]> git.kaiwu.me - haproxy.git/commit
MEDIUM: ssl: add FIPS TLS 1.2 cipher check for AWS-LC
authorWilliam Lallemand <wlallemand@haproxy.com>
Tue, 30 Jun 2026 12:39:50 +0000 (12:39 +0000)
committerWilliam Lallemand <wlallemand@haproxy.com>
Fri, 10 Jul 2026 17:42:03 +0000 (19:42 +0200)
commit9e2809508bfc813dce47362f1fd6b631a66072a9
treef1c8cc366b3492642b71fc447842d9a397047698
parent9ac590b55e8087a113389da4a503315bab494ca3
MEDIUM: ssl: add FIPS TLS 1.2 cipher check for AWS-LC

Add ssl_fips_check_ciphers() to check the cipher list already loaded
into an SSL_CTX against the FIPS-approved bulk cipher NID allowlist
(AES-128-GCM, AES-256-GCM).  The check is run unconditionally after
SSL_CTX_set_cipher_list() for both bind and server contexts.

The function reuses the fips_obj_info() helper introduced with the
version check to emit precise 'type proxy/name [file:line]' error
messages and returns ERR_ALERT|ERR_ABORT|ERR_FATAL on violation.
include/haproxy/fips.h
src/fips.c
src/ssl_sock.c