TclTLS: Hex Artifact Content

Artifact b4b2841fa557e3a44a7f06ce200df2dc55f781c92481d89f62196f9c6b9c4b7a:

File tests/badssl.test — part of check-in [34befcf0c7] at 2026-01-08 05:35:39 on branch tls-2.0 — Updated test constraints to make work for all platforms and OpenSSL versions. Added more tests. (user: bohagan, size: 12745) [annotate] [blame] [check-ins using]
0000: 23 20 41 75 74 6f 20 67 65 6e 65 72 61 74 65 64  # Auto generated
0010: 20 74 65 73 74 20 63 61 73 65 73 20 66 6f 72 20   test cases for 
0020: 62 61 64 73 73 6c 2e 63 73 76 0a 0a 23 20 4c 6f  badssl.csv..# Lo
0030: 61 64 20 54 63 6c 20 54 65 73 74 20 70 61 63 6b  ad Tcl Test pack
0040: 61 67 65 0a 69 66 20 7b 5b 6c 73 65 61 72 63 68  age.if {[lsearch
0050: 20 5b 6e 61 6d 65 73 70 61 63 65 20 63 68 69 6c   [namespace chil
0060: 64 72 65 6e 5d 20 3a 3a 74 63 6c 74 65 73 74 5d  dren] ::tcltest]
0070: 20 3c 20 30 7d 20 7b 0a 09 70 61 63 6b 61 67 65   < 0} {..package
0080: 20 72 65 71 75 69 72 65 20 74 63 6c 74 65 73 74   require tcltest
0090: 0a 09 6e 61 6d 65 73 70 61 63 65 20 69 6d 70 6f  ..namespace impo
00a0: 72 74 20 3a 3a 74 63 6c 74 65 73 74 3a 3a 2a 0a  rt ::tcltest::*.
00b0: 7d 0a 0a 73 65 74 20 3a 3a 61 75 74 6f 5f 70 61  }..set ::auto_pa
00c0: 74 68 20 5b 63 6f 6e 63 61 74 20 5b 6c 69 73 74  th [concat [list
00d0: 20 5b 66 69 6c 65 20 64 69 72 6e 61 6d 65 20 5b   [file dirname [
00e0: 66 69 6c 65 20 64 69 72 6e 61 6d 65 20 5b 69 6e  file dirname [in
00f0: 66 6f 20 73 63 72 69 70 74 5d 5d 5d 5d 20 24 3a  fo script]]]] $:
0100: 3a 61 75 74 6f 5f 70 61 74 68 5d 0a 0a 70 61 63  :auto_path]..pac
0110: 6b 61 67 65 20 70 72 65 66 65 72 20 6c 61 74 65  kage prefer late
0120: 73 74 0a 70 61 63 6b 61 67 65 20 72 65 71 75 69  st.package requi
0130: 72 65 20 74 6c 73 0a 0a 23 20 43 6f 6e 73 74 72  re tls..# Constr
0140: 61 69 6e 74 73 0a 73 6f 75 72 63 65 20 5b 66 69  aints.source [fi
0150: 6c 65 20 6a 6f 69 6e 20 5b 66 69 6c 65 20 64 69  le join [file di
0160: 72 6e 61 6d 65 20 5b 69 6e 66 6f 20 73 63 72 69  rname [info scri
0170: 70 74 5d 5d 20 63 6f 6d 6d 6f 6e 2e 74 63 6c 5d  pt]] common.tcl]
0180: 0a 0a 23 20 48 65 6c 70 65 72 20 66 75 6e 63 74  ..# Helper funct
0190: 69 6f 6e 73 0a 73 65 74 20 3a 3a 63 61 66 69 6c  ions.set ::cafil
01a0: 65 20 5b 66 69 6c 65 20 6a 6f 69 6e 20 5b 70 77  e [file join [pw
01b0: 64 5d 20 63 65 72 74 73 20 63 61 63 65 72 74 2e  d] certs cacert.
01c0: 70 65 6d 5d 0a 73 65 74 20 3a 3a 65 6e 76 28 53  pem].set ::env(S
01d0: 53 4c 5f 43 45 52 54 5f 46 49 4c 45 29 20 24 3a  SL_CERT_FILE) $:
01e0: 3a 63 61 66 69 6c 65 0a 70 72 6f 63 20 63 6f 6e  :cafile.proc con
01f0: 6e 65 63 74 20 7b 75 72 6c 7d 20 7b 0a 20 20 20  nect {url} {.   
0200: 20 73 65 74 20 63 61 66 69 6c 65 20 63 65 72 74   set cafile cert
0210: 73 2f 63 61 63 65 72 74 2e 70 65 6d 0a 20 20 20  s/cacert.pem.   
0220: 20 73 65 74 20 70 6f 72 74 20 34 34 33 0a 20 20   set port 443.  
0230: 20 20 6c 61 73 73 69 67 6e 20 5b 73 70 6c 69 74    lassign [split
0240: 20 24 75 72 6c 20 22 3a 22 5d 20 75 72 6c 20 70   $url ":"] url p
0250: 6f 72 74 0a 20 20 20 20 69 66 20 7b 24 70 6f 72  ort.    if {$por
0260: 74 20 65 71 20 22 22 7d 20 7b 0a 20 73 65 74 20  t eq ""} {. set 
0270: 70 6f 72 74 20 34 34 33 0a 20 20 20 20 7d 0a 20  port 443.    }. 
0280: 20 20 20 73 65 74 20 63 68 20 5b 74 6c 73 3a 3a     set ch [tls::
0290: 73 6f 63 6b 65 74 20 2d 61 75 74 6f 73 65 72 76  socket -autoserv
02a0: 65 72 6e 61 6d 65 20 31 20 2d 72 65 71 75 69 72  ername 1 -requir
02b0: 65 20 31 20 2d 63 61 66 69 6c 65 20 24 63 61 66  e 1 -cafile $caf
02c0: 69 6c 65 20 24 75 72 6c 20 24 70 6f 72 74 5d 0a  ile $url $port].
02d0: 20 20 20 20 69 66 20 7b 5b 63 61 74 63 68 20 7b      if {[catch {
02e0: 74 6c 73 3a 3a 68 61 6e 64 73 68 61 6b 65 20 24  tls::handshake $
02f0: 63 68 7d 20 65 72 72 5d 7d 20 7b 0a 20 63 6c 6f  ch} err]} {. clo
0300: 73 65 20 24 63 68 0a 20 72 65 74 75 72 6e 20 2d  se $ch. return -
0310: 63 6f 64 65 20 65 72 72 6f 72 20 24 65 72 72 0a  code error $err.
0320: 20 20 20 20 7d 20 65 6c 73 65 20 7b 0a 20 63 6c      } else {. cl
0330: 6f 73 65 20 24 63 68 0a 20 20 20 20 7d 0a 7d 0a  ose $ch.    }.}.
0340: 0a 23 20 42 61 64 53 53 4c 2e 63 6f 6d 20 54 65  .# BadSSL.com Te
0350: 73 74 73 0a 0a 0a 74 65 73 74 20 42 61 64 53 53  sts...test BadSS
0360: 4c 2d 31 2e 31 20 7b 31 30 30 30 20 73 61 6e 73  L-1.1 {1000 sans
0370: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
0380: 63 74 20 31 30 30 30 2d 73 61 6e 73 2e 63 6f 6e  ct 1000-sans.con
0390: 6e 65 63 74 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a  nect.com.    }..
03a0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 32 20  test BadSSL-1.2 
03b0: 7b 31 30 30 30 20 73 61 6e 73 7d 20 2d 62 6f 64  {1000 sans} -bod
03c0: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 31 30 30  y {..connect 100
03d0: 30 2d 73 61 6e 73 2e 62 61 64 73 73 6c 2e 63 6f  0-sans.badssl.co
03e0: 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20  m.    } -result 
03f0: 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65  {handshake faile
0400: 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20 76  d: certificate v
0410: 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75 65  erify failed due
0420: 20 74 6f 20 22 63 65 72 74 69 66 69 63 61 74 65   to "certificate
0430: 20 68 61 73 20 65 78 70 69 72 65 64 22 7d 20 2d   has expired"} -
0440: 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a  returnCodes {1}.
0450: 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 33  .test BadSSL-1.3
0460: 20 7b 31 30 30 30 30 20 73 61 6e 73 7d 20 2d 62   {10000 sans} -b
0470: 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 31  ody {..connect 1
0480: 30 30 30 30 2d 73 61 6e 73 2e 62 61 64 73 73 6c  0000-sans.badssl
0490: 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75  .com.    } -resu
04a0: 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61  lt {handshake fa
04b0: 69 6c 65 64 3a 20 65 78 63 65 73 73 69 76 65 20  iled: excessive 
04c0: 6d 65 73 73 61 67 65 20 73 69 7a 65 7d 20 2d 72  message size} -r
04d0: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
04e0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 34 20  test BadSSL-1.4 
04f0: 7b 33 64 65 73 7d 20 2d 62 6f 64 79 20 7b 0a 09  {3des} -body {..
