corrected typo

README.md: corrected link to travius build

.travis.yml: added support for compiling in macosx

doc update

tests: added checks for the new GNUTLS_NO_TICKETS flag

gnutls_init: added GNUTLS_NO_TICKETS flags

These flags allow the callers to disable the automatically enabled
session tickets. This could be done only with GNUTLS_NO_EXTENSIONS
which also disabled other useful extensions.

tests: added pkcs11-privkey-export

This checks whether the public parts of RSA private and public keys
can be properly extracted from a PKCS#11 module.

Expose CKA_PUBLIC_EXPONENT and CKA_MODULUS for private keys too

tests/pkcs11: Return also CKA_CLASS

tests/pkcs11: Expose SUBJECT for certificates, PUBLIC_EXPONENT and MODULUS for public keys to widen compatibility

doc update [ci skip]

updated auto-generated files

doc update

certtool: allow setting key purposes for non-CA certificates

That is, allow setting code signing, or time stamping key purpose
in certificates that are not marked as CA. The previous restriction
served no purpose.

certtool: introduce key purpose checks in p7 direct verification

x509: introduced gnutls_x509_crt_check_key_purpose()

gnutls_x509_crt_verify_data2: introduce constraints checks on the provided certificate

That is check the provided certificate for validity in time and key usage.

tests: introduced verification constraints checks for PKCS#7 structures

That is, key purpose checks and more elaborate time checks.

gnutls-serv: use the included known DH parameters by default

doc update

certtool: manpage update

getfuncs-map.pl: ignore the ffdhe exported parameters

That is ignore the new variables exported which are not functions, and
thus cannot be detected by getfuncs-map.pl.

updated auto-generated files

tests: crl-test: use a unique temp file

tests: added sanity check for included primes

doc: discuss the set_known_dh_params and use it in the examples

tests: check gnutls_psk_set_server_known_dh_params

tests: check gnutls_anon_set_server_known_dh_params

tests: check gnutls_certificate_set_known_dh_params

DH: introduced gnutls_*_set_known_dh_params()

That is, the functions gnutls_certificate_set_known_dh_params(),
gnutls_anon_set_server_known_dh_params(),
gnutls_psk_set_server_known_dh_params().
These functions allow to statically set the DH parameters, based
on the RFC7919 FFDHE parameters. This can simplify server configuration
by allowing DH without loading parameters from file.

Relates #37

certtool: --get-dh-params will output the FFDHE primes instead of the SRP primes

DH: export the FFDHE Diffie-Hellman values

.gitlab-ci.yml: use fedora's mingw-cmocka packages

more files to ignore

tests: added check for PKCS#7 catalog file parsing and data extracting

tests: updated pkcs7 text outputs to account for certtool update

certtool: --p7-info will include the PKCS#7 encoded data in PEM format

tests: replaced large test2.cat with a smaller file

certtool: improve text on missing options for cert generation

Revert "certtool: improve text on missing options for cert generation"

This reverts commit 7daed1fd0602bce7495d252f1a9b638fc41e38d3.

handshake: set a maximum number of warning messages that can be received per handshake

That is to avoid DoS due to the assymetry of cost of sending an alert vs the cost
of processing.

record: disallow parsing of alert messages prior to session start

tests: added check to verify that the server will bail out after receiving only alerts

tests: added check to verify that the server will bail out after many alerts

certtool: improve text on missing options for cert generation

doc update

tools: removed redudant messages on PIN re-use

p11tool: avoid asking the security officer PIN twice on initialization

p11tool: improved messages on token initialization

p11tool: corrected check of PIN existance in token initialization

doc: set a default handshake timeout on example server

serv: set a timeout value in handshake

tests: added check for Encrypt-then-MAC under DTLS

tests: cleanups in tls-etm.c

gnutls_pkcs7_get_embedded_data: added GNUTLS_PKCS7_EDATA_GET_RAW flag

This flag allows the export of the stored embedded data with any wrapping
encoding included. This in particular, it allows to read the data from the
microsoft catalog PKCS#7 structures, which store as embedded data elements
of a SEQUENCE, but only authenticate the inner parts without the bytes
forming the SEQUENCE header.

configure: automatically disable non-suiteb curves

That is, if the installed nettle doesn't provide the
nettle_secp_192r1 symbol.

doc update

priorities: Do read crypto policy files with mtime of zero

In a default Fedora Atomic Host installation,
`/etc/crypto-policies/backends/gnutls.config` is a symlink to the
default in `/usr/share/`.  On an OSTree-managed system, files in
`/usr` have an mtime of zero (to help deduplication).

