doc: add tls.cert_chain_len docs

author jason taylor <jtfas90@gmail.com>

Thu, 5 Oct 2023 21:04:26 +0000 (21:04 +0000)

committer Victor Julien <victor@inliniac.net>

Mon, 16 Oct 2023 19:16:34 +0000 (21:16 +0200)
author jason taylor <jtfas90@gmail.com>
Thu, 5 Oct 2023 21:04:26 +0000 (21:04 +0000)
committer Victor Julien <victor@inliniac.net>
Mon, 16 Oct 2023 19:16:34 +0000 (21:16 +0200)
diff --git a/doc/userguide/rules/tls-keywords.rst b/doc/userguide/rules/tls-keywords.rst

index a97ce3f32e4afa6f01036cebb20dc0c5afaaf931..dc28c97cd58306aa2611d2d581e861b893f559eb 100644 (file)
--- a/doc/userguide/rules/tls-keywords.rst
+++ b/doc/userguide/rules/tls-keywords.rst
@@ -278,3 +278,27 @@ Example::
      tls.random_bytes; content:"|57 5d 77 02 07 c2 9d be 24 01 cc f0 5d cd e1 d2 a5 86 9c 4a 3e ee 38 db 55 1a d9 bc|"; sid: 200076;)
  
  ``tls.random_bytes`` is a sticky buffer.
+
+tls.cert_chain_len
+------------------
+
+Matches on the TLS certificate chain length.
+
+tls.cert_chain_len supports `<, >, <>, !` and using an exact value.
+
+Example::
+
+  alert tls any any -> any any (msg:"cert chain exact value"; \
+ tls.cert_chain_len:1; classtype:misc-activity; sid:1; rev:1;)
+
+  alert tls any any -> any any (msg:"cert chain less than value"; \
+ tls.cert_chain_len:<2; classtype:misc-activity; sid:2; rev:1;)
+
+  alert tls any any -> any any (msg:"cert chain greater than value"; \
+ tls.cert_chain_len:>0; classtype:misc-activity; sid:2; rev:1;)
+
+  alert tls any any -> any any (msg:"cert chain greater than less than value";\
+ tls.cert_chain_len:0<>2; classtype:misc-activity; sid:3; rev:1;)
+
+  alert tls any any -> any any (msg:"cert chain not value"; \
+ tls.cert_chain_len:!2; classtype:misc-activity; sid:4; rev:1;)
author	jason taylor <jtfas90@gmail.com>
	Thu, 5 Oct 2023 21:04:26 +0000 (21:04 +0000)
committer	Victor Julien <victor@inliniac.net>
	Mon, 16 Oct 2023 19:16:34 +0000 (21:16 +0200)