Added gnutls_x509_crt_set_issuer_unique_id() and gnutls_x509_crt_set_subject_unique_id()

properly indent unique IDs

tests: added check with the various X.509 key exchanges

tests: check rehandshake from anon to DHE

documented the GNUTLS_NO_EXPLICIT_INIT environment variable

crypto-api: doc update

Allow switching a ciphersuite to DHE and ECDHE on a rehandshake

tests: added check for ciphersuite switch from anonymous to certificate

.gitlab-ci.yml: disable guile in asan builds

tests: suite: don't run shell scripts with valgrind

tests: testsrn: output errors on stderr

deinitialize all handshake keys when handshake is over

testdane: improved error detection in sites

tests: suite: eliminate many leaks in the tests and run them under valgrind

certtool: eliminate leaks in _verify_x509_mem()

tests: openpgp-certs: use valgrind

openpgp: eliminate leaks in gnutls_openpgp_keyring_import()

tests: eliminate leaks in mini-eagain2.c

certtool: eliminate memory leaks in certificate generation

tests: key-tests: use valgrind

gnutls_x509_crt_set_pubkey: clarify usage

pkcs12: correctly set salt size in gnutls_pkcs12_mac_info

Also eliminate leaks in PKCS #12 parsing.

tests: run the PKCS #12 tests under valgrind

certtool: make sure that pkcs12 structures are deinitialized

tests: provable-privkey: fixed DSA test on FIPS140 enabled systems

nettle: be more specific in seed size mismatches

crypto-backend: ensure there are no leaks on deinitialization

Require TLS 1.2 for all the ciphersuites which are defined for it only

This solves an interoperability issue with openssl. Reported by Viktor Dukhovni.

p11tool: introduced --only-urls option

This option allows printing a compact listing containing only of URLs.

Modified the CHACHA20 cipher to conform to draft-ietf-tls-chacha20-poly1305-02

.gitlab-ci.yml: use static libasan

This prevents issues with tests which use LD_PRELOAD.

.gitlab-ci.yml: disable non-suiteb curves on build on Fedora system

tools: better ftp auth tls negotiation

tests: added check for gnutls_priority_set_default

tools: only check for status code in FTP starttls negotiation

tools: print more info in starttls negotiation when --verbose is given

gnutls.pc: don't use the libtool version of the link options

Reported by Dan Kegel.
Resolves #49

tests: simplified mini-dtls-hello-verify-48

tests: added check for blocking on invalid DTLS cookie

Relates to #48

removed inacurate text

doc update

doc update

doc update

doc: document the sign function requirements in gnutls_privkey_import_ext

Mention key protection through isolation in crypto backend section

doc: updated supplemental data documentation

tests: testdane will not check hosts which are unreachable

Documentation update

The new simple verification functions were backported to 3.4.6, correct
"Since:" to reflect this.

doc: documented future level

pkcs11.h: relocated gnutls_pkcs11_copy_pubkey to allow discovery by buggy doc scripts

bumped version to distinguish from 3.4 branch

ext master secret: extension is marked as mandatory

This forces the extension to be sent even where resuming sessions.
Resolves #45

tests: Check whether a resumed session contains the ext master secret extension

Relates #45

alpn: avoid warning on signed/unsigned

README: updated CI link

doc: set a path which includes new binaries when running autogen

That makes sure that autogen will discover the binaries to obtain the
--help output.

gnutls-cli-debug: updated doc

tools: when the starttls-proto is specified automatically detect the port if not given

tests: verify that public keys are properly written

Also disable parts of the suite that softhsm2 cannot properly work with,
to allow running parts of the suite even with broken softhsm.

cleanup in gnutls_pubkey_import_rsa_raw

pkcs11_read_pubkey: make input type more clear

p11tool: Allow writing a PKCS #11 pubkey object

tools: allow importing a pubkey from a certificate

pkcs11: introduced gnutls_pkcs11_copy_pubkey

That allows copying a public key to a PKCS #11 module.

.gitlab-ci.yml: combined the slow build with the separate build dir

Disable the NULL cipher on runtime when FIPS140 mode is enabled instead of statically

That way the NULL cipher can be used when not in FIPS140 mode.

re-enable NULL ciphersuites

They were accidentally disabled by b237b37d4d17ee4f98629aae9d72aec87f434cb8

tests: check whether the RSA-EXPORT and ARCFOUR-40 legacy strings are accepted

Tolerate priority strings with names of legacy ciphers and key exchanges

That enables better backwards compatibility with old applications
which disable or enable algorithms which no longer are supported.
Relates #44

pkcs11: write CKA_ISSUER and CKA_SERIAL_NUMBER when writing on a certificate

That allows NSS to read and use the written certificate.
Relates #43

tests: enhanced sec-params check to account for future sec-param

certtool: recognize the future sec-param

Introduced the security parameter future (256) and switched ultra to 192 bits

For ultra, this was its documented strength, and now follows RFC3766 recommendations
for sizes.

certtool: be more specific on the help message for --sec-param when --bits are given

doc update

tests: added test case for record timeout values

Introduced GNUTLS_INDEFINITE_TIMEOUT

This allows to specify an indefinite timeout to gnutls_record_set_timeout().
In addition this flag is accepted by gnutls_handshake_set_timeout() and
cancels out a previously set timeout.
Resolves #41

tests: better detection of softhsm library

added text on _gnutls_dh_compute_key

gnutls_record_recv: simplified text on GNUTLS_E_REHANDSHAKE

certtool: print 16-bytes of hex values per line

Also avoid a colon on the end of the line.

fips140: set the key via a configure argument

tests: disable cipher-test on windows platform; they don't seem to work

README.md: added build instructions for Fedora/RHEL

priorities: sort algorithms by security strength unless performance is requested

That is prioritize 256-bit ciphers over 128-bit ciphers. This would protect
secrecy of current data even after a PQ future.

.gitlab-ci.yml: reduce the number of CPUs used in slow on make check

use time_t for internal type to avoid warnings on signed/unsigned comparison

DSA FIPS186-4 key generation: print the required seed length on mismatch

certtool: added more friendly error on seed_size mismatch

That prints more useful information when generating provable private keys.

tests: use the corrected seed for default provable private key

doc update

certtool: switched the default level to HIGH for key generation

That requires 3072 bits for RSA and DSA keys.

tools: added xmpp into the starttls-proto options

tools: added ldap into the starttls-proto options

system.c: simplify gnutls_system_recv_timeout

gnutls-cli-debug: use RFC7627 instead of draft-ietf-tls-session-hash

updated documentation on gnutls_vdata_types_t based on DKG's suggestions

doc update

improve docs for gnutls_certificate_verify_peers*()

The gnutls_certificate_verify_peers{,2,3}() functions all return
GNUTLS_E_SUCCESS (0) even in situations when the peer's certificate
was not verified.  This is explained in the first paragraphs
("i.e. failure to trust a certificate does not imply a negative return
value"), but the Returns: line isn't comparably clear.

certtool: increased seed size to allow for DSA seeds