doc update

gnutls_x509_cidr_to_rfc5280: removed double semi-colon

removed c-ctype.h from files that wasn't used at

configure.ac: quote parameters when needed

removed assert.h from files that wasn't used at

POTFILES: added libdane files

doc update

tests/tools: avoid non-null check before free()

latex manual: added backwards compatibility options

.gitlab-ci.yml: windows DLL builds now include all required dependencies

Also improved naming conventions for builds

inet_ntop4: casted signed/unsigned comparison

system.h: undefine macros before defining them

_gnutls_fbase64_decode: use memsub macro instead of casts

gnutls-cli: use gnutls_set_default_priority if no priorities are given

gnutls-serv: removed '...' from documentation

That caused caused problems in generated manpage.

configure: better document the random generator variant used

released 3.5.4

.gitlab-ci.yml: corrected wrong operation in minimal build

updated auto-generated files

doc update

bumped versions

doc update

tests: do not run pkcs12-utf8 under windows

This test required to pass UTF8 data under command line, and that
doesn't seem to work under windows.

_gnutls_ucs2_to_utf8: corrected use of WideCharToMultiByte in windows

tests: added debugging info in conv-utf8

tests: don't build cmocka tests with libutils - they conflict

.gitlab-ci.yml: keep config.log in windows builds

.gitlab-ci.yml: corrected typo for libidn installation in windows64

.gitlab-ci.yml: install our internal cmocka for windows

tests: added unit tests of _gnutls_utf8_to_ucs2 and _gnutls_ucs2_to_utf8

libgnutls.map: export _gnutls_utf8_to_ucs2 and _gnutls_ucs2_to_utf8 for testing

pkcs12: enhanced to allow encrypting using UCS2 passwords

That is use _gnutls_utf8_to_ucs2() to convert the provided
password to UCS2.

_gnutls_ucs2_to_utf8: fixed null termination check in windows code

Added _gnutls_utf8_to_ucs2()

This function allows to convert between UTF8 to UCS2 big-endian.

tests: added tests for PKCS#12 decoding with UTF8 passwords

pkcs7 encryption: corrected memory leaks

Makefile: local-code-coverage-output always succeeds

x509: Adjust IP name constraints behavior

- Modified IPv4/IPv6 interaction in name constraints -- IPv4 and IPv6 no have empty intersection (previously: were treated independently).
- Current behavior is more conservative -- in case of IPv4 constraint cert, subcerts will not be able to have IPv6 addresses.
- Tests updated accordingly.
- Behavior now matches NSS.

tests: added checks to verify behavior in writing pkcs11 objects

That is, verify that private keys are marked as private by default,
and public objects are marked as non-private by default.

p11tool: eliminated memory leak in --list options

p11tool: do not mark written objects as private by default

That is, when --mark-private or --no-mark-private are not specified,
set non-private for public objects and private for private ones.

doc update

minitasn1: updated to latest git version

_gnutls_encode_ber_rs_raw: simplified

That is, use a single allocation for temporary data.

.gitlab-ci.yml: use fedora24 with address sanitizer

The fix in fbb9618b25b77c65e24a6ce224d53bc9a0b81457 addresses
the problems with asan in fedora24.

tests: use LSAN_OPTIONS instead of ASAN_OPTIONS

New versions of address sanitizer do not parse this file
otherwise.

doc update

tests: corrected detection of 64-bit systems in softhsm.h

tests: added check for PKCS#11 signature validity

That is, tests whether our generated DSASignatureValue with PKCS#11
contains r, s values that are non-negative, i.e., are zero padded
when necessary. This utilizes _gnutls_decode_ber_rs_raw().

Introduced helper function _gnutls_decode_ber_rs_raw()

_gnutls_encode_ber_rs_raw: zero-pad values when necessary

This addresses issue when encoding values obtained via
PKCS#11 which may not be necessarily padded.

Resolves #122

tests: template-test: use uniform way to detect 32-bit systems

.gitlab-ci.yml: use the gitlab.com shared runners

This removes the need to administer custom runners (except for
the FreeBSD runner which cannot run under Linux), makes the
testing on other platforms such as Debian simpler, and allows
merge requests to pass through the CI.