0500: 63 6f 6e 6e 65 63 74 20 33 64 65 73 2e 62 61 64  connect 3des.bad
0510: 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 6d  ssl.com.    } -m
0520: 61 74 63 68 20 7b 67 6c 6f 62 7d 20 2d 72 65 73  atch {glob} -res
0530: 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66  ult {handshake f
0540: 61 69 6c 65 64 3a 20 2a 20 61 6c 65 72 74 20 68  ailed: * alert h
0550: 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 75 72 65  andshake failure
0560: 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b  } -returnCodes {
0570: 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d  1}..test BadSSL-
0580: 31 2e 35 20 7b 63 61 70 74 69 76 65 20 70 6f 72  1.5 {captive por
0590: 74 61 6c 7d 20 2d 63 6f 6e 73 74 72 61 69 6e 74  tal} -constraint
05a0: 73 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e 31 7d  s {OpenSSL1.1.1}
05b0: 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63   -body {..connec
05c0: 74 20 63 61 70 74 69 76 65 2d 70 6f 72 74 61 6c  t captive-portal
05d0: 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20  .badssl.com.    
05e0: 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73  } -result {hands
05f0: 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72  hake failed: cer
0600: 74 69 66 69 63 61 74 65 20 76 65 72 69 66 79 20  tificate verify 
0610: 66 61 69 6c 65 64 20 64 75 65 20 74 6f 20 22 48  failed due to "H
0620: 6f 73 74 6e 61 6d 65 20 6d 69 73 6d 61 74 63 68  ostname mismatch
0630: 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20  "} -returnCodes 
0640: 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c  {1}..test BadSSL
0650: 2d 31 2e 36 20 7b 63 61 70 74 69 76 65 20 70 6f  -1.6 {captive po
0660: 72 74 61 6c 7d 20 2d 63 6f 6e 73 74 72 61 69 6e  rtal} -constrain
0670: 74 73 20 7b 21 4f 70 65 6e 53 53 4c 31 2e 31 2e  ts {!OpenSSL1.1.
0680: 31 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e  1} -body {..conn
0690: 65 63 74 20 63 61 70 74 69 76 65 2d 70 6f 72 74  ect captive-port
06a0: 61 6c 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20  al.badssl.com.  
06b0: 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e    } -result {han
06c0: 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 63  dshake failed: c
06d0: 65 72 74 69 66 69 63 61 74 65 20 76 65 72 69 66  ertificate verif
06e0: 79 20 66 61 69 6c 65 64 20 64 75 65 20 74 6f 20  y failed due to 
06f0: 22 68 6f 73 74 6e 61 6d 65 20 6d 69 73 6d 61 74  "hostname mismat
0700: 63 68 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65  ch"} -returnCode
0710: 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53  s {1}..test BadS
0720: 53 4c 2d 31 2e 37 20 7b 63 62 63 7d 20 2d 62 6f  SL-1.7 {cbc} -bo
0730: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 63 62  dy {..connect cb
0740: 63 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20  c.badssl.com.   
0750: 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d   }..test BadSSL-
0760: 31 2e 38 20 7b 63 6c 69 65 6e 74 20 63 65 72 74  1.8 {client cert
0770: 20 6d 69 73 73 69 6e 67 7d 20 2d 62 6f 64 79 20   missing} -body 
0780: 7b 0a 09 63 6f 6e 6e 65 63 74 20 63 6c 69 65 6e  {..connect clien
0790: 74 2d 63 65 72 74 2d 6d 69 73 73 69 6e 67 2e 62  t-cert-missing.b
07a0: 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a  adssl.com.    }.
07b0: 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 39  .test BadSSL-1.9
07c0: 20 7b 63 6c 69 65 6e 74 7d 20 2d 62 6f 64 79 20   {client} -body 
07d0: 7b 0a 09 63 6f 6e 6e 65 63 74 20 63 6c 69 65 6e  {..connect clien
07e0: 74 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20  t.badssl.com.   
07f0: 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d   }..test BadSSL-
0800: 31 2e 31 30 20 7b 64 68 20 63 6f 6d 70 6f 73 69  1.10 {dh composi
0810: 74 65 7d 20 2d 63 6f 6e 73 74 72 61 69 6e 74 73  te} -constraints
0820: 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e 31 7d 20   {OpenSSL1.1.1} 
0830: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
0840: 20 64 68 2d 63 6f 6d 70 6f 73 69 74 65 2e 62 61   dh-composite.ba
0850: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a  dssl.com.    }..
0860: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 31 31  test BadSSL-1.11
0870: 20 7b 64 68 20 63 6f 6d 70 6f 73 69 74 65 7d 20   {dh composite} 
0880: 2d 63 6f 6e 73 74 72 61 69 6e 74 73 20 7b 77 69  -constraints {wi
0890: 6e 20 4f 70 65 6e 53 53 4c 33 2e 30 7d 20 2d 62  n OpenSSL3.0} -b
08a0: 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 64  ody {..connect d
08b0: 68 2d 63 6f 6d 70 6f 73 69 74 65 2e 62 61 64 73  h-composite.bads
08c0: 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65  sl.com.    }..te
08d0: 73 74 20 42 61 64 53 53 4c 2d 31 2e 31 32 20 7b  st BadSSL-1.12 {
08e0: 64 68 20 63 6f 6d 70 6f 73 69 74 65 7d 20 2d 63  dh composite} -c
08f0: 6f 6e 73 74 72 61 69 6e 74 73 20 7b 75 6e 69 78  onstraints {unix
0900: 20 4f 70 65 6e 53 53 4c 33 2e 30 7d 20 2d 62 6f   OpenSSL3.0} -bo
0910: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 64 68  dy {..connect dh
0920: 2d 63 6f 6d 70 6f 73 69 74 65 2e 62 61 64 73 73  -composite.badss
0930: 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73  l.com.    } -res
0940: 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66  ult {handshake f
0950: 61 69 6c 65 64 3a 20 64 68 20 6b 65 79 20 74 6f  ailed: dh key to
0960: 6f 20 73 6d 61 6c 6c 7d 20 2d 72 65 74 75 72 6e  o small} -return
0970: 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20  Codes {1}..test 
0980: 42 61 64 53 53 4c 2d 31 2e 31 33 20 7b 64 68 20  BadSSL-1.13 {dh 
0990: 63 6f 6d 70 6f 73 69 74 65 7d 20 2d 63 6f 6e 73  composite} -cons
09a0: 74 72 61 69 6e 74 73 20 7b 4f 70 65 6e 53 53 4c  traints {OpenSSL
09b0: 33 2e 32 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f  3.2} -body {..co
09c0: 6e 6e 65 63 74 20 64 68 2d 63 6f 6d 70 6f 73 69  nnect dh-composi
09d0: 74 65 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20  te.badssl.com.  
09e0: 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e    } -result {han
09f0: 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 64  dshake failed: d
0a00: 68 20 6b 65 79 20 74 6f 6f 20 73 6d 61 6c 6c 7d  h key too small}
0a10: 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31   -returnCodes {1
0a20: 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31  }..test BadSSL-1
0a30: 2e 31 34 20 7b 64 68 20 73 6d 61 6c 6c 20 73 75  .14 {dh small su
0a40: 62 67 72 6f 75 70 7d 20 2d 62 6f 64 79 20 7b 0a  bgroup} -body {.
0a50: 09 63 6f 6e 6e 65 63 74 20 64 68 2d 73 6d 61 6c  .connect dh-smal
0a60: 6c 2d 73 75 62 67 72 6f 75 70 2e 62 61 64 73 73  l-subgroup.badss
0a70: 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65 73  l.com.    }..tes
0a80: 74 20 42 61 64 53 53 4c 2d 31 2e 31 35 20 7b 64  t BadSSL-1.15 {d
0a90: 68 34 38 30 7d 20 2d 63 6f 6e 73 74 72 61 69 6e  h480} -constrain
0aa0: 74 73 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e 31  ts {OpenSSL1.1.1
0ab0: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
0ac0: 63 74 20 64 68 34 38 30 2e 62 61 64 73 73 6c 2e  ct dh480.badssl.
0ad0: 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c  com.    } -resul
0ae0: 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69  t {handshake fai
0af0: 6c 65 64 3a 20 64 68 20 6b 65 79 20 74 6f 6f 20  led: dh key too 
0b00: 73 6d 61 6c 6c 7d 20 2d 72 65 74 75 72 6e 43 6f  small} -returnCo
0b10: 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61  des {1}..test Ba
0b20: 64 53 53 4c 2d 31 2e 31 36 20 7b 64 68 34 38 30  dSSL-1.16 {dh480
0b30: 7d 20 2d 63 6f 6e 73 74 72 61 69 6e 74 73 20 7b  } -constraints {
0b40: 21 4f 70 65 6e 53 53 4c 31 2e 31 2e 31 7d 20 2d  !OpenSSL1.1.1} -
0b50: 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20  body {..connect 
0b60: 64 68 34 38 30 2e 62 61 64 73 73 6c 2e 63 6f 6d  dh480.badssl.com
0b70: 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b  .    } -result {
0b80: 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64  handshake failed
0b90: 3a 20 6d 6f 64 75 6c 75 73 20 74 6f 6f 20 73 6d  : modulus too sm
0ba0: 61 6c 6c 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65  all} -returnCode
0bb0: 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53  s {1}..test BadS
0bc0: 53 4c 2d 31 2e 31 37 20 7b 64 68 35 31 32 7d 20  SL-1.17 {dh512} 
0bd0: 2d 63 6f 6e 73 74 72 61 69 6e 74 73 20 7b 4f 70  -constraints {Op
0be0: 65 6e 53 53 4c 31 2e 31 2e 31 7d 20 2d 62 6f 64  enSSL1.1.1} -bod
0bf0: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 64 68 35  y {..connect dh5
0c00: 31 32 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20  12.badssl.com.  
