Added rules to auto-generate the assembler files.
[gnutls:gnutls.git] / NEWS
1 GnuTLS NEWS -- History of user-visible changes.                -*- outline -*-
2 Copyright (C) 2000-2011 Free Software Foundation, Inc.
3 See the end for copying conditions.
4
5 * Version 3.0.8 (released 2011-11-12)
6
7 ** certtool: Certtool -e returns error code on verification
8 failure.
9
10 ** certtool: Verifies parameters of generated keys.
11
12 ** libgnutls: Corrected ECC key generation (introduced in 3.0.6)
13
14 ** libgnutls: Provide less timing information when decoding
15 TLS/DTLS record packets.
16
17 ** doc: man pages for API functions were removed.
18 The reason was that the code that auto-generated the man pages missed
19 many APIs and we couldn't fix it (volunteers welcome).  See the info
20 manual or the GTK-DOC manual instead.
21
22 ** API and ABI modifications:
23 gnutls_x509_privkey_verify_params: Added
24
25
26 * Version 3.0.7 (released 2011-11-08)
27
28 ** libgnutls: Corrected fix in gnutls_session_get_data()
29 to report the actual session size when the provided buffer
30 is not enough.
31
32 ** libgnutls: Fixed ciphersuite GNUTLS_ECDHE_RSA_AES_128_CBC_SHA256,
33 which was using a wrong MAC algorithm. Reported by Fabrice Gautier.
34
35 ** API and ABI modifications:
36 No changes since last version.
37
38
39 * Version 3.0.6 (released 2011-11-07)
40
41 ** gnutls-guile: Compilation fixes.
42
43 ** libgnutls: Fixed possible buffer overflow in 
44 gnutls_session_get_data(). Reported and fix by Alban Crequy.
45
46 ** libgnutls: Bug fixes in the ciphersuites with NULL cipher.
47 Reported by Fabrice Gautier.
48
49 ** libgnutls: Bug fixes in ECC code for 64-bit MIPS systems. 
50 Thanks to Joseph Graham for providing access to such a system.
51
52 ** libgnutls: Correctly report ECC private key parsing errors.
53 Reported by Fabrice Gautier.
54
55 ** libgnutls: In ECDHE verify that the received point lies on
56 the selected curve. The ECDHE ciphersuites now take precendence
57 to plain DHE.
58
59 ** API and ABI modifications:
60 No changes since last version.
61
62
63 * Version 3.0.5 (released 2011-10-27)
64
65 ** libgnutls-extra: is no more
66
67 ** libgnutls: Corrections in order to compile with mingw32.
68
69 ** libgnutls: Corrections in VIA padlock code for VIA C5 processor
70 and new detection of PHE with support for partial hashing.
71
72 ** libgnutls: Corrected bug in gnutls_x509_data2hex. Report and fix 
73 by Vincent Untz.
74
75 ** minitasn1: Upgraded to libtasn1 version 2.10.
76
77 ** API and ABI modifications:
78 No changes since last version.
79
80
81 * Version 3.0.4 (released 2011-10-15)
82
83 ** libgnutls-extra: gnutls_register_md5_handler() was
84 removed.
85
86 ** gnutls-cli-debug: Added more tests including AES-GCM,
87 SHA256 and elliptic curves.
88
89 ** gnutls-cli: Added --benchmark-soft-ciphers to benchmark
90 the software version of the ciphers instead of hw accelerated 
91 (where available)
92
93 ** libgnutls: Public key ID calculation is consistent among
94 all structures. It uses a SHA-1 hash of the subjectPublicKeyInfo.
95
96 ** libgnutls: gnutls_privkey_t allows setting external callback
97 to perform signing or decryption. Can be set using
98 gnutls_privkey_import_ext()
99
100 ** libgnutls: A certificate credentials structure can be
101 used with a gnutls_privkey_t and a gnutls_pcert_st
102 structure using gnutls_certificate_set_key().
103
104 ** libgnutls: Fixes to enable external signing callback to
105 operate with TLS 1.2. 
106
107 ** libgnutls: Fixed crash when printing ECDSA certificate key 
108 ID. Reported by Erik Jensen.
109
110 ** libgnutls: Corrected VIA padlock code for C3. In C3 benchmarks 
111 show a 50x increase in AES speed and a 14x increase in VIA nano. Added 
112 support for hashes and HMACs.
113
114 ** libgnutls: Compilation fixed when p11-kit is not detected.
115
116 ** libgnutls: Fixed the deflate compression code.
117
118 ** libgnutls: Added gnutls_x509_crt_get_authority_info_access.
119 Used to get the PKIX Authority Information Access (AIA) field.
120
121 ** libgnutls: gnutls_x509_crt_print supports printing AIA fields.
122
123 ** libgnutls: Added ability to gnutls_privkey_t to operate with
124 signing callback function.
125
126 ** API and ABI modifications:
127 gnutls_x509_crt_get_authority_info_access (x509.h): Added function.
128 gnutls_privkey_import_ext: Added function.
129 gnutls_certificate_set_key: Added function.
130 gnutls_info_access_what_t (x509.h): Added enum.
131 GNUTLS_OID_AIA (x509.h): Added symbol.
132 GNUTLS_OID_AD_OCSP (x509.h): Added symbol.
133 GNUTLS_OID_AD_CAISSUERS (x509.h): Added symbol.
134
135 * Version 3.0.3 (released 2011-09-18)
136
137 ** libgnutls: Added gnutls_record_get_discarded() to return the
138 number of discarded records in a DTLS session.
139
140 ** libgnutls: All functions related to RSA-EXPORT were deprecated.
141 Support for RSA-EXPORT ciphersuites will be ceased in future versions.
142
143 ** libgnutls: Memory leak fixes in credentials private key 
144 deinitialization. Reported by Dan Winship.
145
146 ** libgnutls: Memory leak fixes in ECC ciphersuites.
147
148 ** libgnutls: Do not send an empty extension structure in server 
149 hello. This affected old implementations that do not support extensions. 
150 Reported by J. Cameijo Cerdeira.
151
152 ** libgnutls: Allow CA importing of 0 certificates to succeed.
153 Reported by Jonathan Nieder <jrnieder@gmail.com> in
154 <http://bugs.debian.org/640639>.
155
156 ** libgnutls: Added support for VIA padlock AES optimizations.
157 (disabled by default)
158
159 ** libgnutls: Added support for elliptic curves in
160 PKCS #11.
161
162 ** libgnutls: Added gnutls_pkcs11_privkey_generate()
163 to allow generating a key in a token.
164
165 ** p11tool: Added generate-rsa, generate-dsa and 
166 generate-ecc options to allow generating private
167 keys in the token.
168
169 ** libgnutls: gnutls_transport_set_lowat dummy macro was 
170 removed.
171
172 ** API and ABI modifications:
173 gnutls_pkcs11_privkey_generate: Added
174 gnutls_pubkey_import_ecc_raw: Added
175 gnutls_pubkey_import_ecc_x962: Added
176 gnutls_pubkey_get_pk_ecc_x962: Added
177 gnutls_record_get_discarded: Added
178
179
180 * Version 3.0.2 (released 2011-09-01)
181
182 ** libgnutls: OpenPGP certificate type is not enabled
183 by default.
184
185 ** libgnutls: Added %NO_EXTENSIONS priority string.
186
187 ** libgnutls: Corrected issue in gnutls_record_recv()
188 triggered on encryption or compression error.
189
190 ** libgnutls: Compatibility fixes in CPU ID detection 
191 for i386 and old GCC.
192
193 ** gnutls-cli: Benchmark applications were incorporated
194 with it.
195
196 ** libgnutls: Corrected parsing of XMPP subject
197 alternative names.
198
199 ** libgnutls: Allow for out-of-order ChangeCipherSpec
200 message in DTLS.
201
202 ** libgnutls: gnutls_certificate_set_x509_key() and
203 gnutls_certificate_set_openpgp_key() operate as in 2.10.x
204 and allow the release of the private key during the
205 lifetime of the certificate structure.
206
207 ** API and ABI modifications:
208 GNUTLS_PRIVKEY_IMPORT_COPY: new gnutls_privkey_import() flag
209
210
211 * Version 3.0.1 (released 2011-08-20)
212
213 ** libgnutls: gnutls_certificate_set_x509_key_file() and 
214 friends support server name indication. If multiple 
215 certificates are set using these functions the proper one 
216 will be selected during a handshake. 
217
218 ** libgnutls: Added AES-256-GCM which was left out from
219 the previous release. Reported by Benjamin Hof.
220
221 ** libgnutls: When asking for a PKCS# 11 PIN multiple 
222 times, the flags in the callback were not being updated 
223 to reflect for PIN low count or final try.
224
225 ** libgnutls: Do not allow second instances of PKCS #11
226 modules.
227
228 ** libgnutls: fixed alignment issue in AES-NI code.
229
230 ** libgnutls: The config file at gnutls_pkcs11_init()
231 is being read if provided.
232
233 ** libgnutls: Ensure that a certificate list specified
234 using gnutls_certificate_set_x509_key() and friends, is 
235 sorted according to TLS specification (from subject to issuer).
236
237 ** libgnutls: Added GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED flag for
238 gnutls_x509_crt_list_import. It checks whether the list to be 
239 imported is properly sorted.
240
241 ** crywrap: Added to the distribution. It is an application
242 that proxies TLS session to a port using a plaintext service.
243
244 ** doc: Many GTK-DOC improvements.
245
246 ** i18n: Translations were updated.
247
248 ** API and ABI modifications:
249 GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED: New element in gnutls_certificate_import_flags
250 GNUTLS_PKCS11_PIN_WRONG: New flag for PIN callback
251
252
253 * Version 3.0.0 (released 2011-07-29)
254
255 ** libgnutls: writev_emu: stop on the first incomplete write. Patch by
256 Sjoerd Simons.
257
258 ** libgnutls: Fix zlib handling in gnutls.pc. Patch by Andreas
259 Metzler.
260
261 ** certtool: bug fixes in certificate request generation. Patch
262 by Petr Písař.
263
264 ** API and ABI modifications:
265 gnutls_pcert_list_import_x509_raw: ADDED
266
267
268 * Version 2.99.4 (released 2011-07-23)
269
270 ** doc: documentation updates.
271
272 ** libgnutls: gnutls_rsa_params_t is now identical to gnutls_x509_privkey_t
273 to avoid thread-safety issues. Reported by Sam Varshavchik.
274
275 ** libgnutls: Added compatibility mode with /etc/gnutls/pkcs11.conf
276
277 ** libgnutls: license upgraded to LGPLv3
278
279 ** libgnutls: gnutls_srp_verifier() returns data allocated with gnutls_malloc()
280 for consistency.
281
282 ** API and ABI modifications:
283 No changes since last version.
284
285
286 * Version 2.99.3 (released 2011-06-18)
287
288 ** libgnutls: Added new PKCS #11 flags to force an object being private or
289 not. (GNUTLS_PKCS11_OBJ_FLAG_MARK_PRIVATE and GNUTLS_PKCS11_OBJ_FLAG_MARK_NOT_PRIVATE)
290
291 ** libgnutls: Added SUITEB128 and SUITEB192 priority
292 strings to enable the NSA SuiteB cryptography ciphersuites.
293
294 ** libgnutls: Added gnutls_pubkey_verify_data2() that will
295 verify data provided the signature algorithm.
296
297 ** libgnutls: Simplified the handling of handshake messages to 
298 be hashed. Instead of hashing during the handshake process we now 
299 keep the data until handshake is over and hash them on request. 
300 This uses more memory but eliminates issues with TLS 1.2 and 
301 simplifies code.
302
303 ** libgnutls: Added AES-GCM optimizations using the PCLMULQDQ
304 instruction. Uses Andy Polyakov's assembly code.
305
306 ** libgnutls: Added gnutls_x509_trust_list_add_named_crt() and
307 gnutls_x509_trust_list_verify_named_crt() that allow having a
308 list of certificates in the trusted list that will be associated
309 with a name (e.g. server name) and will not be used as CAs.
310
311 ** libgnutls: PKCS #11 back-end rewritten to use p11-kit
312 http://p11-glue.freedesktop.org/p11-kit.html. Rewrite by
313 Stef Walter.
314
315 ** libgnutls: Added ECDHE-PSK ciphersuites for TLS (RFC 5489).
316
317 ** API and ABI modifications:
318 gnutls_pubkey_verify_data2: ADDED
319 gnutls_ecc_curve_get: ADDED
320 gnutls_x509_trust_list_add_named_crt: ADDED
321 gnutls_x509_trust_list_verify_named_crt: ADDED
322 gnutls_x509_privkey_verify_data: REMOVED
323 gnutls_crypto_bigint_register: REMOVED
324 gnutls_crypto_cipher_register: REMOVED
325 gnutls_crypto_digest_register: REMOVED
326 gnutls_crypto_mac_register: REMOVED
327 gnutls_crypto_pk_register: REMOVED
328 gnutls_crypto_rnd_register: REMOVED
329 gnutls_crypto_single_cipher_register: REMOVED
330 gnutls_crypto_single_digest_register: REMOVED
331 gnutls_crypto_single_mac_register: REMOVED
332 GNUTLS_KX_ECDHE_PSK: New key exchange method
333 GNUTLS_VERIFY_DISABLE_CRL_CHECKS: New certificate verification flag.
334 GNUTLS_PKCS11_OBJ_FLAG_MARK_PRIVATE: New PKCS#11 object flag.
335 GNUTLS_PKCS11_OBJ_FLAG_MARK_NOT_PRIVATE: New PKCS#11 object flag.
336
337
338 * Version 2.99.2 (released 2011-05-26)
339
340 ** libgnutls: Added Elliptic curve support. This is not
341 enabled by default. Requires priority strings:
342 +CURVE-ALL: to add all supported curves
343 +ECDHE-RSA: to add ephemeral ECDHE with an RSA-signed certificate
344 +ECDHE-ECDSA: to add ephemeral ECDHE with an ECDSA-signed certificate
345 +ANON-ECDHE: to add anonymous ECDH
346
347 ** libgnutls: PKCS #11 URLs conform to the latest draft
348 being http://tools.ietf.org/html/draft-pechanec-pkcs11uri-04.
349
350 ** certtool: Can now load private keys and public keys from PKCS #11 tokens
351 via URLs.
352
353 ** libgnutls: Added gnutls_global_set_audit_log_function() that allows
354 to get important auditing information including the corresponding session.
355 That might be useful to block DoS or other attacker from specific IPs.
356
357 ** libgnutls: gnutls_pkcs11_privkey_import_url() will now correctly read
358 the public key algorithm of the key.
359
360 ** libgnutls: Added gnutls_certificate_get_issuer() and
361 gnutls_x509_trust_list_get_issuer() to compensate for the
362 missing gnutls_certificate_get_x509_cas().
363
364 ** libgnutls: Added gnutls_x509_crq_verify() to allow
365 verification of the self signature in a certificate request.
366 This allows verifying whether the owner of the private key
367 is the generator of the request.
368
369 ** libgnutls: gnutls_x509_crt_set_crq() implicitly verifies
370 the self signature of the request.
371
372 ** API and ABI modifications:
373 gnutls_certificate_get_issuer: ADDED
374 gnutls_x509_trust_list_get_issuer: ADDED
375 gnutls_x509_crq_verify: ADDED
376 gnutls_global_set_audit_log_function: ADDED
377 gnutls_ecc_curve_get_name: ADDED
378 gnutls_ecc_curve_get_size: ADDED
379 gnutls_x509_privkey_import_ecc_raw: ADDED
380 gnutls_x509_privkey_export_ecc_raw: ADDED
381 gnutls_global_set_time_function: ADDED
382
383 GNUTLS_E_ECC_NO_SUPPORTED_CURVES: New error code
384 GNUTLS_E_ECC_UNSUPPORTED_CURVE: New error code
385 GNUTLS_KX_ECDHE_RSA: New key exchange method
386 GNUTLS_KX_ECDHE_ECDSA: New key exchange method
387 GNUTLS_KX_ANON_ECDH: New key exchange method
388 GNUTLS_PK_ECC: New public key algorithm
389 GNUTLS_SIGN_ECDSA_SHA1: New signature algorithm
390 GNUTLS_SIGN_ECDSA_SHA256: New signature algorithm
391 GNUTLS_SIGN_ECDSA_SHA384: New signature algorithm
392 GNUTLS_SIGN_ECDSA_SHA512: New signature algorithm 
393 GNUTLS_SIGN_ECDSA_SHA224: New signature algorithm
394 GNUTLS_ECC_CURVE_INVALID: New curve definition
395 GNUTLS_ECC_CURVE_SECP224R1: New curve definition
396 GNUTLS_ECC_CURVE_SECP256R1: New curve definition
397 GNUTLS_ECC_CURVE_SECP384R1: New curve definition
398 GNUTLS_ECC_CURVE_SECP521R1: New curve definition
399
400
401 * Version 2.99.1 (released 2011-04-23)
402
403 ** libgnutls: LZO support was removed.
404
405 ** libgnutls: Corrections in SSLv2 client hello parsing.
406
407 ** libgnutls: Added support for AES-NI if detected. Uses
408 Andy Polyakov's AES-NI code.
409
410 ** libgnutls: Restored HMAC-MD5 for compatibility. Although considered 
411 weak, several sites require it for connection. It is enabled for
412 "NORMAL" and "PERFORMANCE" priority strings.
413
414 ** libgnutls: depend on libdl.
415
416 ** libgnutls-extra: Dropped support of LZO compression via liblzo.
417
418 ** libgnutls: gnutls_transport_set_global_errno() was removed. This
419 function required GnuTLS to access system specific data, for no reason.
420 Use gnutls_transport_set_errno(), or your system's errno fascility
421 instead.
422
423 ** libgnutls: Added gnutls_certificate_set_retrieve_function2()
424 to set a callback to retrieve a certificate. The certificate is
425 received in a format that requires no processing from gnutls thus
426 it is suitable when performance is required.
427
428 ** API and ABI modifications:
429 gnutls_transport_set_global_errno: REMOVED
430 gnutls_certificate_set_retrieve_function2: ADDED
431
432 * Version 2.99.0 (released 2011-04-09)
433
434 ** libgnutls: Added Datagram TLS support.
435
436 ** libgnutls: Uses a single configure file and a single
437 gnulib library to save space.
438
439 ** libgnutls: Several bug fixes.
440
441 ** libgnutls: gnutls_transport_set_lowat() is no more.
442
443 ** libgnutls-openssl: modified to use modern gnutls' functions.
444 This introduces an ABI incompatibility with previous versions.
445
446 ** libgnutls: Corrected signature generation and verification
447 in the Certificate Verify message when in TLS 1.2. Reported
448 by Todd A. Ouska.
449
450 ** libgnutlsxx: The C++ interface returns exception on
451 every error and not only on fatal ones. This allows easier
452 handling of errors.
453
454 ** libgnutls: Corrected issue in DHE-PSK ciphersuites that ignored    
455 the PSK callback.
456
457 ** libgnutls: SRP and PSK are no longer set on the default priorities. 
458 They have to be explicitly set.
459
460 ** libgnutls: During handshake message verification using DSS
461 use the hash algorithm required by it.
462
463 ** libgnutls: gnutls_recv() return GNUTLS_E_PREMATURE_TERMINATION
464 on unexpected EOF, instead of GNUTLS_E_UNEXPECTED_PACKET_LENGTH.
465
466 ** libgnutls: Added GCM mode (interoperates with tls.secg.org)
467
468 ** libgnutls-extra: Inner application extension was removed.
469 It was never standardized nor published as an RFC.
470
471 ** libgnutls: Added new certificate verification functions, that
472 can provide more details and are more efficient. Check 
473 gnutls_x509_trust_list_*.
