ustream-openssl: clear error stack before SSL_read/SSL_write
authorJo-Philipp Wich <jo@mein.io>
Fri, 13 Mar 2020 09:37:06 +0000 (10:37 +0100)
committerJo-Philipp Wich <jo@mein.io>
Fri, 13 Mar 2020 11:05:11 +0000 (12:05 +0100)
commit5e1bc3429cbf9c3be4db65ef5dbf21ea99cf5b95
tree9bf611e96263e32c800162c979ce5e1a1d5cd32d
parentf7f93addafb8a2a45c601d9cffe249eb6c73de23
ustream-openssl: clear error stack before SSL_read/SSL_write

The OpenSSL library uses a global error queue per thread which needs to
be cleared prior to calling I/O functions in order to get reliable error
results.

Failure to do so will lead to stray errors reported by SSL_get_error()
when an unrelated connection within the same thread encountered a TLS
error since the last SSL_read() or SSL_write() on the current connection.

This issue was frequently triggered by Google Chrome which usually
initiates simultaneous TLS connections (presumably for protocol support
probing) and subsequently closes most of them with a "certificate unknown"
TLS error, causing the next SSL_get_error() to report an SSL library error
instead of the expected SSL_WANT_READ or SSL_WANT_WRITE error states.

Solve this issue by invoking ERR_clear_error() prior to invoking SSL_read()
or SSL_write() to ensure that the subsequent SSL_get_error() returns
current valid results.

Signed-off-by: Jo-Philipp Wich <jo@mein.io>
ustream-openssl.c