0c10: 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e    } -result {han
0c20: 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 64  dshake failed: d
0c30: 68 20 6b 65 79 20 74 6f 6f 20 73 6d 61 6c 6c 7d  h key too small}
0c40: 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31   -returnCodes {1
0c50: 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31  }..test BadSSL-1
0c60: 2e 31 38 20 7b 64 68 35 31 32 7d 20 2d 63 6f 6e  .18 {dh512} -con
0c70: 73 74 72 61 69 6e 74 73 20 7b 4f 70 65 6e 53 53  straints {OpenSS
0c80: 4c 33 2e 30 7d 20 2d 62 6f 64 79 20 7b 0a 09 63  L3.0} -body {..c
0c90: 6f 6e 6e 65 63 74 20 64 68 35 31 32 2e 62 61 64  onnect dh512.bad
0ca0: 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72  ssl.com.    } -r
0cb0: 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65  esult {handshake
0cc0: 20 66 61 69 6c 65 64 3a 20 64 68 20 6b 65 79 20   failed: dh key 
0cd0: 74 6f 6f 20 73 6d 61 6c 6c 7d 20 2d 72 65 74 75  too small} -retu
0ce0: 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73  rnCodes {1}..tes
0cf0: 74 20 42 61 64 53 53 4c 2d 31 2e 31 39 20 7b 64  t BadSSL-1.19 {d
0d00: 68 35 31 32 7d 20 2d 63 6f 6e 73 74 72 61 69 6e  h512} -constrain
0d10: 74 73 20 7b 4f 70 65 6e 53 53 4c 33 2e 32 7d 20  ts {OpenSSL3.2} 
0d20: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
0d30: 20 64 68 35 31 32 2e 62 61 64 73 73 6c 2e 63 6f   dh512.badssl.co
0d40: 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20  m.    } -result 
0d50: 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65  {handshake faile
0d60: 64 3a 20 75 6e 6b 6e 6f 77 6e 20 73 65 63 75 72  d: unknown secur
0d70: 69 74 79 20 62 69 74 73 7d 20 2d 72 65 74 75 72  ity bits} -retur
0d80: 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74  nCodes {1}..test
0d90: 20 42 61 64 53 53 4c 2d 31 2e 32 30 20 7b 64 68   BadSSL-1.20 {dh
0da0: 31 30 32 34 7d 20 2d 63 6f 6e 73 74 72 61 69 6e  1024} -constrain
0db0: 74 73 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e 31  ts {OpenSSL1.1.1
0dc0: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
0dd0: 63 74 20 64 68 31 30 32 34 2e 62 61 64 73 73 6c  ct dh1024.badssl
0de0: 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65 73 74  .com.    }..test
0df0: 20 42 61 64 53 53 4c 2d 31 2e 32 31 20 7b 64 68   BadSSL-1.21 {dh
0e00: 31 30 32 34 7d 20 2d 63 6f 6e 73 74 72 61 69 6e  1024} -constrain
0e10: 74 73 20 7b 77 69 6e 20 4f 70 65 6e 53 53 4c 33  ts {win OpenSSL3
0e20: 2e 30 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e  .0} -body {..con
0e30: 6e 65 63 74 20 64 68 31 30 32 34 2e 62 61 64 73  nect dh1024.bads
0e40: 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65  sl.com.    }..te
0e50: 73 74 20 42 61 64 53 53 4c 2d 31 2e 32 32 20 7b  st BadSSL-1.22 {
0e60: 64 68 31 30 32 34 7d 20 2d 63 6f 6e 73 74 72 61  dh1024} -constra
0e70: 69 6e 74 73 20 7b 75 6e 69 78 20 4f 70 65 6e 53  ints {unix OpenS
0e80: 53 4c 33 2e 30 7d 20 2d 62 6f 64 79 20 7b 0a 09  SL3.0} -body {..
0e90: 63 6f 6e 6e 65 63 74 20 64 68 31 30 32 34 2e 62  connect dh1024.b
0ea0: 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20  adssl.com.    } 
0eb0: 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61  -result {handsha
0ec0: 6b 65 20 66 61 69 6c 65 64 3a 20 64 68 20 6b 65  ke failed: dh ke
0ed0: 79 20 74 6f 6f 20 73 6d 61 6c 6c 7d 20 2d 72 65  y too small} -re
0ee0: 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74  turnCodes {1}..t
0ef0: 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 32 33 20  est BadSSL-1.23 
0f00: 7b 64 68 31 30 32 34 7d 20 2d 63 6f 6e 73 74 72  {dh1024} -constr
0f10: 61 69 6e 74 73 20 7b 4f 70 65 6e 53 53 4c 33 2e  aints {OpenSSL3.
0f20: 32 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e  2} -body {..conn
0f30: 65 63 74 20 64 68 31 30 32 34 2e 62 61 64 73 73  ect dh1024.badss
0f40: 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73  l.com.    } -res
0f50: 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66  ult {handshake f
0f60: 61 69 6c 65 64 3a 20 64 68 20 6b 65 79 20 74 6f  ailed: dh key to
0f70: 6f 20 73 6d 61 6c 6c 7d 20 2d 72 65 74 75 72 6e  o small} -return
0f80: 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20  Codes {1}..test 
0f90: 42 61 64 53 53 4c 2d 31 2e 32 34 20 7b 64 68 32  BadSSL-1.24 {dh2
0fa0: 30 34 38 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f  048} -body {..co
0fb0: 6e 6e 65 63 74 20 64 68 32 30 34 38 2e 62 61 64  nnect dh2048.bad
0fc0: 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74  ssl.com.    }..t
0fd0: 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 32 35 20  est BadSSL-1.25 
0fe0: 7b 64 73 64 74 65 73 74 70 72 6f 76 69 64 65 72  {dsdtestprovider
0ff0: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
1000: 63 74 20 64 73 64 74 65 73 74 70 72 6f 76 69 64  ct dsdtestprovid
1010: 65 72 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20  er.badssl.com.  
1020: 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e    } -result {han
1030: 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 63  dshake failed: c
1040: 65 72 74 69 66 69 63 61 74 65 20 76 65 72 69 66  ertificate verif
1050: 79 20 66 61 69 6c 65 64 20 64 75 65 20 74 6f 20  y failed due to 
1060: 22 75 6e 61 62 6c 65 20 74 6f 20 67 65 74 20 6c  "unable to get l
1070: 6f 63 61 6c 20 69 73 73 75 65 72 20 63 65 72 74  ocal issuer cert
1080: 69 66 69 63 61 74 65 22 7d 20 2d 72 65 74 75 72  ificate"} -retur
1090: 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74  nCodes {1}..test
10a0: 20 42 61 64 53 53 4c 2d 31 2e 32 36 20 7b 65 63   BadSSL-1.26 {ec
10b0: 63 32 35 36 7d 20 2d 62 6f 64 79 20 7b 0a 09 63  c256} -body {..c
10c0: 6f 6e 6e 65 63 74 20 65 63 63 32 35 36 2e 62 61  onnect ecc256.ba
10d0: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a  dssl.com.    }..
10e0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 32 37  test BadSSL-1.27
10f0: 20 7b 65 63 63 33 38 34 7d 20 2d 62 6f 64 79 20   {ecc384} -body 
1100: 7b 0a 09 63 6f 6e 6e 65 63 74 20 65 63 63 33 38  {..connect ecc38
1110: 34 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20  4.badssl.com.   
1120: 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d   }..test BadSSL-
1130: 31 2e 32 38 20 7b 65 64 65 6c 6c 72 6f 6f 74 7d  1.28 {edellroot}
1140: 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63   -body {..connec
1150: 74 20 65 64 65 6c 6c 72 6f 6f 74 2e 62 61 64 73  t edellroot.bads
1160: 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65  sl.com.    } -re
1170: 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20  sult {handshake 
1180: 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66 69 63  failed: certific
1190: 61 74 65 20 76 65 72 69 66 79 20 66 61 69 6c 65  ate verify faile
11a0: 64 20 64 75 65 20 74 6f 20 22 75 6e 61 62 6c 65  d due to "unable
11b0: 20 74 6f 20 67 65 74 20 6c 6f 63 61 6c 20 69 73   to get local is
11c0: 73 75 65 72 20 63 65 72 74 69 66 69 63 61 74 65  suer certificate
11d0: 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20  "} -returnCodes 
11e0: 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c  {1}..test BadSSL
11f0: 2d 31 2e 32 39 20 7b 65 78 70 69 72 65 64 7d 20  -1.29 {expired} 
1200: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
1210: 20 65 78 70 69 72 65 64 2e 62 61 64 73 73 6c 2e   expired.badssl.
