]> git.kaiwu.me - haproxy.git/commit
MEDIUM: ssl: add FIPS TLS 1.2 cipher check for AWS-LC
authorWilliam Lallemand <wlallemand@haproxy.com>
Tue, 30 Jun 2026 12:39:50 +0000 (12:39 +0000)
committerWilliam Lallemand <wlallemand@haproxy.com>
Tue, 30 Jun 2026 13:55:58 +0000 (13:55 +0000)
commit4c420b57341e949afb22bd81bc75cb028ee3e15e
treef7d4bb486a262587408c172dd66f342f2f14304e
parent557f083cda780040d5cfa45dd84f2d788065a15e
MEDIUM: ssl: add FIPS TLS 1.2 cipher check for AWS-LC

Add ssl_fips_check_ciphers() to check the cipher list already loaded
into an SSL_CTX against the FIPS-approved bulk cipher NID allowlist
(AES-128-GCM, AES-256-GCM).  The check is run unconditionally after
SSL_CTX_set_cipher_list() for both bind and server contexts.

The function reuses the fips_obj_info() helper introduced with the
version check to emit precise 'type proxy/name [file:line]' error
messages and returns ERR_ALERT|ERR_ABORT|ERR_FATAL on violation.
include/haproxy/fips.h
src/fips.c
src/ssl_sock.c