<ol>
<li>Yes - HSM private keys are stored in worker local memory and are not referenced in old structures during SIP connections. We make one reference during mod_child: we install it into the shmem SSL_CTX structure once (proc_no == 0) just to check the the private key corresponds to the cert; subsequently this reference is not used at connection time.</li>
</ol>
<p>Later at connection time, even when we use SSL_CTX for proc_no == 0, we load the worker-local HSM  private key JIT into the SSL *object and don't use the (probably invalid) private key reference in SSL_CTX.</p>
<ol start="2">
<li>
<p>All main distros debian/RHEL/ubuntu build OpenSSL with engine support. We can skip this check and just assume that kamailio is being built with a reasonable OpenSSL prerequisite if you prefer.</p>
</li>
<li>
<p>License - comments from the community?</p>
</li>
<li>
<p>A few commits for better naming and guards: use better module/filename-specificsymbol names; also make a few more symbols static to avoid accidental leakage with common names.</p>
</li>
</ol>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/kamailio/kamailio/pull/1484#issuecomment-378572496">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AF36ZQS4Gjf-XAwxu7l4a4LuWd_M0n4-ks5tlLLngaJpZM4SsL5H">mute the thread</a>.<img src="https://github.com/notifications/beacon/AF36Zdi3fANee32g5JAeQ_p6P1cIFj4nks5tlLLngaJpZM4SsL5H.gif" height="1" width="1" alt="" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/kamailio/kamailio/pull/1484#issuecomment-378572496"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/kamailio/kamailio","title":"kamailio/kamailio","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/kamailio/kamailio"}},"updates":{"snippets":[{"icon":"PERSON","message":"@aalba6675 in #1484: 1. Yes - HSM private keys are stored in worker local memory and are not referenced in old structures during SIP connections. We make one reference during mod_child: we install it into the shmem SSL_CTX structure once (proc_no == 0) just to check the the private key corresponds to the cert; subsequently this reference is not used at connection time.\r\n\r\nLater at connection time, even when we use SSL_CTX for proc_no == 0, we load the worker-local HSM  private key JIT into the SSL *object and don't use the (probably invalid) private key reference in SSL_CTX.\r\n\r\n2. All main distros debian/RHEL/ubuntu build OpenSSL with engine support. We can skip this check and just assume that kamailio is being built with a reasonable OpenSSL prerequisite if you prefer.\r\n\r\n3. License - comments from the community?\r\n\r\n4. A few commits for better naming and guards: use better module/filename-specificsymbol names; also make a few more symbols static to avoid accidental leakage with common names.\r\n\r\n"}],"action":{"name":"View Pull Request","url":"https://github.com/kamailio/kamailio/pull/1484#issuecomment-378572496"}}}</script>