1220: 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c  com.    } -resul
1230: 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69  t {handshake fai
1240: 6c 65 64 3a 20 63 65 72 74 69 66 69 63 61 74 65  led: certificate
1250: 20 76 65 72 69 66 79 20 66 61 69 6c 65 64 20 64   verify failed d
1260: 75 65 20 74 6f 20 22 63 65 72 74 69 66 69 63 61  ue to "certifica
1270: 74 65 20 68 61 73 20 65 78 70 69 72 65 64 22 7d  te has expired"}
1280: 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31   -returnCodes {1
1290: 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31  }..test BadSSL-1
12a0: 2e 33 30 20 7b 65 78 74 65 6e 64 65 64 20 76 61  .30 {extended va
12b0: 6c 69 64 61 74 69 6f 6e 7d 20 2d 62 6f 64 79 20  lidation} -body 
12c0: 7b 0a 09 63 6f 6e 6e 65 63 74 20 65 78 74 65 6e  {..connect exten
12d0: 64 65 64 2d 76 61 6c 69 64 61 74 69 6f 6e 2e 62  ded-validation.b
12e0: 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20  adssl.com.    } 
12f0: 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61  -result {handsha
1300: 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69  ke failed: certi
1310: 66 69 63 61 74 65 20 76 65 72 69 66 79 20 66 61  ficate verify fa
1320: 69 6c 65 64 20 64 75 65 20 74 6f 20 22 63 65 72  iled due to "cer
1330: 74 69 66 69 63 61 74 65 20 68 61 73 20 65 78 70  tificate has exp
1340: 69 72 65 64 22 7d 20 2d 72 65 74 75 72 6e 43 6f  ired"} -returnCo
1350: 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61  des {1}..test Ba
1360: 64 53 53 4c 2d 31 2e 33 31 20 7b 68 73 74 73 7d  dSSL-1.31 {hsts}
1370: 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63   -body {..connec
1380: 74 20 68 73 74 73 2e 62 61 64 73 73 6c 2e 63 6f  t hsts.badssl.co
1390: 6d 0a 20 20 20 20 7d 0a 0a 74 65 73 74 20 42 61  m.    }..test Ba
13a0: 64 53 53 4c 2d 31 2e 33 32 20 7b 68 74 74 70 73  dSSL-1.32 {https
13b0: 20 65 76 65 72 79 77 68 65 72 65 7d 20 2d 62 6f   everywhere} -bo
13c0: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 68 74  dy {..connect ht
13d0: 74 70 73 2d 65 76 65 72 79 77 68 65 72 65 2e 62  tps-everywhere.b
13e0: 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a  adssl.com.    }.
13f0: 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 33  .test BadSSL-1.3
1400: 33 20 7b 69 6e 63 6f 6d 70 6c 65 74 65 20 63 68  3 {incomplete ch
1410: 61 69 6e 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f  ain} -body {..co
1420: 6e 6e 65 63 74 20 69 6e 63 6f 6d 70 6c 65 74 65  nnect incomplete
1430: 2d 63 68 61 69 6e 2e 62 61 64 73 73 6c 2e 63 6f  -chain.badssl.co
1440: 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20  m.    } -result 
1450: 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65  {handshake faile
1460: 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20 76  d: certificate v
1470: 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75 65  erify failed due
1480: 20 74 6f 20 22 75 6e 61 62 6c 65 20 74 6f 20 67   to "unable to g
1490: 65 74 20 6c 6f 63 61 6c 20 69 73 73 75 65 72 20  et local issuer 
14a0: 63 65 72 74 69 66 69 63 61 74 65 22 7d 20 2d 72  certificate"} -r
14b0: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
14c0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 33 34  test BadSSL-1.34
14d0: 20 7b 69 6e 76 61 6c 69 64 20 65 78 70 65 63 74   {invalid expect
14e0: 65 64 20 73 63 74 7d 20 2d 62 6f 64 79 20 7b 0a  ed sct} -body {.
14f0: 09 63 6f 6e 6e 65 63 74 20 69 6e 76 61 6c 69 64  .connect invalid
1500: 2d 65 78 70 65 63 74 65 64 2d 73 63 74 2e 62 61  -expected-sct.ba
1510: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d  dssl.com.    } -
1520: 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b  result {handshak
1530: 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66  e failed: certif
1540: 69 63 61 74 65 20 76 65 72 69 66 79 20 66 61 69  icate verify fai
1550: 6c 65 64 20 64 75 65 20 74 6f 20 22 75 6e 61 62  led due to "unab
1560: 6c 65 20 74 6f 20 67 65 74 20 6c 6f 63 61 6c 20  le to get local 
1570: 69 73 73 75 65 72 20 63 65 72 74 69 66 69 63 61  issuer certifica
1580: 74 65 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65  te"} -returnCode
1590: 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53  s {1}..test BadS
15a0: 53 4c 2d 31 2e 33 35 20 7b 6c 6f 6e 67 20 65 78  SL-1.35 {long ex
15b0: 74 65 6e 64 65 64 20 73 75 62 64 6f 6d 61 69 6e  tended subdomain
15c0: 20 6e 61 6d 65 20 63 6f 6e 74 61 69 6e 69 6e 67   name containing
15d0: 20 6d 61 6e 79 20 6c 65 74 74 65 72 73 20 61 6e   many letters an
15e0: 64 20 64 61 73 68 65 73 7d 20 2d 62 6f 64 79 20  d dashes} -body 
15f0: 7b 0a 09 63 6f 6e 6e 65 63 74 20 6c 6f 6e 67 2d  {..connect long-
1600: 65 78 74 65 6e 64 65 64 2d 73 75 62 64 6f 6d 61  extended-subdoma
1610: 69 6e 2d 6e 61 6d 65 2d 63 6f 6e 74 61 69 6e 69  in-name-containi
1620: 6e 67 2d 6d 61 6e 79 2d 6c 65 74 74 65 72 73 2d  ng-many-letters-
1630: 61 6e 64 2d 64 61 73 68 65 73 2e 62 61 64 73 73  and-dashes.badss
1640: 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65 73  l.com.    }..tes
1650: 74 20 42 61 64 53 53 4c 2d 31 2e 33 36 20 7b 6c  t BadSSL-1.36 {l
1660: 6f 6e 67 65 78 74 65 6e 64 65 64 73 75 62 64 6f  ongextendedsubdo
1670: 6d 61 69 6e 6e 61 6d 65 77 69 74 68 6f 75 74 64  mainnamewithoutd
1680: 61 73 68 65 73 69 6e 6f 72 64 65 72 74 6f 74 65  ashesinordertote
1690: 73 74 77 6f 72 64 77 72 61 70 70 69 6e 67 7d 20  stwordwrapping} 
16a0: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
16b0: 20 6c 6f 6e 67 65 78 74 65 6e 64 65 64 73 75 62   longextendedsub
16c0: 64 6f 6d 61 69 6e 6e 61 6d 65 77 69 74 68 6f 75  domainnamewithou
16d0: 74 64 61 73 68 65 73 69 6e 6f 72 64 65 72 74 6f  tdashesinorderto
16e0: 74 65 73 74 77 6f 72 64 77 72 61 70 70 69 6e 67  testwordwrapping
16f0: 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20  .badssl.com.    
1700: 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31  }..test BadSSL-1
1710: 2e 33 37 20 7b 6d 69 74 6d 20 73 6f 66 74 77 61  .37 {mitm softwa
1720: 72 65 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e  re} -body {..con
1730: 6e 65 63 74 20 6d 69 74 6d 2d 73 6f 66 74 77 61  nect mitm-softwa
1740: 72 65 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20  re.badssl.com.  
