
 263   g_return_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn));
 264
 265   g_object_set (G_OBJECT (conn), "server-identity", identity, NULL);
 266 }
 267
 268 /**
 269  * g_tls_client_connection_get_use_ssl3:
 270  * @conn: the #GTlsClientConnection
 271  *
 272  * Gets whether @conn will use SSL 3.0 rather than the
 273  * highest-supported version of TLS; see
 274  * g_tls_client_connection_set_use_ssl3().
 275  *
 276  * Returns: whether @conn will use SSL 3.0
 277  *
 278  * Since: 2.28
 279  */
 280 gboolean
 281 g_tls_client_connection_get_use_ssl3 (GTlsClientConnection *conn)
 282 {
 283   gboolean use_ssl3 = FALSE;
 284
 285   g_return_val_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn), 0);
 286
 287   g_object_get (G_OBJECT (conn), "use-ssl3", &use_ssl3, NULL);
 288   return use_ssl3;
 289 }
 290
 291 /**
 292  * g_tls_client_connection_set_use_ssl3:
 293  * @conn: the #GTlsClientConnection
 294  * @use_ssl3: whether to use SSL 3.0
 295  *
 296  * If @use_ssl3 is %TRUE, this forces @conn to use SSL 3.0 rather than
 297  * trying to properly negotiate the right version of TLS or SSL to use.
 298  * This can be used when talking to servers that do not implement the
 299  * fallbacks correctly and which will therefore fail to handshake with
 300  * a "modern" TLS handshake attempt.
 301  *
 302  * Since: 2.28
 303  */
 304 void
 305 g_tls_client_connection_set_use_ssl3 (GTlsClientConnection *conn,
 306                                       gboolean              use_ssl3)
 307 {
 308   g_return_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn));
 309
 310   g_object_set (G_OBJECT (conn), "use-ssl3", use_ssl3, NULL);
 311 }
 312
 313 /**
 314  * g_tls_client_connection_get_accepted_cas:
 315  * @conn: the #GTlsClientConnection
 316  *
 317  * Gets the list of distinguished names of the Certificate Authorities
 318  * that the server will accept certificates from. This will be set
 319  * during the TLS handshake if the server requests a certificate.
 320  * Otherwise, it will be %NULL.
 321  *
 322  * Each item in the list is a #GByteArray which contains the complete
 323  * subject DN of the certificate authority.
 324  *
 325  * Returns: (element-type GByteArray) (transfer full): the list of
 326  * CA DNs. You should unref each element with g_byte_array_unref() and then
 327  * the free the list with g_list_free().
 328  *
 329  * Since: 2.28
 330  */
 331 GList *
 332 g_tls_client_connection_get_accepted_cas (GTlsClientConnection *conn)
 333 {
 334   GList *accepted_cas = NULL;
 335
 336   g_return_val_if_fail (G_IS_TLS_CLIENT_CONNECTION (conn), NULL);
 337
 338   g_object_get (G_OBJECT (conn), "accepted-cas", &accepted_cas, NULL);
 339   return accepted_cas;
 340 }