
<div dir="ltr"><div><div><span style="color:rgb(153,0,255)">And also Openssl fails with Resume-Client-NoResume cases. Do you have<br>any report on which test cases do fail and reasons for the failure?<br></span><br><br><span style="color:rgb(255,0,0)">RT tickets 4387 through 4395 were the failures I've triaged. I'm sure there's more things in there to look through.<br><br>I don't believe Resume-Client-NoResume fails for me. Perhaps something was fixed between master and 1.1.0-pre2.</span><br><br><br>Openssl doesn't gives any error. For Resume-Client-NoResume-SSL3-TLS11 test case, we expect the new session's handshake to be done with TLS11. But with Openssl handshake is done using SSL3. As in ssl3_clear, we set back s->version to s->method->version. <br><br></div>Thank you<br></div>Durga.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 9, 2016 at 10:38 PM, David Benjamin <span dir="ltr"><<a href="mailto:davidben@google.com" target="_blank">davidben@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><span class=""><div dir="ltr">On Wed, Mar 9, 2016 at 5:07 AM Kanaka Kotamarthy <<a href="mailto:kotamarthyd@gmail.com" target="_blank">kotamarthyd@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br>

<br>

I am even testing OpenSSL with BoringSSL's test cases using<br>

Openssl-1.1.0-pre2. Trying to find out reasons of OpenSSL's failures<br>

for particular cases.<br>

<br>

DTLS 1.0 session resumption has some thing wrong. If s_server started<br>

with -dtls and s_client -dtls1 -reconnect , session resumption is not<br>

being done. The reason for this may be, version negotiation for DTLS<br>

is done after loading previous session and check for s->version and<br>

s->session->version fails in tls_process_client_hello.<br></blockquote><div><br></div></span><div>See RT #4392.</div><div><a href="https://rt.openssl.org/Ticket/Display.html?id=4392" target="_blank">https://rt.openssl.org/Ticket/Display.html?id=4392</a><br></div><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

And also Openssl fails with Resume-Client-NoResume cases. Do you have<br>

any report on which test cases do fail and reasons for the failure?<br></blockquote><div><br></div></span><div>RT tickets 4387 through 4395 were the failures I've triaged. I'm sure there's more things in there to look through.</div><div><br></div><div>I don't believe Resume-Client-NoResume fails for me. Perhaps something was fixed between master and 1.1.0-pre2.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>David</div></font></span><div><div class="h5"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Thank you<br>

Durga.<br>

<br>

On Tue, Mar 8, 2016 at 3:19 AM, David Benjamin <<a href="mailto:davidben@google.com" target="_blank">davidben@google.com</a>> wrote:<br>

> Hi folks,<br>

><br>

> So, we've by now built up a decent-sized SSL test suite in BoringSSL. I was<br>

> bored and ran it against OpenSSL master. It revealed a number of bugs. One<br>

> is <a href="https://github.com/openssl/openssl/pull/603" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/pull/603</a>. I'll be filing tickets<br>

> shortly for the remaining ones I've triaged, but I thought I'd send this<br>

> separately rather than duplicate it everywhere.<br>

><br>

> Emilia also suggested there may be room to collaborate on testing. If<br>

> nothing else, just borrowing ideas or porting tests to/from your TLSProxy<br>

> setup. (Like, say, the ones that caught the bugs I'll be reporting. :-) )<br>

> So, here's an introduction on how it all works:<br>

><br>

> To run the tests on OpenSSL, clone BoringSSL:<br>

> <a href="https://boringssl.googlesource.com/boringssl/" rel="noreferrer" target="_blank">https://boringssl.googlesource.com/boringssl/</a><br>

> Then patch in this change. (Click the "Download" in the upper-right for<br>

> options.)<br>

> <a href="https://boringssl-review.googlesource.com/#/c/7332/" rel="noreferrer" target="_blank">https://boringssl-review.googlesource.com/#/c/7332/</a><br>

> Then follow the instructions in the commit message.<br>

><br>

> The tests themselves and the runner logic live in ssl/test/runner/runner.go:<br>

> <a href="https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/runner/runner.go#922" rel="noreferrer" target="_blank">https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/runner/runner.go#922</a><br>

><br>

> They work by running an unmodified TLS stack in a shim binary against a copy<br>

> of Go's. We patch our copy with options for weird behavior to test against:<br>

> <a href="https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/runner/common.go#414" rel="noreferrer" target="_blank">https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/runner/common.go#414</a><br>

><br>

> Go and shim communicate entirely with sockets and (tons of) command-line<br>

> flags, though it is slightly overfit to BoringSSL's behavior and checks<br>

> error strings a lot. The shim also has options like -async mode which we use<br>

> on a subset of tests to stress state machine resumption. (This has saved me<br>

> from state machine bugs so many times.)<br>

> <a href="https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/runner/runner.go#2770" rel="noreferrer" target="_blank">https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/runner/runner.go#2770</a><br>

> <a href="https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/bssl_shim.cc#826" rel="noreferrer" target="_blank">https://boringssl.googlesource.com/boringssl/+/22ce9b2d08a52e399bf2ab86851952d727be034d/ssl/test/bssl_shim.cc#826</a><br>

><br>

> I hope this is useful! Bugs and patches will follow this mail, as I write<br>

> them up.<br>

><br>

> David<br>

><br>

> --<br>

> openssl-dev mailing list<br>

> To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-dev" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-dev</a><br>

><br>

--<br>

openssl-dev mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-dev" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-dev</a><br>

</blockquote></div></div></div></div>

<br>--<br>

openssl-dev mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-dev" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-dev</a><br>

<br></blockquote></div><br></div>