1750: 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e    } -result {han
1760: 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 63  dshake failed: c
1770: 65 72 74 69 66 69 63 61 74 65 20 76 65 72 69 66  ertificate verif
1780: 79 20 66 61 69 6c 65 64 20 64 75 65 20 74 6f 20  y failed due to 
1790: 22 75 6e 61 62 6c 65 20 74 6f 20 67 65 74 20 6c  "unable to get l
17a0: 6f 63 61 6c 20 69 73 73 75 65 72 20 63 65 72 74  ocal issuer cert
17b0: 69 66 69 63 61 74 65 22 7d 20 2d 72 65 74 75 72  ificate"} -retur
17c0: 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74  nCodes {1}..test
17d0: 20 42 61 64 53 53 4c 2d 31 2e 33 38 20 7b 6e 6f   BadSSL-1.38 {no
17e0: 20 63 6f 6d 6d 6f 6e 20 6e 61 6d 65 7d 20 2d 62   common name} -b
17f0: 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 6e  ody {..connect n
1800: 6f 2d 63 6f 6d 6d 6f 6e 2d 6e 61 6d 65 2e 62 61  o-common-name.ba
1810: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d  dssl.com.    } -
1820: 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b  result {handshak
1830: 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66  e failed: certif
1840: 69 63 61 74 65 20 76 65 72 69 66 79 20 66 61 69  icate verify fai
1850: 6c 65 64 20 64 75 65 20 74 6f 20 22 63 65 72 74  led due to "cert
1860: 69 66 69 63 61 74 65 20 68 61 73 20 65 78 70 69  ificate has expi
1870: 72 65 64 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64  red"} -returnCod
1880: 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64  es {1}..test Bad
1890: 53 53 4c 2d 31 2e 33 39 20 7b 6e 6f 20 73 63 74  SSL-1.39 {no sct
18a0: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
18b0: 63 74 20 6e 6f 2d 73 63 74 2e 62 61 64 73 73 6c  ct no-sct.badssl
18c0: 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75  .com.    } -resu
18d0: 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61  lt {handshake fa
18e0: 69 6c 65 64 3a 20 63 65 72 74 69 66 69 63 61 74  iled: certificat
18f0: 65 20 76 65 72 69 66 79 20 66 61 69 6c 65 64 20  e verify failed 
1900: 64 75 65 20 74 6f 20 22 63 65 72 74 69 66 69 63  due to "certific
1910: 61 74 65 20 68 61 73 20 65 78 70 69 72 65 64 22  ate has expired"
1920: 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b  } -returnCodes {
1930: 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d  1}..test BadSSL-
1940: 31 2e 34 30 20 7b 6e 6f 20 73 75 62 6a 65 63 74  1.40 {no subject
1950: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
1960: 63 74 20 6e 6f 2d 73 75 62 6a 65 63 74 2e 62 61  ct no-subject.ba
1970: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d  dssl.com.    } -
1980: 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b  result {handshak
1990: 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66  e failed: certif
19a0: 69 63 61 74 65 20 76 65 72 69 66 79 20 66 61 69  icate verify fai
19b0: 6c 65 64 20 64 75 65 20 74 6f 20 22 63 65 72 74  led due to "cert
19c0: 69 66 69 63 61 74 65 20 68 61 73 20 65 78 70 69  ificate has expi
19d0: 72 65 64 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64  red"} -returnCod
19e0: 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64  es {1}..test Bad
19f0: 53 53 4c 2d 31 2e 34 31 20 7b 6e 75 6c 6c 7d 20  SSL-1.41 {null} 
1a00: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
1a10: 20 6e 75 6c 6c 2e 62 61 64 73 73 6c 2e 63 6f 6d   null.badssl.com
1a20: 0a 20 20 20 20 7d 20 2d 6d 61 74 63 68 20 7b 67  .    } -match {g
1a30: 6c 6f 62 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61  lob} -result {ha
1a40: 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20  ndshake failed: 
1a50: 2a 20 61 6c 65 72 74 20 68 61 6e 64 73 68 61 6b  * alert handshak
1a60: 65 20 66 61 69 6c 75 72 65 7d 20 2d 72 65 74 75  e failure} -retu
1a70: 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73  rnCodes {1}..tes
1a80: 74 20 42 61 64 53 53 4c 2d 31 2e 34 32 20 7b 70  t BadSSL-1.42 {p
1a90: 69 6e 6e 69 6e 67 20 74 65 73 74 7d 20 2d 62 6f  inning test} -bo
1aa0: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 70 69  dy {..connect pi
1ab0: 6e 6e 69 6e 67 2d 74 65 73 74 2e 62 61 64 73 73  nning-test.badss
1ac0: 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65 73  l.com.    }..tes
1ad0: 74 20 42 61 64 53 53 4c 2d 31 2e 34 33 20 7b 70  t BadSSL-1.43 {p
1ae0: 72 65 61 63 74 20 63 6c 69 7d 20 2d 62 6f 64 79  react cli} -body
1af0: 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 70 72 65 61   {..connect prea
1b00: 63 74 2d 63 6c 69 2e 62 61 64 73 73 6c 2e 63 6f  ct-cli.badssl.co
1b10: 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20  m.    } -result 
1b20: 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65  {handshake faile
1b30: 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20 76  d: certificate v
1b40: 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75 65  erify failed due
1b50: 20 74 6f 20 22 75 6e 61 62 6c 65 20 74 6f 20 67   to "unable to g
1b60: 65 74 20 6c 6f 63 61 6c 20 69 73 73 75 65 72 20  et local issuer 
1b70: 63 65 72 74 69 66 69 63 61 74 65 22 7d 20 2d 72  certificate"} -r
1b80: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
1b90: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 34 34  test BadSSL-1.44
1ba0: 20 7b 70 72 65 6c 6f 61 64 65 64 20 68 73 74 73   {preloaded hsts
1bb0: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
1bc0: 63 74 20 70 72 65 6c 6f 61 64 65 64 2d 68 73 74  ct preloaded-hst
1bd0: 73 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20  s.badssl.com.   
1be0: 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d   }..test BadSSL-
1bf0: 31 2e 34 35 20 7b 72 63 34 20 6d 64 35 7d 20 2d  1.45 {rc4 md5} -
1c00: 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20  body {..connect 
1c10: 72 63 34 2d 6d 64 35 2e 62 61 64 73 73 6c 2e 63  rc4-md5.badssl.c
1c20: 6f 6d 0a 20 20 20 20 7d 20 2d 6d 61 74 63 68 20  om.    } -match 
1c30: 7b 67 6c 6f 62 7d 20 2d 72 65 73 75 6c 74 20 7b  {glob} -result {
1c40: 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64  handshake failed
1c50: 3a 20 2a 20 61 6c 65 72 74 20 68 61 6e 64 73 68  : * alert handsh
1c60: 61 6b 65 20 66 61 69 6c 75 72 65 7d 20 2d 72 65  ake failure} -re
1c70: 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74  turnCodes {1}..t
1c80: 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 34 36 20  est BadSSL-1.46 
1c90: 7b 72 63 34 7d 20 2d 62 6f 64 79 20 7b 0a 09 63  {rc4} -body {..c
1ca0: 6f 6e 6e 65 63 74 20 72 63 34 2e 62 61 64 73 73  onnect rc4.badss
1cb0: 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 6d 61 74  l.com.    } -mat
1cc0: 63 68 20 7b 67 6c 6f 62 7d 20 2d 72 65 73 75 6c  ch {glob} -resul
1cd0: 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69  t {handshake fai
1ce0: 6c 65 64 3a 20 2a 20 61 6c 65 72 74 20 68 61 6e  led: * alert han
1cf0: 64 73 68 61 6b 65 20 66 61 69 6c 75 72 65 7d 20  dshake failure} 
1d00: 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d  -returnCodes {1}
1d10: 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e  ..test BadSSL-1.
1d20: 34 37 20 7b 72 65 76 6f 6b 65 64 7d 20 2d 62 6f  47 {revoked} -bo
1d30: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 72 65  dy {..connect re
1d40: 76 6f 6b 65 64 2e 62 61 64 73 73 6c 2e 63 6f 6d  voked.badssl.com
1d50: 0a 20 20 20 20 7d 0a 0a 74 65 73 74 20 42 61 64  .    }..test Bad
1d60: 53 53 4c 2d 31 2e 34 38 20 7b 72 73 61 32 30 34  SSL-1.48 {rsa204
1d70: 38 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e  8} -body {..conn
1d80: 65 63 74 20 72 73 61 32 30 34 38 2e 62 61 64 73  ect rsa2048.bads
1d90: 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65  sl.com.    }..te
1da0: 73 74 20 42 61 64 53 53 4c 2d 31 2e 34 39 20 7b  st BadSSL-1.49 {
1db0: 72 73 61 34 30 39 36 7d 20 2d 62 6f 64 79 20 7b  rsa4096} -body {
1dc0: 0a 09 63 6f 6e 6e 65 63 74 20 72 73 61 34 30 39  ..connect rsa409
1dd0: 36 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20  6.badssl.com.   
1de0: 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d   }..test BadSSL-
1df0: 31 2e 35 30 20 7b 72 73 61 38 31 39 32 7d 20 2d  1.50 {rsa8192} -
1e00: 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20  body {..connect 
1e10: 72 73 61 38 31 39 32 2e 62 61 64 73 73 6c 2e 63  rsa8192.badssl.c
1e20: 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74  om.    } -result
1e30: 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c   {handshake fail
1e40: 65 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20  ed: certificate 
1e50: 76 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75  verify failed du
1e60: 65 20 74 6f 20 22 63 65 72 74 69 66 69 63 61 74  e to "certificat
1e70: 65 20 68 61 73 20 65 78 70 69 72 65 64 22 7d 20  e has expired"} 
1e80: 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d  -returnCodes {1}
1e90: 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e  ..test BadSSL-1.
