make shellcheck happy again

Only check existing certs when necessary

Remove debug echo in command_cleanup()

Signed-off-by: Simon Deziel <simon@sdeziel.info>

Use consistent indent in hook.sh

Better handling around grep/awk

fix command_version on Darwin/macOS 11

Current output of `uname` on Darwin/macOS 11 is only `Darwin`, which
breaks the premisse used in `command_version()`. This update adds
`Darwin` alongside `BSD`.

ensure newline before new section in openssl.cnf

openssl.cnf may not end with a newline. The section [SAN] will then not be found as it is added to the last line of openssl.cnf.

expand documentation on using letsencrypt staging ca

Update staging.md to use ACMEv2 server (closes #812)

letsencrypt is phasing out the v1 server:

```
  + ERROR: An error occurred while sending get-request to https://acme-staging.api.letsencrypt.org/directory (Status 403)

Details:
HTTP/2 403
server: nginx
date: Thu, 01 Apr 2021 20:48:17 GMT
content-type: application/problem+json
content-length: 189
etag: "600b3710-bd"

{
  "type": "urn:acme:error:serverInternal",
  "detail": "ACMEv1 Brownout in Progress. ACMEv1 will fully turn off on June 1, 2021. Check https://letsencrypt.status.io/ for more details."
}

```

command_sign_csr: redirect fds after init_system (fixes #816)

remove some dots :)

Add more examples to show case how to create certs

e.g. with different key algorithms

generic support for weird curl versions with lower-case headers and no whitespace

Updating nonce handler for newer versions of F5

document using -t tls-alpn-01 with lighttpd

add -t tls-alpn-01 to command line help

Per-certificate config fixes

- Ensure that all per-certificate settings are saved and restored in
  store_configvars() and reset_configvars() - that's what makes them
  per-certificate in the first place...

- Add OCSP_FETCH and OCSP_DAYS in the documented list of supported
  per-certificate configs, since the code does allow these.

Support for LibreSSL version of openssl on macOS

update copyright year

Fixed small unassigned variable issue

Do not revalidate authorizations on forced renewal

This commit introduces a new cli argument `--force-validation` which,
when used in combination with `--force` ignores valid domain
authorizations and forces a revalidation.

This has been implemented since at least LE seems to have changed some
behavior on valid authorizations. Only the previously validated
authorization-type is reusable, causing dehydrated to error out when
changing from recently validated authorization types while still trying
to force-renew certificates for whatever reason (e.g. changing algorithms).

fix CN extraction for older openssl versions

bump changelog for new draft releases

preparing for release 0.7.0

use normal error behaviour for failing http requests (fixes #782)

allow to set domains.txt as cli argument (fixes #678)

use secp384r1 as default (instead of rsa, fixes #651)

use secp384r1 as default (instead of rsa, fixes #651)

adding new CLI Command (--cleanupdelete / -gcd) to cleanup+delete (instead of just moving to /archive) (closes #587)

allow setting OCSP_FETCH and OCSP_DAYS per certificate config (closes #602, thx @bjacke)

cleanup: also remove dangling symlinks

cleanup: also do cleanup if symlink is broken (closes #667)

The cleanup command skips filetypes for which the symlink is broken or
doesn't exist. However, if dehydrated fails, we may end up in exactly
the situation that the symlink doesn't exist (yet). If dehydrated fails
repeatedly, we may end up with a lot of old cert.csr, cert.pem and
privkey.pem files, so we really want to be able to clean them up.

Remove all files if the symlink is broken/missing, instead of skipping
those files.

Signed-off-by: Arnout Vandecappelle (Essensium/Mind) <arnout@mind.be>

make alpn-validation certificates and keys group readable (closes #754, fixes #753)

Fix OCSP_FETCH with libressl

libressl did not pick up the implicit host header patches
of OpenSSL 1.1 even in version 3 and thus exhibits the same
behavior as OpenSSL 1.0.

