throw error with information about OCSP deprecation if certificate doesn't indicate OCSP support

allow KEEP_GOING to also skip over ocsp stapling errors, update ocsp error message with a hint about deprecation on some CAs

also allow setting KEEP_GOING as a config option

set empty subject for ip-certificates

as suggested by @candlerb in #783

Don't allow CDN's to send cached responses

A lot of CA's use a CDN service to protect and speed up their ACME service. These CDN services can sometimes miss-behave and send cached results. For example DigiCert's ACME service uses the Imperva CDN. It will send cached results on the DNS validation, challenge endpoint, resulting in it being stuck in the processing status, thus dehydrated is hung and never gets the certificate.

implemented domain validation timeout

small addition to 0.7.2 changelog

updated changelog

only validate existance of wellknown directory or hook script when actually necessary (fixes #965)

post-v0.7.2-release

release v0.7.2

Allow for automatic deletion of old files

Added a configuration parameter to allow for timeouts during order processing (fixes #955)

Update README (closes #964)

use temporary csr file instead of stdin (keeps compatibility to older openssl versions)

updated changelog

Disable warning when reading CSRs from stdin.

Coming across the same warning that was reported in
[PR#929](https://github.com/dehydrated-io/dehydrated/pull/929 "Suppress
openssl warning about reading from stdin") this is my attempt to disable
this warning. Instead of discarding stderr in total (this can still be
useful), we just use the "-in" parameter as hinted in the warning:

 $ foo=$(cat req.csr)
 $ <<<${foo} openssl req -noout -verify > /dev/null; echo $?
 Warning: Will read cert request from stdin since no -in option is given
 0

 $ <<<${foo} openssl req -in - -noout -verify > /dev/null; echo $?
 0

added google ca to example config and added documentation link to error message

Add support for Google Trust Services.
Official Documentation: https://cloud.google.com/certificate-manager/docs/public-ca-tutorial
The first registration requires obtaining EAB_KID and EAB_HMAC_KEY according to the document, and setting CONTACT_EMAIL, EAB_HMAC_KEY, EAB_KID in the configuration file.

Update dehydrated repo urls in man page

fix small issue with certificate profile selection (use key instead of value)

added changelog + default config entries for certificate profile selection

implemented certificate profile selection (draft-aaron-acme-profiles-00)

https://letsencrypt.org/2025/01/09/acme-profiles/
https://datatracker.ietf.org/doc/html/draft-aaron-acme-profiles-00

Signed-off-by: Youfu Zhang <zhangyoufu@gmail.com>

renew certificates with 32 days remaining (instead of 30) to avoid issues with monthly cronjobs (fixes #963)

Ignore output of 'openssl req -verify'.

Newer versions of openssl seem to send the verify outout to stdout instead of
stderr in the past. Ignore that output when retrieving altnames.

fix zsh compatibility (fixes #896)

Replace all escaped slashes in json strings (closes #866)

${var/pattern/string} will only replace the first occurence. We should
use ${var//pattern/string} to replace all escaped slashes.

improve man page based on feedback from debian-l10n-english (fixes #873, closes #875)

Also propagate changes to dehydrated help and README.md

added note about dehydrated irc channel

increase dehydrated version for git master use

release 0.7.1 (it finally happened!)

Add missing checks and fix hexdump output (closes #878)

implemented workaround for retrying on badNonce errors

egrep is deprecated

egrep has been deprecated since 2007 and warns it's obsolete since:
https://git.savannah.gnu.org/cgit/grep.git/commit/?id=a9515624709865d480e3142fd959bccd1c9372d1

Signed-off-by: Simon Deziel <simon@sdeziel.info>

rfc8738: fix CN on certs with mixed ip+dns

rfc8738: only replace ip with reverse dns thingy if tls-alpn-01 is used

implemented rfc 8738 support

really reverted regression in somehow broken array expansion from e963438c..

reverted regression in somehow broken array expansion from e963438c (fixes #850)

removed old logo

readme and (temporary) logo update

fix regression from e963438c (fixes #849)

use noglob helpers for domains.txt.d parsing

added some changes to changelog

Exit with error if somebody is trying to use EC account keys with ACME v1

extend ec algorithms with secp521r1 (not yet supported by LetsEncrypt, but maybe by other CAs)

experimental support for ec account keys (fixes #827)

Avoid writing ec-parameters to private-key file (fixes #830)

Better solution for issue #845

Show error if chain is configured for a CA which doesn't offer alternate chains (fixes #845)

added warning about possible behaviour-change with new domains.txt.d feature

Support reading domains from drop-in snippets in `domains.txt.d`

make shellcheck happy again

Only check existing certs when necessary

Remove debug echo in command_cleanup()

