]> git.kaiwu.me - haproxy.git/commit
MEDIUM: ssl: add FIPS elliptic curve check for AWS-LC
authorWilliam Lallemand <wlallemand@haproxy.com>
Tue, 30 Jun 2026 13:28:03 +0000 (13:28 +0000)
committerWilliam Lallemand <wlallemand@haproxy.com>
Fri, 10 Jul 2026 17:42:03 +0000 (19:42 +0200)
commit96c7759f3b8b37612d3395ca1a0a47a3f92c516f
tree674bdf31e1e530a8efa1f4806b63074ad4fc9c79
parent3b2cd5f9fb621150ecd611a01403fbe3d6a5a470
MEDIUM: ssl: add FIPS elliptic curve check for AWS-LC

Add ssl_fips_check_curves() which validates the configured curve list
against the FIPS-approved NIST P-curves (P-256, P-384, P-521).  Each
colon-separated name is resolved to a NID via OBJ_txt2nid() so all
standard aliases (P-256, prime256v1, secp256r1) are handled uniformly.
A NULL list is silently accepted since the global defaults were already
overwritten with FIPS values at init time.

The check is called right after SSL_CTX_set1_curves_list() in both the
bind (ssl_sock_prepare_ctx) and server (ssl_sock_prepare_srv_ssl_ctx)
configuration paths.
include/haproxy/fips.h
src/fips.c
src/ssl_sock.c