474
475 ** certtool: Uses the new certificate verification functions for
476 --verify-chain.
477
478 ** certtool: Added new certificate verification functionality
479 using the --verify option. Combined with --load-ca-certificate
480 it can verify a certificate chain against a list of certificates.
481
482 ** Several files unnecessarily included <gcrypt.h>; this has been fixed.
483
484 ** API and ABI modifications:
485 gnutls_dtls_set_timeouts: ADDED
486 gnutls_dtls_get_mtu: ADDED
487 gnutls_dtls_get_data_mtu: ADDED
488 gnutls_dtls_set_mtu: ADDED
489 gnutls_dtls_cookie_send: ADDED
490 gnutls_dtls_cookie_verify: ADDED
491 gnutls_dtls_prestate_set: ADDED
492 gnutls_x509_trust_list_verify_crt: ADDED
493 gnutls_x509_trust_list_add_crls: ADDED
494 gnutls_x509_trust_list_add_cas: ADDED
495 gnutls_x509_trust_list_init: ADDED
496 gnutls_x509_trust_list_deinit: ADDED
497 gnutls_cipher_add_auth: ADDED
498 gnutls_cipher_tag: ADDED
499 gnutls_psk_netconf_derive_key: REMOVED
500 gnutls_certificate_verify_peers: REMOVED
501 gnutls_session_set_finished_function: REMOVED
502 gnutls_ext_register: REMOVED
503 gnutls_certificate_get_x509_crls: REMOVED
504 gnutls_certificate_get_x509_cas: REMOVED
505 gnutls_certificate_get_openpgp_keyring: REMOVED
506 gnutls_session_get_server_random: REMOVED
507 gnutls_session_get_client_random: REMOVED
508 gnutls_session_get_master_secret: REMOVED
509 gnutls_ia_allocate_client_credentials: REMOVED
510 gnutls_ia_allocate_server_credentials: REMOVED
511 gnutls_ia_enable: REMOVED
512 gnutls_ia_endphase_send: REMOVED
513 gnutls_ia_extract_inner_secret: REMOVED
514 gnutls_ia_free_client_credentials: REMOVED
515 gnutls_ia_free_server_credentials: REMOVED
516 gnutls_ia_generate_challenge: REMOVED
517 gnutls_ia_get_client_avp_ptr: REMOVED
518 gnutls_ia_get_server_avp_ptr: REMOVED
519 gnutls_ia_handshake: REMOVED
520 gnutls_ia_handshake_p: REMOVED
521 gnutls_ia_permute_inner_secret: REMOVED
522 gnutls_ia_recv: REMOVED
523 gnutls_ia_send: REMOVED
524 gnutls_ia_set_client_avp_function: REMOVED
525 gnutls_ia_set_client_avp_ptr: REMOVED
526 gnutls_ia_set_server_avp_function: REMOVED
527 gnutls_ia_set_server_avp_ptr: REMOVED
528 gnutls_ia_verify_endphase: REMOVED
529
530
531 * Version 2.12.2 (released 2011-04-08)
532
533 ** libgnutls: Several updates and fixes for win32. Patches by LRN.
534
535 ** libgnutls: Several bug and memory leak fixes.
536
537 ** srptool: Accepts the -d option to enable debugging.
538
539 ** libgnutls: Corrected bug in gnutls_srp_verifier() that prevented
540 the allocation of a verifier. Reported by Andrew Wiseman.
541
542 ** API and ABI modifications:
543 No changes since last version.
544
545
546 * Version 2.12.1 (released 2011-04-02)
547
548 ** certtool: Generated certificate request with stricter permissions.
549 Reported by Luca Capello.
550
551 ** libgnutls: Bug fixes in opencdk code. Reported by Vitaly Kruglikov.
552
553 ** libgnutls: Corrected windows system_errno() function prototype.
554
555 ** libgnutls: C++ compatibility fix for compat.h. Reported by Mark Brand.
556
557 ** libgnutls: Fix size of gnutls_openpgp_keyid_t by using the
558 GNUTLS_OPENPGP_KEYID_SIZE definition. Reported by Andreas Metzler.
559
560 ** API and ABI modifications:
561 No changes since last version.
562
563
564
565
566 * Version 2.12.0 (released 2011-03-24)
567
568 ** certtool: Warns on generation of DSA keys of over 1024 bits, about
569 the incompatibility with TLS other than 1.2.
570
571 ** libgnutls: Modified signature algorithm selection in client
572 certificate request, to avoid failures in DSA certificates.
573
574 ** libgnutls: Instead of failing with internal error, return 
575 GNUTLS_E_INCOMPAT_DSA_KEY_WITH_TLS_PROTOCOL if an incompatible DSA
576 key with the negotiated protocol is encountered.
577
578 ** libgnutls: Bug fixes in the RSA ciphersuite behavior with openpgp keys.
579
580 ** libgnutls: Force state update when fork is detected in the nettle
581 rng.
582
583 ** libgnutls: modified gnutls_pubkey_import_openpgp() to use the preferred
584 subkey instead of setting explicitly one.
585
586 ** libgnutls: Corrected default behavior in record version of Client Hellos.
587
588 ** libgnutls-openssl: modified to use modern gnutls' functions.
589 This introduces an ABI incompatibility with previous versions.
590
591 ** API and ABI modifications:
592 gnutls_pubkey_import_openpgp: MODIFIED
593
594
595 * Version 2.11.7
596
597 ** libgnutls: The deprecated  gnutls_x509_privkey_sign_hash() was
598 replaced by gnutls_privkey_sign_hash2().
599
600 ** libgnutls: gnutls_pubkey_verify_data, gnutls_pubkey_verify_hash,
601 gnutls_x509_privkey_verify_data, gnutls_x509_crt_verify_data, 
602 gnutls_x509_crt_verify_hash return the negative error code 
603 GNUTLS_E_PK_SIG_VERIFY_FAILED if verification fails to simplify error 
604 checking.
605
606 ** libgnutls: Added helper functions for signature verification:
607 gnutls_pubkey_verify_data() and gnutls_pubkey_import_privkey().
608
609 ** libgnutls: Modified gnutls_privkey_sign_data().
610
611 ** gnutls_x509_crl_privkey_sign2(), gnutls_x509_crq_sign2()
612 gnutls_x509_privkey_sign_hash(), gnutls_x509_privkey_sign_data(),
613 gnutls_x509_crt_verify_hash(), gnutls_x509_crt_verify_data(), were
614 deprecated for gnutls_x509_crl_privkey_sign(),
615 gnutls_x509_crq_privkey_sign(), gnutls_privkey_sign_hash(),
616 gnutls_privkey_sign_data(), gnutls_pubkey_verify_hash()
617 gnutls_pubkey_verify_data() respectively.
618
619 ** libgnutls: gnutls_*_export_raw() functions now add leading zero in
620 integers.
621
622 ** libgnutls: Added convenience functions gnutls_x509_crl_list_import2()
623 and gnutls_x509_crt_list_import2().
624
625 ** crypto.h: Fix use with C++.
626 Reported by "Brendan Doherty" <brendand@gentrack.com>.
627
628 ** API and ABI modifications:
629 gnutls_x509_crl_list_import: ADDED
630 gnutls_x509_crl_list_import2: ADDED
631 gnutls_x509_crt_list_import2: ADDED
632 gnutls_x509_crl_get_raw_issuer_dn: ADDED
633 gnutls_pubkey_import_privkey: ADDED
634 gnutls_pubkey_verify_data: ADDED
635 gnutls_privkey_sign_hash: MODIFIED (was added in 2.11.0)
636 gnutls_privkey_sign_data: MODIFIED (was added in 2.11.0)
637 gnutls_x509_crq_sign2: DEPRECATED (use: gnutls_x509_crq_privkey_sign)
638 gnutls_x509_crq_sign: DEPRECATED (use: gnutls_x509_crq_privkey_sign)
639 gnutls_x509_crq_get_preferred_hash_algorithm: REMOVED (was added in 2.11.0)
640 gnutls_x509_crl_sign: DEPRECATED (use: gnutls_x509_crl_privkey_sign)
641 gnutls_x509_crl_sign2: DEPRECATED (use: gnutls_x509_crl_privkey_sign)
642 gnutls_x509_privkey_sign_data: DEPRECATED (use: gnutls_privkey_sign_data2)
643 gnutls_x509_privkey_sign_hash: DEPRECATED (use: gnutls_privkey_sign_hash2)
644 gnutls_x509_privkey_verify_data: DEPRECATED (use: gnutls_pubkey_verify_data)
645 gnutls_session_set_finished_function: DEPRECATED
646 gnutls_x509_crt_verify_hash: DEPRECATED (use: gnutls_pubkey_verify_hash)
647 gnutls_x509_crt_verify_data: DEPRECATED (use: gnutls_pubkey_verify_data)
648 gnutls_x509_crt_get_verify_algorithm: DEPRECATED (use: gnutls_pubkey_get_verify_algorithm)
649 gnutls_x509_crt_get_preferred_hash_algorithm: DEPRECATED (use: gnutls_pubkey_get_preferred_hash_algorithm)
650 gnutls_openpgp_privkey_sign_hash: DEPRECATED (use: gnutls_privkey_sign_hash2)
651 gnutls_pkcs11_privkey_sign_hash: REMOVED (was added in 2.11.0)
652 gnutls_pkcs11_privkey_decrypt_data: REMOVED (was added in 2.11.0)
653 gnutls_privkey_sign_hash: REMOVED (was added in 2.11.0)
654
655 * Version 2.11.6 (released 2010-12-06)
656
657 ** libgnutls: Record version of Client Hellos is now set by default to
658 SSL 3.0. To restore the previous default behavior use %LATEST_RECORD_VERSION
659 priority string.
660
661 ** libgnutls: Use ASN1_NULL when writing parameters for RSA signatures. 
662 This makes us comply with RFC3279. Reported by Michael Rommel.
663
664 ** gnutls-serv: Corrected a buffer overflow. Reported and patch by Tomas Mraz.
665
666 ** API and ABI modifications:
667 No changes since last version.
668
669 * Version 2.11.5 (released 2010-12-01)
670
671 ** libgnutls: Reverted default behavior for verification and
672 introduced GNUTLS_VERIFY_DO_NOT_ALLOW_X509_V1_CA_CRT. Thus by default
673 V1 trusted CAs are allowed, unless the new flag is specified.
674
675 ** libgnutls: Correctly add leading zero to PKCS #8 encoded DSA key.
676 Reported by Jeffrey Walton.
677
678 ** libgnutls: Added SIGN-ALL, CTYPE-ALL, COMP-ALL, and VERS-TLS-ALL
679 as priority strings. Those allow to set all the supported algorithms
680 at once.
681
682 ** p11tool: Introduced. It allows manipulating pkcs 11 tokens.
683
684 ** gnutls-cli: Print channel binding only in verbose mode.
685 Before it printed it after the 'Compression:' output, thus breaking
686 Emacs starttls.el string searches.
687
688 ** API and ABI modifications:
689 gnutls_pkcs11_token_init: New function
690 gnutls_pkcs11_token_set_pin: New function
691
692 * Version 2.11.4 (released 2010-10-15)
693
694 ** libgnutls: Add new API gnutls_session_channel_binding.
695 The function is used to get the channel binding data.  Currently only
696 the "tls-unique" (RFC 5929) channel binding type is supported, through
697 the GNUTLS_CB_TLS_UNIQUE type.  See new section "Channel Bindings" in
698 the manual.
699
700 ** gnutls-cli, gnutls-serv: Print 'tls-unique' Channel Bindings.
701
702 ** doc: Added pkcs11.h header file to GTK-DOC manual.
703
704 ** build: Update gnulib files.
705
706 ** i18n: Update translations.
707
708 ** tests: Add self tests gendh.c.  Speed up Guile self checks.
709
710 ** API and ABI modifications:
711 gnutls_session_channel_binding: New function.
712 gnutls_channel_binding_t: New enumeration.
713 GNUTLS_CB_TLS_UNIQUE: New gnutls_channel_binding_t enum member.
714 GNUTLS_E_CHANNEL_BINDING_NOT_AVAILABLE: New error code.
715
716 * Version 2.11.3 (released 2010-10-14)
717
718 ** Indent code to follow the GNU Coding Standard.
719 You should be able to unpack the 2.11.2 release and run 'make indent'
720 twice to get exactly the same content as 2.11.3 except for generated
721 files.  Using GNU Indent 2.2.11.
722
723 ** API and ABI modifications:
724 No changes since last version.
725
726 * Version 2.11.2 (released 2010-10-08)
727
728 ** libgnutls: Several bug fixes on session resumption
729 and session tickets support.
730
731 ** libgnutls: Add new extended key usage ipsecIKE.
732
733 ** certtool: Renamed PKCS #11 options to: --p11-provider,
734 --p11-export-url, --p11-list-certs, --p11-list-certs,
735 --p11-list-privkeys, --p11-list-trusted, --p11-list-all-certs,
736 --p11-list-all, --p11-list-tokens, --p11-login, --p11-write,
737 --p11-write-label, --p11-write-trusted, --p11-detailed-url,
738 --p11-delete-url
739
740 ** libgnutls: Corrected bug that caused importing DSA keys as RSA,
741 introduced with the new nettle code.
742
743 ** libgnutls: Corrected advertizing issue for session tickets.
744
745 ** API and ABI modifications:
746 gnutls_x509_crt_get_subject_unique_id: ADDED.
747 gnutls_x509_crt_get_issuer_unique_id: ADDED.
748
749 * Version 2.11.1 (released 2010-09-14)
750
751 ** libgnutls: Nettle is the default crypto back end. Use --with-libgcrypt
752 to use the libgcrypt back end.
753
754 ** libgnutls: Depend on nettle 2.1. This makes nettle a fully working
755 backend crypto library.
756
757 ** libgnutls: Added RSA_NULL_SHA1 and SHA256 ciphersuites.
758
759 ** libgnutls: Several updates in the buffering internal interface.
760
761 ** libgnutls: Is now more liberal in the PEM decoding. That is spaces and 
762 tabs are being skipped.
763
764 ** libgnutls: Added support for draft-pechanec-pkcs11uri-02.
765
766 ** libgnutls: The %COMPAT flag now allows larger records that violate the
767 TLS spec.
768
769 ** libgnutls: by default lowat level has been set to zero to avoid unnecessary
770 system calls. Applications that depended on it being 1 should explicitly call
771 gnutls_transport_set_lowat().
772
773 ** libgnutls: Updated documentation and gnutls_pk_params_t mappings
774 to ECRYPT II recommendations. Mappings were moved to a single location
775 and DSA keys are handled differently (since DSA2 allows for 1024,2048
776 and 3072 keys only).
777
778 ** libgnutls: gnutls_x509_privkey_import() will fallback to
779 gnutls_x509_privkey_import_pkcs8() without a password, if it
780 is unable to decode the key.
781
782 ** libgnutls: HMAC-MD5 no longer used by default.
783
784 ** API and ABI modifications:
785 gnutls_openpgp_privkey_sec_param: ADDED
786 gnutls_x509_privkey_sec_param: ADDED
787
788 * Version 2.11.0 (released 2010-07-22)
789
790 ** libgnutls: support scattered write using writev(). This takes
791 advantage of the new buffering layer and allows queuing of packets
792 and flushing them. This is currently used for handshake messages
793 only.
794
795 ** libgnutls: Added gnutls_global_set_mutex() to allow setting
796 alternative locking procedures. By default the system available
797 locking is used. In *NIX pthreads are used and in windows the
798 critical section API. This follows a different approach than the
799 previous versions that depended on libgcrypt initialization. The
800 locks are now set by default in systems that support it. Programs
801 that used gcry_control() to set thread locks should insert it into
802 a block of
803 #if GNUTLS_VERSION_NUMBER <= 0x020b00
804         gcry_control(...)
805 #endif
806
807 ** libgnutls: Added support for reading DN from EV-certificates.
808 New DN values:
809 jurisdictionOfIncorporationLocalityName,
810 jurisdictionOfIncorporationStateOrProvinceName,
811 jurisdictionOfIncorporationCountryName
812
813 ** libgnutls: Added support for DSA signing/verifying with bit 
814 length over 1024.
815
816 ** libgnutls-extra: When in FIPS mode gnutls_global_init_extra()
817 has to be called to register any required md5 handlers.
818
819 ** libgnutls: Internal buffering code was replaced by simpler
820 code contributed by Jonathan Bastien-Filiatrault.
821
822 ** libgnutls: Internal API for extensions augmented to allow
823 safe storing and loading of data on resumption. This allows writing
824 self-contained extensions (when possible). As a side effect
825 the OPRFI extension was removed.
826
827 ** libgnutls: Added support for DSA-SHA256 and DSA-SHA224
828
829 ** libgnutls: Added PKCS #11 support and an API to access objects in
830 gnutls/pkcs11.h. Currently certificates and public keys can be
831 imported from tokens, and operations can be performed on private keys.
832
833 ** libgnutls: Added abstract gnutls_privkey_t and gnutls_pubkey_t
834
835 ** libgnutls: Added initial support for the nettle library. It uses
836 the system's random generator for seeding. That is /dev/urandom in Linux, 
837 system calls in Win32 and EGD on other systems.
838
839 ** libgnutls: Corrected issue on the %SSL3_RECORD_VERSION priority string. It now
840     works even when resuming a session.
841
842 ** libgnutls: Added gnutls_certificate_set_retrieve_function() to replace the
843 similar gnutls_certificate_set_server_retrieve_function() and
844 gnutls_certificate_set_client_retrieve_function(). In addition it support
845 PKCS #11 private keys.
846
847 ** libgnutls: Added  gnutls_pkcs11_copy_x509_crt(), gnutls_pkcs11_copy_x509_privkey(),
848 and gnutls_pkcs11_delete_url() to allow copying and deleting data in tokens.
849
850 ** libgnutls: Added gnutls_sec_param_to_pk_bits() et al. to allow select bit
851 sizes for private keys using a human understandable scale.
852
853 ** certtool: Added new options: --pkcs11-list-tokens, --pkcs11-list-all
854 --pkcs11-list-all-certs, --pkcs11-list-trusted, --pkcs11-list-certs,
855 --pkcs11-delete-url, --pkcs11-write
856
857 certtool: The --pkcs-cipher is taken into account when generating a
858 private key. The default cipher used now is aes-128. The old behavior can
859 be simulated by specifying "--pkcs-cipher 3des-pkcs12".
860
861 certtool: Added --certificate-pubkey to print the public key of the
862 certificate.