1ea0: 35 31 20 7b 73 65 6c 66 20 73 69 67 6e 65 64 7d  51 {self signed}
1eb0: 20 2d 63 6f 6e 73 74 72 61 69 6e 74 73 20 7b 4f   -constraints {O
1ec0: 70 65 6e 53 53 4c 31 2e 31 2e 31 7d 20 2d 62 6f  penSSL1.1.1} -bo
1ed0: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 65  dy {..connect se
1ee0: 6c 66 2d 73 69 67 6e 65 64 2e 62 61 64 73 73 6c  lf-signed.badssl
1ef0: 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75  .com.    } -resu
1f00: 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61  lt {handshake fa
1f10: 69 6c 65 64 3a 20 63 65 72 74 69 66 69 63 61 74  iled: certificat
1f20: 65 20 76 65 72 69 66 79 20 66 61 69 6c 65 64 20  e verify failed 
1f30: 64 75 65 20 74 6f 20 22 73 65 6c 66 20 73 69 67  due to "self sig
1f40: 6e 65 64 20 63 65 72 74 69 66 69 63 61 74 65 22  ned certificate"
1f50: 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b  } -returnCodes {
1f60: 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d  1}..test BadSSL-
1f70: 31 2e 35 32 20 7b 73 65 6c 66 20 73 69 67 6e 65  1.52 {self signe
1f80: 64 7d 20 2d 63 6f 6e 73 74 72 61 69 6e 74 73 20  d} -constraints 
1f90: 7b 21 4f 70 65 6e 53 53 4c 31 2e 31 2e 31 7d 20  {!OpenSSL1.1.1} 
1fa0: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
1fb0: 20 73 65 6c 66 2d 73 69 67 6e 65 64 2e 62 61 64   self-signed.bad
1fc0: 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72  ssl.com.    } -r
1fd0: 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65  esult {handshake
1fe0: 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66 69   failed: certifi
1ff0: 63 61 74 65 20 76 65 72 69 66 79 20 66 61 69 6c  cate verify fail
2000: 65 64 20 64 75 65 20 74 6f 20 22 73 65 6c 66 2d  ed due to "self-
2010: 73 69 67 6e 65 64 20 63 65 72 74 69 66 69 63 61  signed certifica
2020: 74 65 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65  te"} -returnCode
2030: 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53  s {1}..test BadS
2040: 53 4c 2d 31 2e 35 33 20 7b 73 68 61 31 20 32 30  SL-1.53 {sha1 20
2050: 31 36 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e  16} -body {..con
2060: 6e 65 63 74 20 73 68 61 31 2d 32 30 31 36 2e 62  nect sha1-2016.b
2070: 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20  adssl.com.    } 
2080: 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61  -result {handsha
2090: 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69  ke failed: certi
20a0: 66 69 63 61 74 65 20 76 65 72 69 66 79 20 66 61  ficate verify fa
20b0: 69 6c 65 64 20 64 75 65 20 74 6f 20 22 75 6e 61  iled due to "una
20c0: 62 6c 65 20 74 6f 20 67 65 74 20 6c 6f 63 61 6c  ble to get local
20d0: 20 69 73 73 75 65 72 20 63 65 72 74 69 66 69 63   issuer certific
20e0: 61 74 65 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64  ate"} -returnCod
20f0: 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64  es {1}..test Bad
2100: 53 53 4c 2d 31 2e 35 34 20 7b 73 68 61 31 20 32  SSL-1.54 {sha1 2
2110: 30 31 37 7d 20 2d 63 6f 6e 73 74 72 61 69 6e 74  017} -constraint
2120: 73 20 7b 77 69 6e 20 4f 70 65 6e 53 53 4c 31 2e  s {win OpenSSL1.
2130: 31 2e 31 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f  1.1} -body {..co
2140: 6e 6e 65 63 74 20 73 68 61 31 2d 32 30 31 37 2e  nnect sha1-2017.
2150: 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d  badssl.com.    }
2160: 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68   -result {handsh
2170: 61 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74  ake failed: cert
2180: 69 66 69 63 61 74 65 20 76 65 72 69 66 79 20 66  ificate verify f
2190: 61 69 6c 65 64 20 64 75 65 20 74 6f 20 22 63 65  ailed due to "ce
21a0: 72 74 69 66 69 63 61 74 65 20 68 61 73 20 65 78  rtificate has ex
21b0: 70 69 72 65 64 22 7d 20 2d 72 65 74 75 72 6e 43  pired"} -returnC
21c0: 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42  odes {1}..test B
21d0: 61 64 53 53 4c 2d 31 2e 35 35 20 7b 73 68 61 31  adSSL-1.55 {sha1
21e0: 20 32 30 31 37 7d 20 2d 63 6f 6e 73 74 72 61 69   2017} -constrai
21f0: 6e 74 73 20 7b 75 6e 69 78 20 21 6d 61 63 20 4f  nts {unix !mac O
2200: 70 65 6e 53 53 4c 33 2e 32 7d 20 2d 62 6f 64 79  penSSL3.2} -body
2210: 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 68 61 31   {..connect sha1
2220: 2d 32 30 31 37 2e 62 61 64 73 73 6c 2e 63 6f 6d  -2017.badssl.com
2230: 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b  .    } -result {
2240: 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64  handshake failed
2250: 3a 20 63 65 72 74 69 66 69 63 61 74 65 20 76 65  : certificate ve
2260: 72 69 66 79 20 66 61 69 6c 65 64 20 64 75 65 20  rify failed due 
2270: 74 6f 20 22 63 65 72 74 69 66 69 63 61 74 65 20  to "certificate 
2280: 68 61 73 20 65 78 70 69 72 65 64 22 7d 20 2d 72  has expired"} -r
2290: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
22a0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 35 36  test BadSSL-1.56
22b0: 20 7b 73 68 61 31 20 32 30 31 37 7d 20 2d 63 6f   {sha1 2017} -co
22c0: 6e 73 74 72 61 69 6e 74 73 20 7b 75 6e 69 78 20  nstraints {unix 
22d0: 4f 70 65 6e 53 53 4c 33 2e 30 7d 20 2d 62 6f 64  OpenSSL3.0} -bod
22e0: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 68 61  y {..connect sha
22f0: 31 2d 32 30 31 37 2e 62 61 64 73 73 6c 2e 63 6f  1-2017.badssl.co
2300: 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20  m.    } -result 
2310: 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65  {handshake faile
2320: 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20 76  d: certificate v
2330: 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75 65  erify failed due
2340: 20 74 6f 20 22 43 41 20 73 69 67 6e 61 74 75 72   to "CA signatur
2350: 65 20 64 69 67 65 73 74 20 61 6c 67 6f 72 69 74  e digest algorit
2360: 68 6d 20 74 6f 6f 20 77 65 61 6b 22 7d 20 2d 72  hm too weak"} -r
2370: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
2380: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 35 37  test BadSSL-1.57
2390: 20 7b 73 68 61 31 20 32 30 31 37 7d 20 2d 63 6f   {sha1 2017} -co
23a0: 6e 73 74 72 61 69 6e 74 73 20 7b 6d 61 63 20 4f  nstraints {mac O
23b0: 70 65 6e 53 53 4c 33 2e 32 7d 20 2d 62 6f 64 79  penSSL3.2} -body
23c0: 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 68 61 31   {..connect sha1
23d0: 2d 32 30 31 37 2e 62 61 64 73 73 6c 2e 63 6f 6d  -2017.badssl.com
23e0: 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b  .    } -result {
23f0: 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64  handshake failed
2400: 3a 20 63 65 72 74 69 66 69 63 61 74 65 20 76 65  : certificate ve
2410: 72 69 66 79 20 66 61 69 6c 65 64 20 64 75 65 20  rify failed due 
2420: 74 6f 20 22 43 41 20 73 69 67 6e 61 74 75 72 65  to "CA signature
2430: 20 64 69 67 65 73 74 20 61 6c 67 6f 72 69 74 68   digest algorith
2440: 6d 20 74 6f 6f 20 77 65 61 6b 22 7d 20 2d 72 65  m too weak"} -re
2450: 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74  turnCodes {1}..t
2460: 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 35 38 20  est BadSSL-1.58 
2470: 7b 73 68 61 31 20 32 30 31 37 7d 20 2d 63 6f 6e  {sha1 2017} -con
2480: 73 74 72 61 69 6e 74 73 20 7b 77 69 6e 20 21 4f  straints {win !O
2490: 70 65 6e 53 53 4c 31 2e 31 2e 31 7d 20 2d 62 6f  penSSL1.1.1} -bo
24a0: 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 68  dy {..connect sh
24b0: 61 31 2d 32 30 31 37 2e 62 61 64 73 73 6c 2e 63  a1-2017.badssl.c
24c0: 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74  om.    } -result
24d0: 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c   {handshake fail
24e0: 65 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20  ed: certificate 
24f0: 76 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75  verify failed du
2500: 65 20 74 6f 20 22 43 41 20 73 69 67 6e 61 74 75  e to "CA signatu
2510: 72 65 20 64 69 67 65 73 74 20 61 6c 67 6f 72 69  re digest algori
2520: 74 68 6d 20 74 6f 6f 20 77 65 61 6b 22 7d 20 2d  thm too weak"} -
2530: 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a  returnCodes {1}.
2540: 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 35  .test BadSSL-1.5
2550: 39 20 7b 73 68 61 31 20 69 6e 74 65 72 6d 65 64  9 {sha1 intermed
2560: 69 61 74 65 7d 20 2d 62 6f 64 79 20 7b 0a 09 63  iate} -body {..c
2570: 6f 6e 6e 65 63 74 20 73 68 61 31 2d 69 6e 74 65  onnect sha1-inte
2580: 72 6d 65 64 69 61 74 65 2e 62 61 64 73 73 6c 2e  rmediate.badssl.
2590: 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c  com.    } -resul
25a0: 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69  t {handshake fai
25b0: 6c 65 64 3a 20 63 65 72 74 69 66 69 63 61 74 65  led: certificate
25c0: 20 76 65 72 69 66 79 20 66 61 69 6c 65 64 20 64   verify failed d
25d0: 75 65 20 74 6f 20 22 75 6e 61 62 6c 65 20 74 6f  ue to "unable to
25e0: 20 67 65 74 20 6c 6f 63 61 6c 20 69 73 73 75 65   get local issue
25f0: 72 20 63 65 72 74 69 66 69 63 61 74 65 22 7d 20  r certificate"} 
2600: 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d  -returnCodes {1}
2610: 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e  ..test BadSSL-1.
