doc update

tests: removed unused variables from tests

doc update

tests: Add tests for X509 IP constraints

- Add dedicated test file name-constraints-ip for IP tests.
- Test the following:
  * Generation and saving of valid name constraints.
  * Trying to save invalid IP constraints.
  * Reading the saved constraints.
  * constraints_check() calls for both IPv4 and IPv6.
  * IP constraints intersection (simple, empty, mediocre, complicated).
  * IPv4/IPv6 constraints interaction and various corner cases.
- IPs/CIDRs are printed in logs in case of failure.
- Add 2 new chain tests (positive, negative).
- Add generated test executable to ignored files.

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

x509: Add support for IP constraints

- IP constraints are now checked against the subject alternative
  name field.
- Implemented IP name constraints merging.
- Added IP constraints validity checking during loading and getting
  the name constraints object from the user.
- Add a convenience function name_constraints_node_new that allocates
  a name constraints node and sets its fields. Use this new function
  where applicable.
- Add documentation for is_nc_empty, _gnutls_name_constraints_node_free,
  _gnutls_name_constraints_intersect.
- Small improvements elsewhere (polishing).

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

tests: Add more IP conversion unit tests

- Renamed ip-in-cidr test to ip-utils.
- Added built binary to .gitignore.
- Added new tests for gnutls_x509_cidr_to_rfc5280.

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

tests: added unit test for ip_in_cidr function

x509: Separate out IP handling functions

- Moved IP/CIDR to string conversion functions into separate
  header and export privately for the use in tests.
- Placed ip_in_cidr() into separate header for easy testing
- Add publicly available function to convert text CIDR to RFC5280
  format for the use in name constraints extension.
- certtool: Use GnuTLS exported CIDR functions instead of local ones.
- Export mask_to_prefix, mask_ip for internal GnuTLS use.
- Introduce new error value (malformed cidr) and add to description
  functions in errors.c.

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

tests: Add corner case tests for name constraints, improve doc

- Added corner case test suite for DNS name constraints.
- Documentation update in chain tests.

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

Add more ignored files

* .tmp and .swp for text editor files
* Makefile.user created by Qt Creator
* gl/tests/ctype.h as it is generated from ctype.h.in

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

Change ca3 and related certificate to include an intermediate CA in the chain.

Also update a bunch of test-cases to support chains with an intermediate CA.

Signed-off-by: Stefan Sørensen <stefan.sorensen@spectralink.com>

Revert "tests: check gnutls_certificate_get_x509_crt with more than one certificates"

This reverts commit f7d884720b128ef86f6b9dc9fc498be89faf1732.

tests: do not run srp test when no SRP support is compiled in

tests: moved child status error checking code in utils.h

latex: updated sources for new functions

updated auto-generated files

released 3.5.3

gnutls_transport_set_fastopen: added flags options

This will allow minor modifications to the semantics of the function
in the future, without introducing a new API.

doc update

Fix gnutls_pkcs12_simple_parse to always extract the complete chain

gnutls_pkcs12_simple_parse was only collecting extra certificates that was
possible elements of the certificate chain when the extra_certs argument was
not NULL. Fix by allways collecting all the certificates, any unneeded
certificates are released before returning if extra_certs is NULL anyway.

Signed-off-by: Stefan Sørensen <stefan.sorensen@spectralink.com>

tests: check gnutls_certificate_get_x509_crt with more than one certificates

This would detect the issue in the "Fix invalid pointer operation in gnutls_certificate_get_x509_crt"

tests: Use common ca3 test certificates in x509cert, x509dn and x509self tests.

Signed-off-by: Stefan Sørensen <stefan.sorensen@spectralink.com>

tests: Remove zero-termination of gnutls_datum encapsulated certificates

This allows for memcmp comparison with certificates after processing.

Signed-off-by: Stefan Sørensen <stefan.sorensen@spectralink.com>

Fix invalid pointer operation in gnutls_certificate_get_x509_crt

The access to the allocated crt_list variable was missing a pointer
dereference, leading to memory corruption for any certificate list with more
than one element.

Signed-off-by: Stefan Sørensen <stefan.sorensen@spectralink.com>

tests: added check for errors when importing illegal RSA keys

x509: call the fixup functions after loading private keys

That way we can better report errors which relate to illegal
parameters being detected.

nettle: use rsa_*_key_prepare on key import

Previously we calculated the size of the key directly, but
by using the rsa_*_key_prepare we benefit from any checks that
may be introduced in the future. Specifically any checks for invalid
public keys (e.g., keys that may crash the underlying gmp functions).

This patch avoids calling rsa_private_key_prepare every time we construct
a nettle private key struct, because this function requires a bigint
multiplication. We call that function once on private key import.

tests: added missing backslash in key-tests Makefile

Revert "nettle: use rsa_*_key_prepare"

This reverts commit c801a15bca9ea8f3f7abd4be48bebd36c54eeba2.

gnutls.h: moved all compatibility defines outside the enum

prepared for release 3.5.3

tests: use gnutls_record_set_timeout instead of kill child processes

That way we avoid issues like #118 which are caused by killing the child
process, and we also avoid deadlocks by making sure that recv will terminate
after a long delay.

tests: mini-record modify in a way to be more fail safe

That is, do not kill the child, but instead switch the roles of
child and parent, and add a timeout on recv to avoid infinite delays.

