Redo RFC 7935

It's a little faster, and also adds some missing validations.

Patch memory leak

Probably fixes #5.

Patch two memory leaks and bad rsync

The 'root' download strategy should not apply to the certificate
pointed by the TAL, because we don't trust that URL at that point
yet.

Fixes #4.

Patch small bugs found while documenting

Patch infinite loop introduced in the last commit

Handle ranges properly during IP comparisons

Hadn't implemented ranges when I implemented comparisons.
Then I forgot to update the code when I added ranges.

Fixes #3.

Leave unit tests out of the build by default

For two reasons:

- They need the Check framework, which should not be a dependency
  for everyone.
- Check itself is the only dependency managed by pkg-config, so we
  don't want to force everyone to install that either.

No idea if any of this is good practice. But it's much easier to
explain in the documentation, so there you go.

Update the README

Fix URL shortening during the root strategy

Was completely messing up the RSYNCs.

Validate signed object signature

Looks like the chain validation is complete.
It's only missing some profile checks.

Prevent integer underflow on sarray_contains()

Was triggering a segfault during testing.

Refactor configuration types to their own modules

Scales a little better, removes clutter from config.c.

Implement thisUpdate, nextUpdate and --roa-output-file

- Implement manifest thisUpdate and nextUpdate validation
- Print dates during manifest date errors
- ROA file output target is now configurable
  (Used to be dumped into stdout, which was annoying because it was
  mixed with the INFO logging)

Add '--output-file-name-format' option

Decides which version of the file name should be printed during
most debug and error messages.

Also found myself starting the manpage.

Review on issuer/subject names

1. Was ignoring name.serialNumber on some validations
2. Was not erroring on unknown name attributes
3. If the name is not unique, also print the file where the collision
   was found
4. Downgrade uniqueness violation to warning. Otherwise some offending
   certificates are traversed, and others aren't

Number 3 also applied to serial numbers. Patched that as well.

Also, print the full global URI of each file name on error. I don't like
being tied to these awkward long names though; might upload a program
argument to tweak this manually tomorrow.

Big fat review of the RSYNC module

- The TOML reader now expects correct TOML syntax, according to toml99
- The RSYNC command and its arguments are now configurable
- Instead of an enable-disable RSYNC switch, we now have a
  "synchronization strategy". (Needed to optimize RSYNC operations
  according to user needs.)
- The RSYNC command is now executed via execvp(3) instead of system(3),
  to increase security.

Ease compilation on OpenBSD

Looks like OpenBSD's compiler is about a decade old. GNU11 is not
supported.

Also fix warning on debug disabled.

Fix comparison between the AKI and SKI extensions

This happens on self-signed certificates. The code was comparing
the extension data, when the AKI data needed to be further decoded
to validate proper ASN syntax.

Remove use of s6_addr32

It wasn't portable.

Adding execinfo lib validation in configure.ac file for openBSD compatibility
Adding sys/socket header reference for openBSD compatibility

Implement forgotten requirement from RFC6493

"This EE certificate MUST describe its Internet Number Resources
using the "inherit" attribute, rather than explicit description of
a resource set; see [RFC3779]."

Implement RFC 6493 (Ghostbusters record)

Issue: I implemented 6493, but not 6350. Only the 6493-defined vCard
requirements are checked.

Add option to color output

Configuration framework review

- Integrate the string data type to the configuration framework properly
  (They are no longer being handled as an exception)
- Integrate the print and free operations to the the framework
  (The rpki_config object is no longer printed and freed manually)
- Add short option support (eg. `-t` instead of `--tal`)
- Add --help, --version and --usage handlers
- Add a bunch of in-code documentation to most configuration fields

Merge branch 'args-parser'

The merge is lazy. Review postponed until next commit.

Address several TODOs.

Update args parser framework

Update usage of the libcmscodec library

Bugfix: policy was not being initialized

Add a bunch of GCC warning flags

Found lots of bugs because of them. Most are fixed.

Implement RFC 8360

Not really tested, because it doesn't look like there are people using
this feature yet.

Also:
- refactor inet_ntop() usage so we don't have to clutter the stack with
  string buffers every time we want to print.
- Patch sometimes undefined behavior `0xFFFFFFFFu >> 32`.

Merge branch 'master' into args-parser

Conflicts:
src/config.c
src/config.h
src/main.c

Add RPKI-specific validation for CRLs

Add flag parser framework

- checkpoint commit
- First version, stable and working but needs some tweaks

Code review

- Print relevant IP address on address errors
- Add missing resource validations (swapped ranges, AS number out of
  bounds)
- Remove validation of ROA's AS number. The RFCs never state that the
  number must be present in the EE certificate.