2620: 36 30 20 7b 73 68 61 32 35 36 7d 20 2d 62 6f 64  60 {sha256} -bod
2630: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 68 61  y {..connect sha
2640: 32 35 36 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20  256.badssl.com. 
2650: 20 20 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53     }..test BadSS
2660: 4c 2d 31 2e 36 31 20 7b 73 68 61 33 38 34 7d 20  L-1.61 {sha384} 
2670: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
2680: 20 73 68 61 33 38 34 2e 62 61 64 73 73 6c 2e 63   sha384.badssl.c
2690: 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c 74  om.    } -result
26a0: 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69 6c   {handshake fail
26b0: 65 64 3a 20 63 65 72 74 69 66 69 63 61 74 65 20  ed: certificate 
26c0: 76 65 72 69 66 79 20 66 61 69 6c 65 64 20 64 75  verify failed du
26d0: 65 20 74 6f 20 22 63 65 72 74 69 66 69 63 61 74  e to "certificat
26e0: 65 20 68 61 73 20 65 78 70 69 72 65 64 22 7d 20  e has expired"} 
26f0: 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d  -returnCodes {1}
2700: 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e  ..test BadSSL-1.
2710: 36 32 20 7b 73 68 61 35 31 32 7d 20 2d 62 6f 64  62 {sha512} -bod
2720: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 68 61  y {..connect sha
2730: 35 31 32 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20  512.badssl.com. 
2740: 20 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61     } -result {ha
2750: 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20  ndshake failed: 
2760: 63 65 72 74 69 66 69 63 61 74 65 20 76 65 72 69  certificate veri
2770: 66 79 20 66 61 69 6c 65 64 20 64 75 65 20 74 6f  fy failed due to
2780: 20 22 63 65 72 74 69 66 69 63 61 74 65 20 68 61   "certificate ha
2790: 73 20 65 78 70 69 72 65 64 22 7d 20 2d 72 65 74  s expired"} -ret
27a0: 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65  urnCodes {1}..te
27b0: 73 74 20 42 61 64 53 53 4c 2d 31 2e 36 33 20 7b  st BadSSL-1.63 {
27c0: 73 74 61 74 69 63 20 72 73 61 7d 20 2d 62 6f 64  static rsa} -bod
27d0: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 73 74 61  y {..connect sta
27e0: 74 69 63 2d 72 73 61 2e 62 61 64 73 73 6c 2e 63  tic-rsa.badssl.c
27f0: 6f 6d 0a 20 20 20 20 7d 0a 0a 74 65 73 74 20 42  om.    }..test B
2800: 61 64 53 53 4c 2d 31 2e 36 34 20 7b 73 75 62 64  adSSL-1.64 {subd
2810: 6f 6d 61 69 6e 2e 70 72 65 6c 6f 61 64 65 64 20  omain.preloaded 
2820: 68 73 74 73 7d 20 2d 63 6f 6e 73 74 72 61 69 6e  hsts} -constrain
2830: 74 73 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e 31  ts {OpenSSL1.1.1
2840: 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65  } -body {..conne
2850: 63 74 20 73 75 62 64 6f 6d 61 69 6e 2e 70 72 65  ct subdomain.pre
2860: 6c 6f 61 64 65 64 2d 68 73 74 73 2e 62 61 64 73  loaded-hsts.bads
2870: 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65  sl.com.    } -re
2880: 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20  sult {handshake 
2890: 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66 69 63  failed: certific
28a0: 61 74 65 20 76 65 72 69 66 79 20 66 61 69 6c 65  ate verify faile
28b0: 64 20 64 75 65 20 74 6f 20 22 48 6f 73 74 6e 61  d due to "Hostna
28c0: 6d 65 20 6d 69 73 6d 61 74 63 68 22 7d 20 2d 72  me mismatch"} -r
28d0: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
28e0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 36 35  test BadSSL-1.65
28f0: 20 7b 73 75 62 64 6f 6d 61 69 6e 2e 70 72 65 6c   {subdomain.prel
2900: 6f 61 64 65 64 20 68 73 74 73 7d 20 2d 63 6f 6e  oaded hsts} -con
2910: 73 74 72 61 69 6e 74 73 20 7b 4f 70 65 6e 53 53  straints {OpenSS
2920: 4c 33 2e 30 7d 20 2d 62 6f 64 79 20 7b 0a 09 63  L3.0} -body {..c
2930: 6f 6e 6e 65 63 74 20 73 75 62 64 6f 6d 61 69 6e  onnect subdomain
2940: 2e 70 72 65 6c 6f 61 64 65 64 2d 68 73 74 73 2e  .preloaded-hsts.
2950: 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d  badssl.com.    }
2960: 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68   -result {handsh
2970: 61 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74  ake failed: cert
2980: 69 66 69 63 61 74 65 20 76 65 72 69 66 79 20 66  ificate verify f
2990: 61 69 6c 65 64 20 64 75 65 20 74 6f 20 22 68 6f  ailed due to "ho
29a0: 73 74 6e 61 6d 65 20 6d 69 73 6d 61 74 63 68 22  stname mismatch"
29b0: 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b  } -returnCodes {
29c0: 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d  1}..test BadSSL-
29d0: 31 2e 36 36 20 7b 73 75 70 65 72 66 69 73 68 7d  1.66 {superfish}
29e0: 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63   -body {..connec
29f0: 74 20 73 75 70 65 72 66 69 73 68 2e 62 61 64 73  t superfish.bads
2a00: 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65  sl.com.    } -re
2a10: 73 75 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20  sult {handshake 
2a20: 66 61 69 6c 65 64 3a 20 63 65 72 74 69 66 69 63  failed: certific
2a30: 61 74 65 20 76 65 72 69 66 79 20 66 61 69 6c 65  ate verify faile
2a40: 64 20 64 75 65 20 74 6f 20 22 75 6e 61 62 6c 65  d due to "unable
2a50: 20 74 6f 20 67 65 74 20 6c 6f 63 61 6c 20 69 73   to get local is
2a60: 73 75 65 72 20 63 65 72 74 69 66 69 63 61 74 65  suer certificate
2a70: 22 7d 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20  "} -returnCodes 
2a80: 7b 31 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c  {1}..test BadSSL
2a90: 2d 31 2e 36 37 20 7b 74 6c 73 20 76 31 20 30 3a  -1.67 {tls v1 0:
2aa0: 31 30 31 30 7d 20 2d 62 6f 64 79 20 7b 0a 09 63  1010} -body {..c
2ab0: 6f 6e 6e 65 63 74 20 74 6c 73 2d 76 31 2d 30 2e  onnect tls-v1-0.
2ac0: 62 61 64 73 73 6c 2e 63 6f 6d 3a 31 30 31 30 0a  badssl.com:1010.
2ad0: 20 20 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68      } -result {h
2ae0: 61 6e 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a  andshake failed:
2af0: 20 75 6e 73 75 70 70 6f 72 74 65 64 20 70 72 6f   unsupported pro
2b00: 74 6f 63 6f 6c 7d 20 2d 72 65 74 75 72 6e 43 6f  tocol} -returnCo
2b10: 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61  des {1}..test Ba
2b20: 64 53 53 4c 2d 31 2e 36 38 20 7b 74 6c 73 20 76  dSSL-1.68 {tls v
2b30: 31 20 31 3a 31 30 31 31 7d 20 2d 62 6f 64 79 20  1 1:1011} -body 
2b40: 7b 0a 09 63 6f 6e 6e 65 63 74 20 74 6c 73 2d 76  {..connect tls-v
2b50: 31 2d 31 2e 62 61 64 73 73 6c 2e 63 6f 6d 3a 31  1-1.badssl.com:1
2b60: 30 31 31 0a 20 20 20 20 7d 20 2d 72 65 73 75 6c  011.    } -resul
2b70: 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61 69  t {handshake fai
2b80: 6c 65 64 3a 20 75 6e 73 75 70 70 6f 72 74 65 64  led: unsupported
2b90: 20 70 72 6f 74 6f 63 6f 6c 7d 20 2d 72 65 74 75   protocol} -retu
2ba0: 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65 73  rnCodes {1}..tes
2bb0: 74 20 42 61 64 53 53 4c 2d 31 2e 36 39 20 7b 74  t BadSSL-1.69 {t
2bc0: 6c 73 20 76 31 20 32 3a 31 30 31 32 7d 20 2d 63  ls v1 2:1012} -c
2bd0: 6f 6e 73 74 72 61 69 6e 74 73 20 7b 74 6c 73 31  onstraints {tls1
2be0: 2e 32 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e  .2} -body {..con
2bf0: 6e 65 63 74 20 74 6c 73 2d 76 31 2d 32 2e 62 61  nect tls-v1-2.ba
2c00: 64 73 73 6c 2e 63 6f 6d 3a 31 30 31 32 0a 20 20  dssl.com:1012.  