863
864 ** gnutls-cli/gnutls-serv: --x509cafile, --x509certfile and --x509keyfile
865 can now accept a PKCS #11 URL in addition to a file. This will allow for
866 example to use the Gnome-keyring trusted certificate list to verify
867 connections using a url such as:
868 pkcs11:token=Root%20CA%20Certificates;serial=1%3AROOTS%3ADEFAULT;model=1%2E0;manufacturer=Gnome%20Keyring
869
870 ** API and ABI modifications:
871 gnutls_certificate_set_server_retrieve_function: DEPRECATED
872 gnutls_certificate_set_client_retrieve_function: DEPRECATED
873 gnutls_sign_callback_set: DEPRECATED
874 gnutls_global_set_mutex: ADDED
875 gnutls_pubkey_get_preferred_hash_algorithm: ADDED
876 gnutls_x509_crt_get_preferred_hash_algorithm: ADDED
877 gnutls_x509_privkey_export_rsa_raw2: ADDED
878 gnutls_rnd: ADDED
879 gnutls_sec_param_to_pk_bits: ADDED
880 gnutls_pk_bits_to_sec_param: ADDED
881 gnutls_sec_param_get_name: ADDED
882 gnutls_pkcs11_type_get_name: ADDED
883 gnutls_certificate_set_retrieve_function: ADDED
884 gnutls_pkcs11_init: ADDED
885 gnutls_pkcs11_deinit: ADDED
886 gnutls_pkcs11_set_pin_function: ADDED
887 gnutls_pkcs11_set_token_function: ADDED
888 gnutls_pkcs11_add_provider: ADDED
889 gnutls_pkcs11_obj_init: ADDED
890 gnutls_pkcs11_obj_import_url: ADDED
891 gnutls_pkcs11_obj_export_url: ADDED
892 gnutls_pkcs11_obj_deinit: ADDED
893 gnutls_pkcs11_obj_export: ADDED
894 gnutls_pkcs11_obj_list_import_url: ADDED
895 gnutls_pkcs11_obj_export: ADDED
896 gnutls_x509_crt_import_pkcs11: ADDED
897 gnutls_pkcs11_obj_get_type: ADDED
898 gnutls_x509_crt_list_import_pkcs11: ADDED
899 gnutls_x509_crt_import_pkcs11_url: ADDED
900 gnutls_pkcs11_obj_get_info: ADDED
901 gnutls_pkcs11_token_get_info: ADDED
902 gnutls_pkcs11_token_get_url: ADDED
903 gnutls_pkcs11_privkey_init: ADDED
904 gnutls_pkcs11_privkey_deinit: ADDED
905 gnutls_pkcs11_privkey_get_pk_algorithm: ADDED
906 gnutls_pkcs11_privkey_get_info: ADDED
907 gnutls_pkcs11_privkey_import_url: ADDED
908 gnutls_pkcs11_privkey_sign_data: ADDED
909 gnutls_pkcs11_privkey_sign_hash: ADDED
910 gnutls_pkcs11_privkey_decrypt_data: ADDED
911 gnutls_privkey_init: ADDED
912 gnutls_privkey_deinit: ADDED
913 gnutls_privkey_get_pk_algorithm: ADDED
914 gnutls_privkey_get_type: ADDED
915 gnutls_privkey_import_pkcs11: ADDED
916 gnutls_privkey_import_x509: ADDED
917 gnutls_privkey_import_openpgp: ADDED
918 gnutls_privkey_sign_data: ADDED
919 gnutls_privkey_sign_hash: ADDED
920 gnutls_privkey_decrypt_data: ADDED
921 gnutls_pkcs11_privkey_export_url: ADDED
922 gnutls_x509_crq_privkey_sign: ADDED
923 gnutls_x509_crl_privkey_sign: ADDED
924 gnutls_x509_crt_privkey_sign: ADDED
925 gnutls_pubkey_init: ADDED
926 gnutls_pubkey_deinit: ADDED
927 gnutls_pubkey_get_pk_algorithm: ADDED
928 gnutls_pubkey_import_x509: ADDED
929 gnutls_pubkey_import_openpgp: ADDED
930 gnutls_pubkey_get_pk_rsa_raw: ADDED
931 gnutls_pubkey_get_pk_dsa_raw: ADDED
932 gnutls_pubkey_export: ADDED
933 gnutls_pubkey_get_key_id: ADDED
934 gnutls_pubkey_get_key_usage: ADDED
935 gnutls_pubkey_verify_hash: ADDED
936 gnutls_pubkey_get_verify_algorithm: ADDED
937 gnutls_pkcs11_type_get_name: ADDED
938 gnutls_pubkey_import_pkcs11_url: ADDED
939 gnutls_pubkey_import: ADDED
940 gnutls_pubkey_import_pkcs11: ADDED
941 gnutls_pubkey_import_dsa_raw: ADDED
942 gnutls_pubkey_import_rsa_raw: ADDED
943 gnutls_x509_crt_set_pubkey: ADDED
944 gnutls_x509_crq_set_pubkey: ADDED
945 gnutls_pkcs11_copy_x509_crt: ADDED
946 gnutls_pkcs11_copy_x509_privkey: ADDED
947 gnutls_pkcs11_delete_url: ADDED
948
949 * Version 2.10.1 (released 2010-07-25)
950
951 ** libgnutls: Added support for broken certificates that indicate RSA
952 with strange OIDs.
953
954 ** gnutls-cli: Allow verification using V1 CAs.
955
956 ** libgnutls: gnutls_x509_privkey_import() will fallback to
957 gnutls_x509_privkey_import_pkcs8() without a password, if it
958 is unable to decode the key.
959
960 ** libgnutls: Correctly deinitialize crypto API functions to prevent
961 a memory leak.  Reported by Mads Kiilerich.
962
963 ** certtool: If asked to generate DSA keys of size more than 1024 bits,
964 issue a warning, that the output key might not be working everywhere.
965
966 ** certtool: The --pkcs-cipher is taken into account when generating a
967 private key. The default cipher used now is aes-128. The old behavior
968 can be simulated by specifying "--pkcs-cipher 3des-pkcs12".
969
970 ** API and ABI modifications:
971 No changes since last version.
972
973 * Version 2.10.0 (released 2010-06-25)
974
975 ** API and ABI modifications:
976 No changes since last version.
977
978 * Version 2.9.12 (released 2010-06-17)
979
980 ** gnutls-cli: Make --starttls work again.
981 Problem introduced in patch to use read() instead of fgets() committed
982 on 2010-01-27.
983
984 ** API and ABI modifications:
985 No changes since last version.
986
987 * Version 2.9.11 (released 2010-06-07)
988
989 ** libgnutls: Removed two APIs related to safe renegotiation.
990 Use priority strings instead.  The APIs were
991 gnutls_safe_negotiation_set_initial and gnutls_safe_renegotiation_set.
992 (Remember that we don't promise ABI stability during development
993 series, so this doesn't cause an shared library ABI increment.)
994
995 ** tests: More self testing of safe renegotiation extension.
996 See tests/safe-renegotiation/README for more information.
997
998 ** doc: a PDF version of the API reference manual (GTK-DOC) is now built.
999
1000 ** doc: Terms 'GNUTLS' and 'GNU TLS' were changed to 'GnuTLS' for consistency.
1001
1002 ** API and ABI modifications:
1003 gnutls_safe_negotiation_set_initial: REMOVED.
1004 gnutls_safe_renegotiation_set: REMOVED.
1005
1006 * Version 2.9.10 (released 2010-04-22)
1007
1008 ** libgnutls: Time verification extended to trusted certificate list.
1009 Unless new constant GNUTLS_VERIFY_DISABLE_TRUSTED_TIME_CHECKS flag is
1010 specified.
1011
1012 ** certtool: Display postalCode and Name X.509 DN attributes correctly.
1013 Based on patch by Pavan Konjarla.  Adds new constant
1014 GNUTLS_OID_X520_POSTALCODE and GNUTLS_OID_X520_NAME.
1015
1016 ** libgnutls: Added Steve Dispensa's patch for safe renegotiation (RFC 5746)
1017 Solves the issue discussed in:
1018 <http://www.ietf.org/mail-archive/web/tls/current/msg03928.html> and
1019 <http://www.ietf.org/mail-archive/web/tls/current/msg03948.html>.
1020 Note that to allow connecting to unpatched servers the full protection
1021 is only enabled if the priority string %SAFE_RENEGOTIATION is
1022 specified. You can check whether protection is in place by querying
1023 gnutls_safe_renegotiation_status().  New error codes
1024 GNUTLS_E_SAFE_RENEGOTIATION_FAILED and
1025 GNUTLS_E_UNSAFE_RENEGOTIATION_DENIED added.
1026
1027 ** libgnutls: When checking openpgp self signature also check the signatures
1028 ** of all subkeys.
1029 Ilari Liusvaara noticed and reported the issue and provided test
1030 vectors as well.
1031
1032 ** libgnutls: Added cryptodev support (/dev/crypto).
1033 Tested with http://www.logix.cz/michal/devel/cryptodev/.  Added
1034 benchmark utility for AES.  Adds new error codes
1035 GNUTLS_E_CRYPTODEV_IOCTL_ERROR and GNUTLS_E_CRYPTODEV_DEVICE_ERROR.
1036
1037 ** libgnutls: Exported API to access encryption and hash algorithms.
1038 The new API functions are gnutls_cipher_decrypt, gnutls_cipher_deinit,
1039 gnutls_cipher_encrypt, gnutls_cipher_get_block_size,
1040 gnutls_cipher_init, gnutls_hash, gnutls_hash_deinit, gnutls_hash_fast,
1041 gnutls_hash_get_len, gnutls_hash_init, gnutls_hash_output,
1042 gnutls_hmac, gnutls_hmac_deinit, gnutls_hmac_fast,
1043 gnutls_hmac_get_len, gnutls_hmac_init, gnutls_hmac_output.  New API
1044 constants are GNUTLS_MAC_SHA224 and GNUTLS_DIG_SHA224.
1045
1046 ** libgnutls: Added gnutls_certificate_set_verify_function() to allow
1047 verification of certificate upon receipt rather than waiting until the
1048 end of the handshake.
1049
1050 ** libgnutls: Don't send alerts during handshake.
1051 Instead new error code GNUTLS_E_UNKNOWN_SRP_USERNAME is added.
1052
1053 ** certtool: Corrected two issues that affected certificate request generation.
1054 (1) Null padding is added on integers (found thanks to Wilankar Trupti),
1055 (2) In optional SignatureAlgorithm parameters field for DSA keys the DSA
1056 parameters were added. Those were rejected by Verisign. Gnutls no longer adds 
1057 those parameters there since other implementations don't do either and having 
1058 them does not seem to offer anything (anyway you need the signer's certificate
1059 to verify thus public key will be available). Found thanks to Boyan Kasarov.
1060 This however has the side-effect that public key IDs shown by certtool are
1061 now different than previous gnutls releases.
1062 (3) the option --pgp-certificate-info will verify self signatures
1063
1064 ** certtool: Allow exporting of Certificate requests on DER format.
1065
1066 ** certtool: New option --no-crq-extensions to avoid extensions in CSRs.
1067
1068 ** gnutls-cli: Handle reading binary data from server.
1069 Reported by and tiny patch from Vitaly Mayatskikh
1070 <v.mayatskih@gmail.com> in
1071 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/4096>.
1072
1073 ** minitasn1: Upgraded to libtasn1 version 2.6.
1074
1075 ** i18n: Updated Czech, Dutch, French, Polish, Swedish translation.
1076 ** Added Italian and Simplified Chinese translation.
1077 Thanks to Petr Pisar, Erwin Poeze, Nicolas Provost, Jakub Bogusz,
1078 Daniel Nylander, Sergio Zanchetta, Tao Wei, and Aron Xu.
1079
1080 ** doc: The GTK-DOC manual is significantly improved.
1081
1082 ** API and ABI modifications:
1083 %DISABLE_SAFE_RENEGOTIATION: Added to priority strings (do not use).
1084 %INITIAL_SAFE_RENEGOTIATION: Added to priority strings.
1085 %UNSAFE_RENEGOTIATION: Added to priority strings.
1086 GNUTLS_DIG_SHA224: ADDED.
1087 GNUTLS_E_CRYPTODEV_DEVICE_ERROR: ADDED.
1088 GNUTLS_E_CRYPTODEV_IOCTL_ERROR: ADDED.
1089 GNUTLS_E_SAFE_RENEGOTIATION_FAILED: ADDED.
1090 GNUTLS_E_UNKNOWN_SRP_USERNAME: ADDED.
1091 GNUTLS_E_UNSAFE_RENEGOTIATION_DENIED: ADDED.
1092 GNUTLS_MAC_SHA224: ADDED.
1093 GNUTLS_OID_X520_NAME: ADDED.
1094 GNUTLS_OID_X520_POSTALCODE: ADDED.
1095 GNUTLS_VERIFY_DISABLE_TRUSTED_TIME_CHECKS: ADDED.
1096 GNUTLS_VERSION_MAX: ADDED.
1097 gnutls_certificate_set_verify_function: ADDED.
1098 gnutls_cipher_decrypt: ADDED.
1099 gnutls_cipher_deinit: ADDED.
1100 gnutls_cipher_encrypt: ADDED.
1101 gnutls_cipher_get_block_size: ADDED.
1102 gnutls_cipher_init: ADDED.
1103 gnutls_hash: ADDED.
1104 gnutls_hash_deinit: ADDED.
1105 gnutls_hash_fast: ADDED.
1106 gnutls_hash_get_len: ADDED.
1107 gnutls_hash_init: ADDED.
1108 gnutls_hash_output: ADDED.
1109 gnutls_hmac: ADDED.
1110 gnutls_hmac_deinit: ADDED.
1111 gnutls_hmac_fast: ADDED.
1112 gnutls_hmac_get_len: ADDED.
1113 gnutls_hmac_init: ADDED.
1114 gnutls_hmac_output: ADDED.
1115 gnutls_safe_negotiation_set_initial: ADDED.
1116 gnutls_safe_renegotiation_set: ADDED.
1117 gnutls_safe_renegotiation_status: ADDED.
1118
1119 * Version 2.9.9 (released 2009-11-09)
1120
1121 ** libgnutls: Cleanups and several bug fixes.
1122 Found by Steve Grubb and Tomas Mraz.
1123
1124 ** Link libgcrypt explicitly to certtool, gnutls-cli, gnutls-serv.
1125
1126 ** Fix --disable-valgrind-tests.
1127 Reported by Ingmar Vanhassel in
1128 <https://savannah.gnu.org/support/?107029>.
1129
1130 ** API and ABI modifications:
1131 No changes since last version.
1132
1133 * Version 2.9.8 (released 2009-11-05)
1134
1135 ** libgnutls: Fix for memory leaks on interrupted handshake.
1136 Reported by Tang Tong.
1137
1138 ** libgnutls: Addition of support for TLS 1.2 signature algorithms
1139 ** extension and certificate verify field.
1140 This requires changes for TLS 1.2 servers and clients that use
1141 callbacks for certificate retrieval.  They are now required to check
1142 with gnutls_sign_algorithm_get_requested() whether the certificate
1143 they send complies with the peer's preferences in signature
1144 algorithms.
1145
1146 ** libgnutls: In server side when resuming a session do not overwrite the 
1147 ** initial session data with the resumed session data.
1148
1149 ** libgnutls: Added support for AES-128, AES-192 and AES-256 in PKCS #8
1150 ** encryption.
1151 This affects also PKCS #12 encoded files.  This adds the following new
1152 enums: GNUTLS_CIPHER_AES_192_CBC, GNUTLS_PKCS_USE_PBES2_AES_128,
1153 GNUTLS_PKCS_USE_PBES2_AES_192, GNUTLS_PKCS_USE_PBES2_AES_256.
1154
1155 ** libgnutls: Fix PKCS#12 encoding.
1156 The error you would get was "The OID is not supported.".  Problem
1157 introduced for the v2.8.x branch in 2.7.6.
1158
1159 ** certtool: Added the --pkcs-cipher option.
1160 To explicitely specify the encryption algorithm to use.
1161
1162 ** tests: Added "pkcs12_encode" self-test to check PKCS#12 functions.
1163
1164 ** tests: Fix time bomb in chainverify self-test.
1165 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1166 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3925>.
1167
1168 ** tests: Fix expired cert in chainverify self-test.
1169
1170 ** i18n: Vietnamese translation updated.
1171 Thanks to Clytie Siddall.
1172
1173 ** API and ABI modifications:
1174 GNUTLS_CIPHER_AES_192_CBC: ADDED to gnutls/gnutls.h.
1175 GNUTLS_PKCS_USE_PBES2_AES_128: ADDED to gnutls/x509.h.
1176 GNUTLS_PKCS_USE_PBES2_AES_192: ADDED to gnutls/x509.h.
1177 GNUTLS_PKCS_USE_PBES2_AES_256: ADDED to gnutls/x509.h.
1178 GNUTLS_BAG_SECRET: ADDED to gnutls/pkcs12.h.
1179 GNUTLS_DIG_UNKNOWN: ADDED to gnutls/gnutls.h.
1180 gnutls_sign_algorithm_get_requested: ADDED.
1181
1182 * Version 2.9.7 (released 2009-10-06)
1183
1184 ** libgnutls: TLS 1.2 server mode fixes.
1185 Now interoperates against Opera.  Contributed by Daiki Ueno.
1186
1187 ** libgnutlsxx: Fix link problems.
1188 Tiny patch from Boyan Kasarov <bkasarov@gmail.com>.
1189
1190 ** guile: Compatibility with guile 2.x.
1191 By Ludovic Courtes <ludovic.courtes@laas.fr>.
1192
1193 ** API and ABI modifications:
1194 No changes since last version.
1195
1196 * Version 2.9.6 (released 2009-09-22)
1197
1198 ** libgnutls: Enable Camellia ciphers by default.
1199
1200 ** API and ABI modifications:
1201 No changes since last version.
1202
1203 * Version 2.9.5 (released 2009-09-10)
1204
1205 ** libgnutls: Add new functions to extract X.509 Issuer Alternative Names.
1206 The new functions are gnutls_x509_crt_get_issuer_alt_name2,
1207 gnutls_x509_crt_get_issuer_alt_name, and
1208 gnutls_x509_crt_get_issuer_alt_othername_oid.  Contributed by Brad
1209 Hards <bradh@frogmouth.net>.
1210
1211 ** API and ABI modifications:
1212 gnutls_x509_crt_get_issuer_alt_name2: ADDED.
1213 gnutls_x509_crt_get_issuer_alt_name: ADDED.
1214 gnutls_x509_crt_get_issuer_alt_othername_oid: ADDED.
1215
1216 * Version 2.9.4 (released 2009-09-03)
1217
1218 ** libgnutls: Client-side TLS 1.2 and SHA-256 ciphersuites now works.
1219 The new supported ciphersuites are AES-128/256 in CBC mode with
1220 ANON-DH/RSA/DHE-DSS/DHE-RSA.  Contributed by Daiki Ueno.  Further,
1221 SHA-256 is now the preferred default MAC (however it is only used with
1222 TLS 1.2).
1223
1224 ** libgnutls: Make OpenPGP hostname checking work again.
1225 The patch to resolve the X.509 CN/SAN issue accidentally broken
1226 OpenPGP hostname comparison.
1227
1228 ** libgnutls: When printing X.509 certificates, handle XMPP SANs better.
1229 Reported by Howard Chu <hyc@symas.com> in
1230 <https://savannah.gnu.org/support/?106975>.
1231
1232 ** Fix use of deprecated types internally.
1233 Use of deprecated types in GnuTLS from now on will lead to a compile
1234 error, to prevent this from happening again.
1235
1236 ** API and ABI modifications:
1237 No changes since last version.
1238
1239 * Version 2.9.3 (released 2009-08-19)
1240
1241 ** libgnutls: Support for TLS tickets was contributed by Daiki Ueno.
1242 The new APIs are gnutls_session_ticket_enable_client,
1243 gnutls_session_ticket_enable_server, and
1244 gnutls_session_ticket_key_generate.
1245
1246 ** gnutls-cli, gnutls-serv: New parameter --noticket to disable TLS tickets.
1247
1248 ** API and ABI modifications:
1249 gnutls_session_ticket_key_generate: ADDED.
1250 gnutls_session_ticket_enable_client: ADDED.
1251 gnutls_session_ticket_enable_server: ADDED.
1252
1253 * Version 2.9.2 (released 2009-08-14)
1254
1255 ** libgnutls: Fix problem with NUL bytes in X.509 CN and SAN fields.
