Update files for OpenSSL-1.0.0f import.
[dragonfly.git] / secure / lib / libssl / man / SSL_CTX_set_max_cert_list.3
1 .\" Automatically generated by Pod::Man 2.25 (Pod::Simple 3.19)
2 .\"
3 .\" Standard preamble:
4 .\" ========================================================================
5 .de Sp \" Vertical space (when we can't use .PP)
6 .if t .sp .5v
7 .if n .sp
8 ..
9 .de Vb \" Begin verbatim text
10 .ft CW
11 .nf
12 .ne \\$1
13 ..
14 .de Ve \" End verbatim text
15 .ft R
16 .fi
17 ..
18 .\" Set up some character translations and predefined strings.  \*(-- will
19 .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
20 .\" double quote, and \*(R" will give a right double quote.  \*(C+ will
21 .\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
22 .\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
23 .\" nothing in troff, for use with C<>.
24 .tr \(*W-
25 .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
26 .ie n \{\
27 .    ds -- \(*W-
28 .    ds PI pi
29 .    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
30 .    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
31 .    ds L" ""
32 .    ds R" ""
33 .    ds C` ""
34 .    ds C' ""
35 'br\}
36 .el\{\
37 .    ds -- \|\(em\|
38 .    ds PI \(*p
39 .    ds L" ``
40 .    ds R" ''
41 'br\}
42 .\"
43 .\" Escape single quotes in literal strings from groff's Unicode transform.
44 .ie \n(.g .ds Aq \(aq
45 .el       .ds Aq '
46 .\"
47 .\" If the F register is turned on, we'll generate index entries on stderr for
48 .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
49 .\" entries marked with X<> in POD.  Of course, you'll have to process the
50 .\" output yourself in some meaningful fashion.
51 .ie \nF \{\
52 .    de IX
53 .    tm Index:\\$1\t\\n%\t"\\$2"
54 ..
55 .    nr % 0
56 .    rr F
57 .\}
58 .el \{\
59 .    de IX
60 ..
61 .\}
62 .\"
63 .\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
64 .\" Fear.  Run.  Save yourself.  No user-serviceable parts.
65 .    \" fudge factors for nroff and troff
66 .if n \{\
67 .    ds #H 0
68 .    ds #V .8m
69 .    ds #F .3m
70 .    ds #[ \f1
71 .    ds #] \fP
72 .\}
73 .if t \{\
74 .    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
75 .    ds #V .6m
76 .    ds #F 0
77 .    ds #[ \&
78 .    ds #] \&
79 .\}
80 .    \" simple accents for nroff and troff
81 .if n \{\
82 .    ds ' \&
83 .    ds ` \&
84 .    ds ^ \&
85 .    ds , \&
86 .    ds ~ ~
87 .    ds /
88 .\}
89 .if t \{\
90 .    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
91 .    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
92 .    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
93 .    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
94 .    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
95 .    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
96 .\}
97 .    \" troff and (daisy-wheel) nroff accents
98 .ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
99 .ds 8 \h'\*(#H'\(*b\h'-\*(#H'
100 .ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
101 .ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
102 .ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
103 .ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
104 .ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
105 .ds ae a\h'-(\w'a'u*4/10)'e
106 .ds Ae A\h'-(\w'A'u*4/10)'E
107 .    \" corrections for vroff
108 .if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
109 .if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
110 .    \" for low resolution devices (crt and lpr)
111 .if \n(.H>23 .if \n(.V>19 \
112 \{\
113 .    ds : e
114 .    ds 8 ss
115 .    ds o a
116 .    ds d- d\h'-1'\(ga
117 .    ds D- D\h'-1'\(hy
118 .    ds th \o'bp'
119 .    ds Th \o'LP'
120 .    ds ae ae
121 .    ds Ae AE
122 .\}
123 .rm #[ #] #H #V #F C
124 .\" ========================================================================
125 .\"
126 .IX Title "SSL_CTX_set_max_cert_list 3"
127 .TH SSL_CTX_set_max_cert_list 3 "2012-01-04" "1.0.0f" "OpenSSL"
128 .\" For nroff, turn off justification.  Always turn off hyphenation; it makes
129 .\" way too many mistakes in technical documents.
