doc: clarify that 'hmac' in the name of functions is only for legacy reasons

tests: introduce delay between server restarts in testsrn.sh

This is to reduce test suite random failures on CI.

tests: CRL test will separate stderr output from stdout

This addresses CI failures due to "Merge mismatch for function" messages
from gcov being inserted into stdout output and messing the base64 encoding.

Revert "tests: CRL test will not push stderr into output files"

This reverts commit bf1ee75f78cd81ea8309bdfb50f63ed0ab61a23a.

gnutls_pkcs7_print: avoid warning for signed/unsigned comparison by making everything signed

tests: CRL test will not push stderr into output files

This addresses CI failures due to "Merge mismatch for function" messages
from gcov being inserted into output and messing the base64 encoding.

pack_srp_auth_info: corrected check for uninitialized username

call_get_cert_callback: removed dead code

pkcs11: added error check in _gnutls_buffer_append_data()

gnutls_pubkey_verify_data2: simplified return logic

gnutls_pkcs7_print: corrected type of unsigned count variable

_gnutls_krb5_der_to_principal: fixed invalid deinitialization on cleanup

tests: don't run hash-large on freebsd

tests: fix mmap usage of hash-large to correctly detect failures

doc: updated documentation for gnutls_x509_crt_get_*_dn

certtool: handle empty CNs on verification

That is, handle GNUTLS_E_REQUESTED_DATA_NOT_AVAILABLE if returned
from gnutls_x509_crt_get_dn() on the end certificate.

Revert "x509: allow empty DNs on parsing for subject DNs"

This reverts commit 1641ea943079765d601cf418dc2c89c1c93f0ecf.

cert cred: add the CN to the list of known hostnames only if no dns_names

That is, follow rfc6125 and support CN as a fallback only.

tests: enhanced set_x509*_key to verify that connections succeed with creds

That is the tests no only verify that credentials are set as expected
but also whether sessions are established with the credentials provided.

gnutls_certificate_set_key: import the DNS names of the certificates

That is, only when no (NULL) names are provided.

reset the global time func on init/deinit

auth/cert: log the server name requested by client

improved output of gnutls_assert()

x509: allow empty DNs on parsing for subject DNs

build: tests/windows/cng-windows.c: fix implicit decleration of exit

Signed-off-by: Alon Bar-Lev <alon.barlev@gmail.com>

.gitlab-ci.yml: enable openssl compat library in minimal build

openssl_compat: removed unneeded headers

These headers have been renamed, but they were not necessary for
this module's compilation. Report/Patch by Andreas Metzler.

.gitlab-ci.yml: added build for windows DLLs

This creates the windows DLLs on every tagged release.

doc update

bumped soversion

updated auto-generated files

x509: use the modified flag in gnutls_x509_crt_t

That will avoid re-encoding or decoding in common operations.

x509: added flag to indicate modification in gnutls_x509_crt_t

gnutls_x509_crt_equals*: modified to allow operation with certificates that are not imported

This allows it operating with certificates that are generated from scratch.

tests: added checks for certificate generation APIs

doc: fixed documentation of gnutls_x509_crt_set_subject_alternative_name

The previous version could not be parsed by gdoc.

gnutls-serv: sending alerts on mismatched SNI names

Extend serv utility to be able to send alerts when the name advertised
by client does not match the name expected by server.

Add support for sending unrecognized name alerts

To better test support for server_name extension in TLS, it's
necessary to be able to differentiate between name being rejected
because it is unknown to the server and it being malformed.

doc: TODO list references to gitlab

doc update

priorities: when without AES acceleration prefer stream ciphers (i.e., CHACHA20)

doc: updated documentation on rehandshake and GNUTLS_ALLOW_ID_CHANGE [ci skip]

tests: use the 'b' modifier for writing binary data in set_x509_key_file_der

This allows the test to operate properly on windows systems.

tests: avoid the usage of tmpnam()

Use a simpler version which is confined within the testsuite
build directories.

tests: disable checks with tmpnam() on windows

tests: fixed 64-bit check for time_t in mini-x509

tests: added check for gnutls_certificate_set_x509_simple_pkcs12_file

.gitignore: more files to ignore

tests: added check of gnutls_certificate_set_x509_key_file2 with DER input

tests: enhanced set_x509_key_file check

That now verifies that the input is the same as the data stored
in the credentials as well checks for valid operation.

tests: mini-x509: include the legacy verification functions into the check

tests: added check for gnutls_certificate_set_key()

gnutls_certificate_set_key: duplicate the provided memory

That is, do not assume that a heap allocated value is provided.