1256 By using a NUL byte in CN/SAN fields, it was possible to fool GnuTLS
1257 into 1) not printing the entire CN/SAN field value when printing a
1258 certificate and 2) cause incorrect positive matches when matching a
1259 hostname against a certificate.  Some CAs apparently have poor
1260 checking of CN/SAN values and issue these (arguable invalid)
1261 certificates.  Combined, this can be used by attackers to become a
1262 MITM on server-authenticated TLS sessions.  The problem is mitigated
1263 since attackers needs to get one certificate per site they want to
1264 attack, and the attacker reveals his tracks by applying for a
1265 certificate at the CA.  It does not apply to client authenticated TLS
1266 sessions.  Research presented independently by Dan Kaminsky and Moxie
1267 Marlinspike at BlackHat09.  Thanks to Tomas Hoger <thoger@redhat.com>
1268 for providing one part of the patch.  [GNUTLS-SA-2009-4] [CVE-2009-2730].
1269
1270 ** libgnutls: Fix rare failure in gnutls_x509_crt_import.
1271 The function may fail incorrectly when an earlier certificate was
1272 imported to the same gnutls_x509_crt_t structure.
1273
1274 ** minitasn1: Internal copy updated to libtasn1 v2.3.
1275
1276 ** libgnutls: Fix return value of gnutls_certificate_client_get_request_status.
1277 Before it always returned false.  Reported by Peter Hendrickson
1278 <pdh@wiredyne.com> in
1279 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3668>.
1280
1281 ** libgnutls: Fix off-by-one size computation error in unknown DN printing.
1282 The error resulted in truncated strings when printing unknown OIDs in
1283 X.509 certificate DNs.  Reported by Tim Kosse
1284 <tim.kosse@filezilla-project.org> in
1285 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3651>.
1286
1287 ** libgnutls: Fix PKCS#12 decryption from password.
1288 The encryption key derived from the password was incorrect for (on
1289 average) 1 in every 128 input for random inputs.  Reported by "Kukosa,
1290 Tomas" <tomas.kukosa@siemens-enterprise.com> in
1291 <http://permalink.gmane.org/gmane.network.gnutls.general/1663>.
1292
1293 ** libgnutls: Return correct bit lengths of some MPIs.
1294 gnutls_dh_get_prime_bits, gnutls_rsa_export_get_modulus_bits, and
1295 gnutls_dh_get_peers_public_bits.  Before the reported value was
1296 overestimated.  Reported by Peter Hendrickson <pdh@wiredyne.com> in
1297 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3607>.
1298
1299 ** libgnutls: Avoid internal error when invoked after GNUTLS_E_AGAIN.
1300 Report and patch by Tim Kosse <tim.kosse@filezilla-project.org> in
1301 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3671>
1302 and
1303 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3670>.
1304
1305 ** libgnutls: Relax checking of required libtasn1/libgcrypt versions.
1306 Before we required that the runtime library used the same (or more
1307 recent) libgcrypt/libtasn1 as it was compiled with.  Now we just check
1308 that the runtime usage is above the minimum required.  Reported by
1309 Marco d'Itri <md@linux.it> via Andreas Metzler
1310 <ametzler@downhill.at.eu.org> in <http://bugs.debian.org/540449>.
1311
1312 ** tests: Added new self-test pkcs12_s2k_pem to detect MPI bit length error.
1313
1314 ** tests: Improved test vectors in self-test pkcs12_s2k.
1315
1316 ** tests: Added new self-test dn2 to detect off-by-one size error.
1317
1318 ** tests: Fix failure in "chainverify" because a certificate have expired.
1319
1320 ** API and ABI modifications:
1321 No changes since last version.
1322
1323 * Version 2.9.1 (released 2009-06-08)
1324
1325 ** libgnutls: Fix crash in gnutls_global_init after earlier init/deinit cycle.
1326 Forwarded by Martin von Gagern <Martin.vGagern@gmx.net> from
1327 <http://bugs.gentoo.org/272388>.
1328
1329 ** tests: Added new self-tests init_roundtrip.c to detect previous problem.
1330
1331 ** Reduce stack usage for some CRQ functions.
1332
1333 ** Doc fixes for CRQ functions.
1334
1335 ** API and ABI modifications:
1336 No changes since last version.
1337
1338 * Version 2.9.0 (released 2009-05-28)
1339
1340 ** Doc fixes.
1341
1342 ** API and ABI modifications:
1343 No changes since last version.
1344
1345 * Version 2.8.6 (released 2010-03-15)
1346
1347 ** libgnutls: For CSRs, don't null pad integers for RSA/DSA value.
1348 VeriSign rejected CSRs with this padding.  Reported by Wilankar Trupti
1349 <trupti.wilankar@hp.com> and Boyan Kasarov <bkasarov@gmail.com>.
1350
1351 Note: As a side effect of this change, the "public key identifier"
1352 value computed for a certificate using this version of GnuTLS will be
1353 different from values computed using earlier versions of GnuTLS.
1354
1355 ** libgnutls: For CSRs on DSA keys, don't add DSA parameters to the
1356 ** optional SignatureAlgorithm parameter field.
1357 VeriSign rejected these CSRs.  They are stricly speaking not needed
1358 since you need the signer's certificate to verify the certificate
1359 signature anyway.  Reported by Wilankar Trupti
1360 <trupti.wilankar@hp.com> and Boyan Kasarov <bkasarov@gmail.com>.
1361
1362 ** libgnutls: When checking openpgp self signature also check the signatures
1363 ** of all subkeys.
1364 Ilari Liusvaara noticed and reported the issue and provided test
1365 vectors as well.
1366
1367 ** libgnutls: Cleanups and several bug fixes.
1368 Found by Steve Grubb and Tomas Mraz.
1369
1370 ** Link libgcrypt explicitly to certtool, gnutls-cli, gnutls-serv.
1371
1372 ** Fix --disable-valgrind-tests.
1373 Reported by Ingmar Vanhassel in
1374 <https://savannah.gnu.org/support/?107029>.
1375
1376 ** examples: Use the new APIs for printing X.509 certificate information.
1377
1378 ** Fix build failures on Solaris.
1379 Thanks to Dagobert Michelsen <dam@opencsw.org>.
1380
1381 ** i18n: Updated Czech, Dutch, French, Polish, Swedish and Vietnamese
1382 ** translations.  Added Simplified Chinese translation.
1383
1384 ** API and ABI modifications:
1385 No changes since last version.
1386
1387 * Version 2.8.5 (released 2009-11-02)
1388
1389 ** libgnutls: In server side when resuming a session do not overwrite the 
1390 ** initial session data with the resumed session data.
1391
1392 ** libgnutls: Fix PKCS#12 encoding.
1393 The error you would get was "The OID is not supported.".  Problem
1394 introduced for the v2.8.x branch in 2.7.6.
1395
1396 ** guile: Compatibility with guile 2.x.
1397 By Ludovic Courtes <ludovic.courtes@laas.fr>.
1398
1399 ** tests: Fix expired cert in chainverify self-test.
1400
1401 ** tests: Fix time bomb in chainverify self-test.
1402 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1403 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3925>.
1404
1405 ** API and ABI modifications:
1406 No changes since last version.
1407
1408 * Version 2.8.4 (released 2009-09-18)
1409
1410 ** libgnutls: Enable Camellia ciphers by default.
1411
1412 ** libgnutls: Make OpenPGP hostname checking work again.
1413 The patch to resolve the X.509 CN/SAN issue accidentally broken
1414 OpenPGP hostname comparison.
1415
1416 ** libgnutls: When printing X.509 certificates, handle XMPP SANs better.
1417 Reported by Howard Chu <hyc@symas.com> in
1418 <https://savannah.gnu.org/support/?106975>.
1419
1420 ** API and ABI modifications:
1421 No changes since last version.
1422
1423 * Version 2.8.3 (released 2009-08-13)
1424
1425 ** libgnutls: Fix patch for NUL in CN/SAN in last release.
1426 Code intended to be removed would lead to an read-out-bound error in
1427 some situations.  Reported by Tomas Hoger <thoger@redhat.com>.  A CVE
1428 code have been allocated for the vulnerability: [CVE-2009-2730].
1429
1430 ** libgnutls: Fix rare failure in gnutls_x509_crt_import.
1431 The function may fail incorrectly when an earlier certificate was
1432 imported to the same gnutls_x509_crt_t structure.
1433
1434 ** libgnutls-extra, libgnutls-openssl: Fix MinGW cross-compiling build error.
1435
1436 ** tests: Made self-test mini-eagain take less time.
1437
1438 ** doc: Typo fixes.
1439
1440 ** API and ABI modifications:
1441 No changes since last version.
1442
1443 * Version 2.8.2 (released 2009-08-10)
1444
1445 ** libgnutls: Fix problem with NUL bytes in X.509 CN and SAN fields.
1446 By using a NUL byte in CN/SAN fields, it was possible to fool GnuTLS
1447 into 1) not printing the entire CN/SAN field value when printing a
1448 certificate and 2) cause incorrect positive matches when matching a
1449 hostname against a certificate.  Some CAs apparently have poor
1450 checking of CN/SAN values and issue these (arguable invalid)
1451 certificates.  Combined, this can be used by attackers to become a
1452 MITM on server-authenticated TLS sessions.  The problem is mitigated
1453 since attackers needs to get one certificate per site they want to
1454 attack, and the attacker reveals his tracks by applying for a
1455 certificate at the CA.  It does not apply to client authenticated TLS
1456 sessions.  Research presented independently by Dan Kaminsky and Moxie
1457 Marlinspike at BlackHat09.  Thanks to Tomas Hoger <thoger@redhat.com>
1458 for providing one part of the patch.  [GNUTLS-SA-2009-4].
1459
1460 ** libgnutls: Fix return value of gnutls_certificate_client_get_request_status.
1461 Before it always returned false.  Reported by Peter Hendrickson
1462 <pdh@wiredyne.com> in
1463 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3668>.
1464
1465 ** libgnutls: Fix off-by-one size computation error in unknown DN printing.
1466 The error resulted in truncated strings when printing unknown OIDs in
1467 X.509 certificate DNs.  Reported by Tim Kosse
1468 <tim.kosse@filezilla-project.org> in
1469 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3651>.
1470
1471 ** libgnutls: Return correct bit lengths of some MPIs.
1472 gnutls_dh_get_prime_bits, gnutls_rsa_export_get_modulus_bits, and
1473 gnutls_dh_get_peers_public_bits.  Before the reported value was
1474 overestimated.  Reported by Peter Hendrickson <pdh@wiredyne.com> in
1475 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3607>.
1476
1477 ** libgnutls: Avoid internal error when invoked after GNUTLS_E_AGAIN.
1478 Report and patch by Tim Kosse <tim.kosse@filezilla-project.org> in
1479 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3671>
1480 and
1481 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3670>.
1482
1483 ** libgnutls: Relax checking of required libtasn1/libgcrypt versions.
1484 Before we required that the runtime library used the same (or more
1485 recent) libgcrypt/libtasn1 as it was compiled with.  Now we just check
1486 that the runtime usage is above the minimum required.  Reported by
1487 Marco d'Itri <md@linux.it> via Andreas Metzler
1488 <ametzler@downhill.at.eu.org> in <http://bugs.debian.org/540449>.
1489
1490 ** minitasn1: Internal copy updated to libtasn1 v2.3.
1491
1492 ** tests: Fix failure in "chainverify" because a certificate have expired.
1493
1494 ** API and ABI modifications:
1495 No changes since last version.
1496
1497 * Version 2.8.1 (released 2009-06-10)
1498
1499 ** libgnutls: Fix crash in gnutls_global_init after earlier init/deinit cycle.
1500 Forwarded by Martin von Gagern <Martin.vGagern@gmx.net> from
1501 <http://bugs.gentoo.org/272388>.
1502
1503 ** libgnutls: Fix PKCS#12 decryption from password.
1504 The encryption key derived from the password was incorrect for (on
1505 average) 1 in every 128 input for random inputs.  Reported by "Kukosa,
1506 Tomas" <tomas.kukosa@siemens-enterprise.com> in
1507 <http://permalink.gmane.org/gmane.network.gnutls.general/1663>.
1508
1509 ** API and ABI modifications:
1510 No changes since last version.
1511
1512 * Version 2.8.0 (released 2009-05-27)
1513
1514 ** doc: Fix gnutls_dh_get_prime_bits.  Fix error codes and algorithm lists.
1515
1516 ** Major changes compared to the v2.4 branch:
1517
1518 *** lib: Linker version scripts reduces number of exported symbols.
1519
1520 *** lib: Limit exported symbols on systems without LD linker scripts.
1521
1522 *** libgnutls: Fix namespace issue with version symbols.
1523
1524 *** libgnutls: Add functions to verify a hash against a certificate.
1525 gnutls_x509_crt_verify_hash: ADDED
1526 gnutls_x509_crt_get_verify_algorithm: ADDED
1527
1528 *** gnutls-serv: Listen on all interfaces, including both IPv4 and IPv6.
1529
1530 *** i18n: The GnuTLS gettext domain is now 'libgnutls' instead of 'gnutls'.
1531
1532 *** certtool: Query for multiple dnsName subjectAltName in interactive mode.
1533
1534 *** gnutls-cli: No longer accepts V1 CAs by default during X.509 chain verify.
1535
1536 *** gnutls-serv: No longer disable MAC padding by default.
1537
1538 *** gnutls-cli: Certificate information output format changed.
1539
1540 *** libgnutls: New priority strings %VERIFY_ALLOW_SIGN_RSA_MD5
1541 *** and %VERIFY_ALLOW_X509_V1_CA_CRT.
1542
1543 *** libgnutls: gnutls_x509_crt_print prints signature algorithm in oneline mode.
1544
1545 *** libgnutls: gnutls_openpgp_crt_print supports oneline mode.
1546
1547 *** libgnutls: gnutls_handshake when sending client hello during a
1548 rehandshake, will not offer a version number larger than the current.
1549
1550 *** libgnutls: New interface to get key id for certificate requests.
1551 gnutls_x509_crq_get_key_id: ADDED.
1552
1553 *** libgnutls: gnutls_x509_crq_print will now also print public key id.
1554
1555 *** certtool: --verify-chain now prints results of using library verification.
1556
1557 *** libgnutls: Libgcrypt initialization changed.
1558
1559 *** libgnutls: Small byte reads via gnutls_record_recv() optimized.
1560
1561 *** gnutls-cli: Return non-zero exit code on error conditions.
1562
1563 *** gnutls-cli: Corrected bug which caused a rehandshake request to be ignored.
1564
1565 *** certtool: allow setting arbitrary key purpose object identifiers.
1566
1567 *** libgnutls: Change detection of when to use a linker version script.
1568 Use --enable-ld-version-script or --disable-ld-version-script to
1569 override auto-detection logic.
1570
1571 *** Fix warnings and build GnuTLS with more warnings enabled.
1572
1573 *** New API to set X.509 credentials from PKCS#12 memory structure.
1574 gnutls_certificate_set_x509_simple_pkcs12_mem: ADDED
1575
1576 *** Old libgnutls.m4 and libgnutls-config scripts removed.
1577 Please use pkg-config instead.
1578
1579 *** libgnutls: Added functions to handle CRL extensions.
1580 gnutls_x509_crl_get_authority_key_id: ADDED
1581 gnutls_x509_crl_get_number: ADDED
1582 gnutls_x509_crl_get_extension_oid: ADDED
1583 gnutls_x509_crl_get_extension_info: ADDED
1584 gnutls_x509_crl_get_extension_data: ADDED
1585 gnutls_x509_crl_set_authority_key_id: ADDED
1586 gnutls_x509_crl_set_number: ADDED
1587
1588 *** libgnutls: Added functions to handle X.509 extensions in Certificate
1589 Requests.
1590 gnutls_x509_crq_get_key_rsa_raw: ADDED
1591 gnutls_x509_crq_get_attribute_info: ADDED
1592 gnutls_x509_crq_get_attribute_data: ADDED
1593 gnutls_x509_crq_get_extension_info: ADDED
1594 gnutls_x509_crq_get_extension_data: ADDED
1595 gnutls_x509_crq_get_key_usage: ADDED
1596 gnutls_x509_crq_get_basic_constraints: ADDED
1597 gnutls_x509_crq_get_subject_alt_name: ADDED
1598 gnutls_x509_crq_get_subject_alt_othername_oid: ADDED
1599 gnutls_x509_crq_get_extension_by_oid: ADDED
1600 gnutls_x509_crq_set_subject_alt_name: ADDED
1601 gnutls_x509_crq_set_basic_constraints: ADDED
1602 gnutls_x509_crq_set_key_usage: ADDED
1603 gnutls_x509_crq_get_key_purpose_oid: ADDED
1604 gnutls_x509_crq_set_key_purpose_oid: ADDED
1605 gnutls_x509_crq_print: ADDED
1606 gnutls_x509_crt_set_crq_extensions: ADDED
1607
1608 *** certtool: Print and set CRL and CRQ extensions.
1609
1610 *** minitasn1: Internal copy updated to libtasn1 v2.1.
1611
1612 *** examples: Now released into the public domain.
1613
1614 *** The Texinfo and GTK-DOC manuals were improved.
1615
1616 *** Several self-tests were added and others improved.
1617
1618 *** API/ABI changes in GnuTLS 2.8 compared to GnuTLS 2.6.x
1619 No offically supported interfaces have been modified or removed.  The
1620 library should be completely backwards compatible on both the source
1621 and binary level.
1622
1623 The shared library no longer exports some symbols that have never been
1624 officially supported, i.e., not mentioned in any of the header files.
1625 The symbols are:
1626
1627   _gnutls*
1628   gnutls_asn1_tab
1629   
1630 Normally when symbols are removed, the shared library version has to
1631 be incremented.  This leads to a significant cost for everyone using
1632 the library.  Because none of the above symbols have ever been
1633 intended for use by well-behaved applications, we decided that the it
1634 would be better for those applications to pay the price rather than
1635 incurring problems on the majority of applications.
1636
1637 If it turns out that applications have been using unofficial
1638 interfaces, we will need to release a follow-on release on the v2.8
1639 branch to exports additional interfaces.  However, initial testing
1640 suggests that few if any applications have been using any of the
1641 internal symbols.
1642
1643 Although not a new change compared to 2.6.x, we'd like to remind you
1644 interfaces have been modified so that X.509 chain verification now
1645 also checks activation/expiration times on certificates.  The affected
1646 functions are:
1647
1648 gnutls_x509_crt_list_verify: CHANGED, checks activation/expiration times.
1649 gnutls_certificate_verify_peers: Likewise.
1650 gnutls_certificate_verify_peers2: Likewise.
1651 GNUTLS_CERT_NOT_ACTIVATED: ADDED.
1652 GNUTLS_CERT_EXPIRED: ADDED.
1653 GNUTLS_VERIFY_DISABLE_TIME_CHECKS: ADDED.
1654
1655 This change in behaviour was made during the GnuTLS 2.6.x cycle, and
1656 we gave our rationale for it in earlier release notes.
1657
1658 The following symbols have been added to the library:
1659
1660 gnutls_certificate_set_x509_simple_pkcs12_mem: ADDED
1661 gnutls_x509_crl_get_authority_key_id: ADDED
1662 gnutls_x509_crl_get_extension_data: ADDED
1663 gnutls_x509_crl_get_extension_info: ADDED
1664 gnutls_x509_crl_get_extension_oid: ADDED
1665 gnutls_x509_crl_get_number: ADDED
1666 gnutls_x509_crl_set_authority_key_id: ADDED
1667 gnutls_x509_crl_set_number: ADDED
1668 gnutls_x509_crq_get_attribute_data: ADDED
1669 gnutls_x509_crq_get_attribute_info: ADDED
1670 gnutls_x509_crq_get_basic_constraints: ADDED
1671 gnutls_x509_crq_get_extension_by_oid: ADDED
1672 gnutls_x509_crq_get_extension_data: ADDED
1673 gnutls_x509_crq_get_extension_info: ADDED
1674 gnutls_x509_crq_get_key_id: ADDED.
