NEW_PADDING has been removed.

This extension did not get accepted by IETF so it is
now being removed. The gnutls_range API is kept in case
length hiding is implemented in a different way at some
point.

doc: Add indices to the gnutls-guile manual.

re-introduced rsa-export configure option

This broke backwards compatibility. Reported by Andreas Metzler.

examples include both gnulibs

Added getpass in src/gl

removed getpass from gl/

more gl updates

changes for new gnulib in src/

corrent error print in win32

Changes to account for the reduced included gnulib

added missing declaration

removed any dependencies to gnulib network stuff

avoid gnulib's insistence to replace strerror

All socket options were moved to src/gl

removed unused gnulib crap

fixed more memory leaks in crywrap

addressed memory leak in crywrap.c

check the blacklist for certificates provided in gnutls_x509_trust_list_verify_named_crt().

corrected configure option.

rsa-export is no more

updated option for TPM

updated

replace select() on windows

print message before failing when the pull timeout function isn't replaced.

Added NULL PSK ciphersuites with SHA1; suggested by Manuel Pégourié-Gonnard.

updated gnulib

Allow all ciphersuites in SSL3.0 when they are available in TLS1.0

The default priority is reset to NORMAL

Revert "the default priorities are reset to be NORMAL."

This reverts commit 9c07f75676b6b70da10e99c409b0cb7dbc245463.

mention SHA384 as MAC option

documented the defaults

the default priorities are reset to be NORMAL.

Reported by Manuel Pégourié-Gonnard.

Add required priorities

Preinitialize values; suggested by Sebastian Krahmer and Tomas Hoger.

added doc on is_issuer() checks

removed not trusted message; reported by Michel Briand.

updated for verification updates

Updated verification function

New option --stricttofu for gnutls-cli

With option --tofu, gnutls-cli waits with a yes-no-question upon
certificate changes.  I added the option --stricttofu that omits the
question and fails instead.

The contribution is in accordance to the "Developer's Certificate of
Origin" as found in the file doc/DCO.txt.

Best wishes
Jens

Signed-off-by: Jens Lechtenbörger <jens.lechtenboerger@fsfe.org>

moved priorities check to the first call only.

removed duplicate definition; reported by Dennis Philipps.

updated coding style

doc update

added cert

corrected check

combined timeout values

updated

doc update

When appending a name, ensure that we append to the end of the list.

use gnutls_free()

corrected email in texi

srp: Add resistance against guessing usernames

When a client tries to authenticate using an unknown username, instead of
generating a random salt every time, generate the salt based on the
username and a secret seed.

The seed is settable by the application, allowing servers to re-use the
same seed after a restart.

A random seed is generated for each newly allocated SRP server credentials
structure, meaning that applications not using the new API to set the seed
continue to work and gain limited advantage (because they use a different
seed after every restart).

For further information see section 2.5.1.3. in RFC 5054.

Signed-off-by: Attila Molnar <attilamolnar@hush.com>

small artistic changes

check against the success value

use bool types when needed.

ensure failure when parsing fails.

allow ip address as constraint

Added check for IPaddress

doc update

Added tests for name constraints addition.

better error printing

corrected empty name check

Updated test for name constraints to include empty constraints names.

pretty print empty DNSnames

_gnutls_x509_read_value() can now read empty values.

Allow empty names.

removed debugging

Added check for null

If alternative names are found, don't bother checking the DN.

Added tool to create a certificate chain

properly indent name constraints

_gnutls_parse_general_name2() will return the expected data

certtool allows setting name constraints.

removed false warnings

simplify names

Verify name constraints.

Added gnutls_x509_name_constraints_check_crt

This function will check name constraints against all the names
in a certificate.

Added support for e-mail constraints.

Added more constraints tests for unsupported structures.

Corrected check for present constraints in unsupported types.

fix small leak

When verifying a response and a signer isn't provided assume that the signer is the issuer.

When sending a nonce in OCSP check if it is available on the reply.

properly deinitialize name constraints structure.

Verify in example that the sent nonce matches the received nonce.

Reported by Benny Baumann.

Added missing file

priority string flag VERIFY_ALLOW_X509_V1_CA_CRT is now a dummy

reinitialize the handshake timers when gnutls_handshake() is called.

Improved DTLS rehandshake test to catch a timeout issue in handshake().

doc update

Allow multiple flags in gnutls_x509_crt_get_name_constraints()

Do not deinitialize the constraints structure when reading the constraints fails.

Allow appending name constraints.

Allow setting a non-critical name-constraints extension.

better checking of unsupported constraints.

doc update

Added support for name constraints X.509 extension.

This allows to generate and read the name constraints extension,
as well as check against the DNSNAME value.

depend on p11-kit 0.20.0 or later

changed names for clarity

Corrected bug in gnutls_pcert_list_import_x509_raw().

The bug caused gnutls_pcert_list_import_x509_raw() to crash if
gnutls_x509_crt_list_import() would fail with the provided data.
Reported by Dmitriy Anisimkov.