Remove unnecessary conversion

Keep validating certs, don't stop on a child cert error

Implement cert's subject validation

Merge branch 'intstructs' of https://github.com/ydahhrk/rpki-validator into intstructs

Validate certificate policies extension

Validate manifest number size

Cast INTEGER_t as unsigned long and use as such

Adapt types from long to INTEGER_t

Validate certificate policies extension

Validate manifest number size

Impose a certificate chain length limit by configuration

Also add a configuration module, and patch a ROA address iteration
bug.

Cast INTEGER_t as unsigned long and use as such

Add parsing for a config file

First version of it, needs more tweaks, but first I need
to finish an arg parser framework.

Certificate serial number uniqueness validation

Adapt types from long to INTEGER_t

Merge branch 'ydahhrk'

Unify Access Description management

Strengthen the TAL parser

Prevents segfaults when there's no blank line between the URI
section and the public key, as well as when the file is empty.

Fixes #1.

Add validation of IP vs Range selection

RFC 3779, section 2.2.3.7.
Also patch memory leaks during AIA handling and other small TODOs.

Add getopt to handle argc and argv

- Needs more tweaks

Merge branch 'ydahhrk'

Postpone recursive traversal and validate Access Descriptions

1. It was traversing through children before the current
   certificate's validation was done. It's fixed now.
2. Adds validation of CRL Distribution Points, AIA.caIssuers and
   SIA.signedObject.
   Man, those requirements looked deceively small. It was a
   freaking mess.
   I'm not actually sure this is the final version of this code,
   because several argument lists grew too much for my liking.

Review of rsync.c code

Engineer URIs a little

Should make URIs easier to use, and prevent the missing
null character bug from appearing again.

Merge branch 'master' of github.com:ydahhrk/rpki-validator

More misc tweaks:

- Validate more certificate extensions
- Ensure there is only one visible CRL and manifest per publication
  point.
- Validate ROA's max length more thoroughly.

Improve of rsync.c code

-add unit test for rsync.c
-TODO fix tal_tests

Implement some postponed requirements

At this point I'm filling in blanks and TODOs rather than focus on a
particular feature. Mainly, this commit adds

- Validate certificate extensions
- Improve the main loop so it stops on the TAL's first successful URI

Review of rsync.c code

Still need to review the calling code and actually test it.

Merge branch 'rsync'

Validate signed object hashes

And address several other minor TODOs

Add validation of manifest hashes

It seems that the basic tree validation, at least as far as the
first iteration is concerned, is done.

Except I never managed to understand AS validation at all. It's
like there's nothing to do.

Of course, there's still a ways to go. I still have to add many
little ifs that the project needs to reach strict RFC compliance.
Also those 20-octet sequence manifest numbers. WTF.

Adds:

- Check that the TAL's public key matches the root cert's public key
- Validate EE certificates differently than CA certificates
- Reorder tree traversal. (I noticed that I was doing it wrong.)
- Polish many other validations by hunting TODOs

Add rsync command execution to download repositories

First version of the code, when executing the app, if a 4th arg is
detected, the app will not run rsync.

Maybe I need to replace the "system()" call with another function to
execute the "rsync command"

Also needs to read the "rsync command" from a user JSON configuration
file.

Refactor: Send the validation state to thread local

Unclutters lots of argument lists.
Also delete the prefix*_contains functions. Weren't being used.

Automatically print offending files' names on errors

Adds:

- IP ranges
- Bunch of ROA validation
- Bunch of certificate validation

I clearly don't understand how EE certificates validate AS numbers.
They never seem to have the AS extension.
Back to reading...

More certificate validation

Includes an implementation of RFC 3779.

There's a lot of diff pollution due to another log.c refactor.
I can't seem to nail the right implementation of that thing.

Add actual certificate tree validation and other misc tweaks

The tweaks are

1. Unified error message printing. Probably not the final version.
2. Add validation state object, meant to be passed around everywhere.
   Prevents global variables.
3. Add a sketch of the CRL code. WIP.

Implement address block parsing (rfc3779, section 2.1)

Also, move the signed code decoding to its own module to prevent
duplicate code elsewhere

Implement a bunch of global logic

The code traverses my repository clone, apparently in a correct
(although recursive) manner.

Not many validations are performed yet.

Implement about 40% of RFC 6486 (Manifests)

Implement about 80% of RFC 6482 (ROAs)

About 80% of RFC 6488

Implement RFC 7730 (TALs)

Initial commit