Signed-off-by: Simon Deziel <simon@sdeziel.info>

Use consistent indent in hook.sh

Better handling around grep/awk

fix command_version on Darwin/macOS 11

Current output of `uname` on Darwin/macOS 11 is only `Darwin`, which
breaks the premisse used in `command_version()`. This update adds
`Darwin` alongside `BSD`.

ensure newline before new section in openssl.cnf

openssl.cnf may not end with a newline. The section [SAN] will then not be found as it is added to the last line of openssl.cnf.

expand documentation on using letsencrypt staging ca

Update staging.md to use ACMEv2 server (closes #812)

letsencrypt is phasing out the v1 server:

```
  + ERROR: An error occurred while sending get-request to https://acme-staging.api.letsencrypt.org/directory (Status 403)

Details:
HTTP/2 403
server: nginx
date: Thu, 01 Apr 2021 20:48:17 GMT
content-type: application/problem+json
content-length: 189
etag: "600b3710-bd"

{
  "type": "urn:acme:error:serverInternal",
  "detail": "ACMEv1 Brownout in Progress. ACMEv1 will fully turn off on June 1, 2021. Check https://letsencrypt.status.io/ for more details."
}

```

command_sign_csr: redirect fds after init_system (fixes #816)

remove some dots :)

Add more examples to show case how to create certs

e.g. with different key algorithms

generic support for weird curl versions with lower-case headers and no whitespace

Updating nonce handler for newer versions of F5

document using -t tls-alpn-01 with lighttpd

add -t tls-alpn-01 to command line help

Per-certificate config fixes

- Ensure that all per-certificate settings are saved and restored in
  store_configvars() and reset_configvars() - that's what makes them
  per-certificate in the first place...

- Add OCSP_FETCH and OCSP_DAYS in the documented list of supported
  per-certificate configs, since the code does allow these.

Support for LibreSSL version of openssl on macOS

update copyright year

Fixed small unassigned variable issue

Do not revalidate authorizations on forced renewal

This commit introduces a new cli argument `--force-validation` which,
when used in combination with `--force` ignores valid domain
authorizations and forces a revalidation.

This has been implemented since at least LE seems to have changed some
behavior on valid authorizations. Only the previously validated
authorization-type is reusable, causing dehydrated to error out when
changing from recently validated authorization types while still trying
to force-renew certificates for whatever reason (e.g. changing algorithms).

fix CN extraction for older openssl versions

bump changelog for new draft releases

preparing for release 0.7.0

use normal error behaviour for failing http requests (fixes #782)

allow to set domains.txt as cli argument (fixes #678)

use secp384r1 as default (instead of rsa, fixes #651)

use secp384r1 as default (instead of rsa, fixes #651)

adding new CLI Command (--cleanupdelete / -gcd) to cleanup+delete (instead of just moving to /archive) (closes #587)

allow setting OCSP_FETCH and OCSP_DAYS per certificate config (closes #602, thx @bjacke)

cleanup: also remove dangling symlinks

cleanup: also do cleanup if symlink is broken (closes #667)

The cleanup command skips filetypes for which the symlink is broken or
doesn't exist. However, if dehydrated fails, we may end up in exactly
the situation that the symlink doesn't exist (yet). If dehydrated fails
repeatedly, we may end up with a lot of old cert.csr, cert.pem and
privkey.pem files, so we really want to be able to clean them up.

Remove all files if the symlink is broken/missing, instead of skipping
those files.

Signed-off-by: Arnout Vandecappelle (Essensium/Mind) <arnout@mind.be>

make alpn-validation certificates and keys group readable (closes #754, fixes #753)

Fix OCSP_FETCH with libressl

libressl did not pick up the implicit host header patches
of OpenSSL 1.1 even in version 3 and thus exhibits the same
behavior as OpenSSL 1.0.

Patch by Chen, Chih-Chia <pigfoot@gmail.com>

Fixes #778

remove quotes from per-cert-config vars to allow for spaces (fixes #789, closes #791)

changed method for parsing issuer cn, fixing compatibility with some openssl versions

show available options if preferred chain is not found

fix spaces in sudo arguments

added display-terms to changelog+readme

add --display-terms to display the URL for the current ToS

Implements #649

added support for requesting preferred-chain instead of default chain

one more \s -> [[:space:]] replacement

Replace \s with [[:space:]] for compatibility

Complain about deactivated accounts

implement account deactivation through --deactivate parameter

This is an updated version of https://github.com/lukas2511/dehydrated/files/2641548/dehydrated_add_deactivate_command.diff.txt

Fixes #216

Don't require sudo before we know we really need it

Fixes #665

Do not fail silently with invalid sudo user/group

add more CAs, now that support for CA presets is implemented

- letsencrypt-test (LE staging CA)
- buypass (verified to work with the new json parsing, see #653)
- buypass-test analogously