Patch by Chen, Chih-Chia <pigfoot@gmail.com>

Fixes #778

remove quotes from per-cert-config vars to allow for spaces (fixes #789, closes #791)

changed method for parsing issuer cn, fixing compatibility with some openssl versions

show available options if preferred chain is not found

fix spaces in sudo arguments

added display-terms to changelog+readme

add --display-terms to display the URL for the current ToS

Implements #649

added support for requesting preferred-chain instead of default chain

one more \s -> [[:space:]] replacement

Replace \s with [[:space:]] for compatibility

Complain about deactivated accounts

implement account deactivation through --deactivate parameter

This is an updated version of https://github.com/lukas2511/dehydrated/files/2641548/dehydrated_add_deactivate_command.diff.txt

Fixes #216

Don't require sudo before we know we really need it

Fixes #665

Do not fail silently with invalid sudo user/group

add more CAs, now that support for CA presets is implemented

- letsencrypt-test (LE staging CA)
- buypass (verified to work with the new json parsing, see #653)
- buypass-test analogously

fix OS name detection

before applying heuristics, use PRETTY_NAME from os-release(3),
which reliably exists on all common linux distributions.

keep the /etc/issue parsing as fallback.

tmpfix: log error if acmev1 validation is denied + fix unbound variable

eab: use hex key instead of binary (fixes issue with nullbytes)

do not fail on challenge in "processing" state (fixes #759)

fixed bad typo..

readme+changelog

EAB + ZeroSSL support

read boolean values from json

removed accidental shebang

use presets for some CAs instead of requiring full urls

fix tls-alpn-01 configuration example

fixed some typos (fixes #725, fixes #741, fixes #740)

removed tmp file in 'generate_alpn_certificate' function

Made sure that the temp file will be removed at the end of the function.

fixed zsh compatibility

merged temporary json.sh into dehydrated, fixed authorization "pending" loop

experimental json.sh support

Use existing curl version var

Signed-off-by: Krayon <krayon.git@qdnx.org>

removed instructions for importing from "official" client (certbot) as it probably doesn't work anymore and there isn't really much use for it anyway

fix link to wiki in documentation (fixes #690)

reworked dependency check and moved it up a bit in code (fixes #715, resolves #717 again...)

added changelog

added note about newline encoded in accounts directory hashes (resolves #730)

temporarily store raw curl version output to fix check (fixes #717)

store errorcode while using KEEP_GOING (fixes #659)

report issues with hook scripts instead of silently exiting (fixes #733, fixes #686)

skip exit_hook in _exiterr if KEEP_GOING is enabled (fixes #686)

Move from account ID to account URL

We store the account URL on account creation in the account_id.json file.

When reading the file, if the attribute is missing, we retrieve the account URL
from the CA ( https://tools.ietf.org/html/rfc8555#section-7.3.1 ) and edit the
file.

Per https://tools.ietf.org/html/rfc8555#section-7.3
> The server returns this account object in a 201 (Created) response, with the
> account URL in a Location header field.  The account URL is used as the "kid"
> value in the JWS authenticating subsequent requests by this account (see
> Section 6.2).  The account URL is also used for requests for management
> actions on this account, as described below.

redirect output of cert expiry check (fixes #713)

fixed typo (closes #712)

only show order processing/pending message when waiting

Don't assume order status to be valid

Per https://tools.ietf.org/html/rfc8555#section-7.1.3

> status (required, string):  The status of this order.  Possible values are
> "pending", "ready", "processing", "valid", and "invalid".  See Section 7.1.6.

Fix challenge response POST body in ACMEv2

Per https://tools.ietf.org/html/rfc8555#section-7.5.1

> The client indicates to the server that it is ready for the challenge
> validation by sending an empty JSON body ("{}") carried in a POST
> request to the challenge URL (not the authorization URL).

updated notice about move

added note about moving the repository

added funding.yml

fixed small logic bug

Merge tag 'v0.6.5'

release 0.6.5 (fixed apiv1 compatibility...)

release 0.6.5 (fixed apiv1 compatibility...)

release 0.6.4 (fixed account id handling, again)

release 0.6.3

fixed fetching of account information (fixes #652, fixes #647, fixes #650, closes #648)

added documentation about possible future removal of api version 1

Revert "cleanup: removed api version 1 support (closes #510)"

Since a few CAs out there actually seem to (only) support ACME v1 I
decided to revert the removal and keep ACME v1 around, at least until
it eventually becomes a bigger inconvenience to maintain.

This reverts commit aadf7d5e648324d74a7558b52f2a504c1c8c356d.

BSD bugfixes for version command (closes #619)

tiny documentation fix: per-certificate-config can override PRIVATE_KEY_ROLLOVER (closes #614)

cleanup: removed api version 1 support (closes #510)

new hook: sync_cert (closes #609)

call exit_hook with error message (fixes #630)

implement POST-as-GET (closes #626)

updated oid for tls-alpn verification token (fixes #624)

document DOMAINS_D parameter in example config (fixes #575, closes #582)