]> ruderich.org/simon Gitweb - tlsproxy/tlsproxy.git/blob - tlsproxy.h
4664428fe862be1f5ce02bde348399b037667b8d
[tlsproxy/tlsproxy.git] / tlsproxy.h
1 /*
2  * Global variables/defines.
3  *
4  * Copyright (C) 2011-2013  Simon Ruderich
5  *
6  * This program is free software: you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation, either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * This program is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program.  If not, see <http://www.gnu.org/licenses/>.
18  */
19
20 #ifndef TLSPROXY_H
21 #define TLSPROXY_H
22
23 #include <config.h>
24
25 #include <stdio.h>
26 #include <stdlib.h>
27 #include <string.h>
28
29 #include <gnutls/gnutls.h>
30
31 #include "log.h"
32
33
34 /* Length for path arrays. */
35 #define TLSPROXY_MAX_PATH_LENGTH 1024
36
37 /* Paths to necessary TLS files: the CA, the server key and DH parameters. */
38 #define PROXY_CA_PATH  "proxy-ca.pem"
39 #define PROXY_KEY_PATH "proxy-key.pem"
40 #define PROXY_DH_PATH  "proxy-dh.pem"
41 /* Path to special "invalid" certificate send to the client when an error
42  * occurs. */
43 #define PROXY_INVALID_CERT_PATH "proxy-invalid.pem"
44 /* The server certificate for the given hostname is stored in
45  * "./certificate-hostname-proxy.pem" - we use this for the connection to the
46  * client. */
47 #define PROXY_SERVER_CERT_FILE_FORMAT "./certificate-%s-proxy.pem"
48 /* The remote server certificate for the given hostname is stored in
49  * "./certificate-hostname-proxy.pem" - we make sure the server sends this
50  * certificate. */
51 #define STORED_SERVER_CERT_FILE_FORMAT "./certificate-%s-server.pem"
52
53 /* GnuTLS priority string used for both server and client connections. */
54 #define PROXY_TLS_PRIORITIES \
55     /* Don't use known insecure algorithms. */ \
56     "SECURE" \
57     /* Lower priority of SHA-1, user better hashes if possible. */ \
58     ":-SHA1:+SHA1" \
59     /* Force safe renegotiations. Shouldn't cause any problems as this \
60      * option only affects the server side (with GnuTLS defaults) and the \
61      * local clients most-likely already support safe renegotiations (old \
62      * servers are therefore not an issue). */ \
63     ":%SAFE_RENEGOTIATION"
64
65
66 /* Proxy hostname and port if specified on the command line. */
67 char *global_proxy_host;
68 char *global_proxy_port;
69
70 /* Passphrase for authentication of this proxy. Used with the -a option. */
71 char *global_http_digest_authorization;
72
73 /* Log level, command line option. */
74 int global_log_level;
75
76 /* Passthrough connections if no certificate is stored for this hostname?
77  * Specified on the command line. */
78 int global_passthrough_unknown;
79
80 /* "Global" GnuTLS data used by all threads, read only. */
81 gnutls_priority_t global_tls_priority_cache;
82 gnutls_dh_params_t global_tls_dh_params;
83
84 /* Very simple compile time asserts. No good error message though. */
85 #define ct_assert(x) { \
86     int unused[(x) ? 1 : -1]; \
87     (void)unused; \
88 }
89
90 #endif