Change order of ocsp uris when parsing a cert

Handle certificates being on hold in a CRL

Certificates which are set on hold in a CRL might be removed from any
subsequent CRL. Hence you cannot conclude that a certificate is revoked
for good in this case, you would try to retrieve an update CRL to see if
the certificate on hold is still on it or not.

Memwipe request after sa update, too

Use chunk_clear to memwipe shared secret

Change order of destroy/get_ref function calls

Since DESTROY_IF might destroy the peer_cfg, a get_ref on a freed object
is subject to fail.

Fix resource leak in x509_ocsp_response

Extend xfrm_attr_type_names by newly added enum values

Silently install route again, even if it did not change.

Address/interface changes can cause the route to disappear. Afterwards
the route might look the same but that does not mean it is still installed.

Compile warning fixed in kernel interfaces.

Common spelling errors fixed.

NEWS about pkcs11 plugin added.

pkcs11: Documented use_pubkey option in strongswan.conf(5).

pkcs11: Make public key operations on tokens optional.

pkcs11: Make sure a key can be used for a given signature scheme.

pkcs11: Register ECDSA feature.

pkcs11: We have to create our own hashes for some signature schemes.

pkcs11: Lookup the public key of a private key by CKA_ID.

Currently this only works if a public key object with the same ID is
available, if there isn't one we could search for a certificate with the
same ID and extract the key from there.

pkcs11: Search for private keys in a more generic way.

Also, don't extract the public key directly from the private key. Some
tokens actually do not return the public exponent (it's not required).
We have to find a different way to get the public key.

pkcs11: Added support to encode ECDSA public keys.

pkcs11: Parse ECDSA public keys and find/create them on tokens.

pkcs11: Added generic functions to find/create public keys on tokens.

pkcs11: Store public key length in bits.

pkcs11: Fix encoding of RSA public keys.

pkcs11: Use create_object_attr_enumerator to encode RSA public key.

pkcs11: Instead of a mutex use a new session to do multipart operations.

pkcs11: Function added to retrieve multiple attributes from a single object.

pkcs11: Memory leak fixed in DH/ECDH implementation.

pkcs11: Invalid free fixed in DH/ECDH implementation.

pkcs11: Changed how pkcs11-manager is initialized.

The manager is now created directly, but events and certificate loading
is deferred.

pkcs11: Add attributes to specify what we use the DH/ECDH keys for.

version bump to 4.6.0

enable integrity test in tnc/tnccs-dynamic scenario

charon must load libtls if available

fixed integrity tests of plugins using libtls or libtnccs

removed xcbc plugin from sql scenarios

tnc-tnccs plugin is now included in integrity tests

pkcs11: Allow to build pkcs11 plugin on Android.

pkcs11: Documented new options in strongswan.conf(5).

pkcs11: Register the pkcs11 plugin before any other crypto plugins.

This is what most users probably expect when they enable the pkcs11
plugin.  All advanced features (like DH/RNG) are disabled by default.

pkcs11: Use callback registration for pkcs11-manager.

Otherwise a plugin providing X509 decoding capabilities might be unloaded
before the manager which will result in a segmentation fault when
certificates in the manager's credential sets are to be destroyed.

pkcs11: Merged the ECDH into the DH implementation.

pkcs11: Use get_ck_attribute for ECDH.

pkcs11: Use get_ck_attribute for DH.

pkcs11: Method added to library to extract a single attribute from an object.

pkcs11: Added names for CKA_* constants.

pkcs11: Added support for ECDH.

pkcs11: Added definitions needed for ECDH to pkcs11.h.

pkcs11: Specify object class and key type when deriving DH secrets.

pkcs11_softtoken on OpenSolaris requires this (probably others too).

pkcs11: Add features support.

pkcs11: Added support for DH.

pkcs11: Error message fixed.

pkcs11: Added support to generate random numbers on a token.

pkcs11: Properly destroy mutex in pkcs11_hasher if no token found.

Added features support to agent plugin

Added features support to dnskey plugin

Added features support to pgp plugin

Added features support to pkcs1 plugin

added newline

remove pem_encoder_encode

Add features support to pem plugin

Some Doxygen fixes.

Copyright fixed.

pluto: Compile warning fixed.

pluto: plugin_list.* added to Android.mk.

Added missing backslash.

Forgot to add Android.mk in ba5b559b41fa70261c4f181f516acee272379a71.

Destroy objects hashtable after plugin_manager.

If plugins are not explicitly unloaded before library_deinit is called
there could have been a segfault because some plugins might unregister
objects during unloading/destruction.

Add features support to pubkey plugin

Add features support to x509 plugin

Cosmetics

added listplugins support to pluto and whack

add listplugins to ipsec shell command

version bump to 4.6.0rc3

added tnc-tnccs plugin and removed xcbc plugin

Don't link to tnc libraries on Android as no tnc plugins are currently enabled.

Build libtnccs on Android.

share some code between IMC and IMV managers

removed unneeded includes

Fix DNS error handling for keyexchange=ike.

starter fails to load a connection when a peer's DNS name is temporarily
unresolvable and keyexchange=ike was specified, which defaults to IKEv2.
The connection loads just fine in case of keyexchange=ikev2.

refactored TNC framework

moved imv_manager to libtnccs

moved imc_manager to libtnccs

fixed type

version bump to 4.6.0rc2

Log if charon failed to establish a CHILD_SA but keeps the IKE_SA up.

starter.load documented in strongswan.conf(5) man page.

starter: Android.mk updated to use kernel-netlink via libhydra.

starter: Use kernel interfaces to flush SAD and SPD.

This now supports platforms where neither 'ip xfrm' nor 'setkey' are
available (like Android).

starter: Load plugins specific to starter.

starter: INFO_FILE is not used anymore.

The load-tester plugin does not support SAD/SPD flushing.

The kernel-klips plugin does currently not support SAD/SPD flushing.

Implemented flushing of SAD and SPD entries via PF_KEY.

Implemented flushing of states and policies via XFRM.

Defined functions in the kernel interface to flush SAD and SPD entries.

Fixed indention in load-tester kernel interface.

Add features support to tnccs plugins

Log messages with a loglevel > 1 to ANDROID_LOG_DEBUG.

pluto: Log to logcat on Android.

pluto: CAP_NET_RAW seems to be required on Android even to open regular sockets.