Do not permit multi-component wildcards on certificate names (OpenSSL, EXPERIMENTAL_C...
authorJeremy Harris <jgh146exb@wizmail.org>
Wed, 5 Nov 2014 18:24:00 +0000 (18:24 +0000)
committerJeremy Harris <jgh146exb@wizmail.org>
Wed, 5 Nov 2014 19:02:19 +0000 (19:02 +0000)
1  2 
doc/doc-txt/ChangeLog
doc/doc-txt/experimental-spec.txt
src/src/tls-openssl.c

@@@ -59,9 -59,11 +59,14 @@@ JH/08 Rename the TPDA expermimental fac
        raised for inbound connections, if the main configuration event_action
        option is defined.
  
 +TL/06 In test suite, disable OCSP for old versions of openssl which contained
 +      early OCSP support, but no stapling (appears to be less than 1.0.0).
 +
+ JH/09 When compiled with OpenSSL and EXPERIMENTAL_CERTNAMES, the checks on
+       server certificate names available under the smtp transport option
+       "tls_verify_cert_hostname" now do not permit multi-component wildcard
+       matches.
  
  Exim version 4.84
  -----------------
@@@ -1151,10 -1153,10 +1153,14 @@@ that they are owned by the expected hos
  support to date has not made these checks.
  
  If built with EXPERIMENTAL_CERTNAMES defined, code is
- included to do so, and a new smtp transport option
- "tls_verify_cert_hostname" supported which takes a list of
- names for which the checks must be made.  The host must
- also be in "tls_verify_hosts".
+ included to do so for server certificates, and a new smtp transport option
 -"tls_verify_cert_hostname" supported which takes a list of
 -names for which the checks must be made.  The host must
 -also be in "tls_verify_hosts".
++"tls_verify_cert_hostnames" supported which takes a list of
++names for which the additional checks must be made.
++The option currently defaults to empty, but this may change in
++the future.  "*" is probably a suitable value.
++Whether certificate verification is done at all, and the result of
++it failing, is stll under the control of "tls_verify_hosts" nad
++"tls_try_verify_hosts".
  
  Both Subject and Subject-Alternate-Name certificate fields
  are supported, as are wildcard certificates (limited to
Simple merge