1675 gnutls_x509_crq_get_key_purpose_oid: ADDED
1676 gnutls_x509_crq_get_key_rsa_raw: ADDED
1677 gnutls_x509_crq_get_key_usage: ADDED
1678 gnutls_x509_crq_get_subject_alt_name: ADDED
1679 gnutls_x509_crq_get_subject_alt_othername_oid: ADDED
1680 gnutls_x509_crq_print: ADDED
1681 gnutls_x509_crq_set_basic_constraints: ADDED
1682 gnutls_x509_crq_set_key_purpose_oid: ADDED
1683 gnutls_x509_crq_set_key_usage: ADDED
1684 gnutls_x509_crq_set_subject_alt_name: ADDED
1685 gnutls_x509_crt_get_verify_algorithm: ADDED
1686 gnutls_x509_crt_set_crq_extensions: ADDED
1687 gnutls_x509_crt_verify_hash: ADDED
1688
1689 The following interfaces have been added to the header files:
1690
1691 GNUTLS_VERSION: ADDED, replaces LIBGNUTLS_VERSION.
1692 GNUTLS_VERSION_MAJOR: ADDED, replaces LIBGNUTLS_VERSION_MAJOR.
1693 GNUTLS_VERSION_MINOR: ADDED, replaces LIBGNUTLS_VERSION_MINOR.
1694 GNUTLS_VERSION_PATCH: ADDED, replaces LIBGNUTLS_VERSION_PATCH.
1695 GNUTLS_VERSION_NUMBER: ADDED, replaces LIBGNUTLS_VERSION_NUMBER.
1696 GNUTLS_EXTRA_VERSION: ADDED, replaces LIBGNUTLS_EXTRA_VERSION.
1697
1698 The following interfaces have been deprecated:
1699
1700 LIBGNUTLS_VERSION: DEPRECATED.
1701 LIBGNUTLS_VERSION_MAJOR: DEPRECATED.
1702 LIBGNUTLS_VERSION_MINOR: DEPRECATED.
1703 LIBGNUTLS_VERSION_PATCH: DEPRECATED.
1704 LIBGNUTLS_VERSION_NUMBER: DEPRECATED.
1705 LIBGNUTLS_EXTRA_VERSION: DEPRECATED.
1706
1707 * Version 2.7.14 (released 2009-05-26)
1708
1709 ** libgnutls: Fix namespace issue with version symbol for libgnutls-extra.
1710 The symbol LIBGNUTLS_EXTRA_VERSION were renamed to
1711 GNUTLS_EXTRA_VERSION.  The old symbol will continue to work but is
1712 deprecated.
1713
1714 ** Doc: Several typo fixes in documentation.
1715 Reported by Peter Hendrickson <pdh@wiredyne.com>.
1716
1717 ** API and ABI modifications:
1718 GNUTLS_VERSION: ADDED, replaces LIBGNUTLS_EXTRA_VERSION.
1719 LIBGNUTLS_EXTRA_VERSION: DEPRECATED.
1720
1721 * Version 2.7.13 (released 2009-05-25)
1722
1723 ** libgnutls: Fix version of some exported symbols in the shared library.
1724 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1725 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3576>.
1726
1727 ** tests: Handle recently expired certificates in chainverify self-test.
1728 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1729 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3580>.
1730
1731 ** API and ABI modifications:
1732 No changes since last version.
1733
1734 * Version 2.7.12 (released 2009-05-20)
1735
1736 ** gnutls-serv, gnutls-cli-debug: Make them work on Windows.
1737
1738 ** tests/crq_key_id: Don't read entropy from /dev/random in self-test.
1739 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1740 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3570>.
1741
1742 ** Fix build failures.
1743 Missing sa_family_t and vsnprintf on IRIX.  Reported by "Tom
1744 G. Christensen" <tgc@jupiterrise.com> in
1745 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3571>.
1746
1747 ** minitasn1: Internal copy updated to libtasn1 v2.2.
1748 GnuTLS should work fine with libtasn1 v1.x and that is still
1749 supported.
1750
1751 ** API and ABI modifications:
1752 No changes since last version.
1753
1754 * Version 2.7.11 (released 2009-05-18)
1755
1756 ** minitasn1: Fix build failure when using internal libtasn1.
1757 Reported by "Tom G. Christensen" <tgc@jupiterrise.com> in
1758 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3548>.
1759
1760 ** libgnutls: Fix build failure with --disable-cxx.
1761 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1762 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3557>.
1763
1764 ** gnutls-serv: Fix build failure for unportable NI_MAXHOST/NI_MAXSERV.
1765 Reported by "Tom G. Christensen" <tgc@jupiterrise.com> in
1766 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3560>
1767
1768 ** Building with many warning flags now requires --enable-gcc-warnings.
1769 This avoids crying wolf for normal compiles.
1770
1771 ** API and ABI modifications:
1772 No changes since last version.
1773
1774 * Version 2.7.10 (released 2009-05-13)
1775
1776 ** examples: Now released into the public domain.
1777 This makes the license of the example code compatible with more
1778 licenses, including the (L)GPL.
1779
1780 ** minitasn1: Internal copy updated to libtasn1 v2.1.
1781 GnuTLS should work fine with libtasn1 v1.x and that is still
1782 supported.
1783
1784 ** libgnutls: Fix crash in signature verification
1785 The fix for the CVE-2009-1415 problem wasn't merged completely.
1786
1787 ** doc: Fixes for GTK-DOC output.
1788
1789 ** API and ABI modifications:
1790 No changes since last version.
1791
1792 * Version 2.7.9 (released 2009-05-11)
1793
1794 ** doc: Fix strings in man page of gnutls_priority_init.
1795
1796 ** doc: Fix tables of error codes and supported algorithms.
1797
1798 ** Fix build failure when cross-compiled using MinGW.
1799
1800 ** Fix build failure when LZO is enabled.
1801 Reported by Arfrever Frehtes Taifersar Arahesis
1802 <arfrever.fta@gmail.com> in
1803 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3522>.
1804
1805 ** Fix build failure on systems without AF_INET6, e.g., Solaris 2.6.
1806 Reported by "Tom G. Christensen" <tgc@jupiterrise.com> in
1807 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3524>.
1808
1809 ** Fix warnings in self-tests.
1810
1811 ** API and ABI modifications:
1812 No changes since last version.
1813
1814 * Version 2.7.8 (released 2009-05-03)
1815
1816 ** libgnutls: Fix DSA key generation.
1817 Merged from stable branch.  [GNUTLS-SA-2009-2] [CVE-2009-1416]
1818
1819 ** libgnutls: Check expiration/activation time on untrusted certificates.
1820 Merged from stable branch.  Reported by Romain Francoise
1821 <romain@orebokech.com>.  This changes the semantics of
1822 gnutls_x509_crt_list_verify, which in turn is used by
1823 gnutls_certificate_verify_peers and gnutls_certificate_verify_peers2.
1824 We add two new gnutls_certificate_status_t codes for reporting the new
1825 error condition, GNUTLS_CERT_NOT_ACTIVATED and GNUTLS_CERT_EXPIRED.
1826 We also add a new gnutls_certificate_verify_flags flag,
1827 GNUTLS_VERIFY_DISABLE_TIME_CHECKS, that can be used to disable the new
1828 behaviour.  [GNUTLS-SA-2009-3] [CVE-2009-1417]
1829
1830 ** lib: Linker version scripts reduces number of exported symbols.
1831 The linker version script now lists all exported ABIs explicitly, to
1832 avoid accidentally exporting unintended functions.  Compared to
1833 before, most symbols beginning with _gnutls* are no longer exported.
1834 These functions have never been intended for use by applications, and
1835 there were no prototypes for these function in the public header
1836 files.  Thus we believe it is possible to do this without incrementing
1837 the library ABI version which normally has to be done when removing an
1838 interface.
1839
1840 ** lib: Limit exported symbols on systems without LD linker scripts.
1841 Before all symbols were exported.  Now we limit the exported symbols
1842 to (for libgnutls and libgnutls-extra) gnutls* and (for libgnutls)
1843 _gnutls*.  This is a superset of the actual supported ABI, but still
1844 an improvement compared to before.  This is implemented using Libtool
1845 -export-symbols-regex.  It is more portable than linker version
1846 scripts.
1847
1848 ** libgnutls: Incremented CURRENT/AGE libtool version to reflect new symbols.
1849 This should have been done in the last release.
1850
1851 ** gnutls-serv: Listen on all interfaces, including both IPv4 and IPv6.
1852 Reported by Peter Hendrickson <pdh@wiredyne.com> in
1853 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3476>.
1854
1855 ** doc: Improved sections for the info manual.
1856 We now follow the advice given by the texinfo manual on which
1857 directory categories to use.  In particular, libgnutls moved from the
1858 'GNU Libraries' section to the 'Software libraries' and the command
1859 line tools moved from 'Network Applications' to 'System
1860 Administration'.
1861
1862 ** API and ABI modifications:
1863 gnutls_x509_crt_list_verify: CHANGED, checks activation/expiration times.
1864 gnutls_certificate_verify_peers: Likewise.
1865 gnutls_certificate_verify_peers2: Likewise.
1866 GNUTLS_CERT_NOT_ACTIVATED: ADDED.
1867 GNUTLS_CERT_EXPIRED: ADDED.
1868 GNUTLS_VERIFY_DISABLE_TIME_CHECKS: ADDED.
1869
1870 * Version 2.7.7 (released 2009-04-20)
1871
1872 ** libgnutls: Applied patch by Cedric Bail to add functions
1873 gnutls_x509_crt_verify_hash() and gnutls_x509_crt_get_verify_algorithm().
1874
1875 ** gnutls.pc: Add -ltasn1 to 'pkg-config --libs --static gnutls' output.
1876 Reported by Andreas Metzler <ametzler@downhill.at.eu.org> in
1877 <http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3467>.
1878
1879 ** minitasn1: Internal copy updated to libtasn1 v1.8.
1880 GnuTLS is also internally ready to be used with libtasn1 v2.0.
1881
1882 ** doc: Fix build failure of errcodes/printlist.
1883 Reported by Roman Bogorodskiy <novel@FreeBSD.org> in
1884 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3435>.
1885
1886 ** i18n: The GnuTLS gettext domain is now 'libgnutls' instead of 'gnutls'.
1887 It is currently only used by the core library.  This will enable a new
1888 domain 'gnutls' for translations of the command line tools.
1889
1890 ** Corrected possible memory corruption on signature verification failure. 
1891 Reported by Miroslav Kratochvil <exa.exa@gmail.com>
1892
1893 ** API and ABI modifications:
1894 gnutls_x509_crt_verify_hash: ADDED
1895 gnutls_x509_crt_get_verify_algorithm: ADDED
1896
1897 * Version 2.7.6 (released 2009-02-27)
1898
1899 ** certtool: Query for multiple dnsName subjectAltName in interactive mode.
1900 This applies both to generating certificates and certificate requests.
1901
1902 ** pkix.asn: Removed unneeded definitions to reduce memory usage.
1903
1904 ** gnutls-cli: No longer accepts V1 CAs by default during X.509 chain verify.
1905 Use --priority NORMAL:%VERIFY_ALLOW_X509_V1_CA_CRT to permit V1 CAs to
1906 be used for chain verification.
1907
1908 ** gnutls-serv: No longer disable MAC padding by default.
1909 Use --priority NORMAL:%COMPAT to disable MAC padding again.
1910
1911 ** gnutls-cli: Certificate information output format changed.
1912 The tool now uses libgnutls' functions to print certificate
1913 information.  This avoids code duplication.
1914
1915 ** libgnutls: New priority strings %VERIFY_ALLOW_SIGN_RSA_MD5
1916 ** and %VERIFY_ALLOW_X509_V1_CA_CRT.
1917 They can be used to override the default certificate chain validation
1918 behaviour.
1919
1920 ** libgnutls: Added %SSL3_RECORD_VERSION priority string that allows to 
1921 specify the client hello message record version. Used to overcome buggy 
1922 TLS servers. Report by Martin von Gagern.
1923
1924 ** libgnutls: gnutls_x509_crt_print prints signature algorithm in oneline mode.
1925
1926 ** libgnutls: gnutls_openpgp_crt_print supports oneline mode.
1927
1928 ** doc: Update gnutls-cli and gnutls-serv --help output descriptions.
1929
1930 ** API and ABI modifications:
1931 No changes since last version.
1932
1933 * Version 2.7.5 (released 2009-02-06)
1934
1935 ** libgnutls: Accept chains where intermediary certs are trusted.
1936 Before GnuTLS needed to validate the entire chain back to a
1937 self-signed certificate.  GnuTLS will now stop looking when it has
1938 found an intermediary trusted certificate.  The new behaviour is
1939 useful when chains, for example, contains a top-level CA, an
1940 intermediary CA signed using RSA-MD5, and an end-entity certificate.
1941 To avoid chain validation errors due to the RSA-MD5 cert, you can
1942 explicitly add the intermediary RSA-MD5 cert to your trusted certs.
1943 The signature on trusted certificates are not checked, so the chain
1944 has a chance to validate correctly.  Reported by "Douglas E. Engert"
1945 <deengert@anl.gov> in
1946 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351>.
1947
1948 ** libgnutls: result_size in gnutls_hex_encode now holds
1949 the size of the result. Report by John Brooks <special@dereferenced.net>.
1950
1951 ** libgnutls: gnutls_handshake when sending client hello during a
1952 rehandshake, will not offer a version number larger than the current.
1953 Reported by Tristan Hill <stan@saticed.me.uk>.
1954
1955 ** libgnutls: Permit V1 Certificate Authorities properly.
1956 Before they were mistakenly rejected even though
1957 GNUTLS_VERIFY_ALLOW_ANY_X509_V1_CA_CRT and/or
1958 GNUTLS_VERIFY_ALLOW_X509_V1_CA_CRT were supplied.  Reported by
1959 "Douglas E. Engert" <deengert@anl.gov> in
1960 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351>.
1961
1962 ** API and ABI modifications:
1963 No changes since last version.
1964
1965 * Version 2.7.4 (released 2009-01-07)
1966
1967 ** libgnutls: deprecate X.509 validation chains using MD5 and MD2 signatures.
1968 This is a bugfix -- the previous attempt to do this from internal x509
1969 certificate verification procedures did not return the correct value
1970 for certificates using a weak hash.  Reported by Daniel Kahn Gillmor
1971 <dkg@fifthhorseman.net> in
1972 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3332>,
1973 debugged and patch by Tomas Mraz <tmraz@redhat.com> and Daniel Kahn
1974 Gillmor <dkg@fifthhorseman.net>.
1975
1976 ** libgnutls: New interface to get key id for certificate requests.
1977 Patch from David Marín Carreño <davefx@gmail.com> in
1978 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3321>.
1979
1980 ** libgnutls: gnutls_x509_crq_print will now also print public key id.
1981
1982 ** certtool: --verify-chain now prints results of using library verification.
1983 Earlier, certtool --verify-chain used its own validation algorithm
1984 which wasn't guaranteed to give the same result as the libgnutls
1985 internal validation algorithm.  Now this command print a new final
1986 line with header 'Chain verification output:' that contains the result
1987 from using the internal verification algorithm on the same chain.
1988
1989 ** tests: Add crq_key_id self-test of gnutls_x509_crq_get_key_id.
1990
1991 ** API and ABI modifications:
1992 gnutls_x509_crq_get_key_id: ADDED.
1993
1994 * Version 2.7.3 (released 2008-12-10)
1995
1996 ** libgnutls: Fix chain verification for chains that ends with RSA-MD2 CAs.
1997 Reported by Michael Kiefer <Michael-Kiefer@web.de> in
1998 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=507633> forwarded by
1999 Andreas Metzler <ametzler@downhill.at.eu.org> in
2000 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3309>.
2001
2002 ** libgnutls: Libgcrypt initialization changed.
2003 If libgcrypt has not already been initialized, GnuTLS will now
2004 initialize libgcrypt with disabled secure memory.  Initialize
2005 libgcrypt explicitly in your application if you want to enable secure
2006 memory.  Before GnuTLS initialized libgcrypt to use GnuTLS's memory
2007 allocation functions, which doesn't use secure memory, so there is no
2008 real change in behaviour.
2009
2010 ** libgnutls: Fix memory leak in PSK authentication.
2011 Reported by Michael Weiser <michael@weiser.dinsnail.net> in
2012 <http://permalink.gmane.org/gmane.network.gnutls.general/1465>.
2013
2014 ** libgnutls: Small byte reads via gnutls_record_recv() optimized.
2015
2016 ** certtool: Move gcry_control(GCRYCTL_ENABLE_QUICK_RANDOM, 0) call earlier.
2017 It needs to be invoked before libgcrypt is initialized.
2018
2019 ** gnutls-cli: Return non-zero exit code on error conditions.
2020
2021 ** gnutls-cli: Corrected bug which caused a rehandshake request to be ignored.
2022
2023 ** tests: Added chainverify self-test that tests X.509 chain verifications.
2024
2025 ** API and ABI modifications:
2026 No changes since last version.
2027
2028 * Version 2.7.2 (released 2008-11-18)
2029
2030 ** libgnutls: Fix X.509 certificate chain validation error. [GNUTLS-SA-2008-3]
2031 The flaw makes it possible for man in the middle attackers (i.e.,
2032 active attackers) to assume any name and trick GnuTLS clients into
2033 trusting that name.  Thanks for report and analysis from Martin von
2034 Gagern <Martin.vGagern@gmx.net>.  [CVE-2008-4989]
2035
2036 Any updates with more details about this vulnerability will be added
2037 to <http://www.gnu.org/software/gnutls/security.html>
2038
2039 ** libgnutls: Fix namespace issue with version symbols.
2040 The symbols LIBGNUTLS_VERSION, LIBGNUTLS_VERSION_MAJOR,
2041 LIBGNUTLS_VERSION_MINOR, LIBGNUTLS_VERSION_PATCH, and
2042 LIBGNUTLS_VERSION_NUMBER were renamed to GNUTLS_VERSION_NUMBER,
2043 GNUTLS_VERSION_MAJOR, GNUTLS_VERSION_MINOR, GNUTLS_VERSION_PATCH, and
2044 GNUTLS_VERSION_NUMBER respectively.  The old symbols will continue to
2045 work but are deprecated.
2046
2047 ** certtool: allow setting arbitrary key purpose object identifiers.
2048
2049 ** libgnutls: Fix detection of C99 macros, to make debug logging work again.
2050
2051 ** libgnutls: Add missing prototype for gnutls_srp_set_prime_bits.
2052 Reported by Kevin Quick <quick@sparq.org> in
2053 <https://savannah.gnu.org/support/index.php?106454>.
2054
2055 ** libgnutls-extra: Make building with LZO compression work again.
2056 Build failure reported by Arfrever Frehtes Taifersar Arahesis
2057 <arfrever.fta@gmail.com> in
2058 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3194>.
2059
2060 ** libgnutls: Change detection of when to use a linker version script.
2061 Use --enable-ld-version-script or --disable-ld-version-script to
2062 override auto-detection logic.
2063
2064 ** doc: Change license on the manual to GFDLv1.3+.
2065
2066 ** doc: GTK-DOC fixes for new splitted configuration system.
2067
2068 ** doc: Texinfo stylesheet uses white background.
2069
2070 ** tests: Add cve-2008-4989.c self-test.
2071 Tests regressions of the GNUTLS-SA-2008-3 security problem, and the
2072 follow-on problem with crashes on length 1 certificate chains.
2073
2074 ** gnulib: Deprecated modules removed.
2075 Modules include memchr and memcmp.
2076
2077 ** Fix warnings and build GnuTLS with more warnings enabled.