2c10: 20 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c    }..test BadSSL
2c20: 2d 31 2e 37 30 20 7b 75 6e 74 72 75 73 74 65 64  -1.70 {untrusted
2c30: 20 72 6f 6f 74 7d 20 2d 63 6f 6e 73 74 72 61 69   root} -constrai
2c40: 6e 74 73 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e  nts {OpenSSL1.1.
2c50: 31 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e  1} -body {..conn
2c60: 65 63 74 20 75 6e 74 72 75 73 74 65 64 2d 72 6f  ect untrusted-ro
2c70: 6f 74 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20  ot.badssl.com.  
2c80: 20 20 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e    } -result {han
2c90: 64 73 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 63  dshake failed: c
2ca0: 65 72 74 69 66 69 63 61 74 65 20 76 65 72 69 66  ertificate verif
2cb0: 79 20 66 61 69 6c 65 64 20 64 75 65 20 74 6f 20  y failed due to 
2cc0: 22 73 65 6c 66 20 73 69 67 6e 65 64 20 63 65 72  "self signed cer
2cd0: 74 69 66 69 63 61 74 65 20 69 6e 20 63 65 72 74  tificate in cert
2ce0: 69 66 69 63 61 74 65 20 63 68 61 69 6e 22 7d 20  ificate chain"} 
2cf0: 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d  -returnCodes {1}
2d00: 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e  ..test BadSSL-1.
2d10: 37 31 20 7b 75 6e 74 72 75 73 74 65 64 20 72 6f  71 {untrusted ro
2d20: 6f 74 7d 20 2d 63 6f 6e 73 74 72 61 69 6e 74 73  ot} -constraints
2d30: 20 7b 21 4f 70 65 6e 53 53 4c 31 2e 31 2e 31 7d   {!OpenSSL1.1.1}
2d40: 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63   -body {..connec
2d50: 74 20 75 6e 74 72 75 73 74 65 64 2d 72 6f 6f 74  t untrusted-root
2d60: 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20  .badssl.com.    
2d70: 7d 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73  } -result {hands
2d80: 68 61 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72  hake failed: cer
2d90: 74 69 66 69 63 61 74 65 20 76 65 72 69 66 79 20  tificate verify 
2da0: 66 61 69 6c 65 64 20 64 75 65 20 74 6f 20 22 73  failed due to "s
2db0: 65 6c 66 2d 73 69 67 6e 65 64 20 63 65 72 74 69  elf-signed certi
2dc0: 66 69 63 61 74 65 20 69 6e 20 63 65 72 74 69 66  ficate in certif
2dd0: 69 63 61 74 65 20 63 68 61 69 6e 22 7d 20 2d 72  icate chain"} -r
2de0: 65 74 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a  eturnCodes {1}..
2df0: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 37 32  test BadSSL-1.72
2e00: 20 7b 75 70 67 72 61 64 65 7d 20 2d 62 6f 64 79   {upgrade} -body
2e10: 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 75 70 67 72   {..connect upgr
2e20: 61 64 65 2e 62 61 64 73 73 6c 2e 63 6f 6d 0a 20  ade.badssl.com. 
2e30: 20 20 20 7d 0a 0a 74 65 73 74 20 42 61 64 53 53     }..test BadSS
2e40: 4c 2d 31 2e 37 33 20 7b 77 65 62 70 61 63 6b 20  L-1.73 {webpack 
2e50: 64 65 76 20 73 65 72 76 65 72 7d 20 2d 62 6f 64  dev server} -bod
2e60: 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 77 65 62  y {..connect web
2e70: 70 61 63 6b 2d 64 65 76 2d 73 65 72 76 65 72 2e  pack-dev-server.
2e80: 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d  badssl.com.    }
2e90: 20 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68   -result {handsh
2ea0: 61 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74  ake failed: cert
2eb0: 69 66 69 63 61 74 65 20 76 65 72 69 66 79 20 66  ificate verify f
2ec0: 61 69 6c 65 64 20 64 75 65 20 74 6f 20 22 75 6e  ailed due to "un
2ed0: 61 62 6c 65 20 74 6f 20 67 65 74 20 6c 6f 63 61  able to get loca
2ee0: 6c 20 69 73 73 75 65 72 20 63 65 72 74 69 66 69  l issuer certifi
2ef0: 63 61 74 65 22 7d 20 2d 72 65 74 75 72 6e 43 6f  cate"} -returnCo
2f00: 64 65 73 20 7b 31 7d 0a 0a 74 65 73 74 20 42 61  des {1}..test Ba
2f10: 64 53 53 4c 2d 31 2e 37 34 20 7b 77 72 6f 6e 67  dSSL-1.74 {wrong
2f20: 2e 68 6f 73 74 7d 20 2d 63 6f 6e 73 74 72 61 69  .host} -constrai
2f30: 6e 74 73 20 7b 4f 70 65 6e 53 53 4c 31 2e 31 2e  nts {OpenSSL1.1.
2f40: 31 7d 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e  1} -body {..conn
2f50: 65 63 74 20 77 72 6f 6e 67 2e 68 6f 73 74 2e 62  ect wrong.host.b
2f60: 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 20  adssl.com.    } 
2f70: 2d 72 65 73 75 6c 74 20 7b 68 61 6e 64 73 68 61  -result {handsha
2f80: 6b 65 20 66 61 69 6c 65 64 3a 20 63 65 72 74 69  ke failed: certi
2f90: 66 69 63 61 74 65 20 76 65 72 69 66 79 20 66 61  ficate verify fa
2fa0: 69 6c 65 64 20 64 75 65 20 74 6f 20 22 48 6f 73  iled due to "Hos
2fb0: 74 6e 61 6d 65 20 6d 69 73 6d 61 74 63 68 22 7d  tname mismatch"}
2fc0: 20 2d 72 65 74 75 72 6e 43 6f 64 65 73 20 7b 31   -returnCodes {1
2fd0: 7d 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31  }..test BadSSL-1
2fe0: 2e 37 35 20 7b 77 72 6f 6e 67 2e 68 6f 73 74 7d  .75 {wrong.host}
2ff0: 20 2d 63 6f 6e 73 74 72 61 69 6e 74 73 20 7b 21   -constraints {!
3000: 4f 70 65 6e 53 53 4c 31 2e 31 2e 31 7d 20 2d 62  OpenSSL1.1.1} -b
3010: 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74 20 77  ody {..connect w
3020: 72 6f 6e 67 2e 68 6f 73 74 2e 62 61 64 73 73 6c  rong.host.badssl
3030: 2e 63 6f 6d 0a 20 20 20 20 7d 20 2d 72 65 73 75  .com.    } -resu
3040: 6c 74 20 7b 68 61 6e 64 73 68 61 6b 65 20 66 61  lt {handshake fa
3050: 69 6c 65 64 3a 20 63 65 72 74 69 66 69 63 61 74  iled: certificat
3060: 65 20 76 65 72 69 66 79 20 66 61 69 6c 65 64 20  e verify failed 
3070: 64 75 65 20 74 6f 20 22 68 6f 73 74 6e 61 6d 65  due to "hostname
3080: 20 6d 69 73 6d 61 74 63 68 22 7d 20 2d 72 65 74   mismatch"} -ret
3090: 75 72 6e 43 6f 64 65 73 20 7b 31 7d 0a 0a 74 65  urnCodes {1}..te
30a0: 73 74 20 42 61 64 53 53 4c 2d 31 2e 37 36 20 7b  st BadSSL-1.76 {
30b0: 6d 6f 7a 69 6c 6c 61 20 6d 6f 64 65 72 6e 7d 20  mozilla modern} 
30c0: 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63 74  -body {..connect
30d0: 20 6d 6f 7a 69 6c 6c 61 2d 6d 6f 64 65 72 6e 2e   mozilla-modern.
30e0: 62 61 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d  badssl.com.    }
30f0: 0a 0a 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e  ..test BadSSL-1.
3100: 37 37 20 7b 6d 6f 7a 69 6c 6c 61 20 6f 6c 64 7d  77 {mozilla old}
3110: 20 2d 62 6f 64 79 20 7b 0a 09 63 6f 6e 6e 65 63   -body {..connec
3120: 74 20 6d 6f 7a 69 6c 6c 61 2d 6f 6c 64 2e 62 61  t mozilla-old.ba
3130: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a  dssl.com.    }..
3140: 74 65 73 74 20 42 61 64 53 53 4c 2d 31 2e 37 38  test BadSSL-1.78
3150: 20 7b 6d 6f 7a 69 6c 6c 61 20 69 6e 74 65 72 6d   {mozilla interm
3160: 65 64 69 61 74 65 7d 20 2d 62 6f 64 79 20 7b 0a  ediate} -body {.
3170: 09 63 6f 6e 6e 65 63 74 20 6d 6f 7a 69 6c 6c 61  .connect mozilla
3180: 2d 69 6e 74 65 72 6d 65 64 69 61 74 65 2e 62 61  -intermediate.ba
3190: 64 73 73 6c 2e 63 6f 6d 0a 20 20 20 20 7d 0a 0a  dssl.com.    }..
31a0: 23 20 43 6c 65 61 6e 75 70 0a 3a 3a 74 63 6c 74  # Cleanup.::tclt
31b0: 65 73 74 3a 3a 63 6c 65 61 6e 75 70 54 65 73 74  est::cleanupTest
31c0: 73 0a 72 65 74 75 72 6e 0a                       s.return.