]> git.kaiwu.me - haproxy.git/commit
MEDIUM: ssl: add FIPS elliptic curve check for AWS-LC
authorWilliam Lallemand <wlallemand@haproxy.com>
Tue, 30 Jun 2026 13:28:03 +0000 (13:28 +0000)
committerWilliam Lallemand <wlallemand@haproxy.com>
Thu, 2 Jul 2026 15:51:59 +0000 (15:51 +0000)
commit035e4000c82fc17de39fda01075e73b27ea3e858
tree14609bd0adb6c5256c559714ea8f9bbd664c466e
parent8f7351fb02ccc1fd6b0d027897663fb24a67a834
MEDIUM: ssl: add FIPS elliptic curve check for AWS-LC

Add ssl_fips_check_curves() which validates the configured curve list
against the FIPS-approved NIST P-curves (P-256, P-384, P-521).  Each
colon-separated name is resolved to a NID via OBJ_txt2nid() so all
standard aliases (P-256, prime256v1, secp256r1) are handled uniformly.
A NULL list is silently accepted since the global defaults were already
overwritten with FIPS values at init time.

The check is called right after SSL_CTX_set1_curves_list() in both the
bind (ssl_sock_prepare_ctx) and server (ssl_sock_prepare_srv_ssl_ctx)
configuration paths.
include/haproxy/fips.h
src/fips.c
src/ssl_sock.c