2078
2079 ** minitasn1: Internal copy updated to libtasn1 v1.7.
2080
2081 ** API and ABI modifications:
2082 gnutls_certificate_set_x509_simple_pkcs12_mem: ADDED
2083 GNUTLS_VERSION: ADDED, replaces LIBGNUTLS_VERSION.
2084 GNUTLS_VERSION_MAJOR: ADDED, replaces LIBGNUTLS_VERSION_MAJOR.
2085 GNUTLS_VERSION_MINOR: ADDED, replaces LIBGNUTLS_VERSION_MINOR.
2086 GNUTLS_VERSION_PATCH: ADDED, replaces LIBGNUTLS_VERSION_PATCH.
2087 GNUTLS_VERSION_NUMBER: ADDED, replaces LIBGNUTLS_VERSION_NUMBER.
2088 LIBGNUTLS_VERSION: DEPRECATED.
2089 LIBGNUTLS_VERSION_MAJOR: DEPRECATED.
2090 LIBGNUTLS_VERSION_MINOR: DEPRECATED.
2091 LIBGNUTLS_VERSION_PATCH: DEPRECATED.
2092 LIBGNUTLS_VERSION_NUMBER: DEPRECATED.
2093
2094 * Version 2.7.1 (released 2008-10-31)
2095
2096 ** certtool: print a PKCS #8 key even if it is not encrypted.
2097
2098 ** Old libgnutls.m4 and libgnutls-config scripts removed.
2099 Please use pkg-config instead.
2100
2101 ** Configuration system modified.
2102 There is now a configure script in lib/ and libextra/ as well, because
2103 gnulib works better with a config.h per gnulib directory.
2104
2105 ** API and ABI modifications:
2106 No changes since last version.
2107
2108 * Version 2.7.0 (released 2008-10-16)
2109
2110 ** libgnutls: Added functions to handle CRL extensions.
2111
2112 ** libgnutls: Added functions to handle X.509 extensions in Certificate
2113 Requests.
2114
2115 ** libgnutls: Improved error string for GNUTLS_E_AGAIN.
2116 Suggested by "Lavrentiev, Anton (NIH/NLM/NCBI) [C]" <lavr@ncbi.nlm.nih.gov>.
2117
2118 ** certtool: Print and set CRL and CRQ extensions.
2119
2120 ** libgnutls-extra: Protect internal symbols with static.
2121 Fixes problem when linking certtool statically.  Tiny patch from Aaron
2122 Ucko <ucko@ncbi.nlm.nih.gov>.
2123
2124 ** libgnutls-openssl: fix out of bounds access.
2125 Problem in X509_get_subject_name and X509_get_issuer_name.  Tiny patch
2126 from Thomas Viehmann <tv@beamnet.de>.
2127
2128 ** libgnutlsxx: Define server_session::get_srp_username even if no SRP.
2129
2130 ** tests: Make tests compile when using internal libtasn1.
2131 Patch by ludo@gnu.org (Ludovic Courtès).
2132
2133 ** Changed detection of libtasn1 and libgcrypt to avoid depending on *-config.
2134 We now require a libgcrypt that has Camellia constants declared in
2135 gcrypt.h, which means v1.3.0 or later.
2136
2137 ** API and ABI modifications:
2138 gnutls_x509_crl_get_authority_key_id: ADDED
2139 gnutls_x509_crl_get_number: ADDED
2140 gnutls_x509_crl_get_extension_oid: ADDED
2141 gnutls_x509_crl_get_extension_info: ADDED
2142 gnutls_x509_crl_get_extension_data: ADDED
2143 gnutls_x509_crl_set_authority_key_id: ADDED
2144 gnutls_x509_crl_set_number: ADDED
2145 gnutls_x509_crq_get_key_rsa_raw: ADDED
2146 gnutls_x509_crq_get_attribute_info: ADDED
2147 gnutls_x509_crq_get_attribute_data: ADDED
2148 gnutls_x509_crq_get_extension_info: ADDED
2149 gnutls_x509_crq_get_extension_data: ADDED
2150 gnutls_x509_crq_get_key_usage: ADDED
2151 gnutls_x509_crq_get_basic_constraints: ADDED
2152 gnutls_x509_crq_get_subject_alt_name: ADDED
2153 gnutls_x509_crq_get_subject_alt_othername_oid: ADDED
2154 gnutls_x509_crq_get_extension_by_oid: ADDED
2155 gnutls_x509_crq_set_subject_alt_name: ADDED
2156 gnutls_x509_crq_set_basic_constraints: ADDED
2157 gnutls_x509_crq_set_key_usage: ADDED
2158 gnutls_x509_crq_get_key_purpose_oid: ADDED
2159 gnutls_x509_crq_set_key_purpose_oid: ADDED
2160 gnutls_x509_crq_print: ADDED
2161 gnutls_x509_crt_set_crq_extensions: ADDED
2162
2163 * Version 2.6.6 (released 2009-04-30)
2164
2165 ** libgnutls: Corrected double free on signature verification failure.
2166 Reported by Miroslav Kratochvil <exa.exa@gmail.com>.  See the advisory
2167 for more details.  [GNUTLS-SA-2009-1] [CVE-2009-1415]
2168
2169 ** libgnutls: Fix DSA key generation.
2170 Noticed when investigating the previous GNUTLS-SA-2009-1 problem.  All
2171 DSA keys generated using GnuTLS 2.6.x are corrupt.  See the advisory
2172 for more details.  [GNUTLS-SA-2009-2] [CVE-2009-1416]
2173
2174 ** libgnutls: Check expiration/activation time on untrusted certificates.
2175 Reported by Romain Francoise <romain@orebokech.com>.  Before the
2176 library did not check activation/expiration times on certificates, and
2177 was documented as not doing so.  We have realized that many
2178 applications that use libgnutls, including gnutls-cli, fail to perform
2179 proper checks.  Implementing similar logic in all applications leads
2180 to code duplication.  Hence, we decided to check whether the current
2181 time (as reported by the time function) is within the
2182 activation/expiration period of certificates when verifying untrusted
2183 certificates.
2184
2185 This changes the semantics of gnutls_x509_crt_list_verify, which in
2186 turn is used by gnutls_certificate_verify_peers and
2187 gnutls_certificate_verify_peers2.  We add two new
2188 gnutls_certificate_status_t codes for reporting the new error
2189 condition, GNUTLS_CERT_NOT_ACTIVATED and GNUTLS_CERT_EXPIRED.  We also
2190 add a new gnutls_certificate_verify_flags flag,
2191 GNUTLS_VERIFY_DISABLE_TIME_CHECKS, that can be used to disable the new
2192 behaviour.
2193
2194 More details about the vulnerabilities will be posted at
2195 <http://www.gnu.org/software/gnutls/security.html>.
2196
2197 ** gnutls-cli, gnutls-cli-debug: Fix AIX build problem.
2198 Reported by LAUPRETRE François (P) <francois.laupretre@ratp.fr> in
2199 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3468>.
2200
2201 ** tests: Fix linking of tests/openpgp/keyring self-test.
2202 Reported by Daniel Black in <https://savannah.gnu.org/support/?106543>.
2203
2204 ** API and ABI modifications:
2205 gnutls_x509_crt_list_verify: CHANGED, checks activation/expiration times.
2206 gnutls_certificate_verify_peers: Likewise.
2207 gnutls_certificate_verify_peers2: Likewise.
2208 GNUTLS_CERT_NOT_ACTIVATED: ADDED.
2209 GNUTLS_CERT_EXPIRED: ADDED.
2210 GNUTLS_VERIFY_DISABLE_TIME_CHECKS: ADDED.
2211
2212 * Version 2.6.5 (released 2009-04-11)
2213
2214 ** libgnutls: Added %SSL3_RECORD_VERSION priority string that allows to
2215 specify the client hello message record version. Used to overcome buggy
2216 TLS servers. Report by Martin von Gagern.
2217
2218 ** GnuTLS no longer uses the libtasn1-config script to find libtasn1.
2219 Libtasn1 0.3.4 or later is required.  This is to align with the
2220 upcoming libtasn1 v2.0 release that doesn't have a libtasn1-script.
2221
2222 ** API and ABI modifications:
2223 No changes since last version.
2224
2225 * Version 2.6.4 (released 2009-02-06)
2226
2227 ** libgnutls: Accept chains where intermediary certs are trusted.
2228 Before GnuTLS needed to validate the entire chain back to a
2229 self-signed certificate.  GnuTLS will now stop looking when it has
2230 found an intermediary trusted certificate.  The new behaviour is
2231 useful when chains, for example, contains a top-level CA, an
2232 intermediary CA signed using RSA-MD5, and an end-entity certificate.
2233 To avoid chain validation errors due to the RSA-MD5 cert, you can
2234 explicitly add the intermediary RSA-MD5 cert to your trusted certs.
2235 The signature on trusted certificates are not checked, so the chain
2236 has a chance to validate correctly.  Reported by "Douglas E. Engert"
2237 <deengert@anl.gov> in
2238 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351>.
2239
2240 ** libgnutls: result_size in gnutls_hex_encode now holds
2241 the size of the result. Report by John Brooks <special@dereferenced.net>.
2242
2243 ** libgnutls: gnutls_handshake when sending client hello during a
2244 rehandshake, will not offer a version number larger than the current.
2245 Reported by Tristan Hill <stan@saticed.me.uk>.
2246
2247 ** libgnutls: Permit V1 Certificate Authorities properly.
2248 Before they were mistakenly rejected even though
2249 GNUTLS_VERIFY_ALLOW_ANY_X509_V1_CA_CRT and/or
2250 GNUTLS_VERIFY_ALLOW_X509_V1_CA_CRT were supplied.  Reported by
2251 "Douglas E. Engert" <deengert@anl.gov> in
2252 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351>.
2253
2254 ** libgnutls: deprecate X.509 validation chains using MD5 and MD2 signatures.
2255 This is a bugfix -- the previous attempt to do this from internal x509
2256 certificate verification procedures did not return the correct value
2257 for certificates using a weak hash.  Reported by Daniel Kahn Gillmor
2258 <dkg@fifthhorseman.net> in
2259 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3332>,
2260 debugged and patch by Tomas Mraz <tmraz@redhat.com> and Daniel Kahn
2261 Gillmor <dkg@fifthhorseman.net>.
2262
2263 ** libgnutls: Fix compile error with Sun CC.
2264 Reported by Jeff Cai <jeff.cai@sun.com> in
2265 <https://savannah.gnu.org/support/?106549>.
2266
2267 ** API and ABI modifications:
2268 No changes since last version.
2269
2270 * Version 2.6.3 (released 2008-12-12)
2271
2272 ** libgnutls: Fix chain verification for chains that ends with RSA-MD2 CAs.
2273 Reported by Michael Kiefer <Michael-Kiefer@web.de> in
2274 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=507633> forwarded by
2275 Andreas Metzler <ametzler@downhill.at.eu.org> in
2276 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3309>.
2277
2278 ** libgnutls: Fix memory leak in PSK authentication.
2279 Reported by Michael Weiser <michael@weiser.dinsnail.net> in
2280 <http://permalink.gmane.org/gmane.network.gnutls.general/1465>.
2281
2282 ** certtool: Move gcry_control(GCRYCTL_ENABLE_QUICK_RANDOM, 0) call earlier.
2283 It needs to be invoked before libgcrypt is initialized.
2284
2285 ** gnutls-cli: Return non-zero exit code on error conditions.
2286
2287 ** gnutls-cli: Corrected bug which caused a rehandshake request to be ignored.
2288
2289 ** API and ABI modifications:
2290 No changes since last version.
2291
2292 * Version 2.6.2 (released 2008-11-12)
2293
2294 ** libgnutls: Fix crash in X.509 validation code for self-signed certificates.
2295 The patch to fix the security problem GNUTLS-SA-2008-3 introduced a
2296 problem for certificate chains that contained just one self-signed
2297 certificate.  Reported by Michael Meskes <meskes@debian.org> in
2298 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=505279>.
2299
2300 ** API and ABI modifications:
2301 No changes since last version.
2302
2303 * Version 2.6.1 (released 2008-11-10)
2304
2305 ** libgnutls: Fix X.509 certificate chain validation error. [GNUTLS-SA-2008-3]
2306 The flaw makes it possible for man in the middle attackers (i.e.,
2307 active attackers) to assume any name and trick GnuTLS clients into
2308 trusting that name.  Thanks for report and analysis from Martin von
2309 Gagern <Martin.vGagern@gmx.net>.  [CVE-2008-4989]
2310
2311 Any updates with more details about this vulnerability will be added
2312 to <http://www.gnu.org/software/gnutls/security.html>
2313
2314 ** libgnutls: Add missing prototype for gnutls_srp_set_prime_bits.
2315 Reported by Kevin Quick <quick@sparq.org> in
2316 <https://savannah.gnu.org/support/index.php?106454>.
2317
2318 ** libgnutls-extra: Protect internal symbols with static.
2319 Fixes problem when linking certtool statically.  Tiny patch from Aaron
2320 Ucko <ucko@ncbi.nlm.nih.gov>.
2321
2322 ** libgnutls-openssl: Fix patch against X509_get_issuer_name.
2323 It incorrectly returned the subject DN instead of issuer DN in v2.6.0.
2324 Thanks to Thomas Viehmann <tv@beamnet.de> for report.
2325
2326 ** certtool: Print a PKCS #8 key even if it is not encrypted.
2327
2328 ** tests: Make tests compile when using internal libtasn1.
2329 Patch by ludo@gnu.org (Ludovic Courtès).
2330
2331 ** API and ABI modifications:
2332 No changes since last version.
2333
2334 * Version 2.6.0 (released 2008-10-06)
2335
2336 ** libgnutls: Correct printing and parsing of IPv6 addresses.
2337
2338 ** libgnutls-openssl: fix out of bounds access.
2339 Problem in X509_get_subject_name and X509_get_issuer_name.  Tiny patch
2340 from Thomas Viehmann <tv@beamnet.de>.
2341
2342 ** certtool: Use inet_pton for parsing IPv6 addresses.
2343
2344 ** Major changes compared to the v2.4 branch:
2345
2346 *** Added API to replace and update the crypto backend.
2347
2348 *** certtool: can add several subject alternative names via template file.
2349
2350 *** opencdk: Parse (but not decrypt) encrypted secret keys.
2351
2352 *** libgnutls: gnutls_x509_crt_set_subject_alt_name() was added that can
2353 either set or append alternative names. It can also handle binary structures
2354 such as IP addresses.
2355
2356 *** libgnutls: New function to set minimum acceptable SRP bits.
2357 The function is gnutls_srp_set_prime_bits.
2358
2359 *** libgnutls: Add interface to deal with public key and signature algorithms.
2360 The functions are called gnutls_pk_list, gnutls_pk_get_id,
2361 gnutls_sign_list, and gnutls_sign_get_id.
2362
2363 *** libgnutls: New interfaces to get name of public key and signing algorithms.
2364 The functions are gnutls_sign_get_name and gnutls_pk_get_name.
2365
2366 *** libgnutls: New API to get a string corresponding to a error symbol.
2367 The function is gnutls_strerror_name.
2368
2369 *** libgnutls: New API to set the public parameters in a certificate request
2370 *** from a private key.
2371 The function is gnutls_x509_crq_set_key_rsa_raw.
2372
2373 *** libgnutls: New API to set a callback to extract TLS Finished data.
2374 The function to register is gnutls_session_set_finished_function and
2375 it takes a callback of the gnutls_finished_callback_func type.
2376
2377 *** libgnutls: Fix namespace problem with TLS_MASTER_SIZE and TLS_RANDOM_SIZE.
2378
2379 *** libgnutls: New interface to register a new TLS extension handler.
2380 The new function gnutls_ext_register can be used to register handlers
2381 for specific TLS extension types.  The callback functions have the new
2382 types gnutls_ext_recv_func and gnutls_ext_send_func.  A type to
2383 classify TLS extensions, gnutls_ext_parse_type_t, has been added as
2384 well.
2385
2386 *** libgnutls-extra: Add function to work with Libgcrypt in FIPS mode.
2387 The function is gnutls_register_md5_handler.  When libgcrypt is in
2388 FIPS mode, MD5 is disabled, but TLS normally requires use of MD5 in
2389 the PRF.
2390
2391 *** API/ABI changes in GnuTLS 2.6
2392 No functions have been removed or modified.  The library should be
2393 fully backwards compatible on both the source and binary level.
2394
2395 A new header file <gnutls/crypto.h> have been added.  It contains
2396 definitions related to replacing the internal crypto functionality.
2397 All definitions and the header itself is experimental but supported.
2398
2399 We have realized that the symbols TLS_MASTER_SIZE and TLS_RANDOM_SIZE
2400 does not use the normal namespace.  We have added GNUTLS_MASTER_SIZE
2401 and GNUTLS_RANDOM_SIZE, but the old symbols are still defined.
2402
2403 The following functions have been added to libgnutls:
2404
2405 GNUTLS_MASTER_SIZE
2406 GNUTLS_RANDOM_SIZE
2407 gnutls_crypto_bigint_register2
2408 gnutls_crypto_cipher_register2
2409 gnutls_crypto_digest_register2
2410 gnutls_crypto_mac_register2
2411 gnutls_crypto_pk_register2
2412 gnutls_crypto_rnd_register2
2413 gnutls_crypto_single_cipher_register2
2414 gnutls_crypto_single_digest_register2
2415 gnutls_crypto_single_mac_register2
2416 gnutls_ext_register
2417 gnutls_pk_get_id
2418 gnutls_pk_get_name
2419 gnutls_pk_list
2420 gnutls_session_set_finished_function
2421 gnutls_sign_get_id
2422 gnutls_sign_get_name
2423 gnutls_sign_list
2424 gnutls_srp_set_prime_bits:
2425 gnutls_strerror_name
2426 gnutls_x509_crq_set_key_rsa_raw
2427 gnutls_x509_crt_set_crl_dist_points2
2428 gnutls_x509_crt_set_subject_alt_name
2429
2430 The following functions have been added to libgnutls-extra:
2431
2432 gnutls_register_md5_handler
2433
2434 ** API and ABI modifications:
2435 No changes since last version.
2436
2437 * Version 2.5.9 (released 2008-09-29)
2438
2439 ** libgnutls: Fix several memory leaks.
2440 Reported by Sam Varshavchik <mrsam@courier-mta.com>.
2441
2442 ** libgnutls: Fix buffer overrun in gnutls_x509_crt_list_import.
2443 Report and patch by Jonathan Manktelow.
2444
2445 ** libgnutls: crypto.h gnutls_pk_params_st changes allocation strategy.
2446 The parameters are now allocated in the structure itself.
2447
2448 ** doc: Texinfo HTML manual uses a stylesheet to improve readability.
2449
2450 ** tests: Scripts now use EXEEXT properly.
2451 Modern libtool doesn't create wrapper script, so the self tests need
2452 to invoke certtool.exe under MinGW32+Wine.
2453
2454 ** Uses autoconf 2.63, automake 1.10.1, libtool 2.2.6a.
2455 Automake warnings are now also enabled.
2456
2457 ** API and ABI modifications:
2458 gnutls_pk_params_st: MODIFIED
2459
2460 * Version 2.5.8 (released 2008-09-21)
2461
2462 ** certtool: updated so it can add several subject alternative names using
2463 the template file.
2464
2465 ** libgnutls: gnutls_x509_crt_set_subject_alt_name() was added that can
2466 either set or append alternative names. It can also handle binary structures
2467 such as IP addresses.
2468
2469 ** libgnutls: Fix crash in hashing code when using non-libgcrypt handlers.
2470
2471 ** libgnutls: New function to set minimum acceptable SRP bits.