.gitlab-ci.yml: enabled coverage run in the x86 build

tests: do not block server errors in testdsa from being printed out

Also added a delay prior to launching next server instance.

.gitignore: more test files to ignore

pkcs11: find_ext_cb: eliminated memory leak

pkcs11: find_cert_cb: do not use C_FindObjectsInit() when another is already running

While some modules implicitly terminated the previous run, this is not
something that PKCS#11 modules are expected to typically do.

pkcs11: the flag GNUTLS_PKCS11_OBJ_FLAG_OVERWRITE_TRUSTMOD_EXT will be respected by imported certificates

That is, certificates imported with gnutls_pkcs11_obj_import_url() or
gnutls_x509_crt_import_url() will be able to be extracted with their
extensions overriden. Previously that was available only on gnutls_pkcs11_get_raw_issuer()
and friends.

tests: added a basic PKCS#11 mock module

This is used to test gnutls_pkcs11_obj_get_exts(), gnutls_x509_crt_import_url(),
and gnutls_pkcs11_get_raw_issuer() with the GNUTLS_PKCS11_OBJ_FLAG_OVERWRITE_TRUSTMOD_EXT
flag.

doc update

_gnutls_x509_crt_cpy: optimized and simplified

exported gnutls_x509_crt_equals() and gnutls_x509_crt_equals2()

These functions provide a way to compare parsed certificates. They
were used internally and they are quite useful to be made available.

gnutls_pkcs11_obj_get_exts: updated documentation

gnutls_x509_crt_import_url: updated documentation for new function name

gnutls_pkcs11_add_provider: clarified params description

tests: added checks on PKCS#1 digest info encoding/decoding

gnutls_decode_ber_digest_info: return more precise error code on unknown hash

That is instead of returning GNUTLS_E_UNKNOWN_ALGORITHM on unknown hash,
return GNUTLS_E_UNKNOWN_HASH_ALGORITHM.

errors.h: removed terminating colon on gnutls_assert() output

doc: updated PKCS #11 documentation

gnutls_certificate_get_crt_raw: doc update

doc update

doc: mention the version after which gnutls_pem_base64_en/decode2() are available

tests: use one-time files in crl

tests: check whether the randomly generate port is used

.gitlab-ci.yml: enabled the code coverage checks in the valgrind and ubsan targets

tests: enhanced the key-import-export tests

This check now includes the abstract privkey import/export interfaces.

corrected import issue in gnutls_privkey_import_ecc_raw

x509/privkey: in raw import functions set the parameter's algorithm type

srp base64: return proper gnutls errors codes on error rather than -1

tests: added checks for base64 functions

.gitlab-ci.yml: added code coverage run

This enhances a test to print the code coverage of the test suite,
which in turn is being used/reported by gitlab CI interface.

ax_code_coverage.m4: updated to latest version

libtasn1: updated to latest version

doc update

errors.h: gnutls_assert() will log the function name in addition to filename/line

This is quite necessary after the filenames were simplified and we have
filenames with identical names in the directory structure.

tests: added check for SRP ID change during rehandshake

The tests make sure that username changes are allowed if the
flag GNUTLS_ALLOW_ID_CHANGE is specified, and prohibited otherwise.

tests: added check for PSK ID change during rehandshake

The tests make sure that username changes are allowed if the
flag GNUTLS_ALLOW_ID_CHANGE is specified, and prohibited otherwise.

handshake: enhance same certificate checks to apply to PSK/SRP username

That is, unless GNUTLS_ALLOW_ID_CHANGE is specified, during a rehandshake
clients will not be allowed to present another certificate than the original,
or change their username for PSK or SRP ciphersuites.

tests: added 'PFS' and 'SUITEB128' into the list of checked priority strings

tests: fail() function will also print function and line information

_gnutls_hex2bin: refuse to decode odd-sized hex data

tests: added unit tests on the HEX encoding/decoding functions

certtool: eliminated memory leaks in DH parameter printing/generation.

certtool: combined all the seed decoding methods to a single one

That not only simplifies the code, but also allows decoding hex strings
which contain not hex chars (and that allows decoding hex of the form XX:XX:XX)

Revert "tests: ensure the seed is provided in plain hex"

This reverts commit 0ea7206e12f52f6ed50c4a76ea0a23f5470115b2.

tests: check certtool dh-parameter generation with --provable option

tests: ensure the seed is provided in plain hex

certtool: allow specifying seed size when generating provable DH parameters

doc update