Import DTLS sliding window validation from OpenConnect ESP code

In this implementation, the end of the sliding window is always advanced
to the latest received packet, and we accept up to 64 packets before
that one. We no longer refuse to accept packets because they are
*too* far ahead of what we've already seen.

Some of the test cases are fixed up accordingly.

This matches the code in OpenConnect esp-seqno.c at commit 314ac65.

tools: Use correct include dir with minitasn

This allows compiling certtool without libtasn headers.

nettle: removed unused variable in windows rng

tests: don't run danetool.sh when not compiled with dane support

tests: mini-dtls-record: modified expected order to account for new SW behavior

dtls: ensure that the DTLS window doesn't get stalled

That is ensure that it is forwarded at least one place if more than 16
packets have been received since the first one.

tests: enhance the DTLS window unit test to account for lost packets

This adds tests for cases where many lost packets are encountered,
such as 50% of the packets received, as well as 3 consequent packets
being lost.

README.md: added coverage report [ci skip]

gnutls_pkcs12_simple_parse: set the key value to null on failure

tests: added basic operational check of gnutls_ocsp_resp_get_single()

gnutls_ocsp_resp_get_single: reorganized function to eliminate memory leaks

Simplified and optimized the function operation, by removing
unecessary memory allocations, as well as eliminate memory leaks
on certain error cases.

ocsp: corrected the comparison of the serial size in OCSP response

Previously the OCSP certificate check wouldn't verify the serial length
and could succeed in cases it shouldn't.

Reported by Stefan Buehler.

tools: eliminated memory leaks in deinitialization

tools: allow socket_bye() to be used for non-polite terminations

tests: added suppressions.valgrind in ocsp-tests

doc update

tests: added check for the decoding of pbes1-des-md5 key

pkcs8: cleaned up PKCS#8 decoding from common code with PKCS#7

pkcs8: added support for decryption with PBES1-DES-CBC-MD5

While this is a legacy (and insecure) cipher combination it is the
default output of openssl up until the 1.0.2 version. We introduce
this option to allow decrypting private keys from these versions of
openssl.

fix memleak in pkcs11_get_random

ocsptool: reduce memory leaks on execution

tests: enable ocsp-must-staple-connection check

doc: be more explicit about the usage of gnutls_global_init/deinit [ci skip]

tests: don't use piped tee in pkcs8-decode

It would prevent error codes from being detected in the tests.

ocsptool: corrected bug in session establishment

tests: ocsp-tls-connection: no longer check for netcat; it was not needed

tests: added decoding of key with pbes2 and SHA256 PRF

Added support for decrypting PKCS#8 files which use HMAC-SHA256 as PRF

This improves compatibility with new openssl versions.

Ported openssl format fix from openconnect

Patch by David Woodhouse

src/pkcs11.c: fix mech_list out-of-bounds check

gnutls_record_recv(): doc: push -> pull

Signed-off-by: Philippe Proulx <eeppeliteloop@gmail.com>

rnd-linux: added check for SYS_getrandom being defined

This allows to compile the getrandom() code in old Linux systems
which do not have the system call defined.

libdane: include minitasn1 headers

gnutls-cli: do not exit if fast open is not supported

gnutls-cli: added bufferring in starttls read of packets

tests: added basic test of STARTTLS over FTP for gnutls-cli

tests: added basic starttls functionality testing on gnutls-cli

gnutls-cli: exit with error code 2 on starttls errors

tests: fixed fastopen.sh to operate from cmd

doc update

gnutls-cli: fixed the behavior when --starttls or --starttls-proto is given

The change of moving the handshake process as part of the socket establishment
broke the starttls functionality in gnutls-cli. This change fixes that functionality.
Reported by Andreas Metzler.

Fix HANDLE_LEAK and memory leak issues.

gnutls-cli: print 'Handshake was completed'

The change of moving the handshake process as part of the socket
establishment, prevented the text 'Handshake was completed' from
being printed as part of a successful handshake. That message was
used by applications like gnus which use gnutls-cli. This patch
reverts that change and prints that message on successful handshakes.

tests: openpgp-certs tests were moved to cert-tests

gnutls_key_generate: fail if the state of the library is invalid

Suggested by Stephan Mueller.

tests: mini-dtls-hello-verify: ignore SIGPIPE to avoid unexpected crashes

Resolves: #119

gnutls_safe_renegotiation_status: changed return type to unsigned