2472 The function is gnutls_srp_set_prime_bits.  Tiny patch by Kevin Quick
2473 <quick@sparq.org> in <https://savannah.gnu.org/support/index.php?106454>.
2474
2475 ** libgnutls: Check for overflows in gnutls_calloc and gnutls_secure_calloc.
2476 Also fix overflows in calls to those functions.  Reported by Werner
2477 Koch <wk@gnupg.org>.
2478
2479 ** libgnutls-extra: Add function to work with Libgcrypt in FIPS mode.
2480 The function is gnutls_register_md5_handler.  When libgcrypt is in
2481 FIPS mode, MD5 is disabled, but TLS normally requires use of MD5 in
2482 the PRF.
2483
2484 ** Opencdk: Add calls to gnutls_assert to ease debugging.
2485
2486 ** Indent code.
2487
2488 ** API and ABI modifications:
2489 gnutls_srp_set_prime_bits: ADDED
2490 gnutls_register_md5_handler: ADDED
2491 gnutls_x509_crt_set_crl_dist_points2: ADDED
2492 gnutls_x509_crt_set_subject_alt_name: ADDED
2493
2494 * Version 2.5.7 (released 2008-09-16)
2495
2496 ** libgnutls: New interfaces to get name of public key and signing algorithms.
2497 The functions are gnutls_sign_get_name and gnutls_pk_get_name.
2498
2499 ** libgnutls: Don't crash when gnutls_credentials_set is called twice.
2500
2501 ** libgnutls: Fix libgnutls shared library version.
2502 It wasn't properly incremented after adding symbols in the last
2503 release.
2504
2505 ** manual: Now mention supported public key and public key signing algorithms.
2506
2507 ** tests/openssl: initialize gnutls before use.
2508
2509 ** tests/setcredcrash: New test to catch regressions of gnutls_credentials_set.
2510
2511 ** GTK-DOC manual: mention new symbols in 2.6.x.  Mention crypto.h functions.
2512
2513 ** API and ABI modifications:
2514 gnutls_sign_get_name: ADDED
2515 gnutls_pk_get_name: ADDED
2516
2517 * Version 2.5.6 (released 2008-09-08)
2518
2519 ** libgnutls: Add interface to deal with public key and signature algorithms.
2520 The functions are called gnutls_pk_list, gnutls_pk_get_id,
2521 gnutls_sign_list, and gnutls_sign_get_id.  Suggested by Sam
2522 Varshavchik <mrsam@courier-mta.com>.
2523
2524 ** libgnutls: Refactor and clean up some code.
2525
2526 ** libgnutls: Fix compile error with Sun CC.
2527
2528 ** gnutls-cli: Improve --list output to include public key and signature algs.
2529
2530 ** gnutls-cli, gnutls-serv: Remove --copyright parameter.
2531 Use standard --version to get license info.
2532
2533 ** gnutls-cli.1: Document all new parameters.
2534 Thanks to James Westby <jw+debian@jameswestby.net>.
2535
2536 ** tests: New self-test pgps2kgnu to test parsing of encrypted secrets.
2537 Contributed by Daniel Kahn Gillmor <dkg-debian.org@fifthhorseman.net>.
2538
2539 ** API and ABI modifications:
2540 gnutls_pk_list: ADDED
2541 gnutls_pk_get_id: ADDED
2542 gnutls_sign_list: ADDED
2543 gnutls_sign_get_id: ADDED
2544
2545 * Version 2.5.5 (released 2008-08-29)
2546
2547 ** libgnutls: New API to get a string corresponding to a error symbol.
2548 The function is gnutls_strerror_name.
2549
2550 ** libgnutls: Fix include paths so that building with internal libtasn1 works.
2551 Reported by "jth.net ApS" <info@jth.net>.
2552
2553 ** libgnutls: Fix segmentation fault when generating private keys.
2554 Reported by Daniel Kahn Gillmor <dkg-debian.org@fifthhorseman.net>.
2555
2556 ** libgnutls: Remove code to import certificate chains in PKCS#7 format.
2557 The code has not worked since v0.9.0 and apparently nobody has missed
2558 it, so we decided to remove the code rather than fix it.  If you have
2559 old certificate chains stored in PKCS#7 format, you can convert them
2560 to a list of PEM certificates by using 'certtool --p7-info'.  Reported
2561 by Christian Grothoff <christian@grothoff.org>.
2562
2563 ** opencdk: Parse (but not decrypt) encrypted secret keys.
2564 Contributed by Daniel Kahn Gillmor <dkg-debian.org@fifthhorseman.net>.
2565
2566 ** libgnutls: Fix many warnings.
2567
2568 ** Included copy of libtasn1 is upgraded to version 1.5.
2569
2570 ** Add French translation, thanks to Nicolas Provost.
2571
2572 ** API and ABI modifications:
2573 gnutls_strerror_name: ADDED
2574
2575 * Version 2.5.4 (released 2008-08-19)
2576
2577 ** Fix secure memory initialization of libgcrypt.
2578 Reported by Joe Orton <joe@manyfish.co.uk> in
2579 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2992>.
2580
2581 ** Doc fixes.
2582 Reference to NIST SP 800-57 in the manual on key size recommendations.
2583 Added 'Since:' tags to new APIs for gtk-doc.
2584
2585 ** API and ABI modifications:
2586 No changes since last version.
2587
2588 * Version 2.5.3 (released 2008-08-14)
2589
2590 ** libgnutls: New API to set the public parameters in a certificate request
2591 ** from a private key.
2592 The function is gnutls_x509_crq_set_key_rsa_raw.  Inspired by
2593 discussion with "Zach C." <fxchip@gmail.com>.
2594
2595 ** libgnutls: New API to set a callback to extract TLS Finished data.
2596 The function to register is gnutls_session_set_finished_function and
2597 it takes a callback of the gnutls_finished_callback_func type.
2598
2599 ** libgnutls: Drop final comma after GNUTLS_CRT_PRINT_UNSIGNED_FULL in enum.
2600 Reported in <https://savannah.gnu.org/support/?106453>.
2601
2602 ** libgnutls: Fix namespace problem with TLS_MASTER_SIZE and TLS_RANDOM_SIZE.
2603 The new names are GNUTLS_MASTER_SIZE and GNUTLS_RANDOM_SIZE.  The old
2604 names are mapped to the new names in compat.h.  These mappings will
2605 likely be removed more quickly than other mappings in that file due to
2606 the namespace violation.
2607
2608 ** libgnutlsxx: Make it build when SRP is disabled.
2609
2610 ** doc: Add doxygen files in doc/doxygen/.
2611
2612 ** API and ABI modifications:
2613 gnutls_x509_crq_set_key_rsa_raw: ADDED
2614 gnutls_session_set_finished_function: ADDED
2615 gnutls_finished_callback_func: ADDED
2616 GNUTLS_MASTER_SIZE: ADDED
2617 GNUTLS_RANDOM_SIZE: ADDED
2618 TLS_MASTER_SIZE: DEPRECATED
2619 TLS_RANDOM_SIZE: DEPRECATED
2620
2621 * Version 2.5.2 (released 2008-07-08)
2622
2623 ** libgnutls: Fix bug in gnutls_dh_params_generate2.
2624 The prime and generator was swapped.
2625
2626 ** libgnutls: New interface to register a new TLS extension handler.
2627 The new function gnutls_ext_register can be used to register handlers
2628 for specific TLS extension types.  The callback functions have the new
2629 types gnutls_ext_recv_func and gnutls_ext_send_func.  A type to
2630 classify TLS extensions, gnutls_ext_parse_type_t, has been added as
2631 well.
2632
2633 ** Move more code for TLS/IA extension from libgnutls to libgnutls-extra.
2634 This was made possible by using the new gnutls_ext_register interface.
2635 The TLS/IA functionality has only been supported through the
2636 libgnutls-extra library, so it makes sense for the code to belong
2637 there too.
2638
2639 ** API and ABI modifications:
2640 gnutls_ext_recv_func: ADDED
2641 gnutls_ext_send_func: ADDED
2642 gnutls_ext_parse_type_t: ADDED
2643 gnutls_ext_register: ADDED
2644
2645 * Version 2.5.1 (released 2008-07-02)
2646
2647 ** Indent code.
2648
2649 ** API and ABI modifications:
2650 No changes since last version.
2651
2652 * Version 2.5.0 (released 2008-07-02)
2653
2654 ** Port fixes from v2.4.1 release, see below.
2655
2656 ** Added API to replace and update the crypto backend.
2657 The header gnutls/crypto.h is now officially supported, and declares
2658 the symbols below.
2659
2660 ** Rewritten opencdk crypto backend, to use the gnutls internal one.
2661
2662 ** Update gnulib and translations.
2663 The gnulib gc crypto code has been removed since it was never finished
2664 and is no longer even used.  An internal non-libgcrypt crypto
2665 implementation may be added in the future, but we'll decide that later
2666 on.
2667
2668 ** API and ABI modifications:
2669 gnutls_crypto_bigint_register2: ADDED.
2670 gnutls_crypto_cipher_register2: ADDED.
2671 gnutls_crypto_digest_register2: ADDED.
2672 gnutls_crypto_mac_register2: ADDED.
2673 gnutls_crypto_pk_register2: ADDED.
2674 gnutls_crypto_rnd_register2: ADDED.
2675 gnutls_crypto_single_cipher_register2: ADDED.
2676 gnutls_crypto_single_digest_register2: ADDED.
2677 gnutls_crypto_single_mac_register2: ADDED.
2678
2679 * Version 2.4.3 (released 2009-02-06)
2680
2681 ** libgnutls: Accept chains where intermediary certs are trusted.
2682 Before GnuTLS needed to validate the entire chain back to a
2683 self-signed certificate.  GnuTLS will now stop looking when it has
2684 found an intermediary trusted certificate.  The new behaviour is
2685 useful when chains, for example, contains a top-level CA, an
2686 intermediary CA signed using RSA-MD5, and an end-entity certificate.
2687 To avoid chain validation errors due to the RSA-MD5 cert, you can
2688 explicitly add the intermediary RSA-MD5 cert to your trusted certs.
2689 The signature on trusted certificates are not checked, so the chain
2690 has a chance to validate correctly.  Reported by "Douglas E. Engert"
2691 <deengert@anl.gov> in
2692 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351>.
2693
2694 ** libgnutls: Permit V1 Certificate Authorities properly.
2695 Before they were mistakenly rejected even though
2696 GNUTLS_VERIFY_ALLOW_ANY_X509_V1_CA_CRT and/or
2697 GNUTLS_VERIFY_ALLOW_X509_V1_CA_CRT were supplied.  Reported by
2698 "Douglas E. Engert" <deengert@anl.gov> in
2699 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351>.
2700
2701 ** libgnutls: deprecate X.509 validation chains using MD5 and MD2 signatures.
2702 This is a bugfix -- the previous attempt to do this from internal x509
2703 certificate verification procedures did not return the correct value
2704 for certificates using a weak hash.  Reported by Daniel Kahn Gillmor
2705 <dkg@fifthhorseman.net> in
2706 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3332>,
2707 debugged and patch by Tomas Mraz <tmraz@redhat.com> and Daniel Kahn
2708 Gillmor <dkg@fifthhorseman.net>.
2709
2710 ** libgnutls: Fix chain verification for chains that ends with RSA-MD2 CAs.
2711 Reported by Michael Kiefer <Michael-Kiefer@web.de> in
2712 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=507633> forwarded by
2713 Andreas Metzler <ametzler@downhill.at.eu.org> in
2714 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3309>.
2715
2716 ** libgnutls: Fix crash in X.509 validation code for self-signed certificates.
2717 The patch to fix the security problem GNUTLS-SA-2008-3 introduced a
2718 problem for certificate chains that contained just one self-signed
2719 certificate.  Reported by Michael Meskes <meskes@debian.org> in
2720 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=505279>.
2721
2722 ** libgnutls: Fix X.509 certificate chain validation error. [GNUTLS-SA-2008-3]
2723 The flaw makes it possible for man in the middle attackers (i.e.,
2724 active attackers) to assume any name and trick GnuTLS clients into
2725 trusting that name.  Thanks for report and analysis from Martin von
2726 Gagern <Martin.vGagern@gmx.net>.  [CVE-2008-4989]
2727
2728 Any updates with more details about this vulnerability will be added
2729 to <http://www.gnu.org/software/gnutls/security.html>
2730
2731 ** libgnutls: Fix buffer overrun in gnutls_x509_crt_list_import.
2732 Report and patch by Jonathan Manktelow.
2733
2734 ** libgnutls: Avoid use of non-thread safe strerror.
2735
2736 ** API and ABI modifications:
2737 No changes since last version.
2738
2739 * Version 2.4.2 (released 2008-09-15)
2740
2741 ** libgnutls: Don't crash when gnutls_credentials_set is called twice.
2742
2743 ** libgnutls: Corrected memory leak in X.509 functions.
2744 Thanks to Colin Leroy <colin@colino.net>.
2745
2746 ** libgnutls: Fix compile error with Sun CC.
2747
2748 ** gnutls-cli.1: Document all new parameters.
2749 Thanks to James Westby <jw+debian@jameswestby.net>.
2750
2751 ** tests/openssl: initialize gnutls before use.
2752 Fixes crash with libgcrypt 1.4.2.  Reported by Ludovic Courtes
2753 <ludovic.courtes@laas.fr>.
2754
2755 ** doc/: Fix texinfo markup for old texinfo versions.
2756
2757 ** Included copy of libtasn1 is upgraded to version 1.5.
2758
2759 ** API and ABI modifications:
2760 No changes since last version.
2761
2762 * Version 2.4.1 (released 2008-06-30)
2763
2764 ** libgnutls: Fix local crash in gnutls_handshake.  [GNUTLS-SA-2008-2]
2765 If the gnutls_handshake function is called for a normal session, which
2766 can happen for re-handshakes, the library would crash because it tried
2767 to hash some data using a libgcrypt handle that had been deallocated.
2768 Report and tiny patch from Tomas Mraz <tmraz@redhat.com>.  Any updates
2769 with more details about this vulnerability will be added to
2770 <http://www.gnu.org/software/gnutls/security.html>
2771
2772 ** libgnutls: Fix memory leaks when doing a re-handshake.
2773 Reported by Sam Varshavchik <mrsam@courier-mta.com> in
2774 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2928>.
2775
2776 ** Fix compiler warnings.
2777 Reported by Massimo Gaspari <massimo.gaspari@alice.it> in
2778 <http://thread.gmane.org/gmane.network.gnutls.general/1281>.
2779
2780 ** Fix ordering of -I's to avoid opencdk.h conflict with system headers.
2781 Reported by Roman Bogorodskiy <novel@FreeBSD.org> in
2782 <http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2930>.
2783
2784 ** srptool: Fix a problem where --verify check does not succeed.
2785 Report and tiny patch by Matthias Koenig <mkoenig@suse.de> in
2786 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2944>.
2787
2788 ** API and ABI modifications:
2789 No changes since last version.
2790
2791 * Version 2.4.0 (released 2008-06-19)
2792
2793 ** Major changes compared to the v2.2 branch:
2794
2795 *** The OpenPGP sub-system has been improved and now supports subkeys.
2796
2797 *** The PSK sub-system has been improved and now supports password
2798 *** derivation and PSK identity hints.
2799 The password derivation algorithms support is documented in
2800 draft-ietf-netconf-tls-02.txt.
2801
2802 *** The certtool --inder and --outder has been replaced by --inraw and --outraw.
2803 This aligns terminology with OpenPGP, which doesn't use DER encoding.
2804 The old parameters will continue to work for some time.
2805
2806 *** Certtool now confirm passwords and changes permissions of private key files.
2807
2808 *** The default handshake size limit has been increased to 48kb.
2809 It appears as if some valid handshakes are large due to sending many
2810 CA certificates.  (The earlier limit was 16kb.)
2811
2812 *** LZO compression is now disabled by default.
2813 The main reason is that LZO compression in TLS is not standardized,
2814 but license compatiblity issues with minilzo triggered us to make this
2815 decision now.
2816
2817 *** Improvements for cross-compilation to Windows and OpenWRT.
2818
2819 *** The look of the GTK-DOC manual has been improved.
2820 Major developer visible changes compared to the v2.2 branch:
2821
2822 *** Full OpenPGP support is part of libgnutls, licensed under the LGPL.
2823
2824 *** New APIs to access the raw X.509 Subject and Issuer DN's and
2825 *** elements from the certificate credentials structure.
2826 Thanks to Joe Orton.
2827
2828 *** New APIs to improve working with username/passwords and PSK.
2829
2830 *** Names of constants to affect certificate printing changed.
2831 The constants are used for OpenPGP too, which the names didn't
2832 reflect, so the following name change has been made:
2833
2834             Old name                         New name
2835      GNUTLS_X509_CRT_FULL            GNUTLS_CRT_PRINT_FULL
2836      GNUTLS_X509_CRT_ONELINE         GNUTLS_CRT_PRINT_ONELINE
2837      GNUTLS_X509_CRT_UNSIGNED_FULL   GNUTLS_CRT_PRINT_UNSIGNED_FULL
2838
2839 The old names will be mapped to the new names for some time.
2840
2841 *** The function gnutls_openpgp_privkey_get_id has been renamed to
2842 *** gnutls_openpgp_privkey_get_key_id.
2843 A compatibility mapping exists to avoid breaking API backwards
2844 compatibility.
2845
2846 *** Replaced all uses of alloca with malloc and free.
2847
2848 *** We no longer build with -D_REENTRANT -D_THREAD_SAFE.
2849 We have been unable to find a documented rationale for this practice.
2850
2851 *** Of course, many smaller fixes have been made, see the ChangeLog file.
2852
2853 *** API/ABI changes in GnuTLS 2.4
2854 All OpenPGP related functions have been moved from libgnutls-extra to
2855 libgnutls, and several new functions have been added (see below).
2856 Before making the release, we discussed whether moving functions from
2857 libgnutls-extra to libgnutls would require us to increment the ABI
2858 version, but the general opinion was that this would not be required.
2859 All older functions continue to work the same.  We are open to the
2860 possibility that this decision will lead to problem on some platform,
2861 and if it turns out that the Right Thing should have been to increment
2862 the shared library version, we would need to release an update within
2863 the 2.4.x branch that increments the shared library version.
2864
2865 This release adds the following functions:
2866
2867   gnutls_psk_client_get_hint
2868   gnutls_psk_set_server_credentials_hint
2869   gnutls_psk_netconf_derive_key
2870
2871     Used to get/set the PSK identity hint, and derive PSK keys from
2872     passwords a'la netconf.
2873
2874   gnutls_x509_dn_deinit
2875   gnutls_x509_dn_export
2876   gnutls_x509_dn_import
2877   gnutls_x509_dn_init
2878
2879     Used to handle X.509 Certificate DN's directly.
2880
2881   gnutls_hex2bin
2882
2883     Converts a data buffer to hex.  Useful for handling PSK/SRP shared
2884     secrets.
