]> git.kaiwu.me - haproxy.git/commit
MEDIUM: ssl: add FIPS TLS 1.2 cipher check for AWS-LC
authorWilliam Lallemand <wlallemand@haproxy.com>
Tue, 30 Jun 2026 12:39:50 +0000 (12:39 +0000)
committerWilliam Lallemand <wlallemand@haproxy.com>
Thu, 2 Jul 2026 15:51:59 +0000 (15:51 +0000)
commit4be36758f611487592eade6e6b124477f3bb3e30
treeb72547f813d3a8be3327132a855407841c56028d
parent557f083cda780040d5cfa45dd84f2d788065a15e
MEDIUM: ssl: add FIPS TLS 1.2 cipher check for AWS-LC

Add ssl_fips_check_ciphers() to check the cipher list already loaded
into an SSL_CTX against the FIPS-approved bulk cipher NID allowlist
(AES-128-GCM, AES-256-GCM).  The check is run unconditionally after
SSL_CTX_set_cipher_list() for both bind and server contexts.

The function reuses the fips_obj_info() helper introduced with the
version check to emit precise 'type proxy/name [file:line]' error
messages and returns ERR_ALERT|ERR_ABORT|ERR_FATAL on violation.
include/haproxy/fips.h
src/fips.c
src/ssl_sock.c