handle differently OCSP responses that are revoked and of unknown status

compilation fix with return on void function; reported by David Marx

doc update

set the appropriate direction when _gnutls_io_write_flush() is called

tests: added check for operation under different threads and DTLS

tests: added check for operation under different processes and DTLS

Revert "doc update"

This reverts commit eabf1f27d255577bad60d302abf46a969848fcd7.

Revert "Added gnutls_record_is_async()"

This reverts commit 2232822aabe473d124f924d64ff52981d685fd41.

documented using a session with fork or multiple threads

doc update

Added gnutls_record_is_async()

That function indicates whether gnutls_record_recv() and
gnutls_record_send() can be used independently and in
parallel.

print errno in a more uniform way

doc update

exported gnutls_system_recv_timeout()

simplified _gnutls_writev() by requiring the total length

opencdk: small fixed to reduce warnings

doc update

don't be so verbose about the OCSP nonce; it is universally unsupported

OCSP check the whole cert chain

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

on certificate import check whether the two signature algorithms match

cross.mk: use 3.3.12

doc update

Added configure option --disable-tools

corrected typos

Reported by Guido Kroon.

Added the notion of obsolete versions

That prevents using these versions as record version numbers, unless
they are the only protocol supported. This avoids the issues with
servers that have banned SSL 3.0 record versions.

ocsptool: follow the documented process for gnutls_x509_crt_get_authority_info_access

gnutls_x509_crt_get_authority_info_access: doc update

ocsptool-common: iterate through all AIA items prior to decidig the OCSP server

use a FIPS key that agree's with fedora's fipshmac

DCO: Added Luke Dashjr

simplified text for inline-commands-prefix

gnutls-cli: added --starttls-proto option

pkcs11: cleanup the name of types

tests: updates in softhsm detection

pkcs11: when importing a public key, import it's data as well (version 2 fix)

doc update

testpkcs11: do not ignore the failure to write a trusted CA

removed gnutls_pubkey_get_pk_* from the exported function list

tests: key-import-export: enhanced to test gnutls_pubkey_*_ecc_x962

gnutls_pubkey_t: allow the import of another parameter set without a leak

removed ABI-compatibility functions

doc update

testpkcs11: modified to support both softhsmv1 and v2

pkcs11: when importing a public key, import it's data as well

tests: enhanced key-import-export to check output of pubkeys

tests: eliminated leaks

doc update

tests: added checks for private key import/export functions

doc update

tests: Added test case for openpgp keys loaded by callback

When setting up TLS with cert-type OpenPGP from a client,
the server verifies if it supports the extension’s contents
in _gnutls_session_cert_type_supported().  This function
checks for cred->get_cert_callback but not cred->get_cert_callback2.
As a result, servers setup for OpenPGP certificate credential
callback with gnutls_certificate_set_retrieve_function2() are
unable to use the OpenPGP certificate type.

The solution is to consider cred->get_cert_callback2 alongside
cred->get_cert_callback in _gnutls_session_cert_type_supported().

Patch by Rick van Rein.

gnutls_privkey_import_openpgp_raw: do not release the cached value

guile: Call 'load-extension' both during expansion and at run time.

Fixes <https://bugzilla.redhat.com/show_bug.cgi?id=1177847>.

* guile/modules/gnutls.in: Wrap '%libdir' definition and
  'load-extension' call in 'eval-when'.

When receiving a TLS record with multiple handshake packets, parse them in one go

That resolves:
https://savannah.gnu.org/support/?108712

tests: updated mini-dtls-record-asym

tests: better documentation of mini-dtls-record-asym purpose

tests: moved udp_socketpair to utils

tests: corrected asymmetric MTU test for DTLS and added caching

Added test case for DTLS handshake packet reconstruction when it exceeds MTU

https://savannah.gnu.org/support/?108712

simplified _gnutls_dgram_read()

danetool: only compile when dane is enabled

in DTLS don't combine multiple packets which exceed MTU

Resolves: https://savannah.gnu.org/support/?108715

Added more precise check of push functions availability

Revert "in DTLS don't use writev() when multiple packets which exceed MTU are queued"

This reverts commit 43082a67c7514d65301d157fb567a133138a85ab.

Revert "Give precedence to vector push function"

This reverts commit cb4ea413569803cbbf291abb27d30d14bfa971c5.

Give precedence to vector push function

in DTLS don't use writev() when multiple packets which exceed MTU are queued

That change requires the system_write() to be registered unconditionally,
even when writev() is available.
Resolves: https://savannah.gnu.org/support/?108715

tests: added check to ensure that DTLS handshake packets will not exceed MTU

certtool: warn when setting a certificate's expiration longer than the CA's expiration

testpkcs11: detect softhsm2

tests: account for disabling of ARCFOUR where needed

certtool: modified check for READ_NUMERIC

certtool: use 64-bit type for CRL serial number

certtool: check for overflows when reading serial numbers

certtool: use int64_t as type for integers read

gnutls-cli-debug: more precise handling of SMTP protocol

Patch by Andreas Metzler.

updated gnulib

gnutls-cli-debug: corrected the skip of ignored checks

use explicit casts in the dummy ip conversion functions

doc update

ARCFOUR-128 is disabled by default

doc update

doc update

system-keys-win: use LoadLibraryA to load ncrypt.dll

Updated abi-compliance-checker for 3.4 API

updated export symbols list (due to ABI breakage)

doc: updated auto-generated files

generate manpages for urls.h and system-keys.h

tests: added check for gnutls_x509_trust_list_get_issuer_by_dn()

updated libgnutls.map for new functions

doc: updated auto-generated files and added urls.h

tests: added checks for the new --key-id and --fingerprint certtool options

certtool: Added --fingerprint and --key-id options

certtool: --pubkey-info will load a public key from stdin

include netinet/in.h if present to access ipv6 related structures

Based on patch by Rumko.
https://savannah.gnu.org/support/?108713

VERS-ALL adds all protocols if used with '+'

doc update

priority strings VERS-TLS-ALL and VERS-DTLS-ALL are restricted to the corresponding protocols

That introduces VERS-ALL which behaves as VERS-TLS-ALL previously.

gnutls.h: made DTLS protocol version numbering distinct

Don't call _gnutls_cipher_encrypt2 with textlen = 0 in _gnutls_auth_cipher_encrypt2_tag

If the plaintext is shorter than the block size of the used cipher,
_gnutls_auth_cipher_encrypt2_tag calls _gnutls_cipher_encrypt2 with
textlen = 0. By definition _gnutls_cipher_encrypt2 does nothing in this
case and thus does not need to be called.