Relates: #118

pkcs11: is_object_pkcs11_url -> is_pkcs11_url_object

Renamed function for clarity.

tests: ignore sigpipe in mini-record

gnutls_fips140_mode_enabled: changed return type to unsigned

doc: updated contribution guide with more info on test suite [ci skip]

gnutls_pkcs11_privkey_status: return type changed to unsigned

doc: added section on SCTP protocol [ci skip]

tests: client-fastopen: removed seccomp conditional

fastopen: improved error checking at connect()

nettle: use rsa_*_key_prepare

Previously we calculated the size of the key directly, but
by using the rsa_*_key_prepare we benefit from any checks that
may be introduced in the future. Specifically any checks for invalid
public keys (e.g., keys that may crash the underlying gmp functions).

gnutls_transport_set_fastopen: doc update

doc update

getrandom: use SYS_getrandom instead of __NR_getrandom

These are identical definitions, but according to syscall()
SYS_getrandom is the expected value.

x059: Fix asymmetry in name constraints intersection

- In _gnutls_name_constraints_intersect, if *_nc had a node of some type not present in _nc2, this was preserved. However, if it was vice versa (_nc2 having a type not present in *_nc), this node was discarded.
- This is now fixed.
- Removed redundant return value check that was accidentally left when refactoring from set_datum to explicit NULL setting.

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

tests: Add and improve chain tests

- Add a new chaintest testing the symmetry of merging name constraints of different types.
- Rename old name_constraints_but_no_name test to match other name constraints tests.
- Improve chain description of older name constraints tests.

Signed-off-by: Martin Ukrop <mukrop@redhat.com>

doc update [ci skip]

configure: do not generate makefiles in removed dirs

tests: updated paths for new location of p12 files

tests: safe renegotiation tests are run from top dir

tests: srp tests moved outside subdir

tests: moved sha2 tests into cert-tests/

tests: moved ecdsa tests to key-tests/

tests: moved dsa tests into key-tests/

tests: moved pkcs8 tests to key-tests/

tests: key-tests: moved data files into data/ subdir

tests: moved pkcs12 tests into cert-certs/ subdir

more files to ignore

Require compiler to support C99

doc update

Add test for gnutls_x509_crt_list_import2 with flag GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED.

gnutls_x509_crl_list_import2 was ignoring the passed flags if all CTLs in the list fit within the initially allocated memory.

gnutls_certificate_get_peers may return an unsorted list

gnutls_x509_crt_list_import2 was ignoring the passed flags if all certificates in the list fit within the initially allocated memory.

x509: parse_tlsfeatures: move limit check at the point of addition

This prevents appending failures when verifying chains on certificates
which use the maximum allowed number of features. Suggested by Tim
Kosse.

tests: removed irrelevant comment

correct the sign type of integers in debug message

Suggested by Tim Kosse

verify_crt: simplified error setting

based on suggestion by Tim Kosse.

verify_crt: removed text on parameter no longer being present

x509: avoid using int declaration within a for-loop

This addresses compilation problem with old compilers,
and brings consistency as this type of declaration is not
used in gnutls' code.

gnutls_global_init/deinit: don't use any locking during constructor

This ensures that there is no deadlock on unexpected errors, such
as missing symbols (e.g., on lazy linking). Reported by Ludovic Courtès.

rnd-linux: use better define check for linux systems

gnutls_prf: document when its output matches gnutls_prf_rfc5705

doc: gnutls_session_set_id: added since

.gitlab-ci.yml: keep the guile logs as artifacts on test suite failure

doc update

Add extra dependency flags

This fixes the build when the dependencies are split up during a cross-compile

Resolves: #113

moved system-keys-win.c and system-key-dummy.c under system/

split system.c to various files under system/

gnutls.h: giovec_t is a typedef to iovec where that is available

tests: added unit test for linux _rnd_get_system_entropy

This tests whether the function can operate as expected while being
interrupted by signals.

getrandom: loop around getrandom to get the requested number of bytes

This simplifies and enhanced the previous error handling code.

README.ci-runners: document asan and ubsan tags

tests: removed pkcs1-padding from subdirs

.gitignore: more tests files to ignore

configure.ac: don't generate makefiles of moved tests

tests: pkcs1-pad: moved to cert-tests

tests: userid test moved to cert-tests/

tests: rsa-md5-collision: run from top-level

doc: updated documentation for gnutls_transport_set_int*

doc: added section on reducing round-trips

That discusses TCP fast open with gnutls_transport_set_fastopen(), and false start.

tests: added test of gnutls_transport_set_fastopen

tests: added test of TCP fast open using gnutls-cli and gnutls-serv

doc update

tools: TLS handling has been incorporated into socket_open()

This is of particular usage to the server IP address loop, since
we can detect fast open errors and retry handshake to the next IP
address.

gnutls-cli: added example usage of TCP fastopen

It is enabled with the new --fastopen option.

Support TCP Fast Open

This introduces a new function gnutls_transport_set_fastopen().

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>
Signed-off-by: Tim Ruehsen <tim.ruehsen@gmx.de>

.gitlab-ci.yml: added asan tag for builds which require asan

tests: pkcs11-privkey-fork: added explicit pkcs11 deinitialization

Also ignore known leaks for p11-kit.