The simple fix here is to still try to read the first time, even if
the file has an mtime of zero.

doc update

certtool: corrected use of gnutls_pkcs7_get_embedded_data()

pkix.asn: simplified ASN.1 description by eliminating pkcs-7-ContentType

updated auto-generated files

certtool: print the enacapsulated content OID on verification

tests: added checks for the decoding of various PKCS#7 structures

pkcs7: print the eContent type in output functions if it does not match the defaults

pkcs7: allow unknown and legacy signature data OIDs to be imported

This allows to decode very old PKCS#7 structures where the content is not
an octet string. In addition, it introduces gnutls_pkcs7_get_embedded_data_oid()
to obtain the OID of the signature data.

certtool: --p7-info can be combined with --p7-show-data to display embedded data

lib: link with LTLIBDL instead of LIBDL

It fixes compilation issues on some systems.

released 3.5.5

doc update

doc: mention gnutls_session_ext_register and its supplemental data equivalent

bumped version

TLS extensions: only cache the extension IDs from exts that the server supports

That avoids imposing any artificial limits on the number of extensions that
a server can handle.

Resolves #136

tests: check the registration of multiple extensions

doc: added gnutls_datum_t and giovec_t to indexes

Resolves #137

pkcs7: removed any limits in hex encoding of attributes

certtool: lift any limits in print_raw()

certtool: added safety net when generating a certificate request

That is, do not allow specifying --generate-request --load-pubkey without
specifying --load-privkey. Previously if --load-pubkey would have been
used, it would have been ignored, causing confusion to the users.

doc update [ci skip]

Makefile.am: improved the files-update output

updated auto-generated files

_gnutls_utf8_to_ucs2: force NFC normalization form in windows

doc update

tests: added checks for gnutls_session_supplemental_register

Added session-specific supplemental data handling

This allows a caller to add supplemental data handling which will
only be made available for a specific session.

tests: added checks for gnutls_session_ext_register

Added session-specific TLS extensions

This allows a caller to add extensions which will be made available
for a specific session.

guile: Implement session record ports using the Guile 2.2 API.

This allows the Guile bindings to be built and used with
Guile >= 2.1.4, which introduced a new port API.

* guile/src/core.c (USING_GUILE_BEFORE_2_2): New macro.
(session_record_port_type) [!USING_GUILE_BEFORE_2_2]: New definition.
(read_from_session_record_port, write_to_session_record_port)
(make_session_record_port) [!USING_GUILE_BEFORE_2_2]: New functions.
Conditionalize the other same-named functions on
USING_GUILE_BEFORE_2_2.
(scm_init_gnutls_session_record_port_type): Use
'read_from_session_record_port' when !USING_GUILE_BEFORE_2_2.

guile: Test 'set-session-transport-fd!'.

* guile/tests/session-record-port.scm: Use 'set-session-transport-fd!'
on the server side.

guile: Guile 2.x 'uniform-vector-read!' replacement returns 0 upon EOF.

This problem was never hit in practice because our tests always got the
non-EOF case.

* guile/modules/gnutls/build/tests.scm (uniform-vector-read!) [guile-2]:
Return 0 upon EOF.

win32: install the .def files in libdir instead of bindir

Suggested by Eli Zaretskii.

certtool: include arpa/inet.h unconditionally

That is because we use inet_pton() which is either provided by the
OS, or by gnulib.

gnutls-cli: fix compilation warning in win32

Fixed the version in libgnutls-openssl.def file

Previously the version set in that file would have
been (incorrectly) equal to the version of the main library.

tests: avoid using %zd for formatted output

It is not supported by windows.

tests: skip tests which depend on libidn functionality if build without libidn

tests: fixed compilation of pkcs11-privkey-always-auth

Fix build of system/keys-win.c with older mingw

Patch by Eli Zaretskii <eliz@gnu>

tests: introduced further parallelization in provable* tests

This runs independent verification steps in parallel, improving running time significantly.

tests: provable-dh-default check is too slow and is only run when the complete suite is requested