2885
2886   gnutls_certificate_get_x509_cas
2887   gnutls_certificate_get_x509_crls
2888   gnutls_certificate_get_openpgp_keyring
2889
2890     Functions for direct access to credential elements.
2891
2892   gnutls_openpgp_crt_get_auth_subkey
2893   gnutls_openpgp_crt_get_key_id
2894   gnutls_openpgp_crt_get_pk_dsa_raw
2895   gnutls_openpgp_crt_get_pk_rsa_raw
2896   gnutls_openpgp_crt_get_preferred_key_id
2897   gnutls_openpgp_crt_get_revoked_status
2898   gnutls_openpgp_crt_get_subkey_count
2899   gnutls_openpgp_crt_get_subkey_creation_time
2900   gnutls_openpgp_crt_get_subkey_expiration_time
2901   gnutls_openpgp_crt_get_subkey_fingerprint
2902   gnutls_openpgp_crt_get_subkey_id
2903   gnutls_openpgp_crt_get_subkey_idx
2904   gnutls_openpgp_crt_get_subkey_pk_algorithm
2905   gnutls_openpgp_crt_get_subkey_pk_dsa_raw
2906   gnutls_openpgp_crt_get_subkey_pk_rsa_raw
2907   gnutls_openpgp_crt_get_subkey_revoked_status
2908   gnutls_openpgp_crt_get_subkey_usage
2909   gnutls_openpgp_crt_print
2910   gnutls_openpgp_crt_set_preferred_key_id
2911   gnutls_openpgp_keyring_get_crt
2912   gnutls_openpgp_keyring_get_crt_count
2913   gnutls_openpgp_privkey_export
2914   gnutls_openpgp_privkey_export_dsa_raw
2915   gnutls_openpgp_privkey_export_rsa_raw
2916   gnutls_openpgp_privkey_export_subkey_dsa_raw
2917   gnutls_openpgp_privkey_export_subkey_rsa_raw
2918   gnutls_openpgp_privkey_get_fingerprint
2919   gnutls_openpgp_privkey_get_key_id
2920   gnutls_openpgp_privkey_get_pk_algorithm
2921   gnutls_openpgp_privkey_get_preferred_key_id
2922   gnutls_openpgp_privkey_get_revoked_status
2923   gnutls_openpgp_privkey_get_subkey_count
2924   gnutls_openpgp_privkey_get_subkey_creation_time
2925   gnutls_openpgp_privkey_get_subkey_expiration_time
2926   gnutls_openpgp_privkey_get_subkey_fingerprint
2927   gnutls_openpgp_privkey_get_subkey_id
2928   gnutls_openpgp_privkey_get_subkey_idx
2929   gnutls_openpgp_privkey_get_subkey_pk_algorithm
2930   gnutls_openpgp_privkey_get_subkey_revoked_status
2931   gnutls_openpgp_privkey_set_preferred_key_id
2932
2933     New OpenPGP related functions.
2934
2935     The function gnutls_openpgp_crt_get_key_id is the same as the old
2936     from gnutls_openpgp_crt_get_id, see above.
2937
2938 The release also adds a new header file 'gnutls/crypto.h', however it
2939 is currently not used.
2940
2941 ** libgnutls [OpenPGP]: New APIs to retrieve fingerprint from OpenPGP subkeys.
2942 Contributed by Daniel Kahn Gillmor <dkg-debian.org@fifthhorseman.net>.
2943
2944 ** API and ABI modifications:
2945 gnutls_openpgp_crt_get_subkey_fingerprint: ADDED.
2946 gnutls_openpgp_privkey_get_subkey_fingerprint: ADDED.
2947
2948 * Version 2.3.15 (released 2008-06-15)
2949
2950 ** Disable the openpgp-certs self-tests.
2951 It results in failure under Wine and doesn't work on Debian buildds.
2952
2953 ** API and ABI modifications:
2954 No changes since last version.
2955
2956 * Version 2.3.14 (released 2008-06-11)
2957
2958 ** libgnutls [OpenPGP]: Changed OpenPGP verification behaviour.
2959 An OpenPGP certificate is now only considered verified if all the user
2960 IDs are verified.
2961
2962 ** Examples: Make C++ example compile.
2963 Earlier it may have failed with an unresolved reference to strlen.
2964
2965 ** Documentation: Doc fix for gnutls_x509_crt_get_extension_oid.
2966 Reported by Sam Varshavchik <mrsam@courier-mta.com>.
2967
2968 ** API and ABI modifications:
2969 No changes since last version.
2970
2971 * Version 2.3.13 (released 2008-06-07)
2972
2973 ** libgnutls [OpenPGP]: Make OpenPGP handshakes work again.
2974
2975 ** doc/: Add psktool to info index.  Some minor cleanups.
2976
2977 ** tests/: Added non-forking TLS handshake test, see tests/mini.c.
2978
2979 ** tests/: Added libgcrypt.supp which can be used with valgrind.
2980 The file suppresses the known libgcrypt memory leaks, so they aren't
2981 printed when you run valgrind on the gnutls self-tests.  Use it as
2982 follows: valgrind --suppressions=libgcrypt.supp ./x509self or add
2983 '--suppressions=/home/you/src/gnutls/tests/libgcrypt.supp' to your
2984 ~/.valgrindrc file.
2985
2986 ** tests/: Reduce amount of debugging output by default.
2987 Use --verbose for each test to get the full output.
2988
2989 ** tests/: Fix memory leaks in several self-tests.
2990 None of the self tests should be leaking memory when running valgrind
2991 or similar tools.  (Known exceptions are dhepskself, pskself, and
2992 set_pkcs12_cred, which appear likely to be due to memory leaks in the
2993 library.)
2994
2995 ** API and ABI modifications:
2996 No changes since last version.
2997
2998 * Version 2.3.12 (released 2008-06-04)
2999
3000 ** Merge gnutls_with_netconf branch.
3001
3002 *** libgnutls [PSK]: New API to retrieve PSK identity hint in client.
3003 The function is gnutls_psk_client_get_hint.
3004
3005 *** libgnutls [PSK]: New API to set PSK identity hint in server.
3006 The function is gnutls_psk_set_server_credentials_hint.
3007
3008 *** libgnutls [PSK]: Support server key exchange with PSK identity hint.
3009 In the client, the message is parsed and the application can use
3010 gnutls_psk_client_get_hint to retrieve the hint.  In the server, the
3011 message is sent if the application has specified a PSK identity hint
3012 using gnutls_psk_set_server_credentials_hint.
3013
3014 *** libgnutls [PSK]: Support Netconf PSK key derivation.
3015 The function gnutls_psk_netconf_derive_key supports the PSK key
3016 derivation as specified in draft-ietf-netconf-tls-02.txt.  New self
3017 test netconf-psk.c.
3018
3019 *** psktool: Support new --netconf-hint to generate PSK key from password.
3020 Uses the Netconf algorithm to derive PSK key from password.
3021
3022 *** gnutls-serv: Support new --pskhint parameter to set PSK identity hint.
3023
3024 *** gnutls-cli: Always support PSK modes, through a callback.
3025 The callback will derive a PSK key using Netconf algorithm.  It will
3026 print the PSK identity hint to help the user.
3027
3028 *** New PSK example client and server.
3029 See doc/examples/ex-client-psk.c and doc/examples/ex-serv-psk.c.
3030
3031 ** libgnutls: Fix gnutls_x509_crl_set_version on arm platforms.
3032 The code didn't work properly on platforms where 'char' is unsigned,
3033 when you set version 0.  Reported by Laurence Withers
3034 <l@lwithers.me.uk> in
3035 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2825>.
3036
3037 ** libgnutls-openssl: added RAND_pseudo_bytes API.
3038 Patch from Robert Millan <rmh@aybabtu.com>.
3039
3040 ** API and ABI modifications:
3041 RAND_pseudo_bytes: ADDED to libgnutls-openssl.
3042 gnutls_psk_client_get_hint: ADDED.
3043 gnutls_psk_set_server_credentials_hint: ADDED.
3044 gnutls_psk_netconf_derive_key: ADDED
3045
3046 * Version 2.3.11 (released 2008-05-20)
3047
3048 ** Fix flaw in fix for GNUTLS-SA-2008-1-3.
3049 The flaw would result in incorrectly terminated sessions with the
3050 error "Decryption has failed" when the server sends a small packet
3051 (typically when the session is closed).  Reported by Andreas Metzler
3052 <ametzler@downhill.at.eu.org> in
3053 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2807>.
3054
3055 ** Don't use gnulib headers when building C++ library.
3056 Fixes builds under Windows.
3057
3058 ** Make umask a requirement.
3059 We don't know of any system that lacks it, even GNU CoreUtils use it
3060 unconditionally.
3061
3062 ** Update gnulib files.
3063 Fixes a problem where it pulled in a replacement for memcmp under
3064 MinGW, which caused the C++ example to fail to build.
3065
3066 ** API and ABI modifications:
3067 No changes since last version.
3068
3069 * Version 2.3.10 (released 2008-05-19)
3070
3071 ** Added wide wildcard hostname matching.
3072 Tiny patch by Jean-Philippe Garcia Ballester.
3073
3074 ** Fix three security vulnerabilities.  [GNUTLS-SA-2008-1]
3075 Thanks to CERT-FI for finding the bugs and providing detailed reports,
3076 which allowed the bugs to be reproduced and fixed easily.  Patches
3077 developed by Simon Josefsson and Nikos Mavrogiannopoulos.  Any updates
3078 with more details about these vulnerabilities will be added to
3079 <http://www.gnu.org/software/gnutls/security.html>
3080
3081 *** [GNUTLS-SA-2008-1-1]
3082 *** libgnutls: Fix crash when sending invalid server name.
3083 The crash can be triggered remotely before authentication, which can
3084 lead to a Daniel of Service attack to disable the server.  The bug
3085 cause gnutls to store more session resumption data than what was
3086 allocated for, thus overwriting unallocated memory.
3087
3088 *** [GNUTLS-SA-2008-1-2]
3089 *** libgnutls: Fix crash when sending repeated client hellos.
3090 The crash can be triggered remotely before authentication, which can
3091 lead to a Daniel of Service attack to disable the server.  The bug
3092 triggers a null-pointer dereference.
3093
3094 *** [GNUTLS-SA-2008-1-3]
3095 *** libgnutls: Fix crash in cipher padding decoding for invalid record lengths.
3096 The crash can be triggered remotely before authentication, which can
3097 lead to a Daniel of Service attack to disable the server.  The bug
3098 cause gnutls to read memory beyond the end of the received record.
3099
3100 ** libgnutlsxx: Updated API according to patches from Eduardo 
3101 Villanueva Che (discussion at
3102 <http://lists.gnu.org/archive/html/gnutls-devel/2007-02/msg00017.html>)
3103
3104 ** Use umask to restrict permissions to owner before creating a file.
3105
3106 ** API and ABI modifications:
3107 No changes since last version.
3108
3109 * Version 2.3.9 (released 2008-05-16)
3110
3111 ** libgnutls: Fix build failures if SRP/OpenPGP is disabled.
3112 Based on report and tiny patches from
3113 <jared.jennings.ctr@eglin.af.mil>, see
3114 <https://savannah.gnu.org/support/index.php?106342>.
3115
3116 ** libgnutls: Translation fixes.
3117
3118 ** gnutls-cli: Fix so that PSK authentication works.
3119 Also improve manual to give example for gnutls-cli PSK authentication.
3120
3121 ** certtool: Encrypting a private key now require a confirmed password.
3122 Before './certtool -k -8' would merely ask for a password once.
3123 Reported by Daniel 'NebuchadnezzaR' Dehennin
3124 <nebuchadnezzar@asgardr.info> see
3125 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=364287>.
3126
3127 ** certtool: When writing private keys to files, change permissions of file.
3128 Now the file which the private key is saved to is chmod'ed 0600.
3129 Reported by martin f krafft <madduck@debian.org> see
3130 <http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=373169>.
3131
3132 ** guile: Fix -fgnu89-inline test.
3133
3134 ** Removed --enable-profile-mode.
3135 The code linked gnutls with the libfc project (Function Check) which
3136 appears to have been stalled since around 2002.
3137
3138 ** Clean up header file checks by ./configure.
3139
3140 ** Update of gnulib files.
3141
3142 ** API and ABI modifications:
3143 No changes since last version.
3144
3145 * Version 2.3.8 (released 2008-04-29)
3146
3147 ** libgnutls: Increase default handshake packet size limit to 48kb.
3148 The old limit was 16kb and some servers send huge list of trusted CAs,
3149 thus running into the limit.  FYI, applications can further increase
3150 this limit using gnutls_handshake_set_max_packet_length.  Thanks to
3151 Marc Haber <mh+debian-bugs@zugschlus.de> and "Marc F. Clemente"
3152 <marc@mclemente.net> for reporting and providing test servers.
3153
3154 ** libgnutls: Add new error code: GNUTLS_E_HANDSHAKE_TOO_LARGE
3155 Returned when the handshake data size is too large.  Before
3156 GNUTLS_E_MEMORY_ERROR was used, which could be confused with other
3157 error situations.
3158
3159 ** libgnutls: Hide definitions in crypto.h.
3160 We have decided that the APIs defined in crypto.h are not stable
3161 enough for v2.4, so don't use any of those functions.
3162
3163 ** gnutls-cli: exit when hostname doesn't match certificate.
3164 Use --insecure to avoid hostname comparison.
3165
3166 ** certtool: --inder and --outder replaced by --inraw and --outraw.
3167 The reason is to align terminology with OpenPGP, which doesn't use
3168 DER.  The old parameters will continue to work for some time.
3169
3170 ** doc: Add section 'Index of new symbols in 2.4.0' to the GTK-DOC manual.
3171
3172 ** doc: Many cosmetic fixes, to silence (most) gtk-doc warnings.
3173
3174 ** Mingw32: Revert libgcrypt vasprintf work-around added in last release.
3175 Use libgcrypt 1.4.1 or later when building on MinGW32, it removes the
3176 vasprintf symbol from the libgcrypt library which caused problems.
3177
3178 ** Update of gnulib files.
3179
3180 ** tests: New self-test of crypto.h RNG code tests/crypto_rng.
3181
3182 ** API and ABI modifications:
3183 GNUTLS_E_HANDSHAKE_TOO_LARGE: ADDED.
3184
3185 * Version 2.3.7 (released 2008-04-21)
3186
3187 ** opencdk now properly sets the key usage bits into openpgp keys.
3188
3189 ** gnutls-cli: Fix crash on TLS handshake failures.
3190 Reported by "Marc F. Clemente" <marc@mclemente.net> in Debian BTS #466477.
3191 This is similar to <http://bugs.debian.org/429183>.
3192
3193 ** certtool: with --generate-request and newly generated keys, print the key.
3194
3195 ** Build fixes for MinGW.
3196 Missing rpl_fseeko symbol in lib/opencdk/.  Better checks for linking
3197 with -lws2_32 when needed.  Use ASCII only isprint() when printing
3198 X.509 certificate information, to avoid non-ASCII but printable
3199 characters.  Thanks to Massimo Gaspari <massimo.gaspari@alice.it> for
3200 reports.
3201
3202 ** Update internal copy of libtasn1 to version 1.4.
3203
3204 ** API and ABI modifications:
3205 No changes since last version.
3206
3207 * Version 2.3.6 (released 2008-04-17)
3208
3209 ** Make gnutls_x509_crq_sign2 set certificate request version if not set.
3210 ** Improve documentation for gnutls_x509_crq_sign2.
3211 Based on report from "John Brooks" <aspecialj@gmail.com> in
3212 <http://permalink.gmane.org/gmane.network.gnutls.general/1154>.
3213
3214 ** tests/pathlen: run diff without parameters to improve portability.
3215 Based on HPUX build hints in
3216 <http://hpux.cs.utah.edu/hppd/cgi-bin/wwwtar?/hpux/Gnu/gnutls-2.3.4/gnutls-2.3.4-src-11.11.tar.gz+gnutls-2.3.4/HPUX.Install+text>.
3217
3218 ** Don't use %e specifier with strftime, it doesn't work under Windows.
3219 Reported by Massimo Gaspari <massimo.gaspari@alice.it> in
3220 <http://permalink.gmane.org/gmane.network.gnutls.general/1170>.
3221
3222 ** Remove all uses of gnutls_alloca/gnutls_afree.
3223 Use normal gnutls_malloc instead.  One reason is increased portability
3224 to Windows, the other is that several of the uses may be unsafe
3225 because the size of data allocated could be large.  Reported by
3226 Massimo Gaspari <massimo.gaspari@alice.it> in
3227 <http://permalink.gmane.org/gmane.network.gnutls.general/1170>.
3228
3229 ** Build Guile code with -fgnu89-inline only when supported.
3230 Reported by Kris Karas <ktk@enterprise.bidmc.harvard.edu> in
3231 <http://permalink.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2708>.
3232
3233 ** Several GTK-DOC related fixes.
3234
3235 ** Clean up OpenCDK related code.
3236 GnuTLS now requires its internal OpenCDK code rather than the external
3237 GPL library OpenCDK.  Unfortunately, we don't have resources to
3238 maintain an external library (help welcome).
3239
3240 ** API and ABI modifications:
3241 No changes since last version.
3242
3243 * Version 2.3.5 (released 2008-04-14)
3244
3245 ** Build fix for MinGW and --disable-shared.
3246 Reported by Massimo Gaspari <massimo.gaspari@alice.it> in
3247 <http://permalink.gmane.org/gmane.network.gnutls.general/1145>.
3248
3249 ** Document how to generate CRLs.
3250 Suggested by "Rainer Gerhards" <rgerhards@gmail.com>.
3251
3252 ** Documented the --priority option to gnutls-cli and gnutls-serv.
3253
3254 ** Several minor fixes in the OpenPGP interface.
3255 Thanks to Daniel Kahn Gillmor.
3256
3257 ** Fix fopen file descriptor leak in PSK server code.
3258 Thanks to Laurence Withers <l@lwithers.me.uk>, see
3259 <http://lists.gnu.org/archive/html/gnutls-devel/2008-04/msg00002.html>.
3260
3261 ** Translations files not stored directly in git to avoid merge conflicts.
3262
3263 ** New APIs to let applications replace the RNG used.
3264 Update all RNG callers in the code to use the new interface.
3265
3266 ** Guile code now built with -fgnu89-inline to fix inline semantic problem.
3267
3268 ** Update gnulib files.
3269
3270 ** API and ABI modifications:
3271 gnutls_crypto_rnd_register: ADDED
3272 gnutls_rnd_level_t: ADDED
3273 GNUTLS_RND_KEY: ADDED, gnutls_rnd_level_t member
3274 GNUTLS_RND_RANDOM: ADDED, gnutls_rnd_level_t member
3275 GNUTLS_RND_NONCE: ADDED, gnutls_rnd_level_t member
3276 gnutls_crypto_rnd_st: ADDED
3277 GNUTLS_DIG_SHA224: ADDED
3278 GNUTLS_SIGN_RSA_SHA224: ADDED
3279 gnutls_openpgp_crt_get_auth_subkey: MODIFIED
3280
3281 * Version 2.3.4 (released 2008-03-19)
3282
3283 ** Finish renaming of gnutls_certificate_export_x509_cas etc.
3284 They weren't renamed in the public header file.
3285
3286 ** Added functions to register a cipher/mac/digest. This allows to 
3287 override the included ones.
3288
3289 ** Fix a bunch of compiler warnings.
3290
3291 ** API and ABI modifications:
3292 gnutls_crypto_cipher_st: ADDED
3293 gnutls_crypto_mac_st: ADDED
3294 gnutls_crypto_digest_st: ADDED
3295 gnutls_crypto_cipher_register: ADDED
3296 gnutls_crypto_mac_register: ADDED
3297 gnutls_crypto_digest_register: ADDED
3298 GNUTLS_E_CRYPTO_ALREADY_REGISTERED: ADDED
3299
3300 * Version 2.3.3 (released 2008-03-10)
3301
3302 ** Fix build failure in libextra/gnutls_extra.c that needed opencdk.h.
3303 Reported by Roman Bogorodskiy <novel@FreeBSD.org>.
3304
3305 ** No longer compiled using -D_REENTRANT -D_THREAD_SAFE.
3306 We could not find any modern justification for enabling these flags by
3307 default.  If you know of some platform that needs one of the flags to
3308 work properly, please let us know.  (Actually introduced in v2.3.0 but
3309 not documented until now.)
3310
3311 ** Importing many CA certificates are now considerably faster.