130 .if n .ad l
131 .nh
132 .SH "NAME"
133 SSL_CTX_set_max_cert_list, SSL_CTX_get_max_cert_list, SSL_set_max_cert_list, SSL_get_max_cert_list, \- manipulate allowed for the peer's certificate chain
134 .SH "SYNOPSIS"
135 .IX Header "SYNOPSIS"
136 .Vb 1
137 \& #include <openssl/ssl.h>
138 \&
139 \& long SSL_CTX_set_max_cert_list(SSL_CTX *ctx, long size);
140 \& long SSL_CTX_get_max_cert_list(SSL_CTX *ctx);
141 \&
142 \& long SSL_set_max_cert_list(SSL *ssl, long size);
143 \& long SSL_get_max_cert_list(SSL *ctx);
144 .Ve
145 .SH "DESCRIPTION"
146 .IX Header "DESCRIPTION"
147 \&\fISSL_CTX_set_max_cert_list()\fR sets the maximum size allowed for the peer's
148 certificate chain for all \s-1SSL\s0 objects created from \fBctx\fR to be <size> bytes.
149 The \s-1SSL\s0 objects inherit the setting valid for \fBctx\fR at the time
150 \&\fISSL_new\fR\|(3) is being called.
151 .PP
152 \&\fISSL_CTX_get_max_cert_list()\fR returns the currently set maximum size for \fBctx\fR.
153 .PP
154 \&\fISSL_set_max_cert_list()\fR sets the maximum size allowed for the peer's
155 certificate chain for \fBssl\fR to be <size> bytes. This setting stays valid
156 until a new value is set.
157 .PP
158 \&\fISSL_get_max_cert_list()\fR returns the currently set maximum size for \fBssl\fR.
159 .SH "NOTES"
160 .IX Header "NOTES"
161 During the handshake process, the peer may send a certificate chain.
162 The \s-1TLS/SSL\s0 standard does not give any maximum size of the certificate chain.
163 The OpenSSL library handles incoming data by a dynamically allocated buffer.
164 In order to prevent this buffer from growing without bounds due to data
165 received from a faulty or malicious peer, a maximum size for the certificate
166 chain is set.
167 .PP
168 The default value for the maximum certificate chain size is 100kB (30kB
169 on the 16bit \s-1DOS\s0 platform). This should be sufficient for usual certificate
170 chains (OpenSSL's default maximum chain length is 10, see
171 \&\fISSL_CTX_set_verify\fR\|(3), and certificates
172 without special extensions have a typical size of 1\-2kB).
173 .PP
174 For special applications it can be necessary to extend the maximum certificate
175 chain size allowed to be sent by the peer, see e.g. the work on
176 \&\*(L"Internet X.509 Public Key Infrastructure Proxy Certificate Profile\*(R"
177 and \*(L"\s-1TLS\s0 Delegation Protocol\*(R" at http://www.ietf.org/ and
178 http://www.globus.org/ .
179 .PP
180 Under normal conditions it should never be necessary to set a value smaller
181 than the default, as the buffer is handled dynamically and only uses the
182 memory actually required by the data sent by the peer.
183 .PP
184 If the maximum certificate chain size allowed is exceeded, the handshake will
185 fail with a \s-1SSL_R_EXCESSIVE_MESSAGE_SIZE\s0 error.
186 .SH "RETURN VALUES"
187 .IX Header "RETURN VALUES"
188 \&\fISSL_CTX_set_max_cert_list()\fR and \fISSL_set_max_cert_list()\fR return the previously
189 set value.
190 .PP
191 \&\fISSL_CTX_get_max_cert_list()\fR and \fISSL_get_max_cert_list()\fR return the currently
192 set value.
193 .SH "SEE ALSO"
194 .IX Header "SEE ALSO"
195 \&\fIssl\fR\|(3), \fISSL_new\fR\|(3),
196 \&\fISSL_CTX_set_verify\fR\|(3)
197 .SH "HISTORY"
198 .IX Header "HISTORY"
199 SSL*_set/\fIget_max_cert_list()\fR have been introduced in OpenSSL 0.9.7.