This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_6-stable'.

Manual page for SSL_CTX_set_options(). Unfortunately for some of the
options someone much longer working with OpenSSL/SSLeay is needed.

Oops: It's RegTP, not RegPT ...

Add German SiG root certificates (extracted from the official cert registry
file http://www.nrca-ds.de/ftp/pkd.ttp, which contains a total of 288
certificates issued by the RegPT so far)

disable stdin buffering in load_cert

use case-insensitive comparison in set_table_opts
(similar to how arguments such as -inform/-outform specifications
are treated)

Fix CRL printing to correctly show when there are no revoked certificates.

Make ca.c correctly initialize the revocation date.

Make ASN1_UTCTIME_set_string() and ASN1_GENERALIZEDTIME_set_string() set the
string type: so they can initialize ASN1_TIME structures properly.

Simplify BN_rand_range

Simplify BN_rand_range

New Option SSL_OP_CIPHER_SERVER_PREFERENCE allows TLS/SSLv3 server to override
the clients choice; in SSLv2 the client uses the server's preferences.

Typo

Fix "wierd" typo as submitted by Jeroen Ruigrok/Asmodai <asmodai@wxs.nl>.

Fix "wierd" typo as submitted by Jeroen Ruigrok/Asmodai <asmodai@wxs.nl>.

Various Win32 related fixed. Make no-krb5 work in mkdef.pl .

Fix warning in apps/engine.c

Remove definitions of deleted functions.

Add missing definition of X509_VAL.

Various updates to mkdef.pl to cope with new aes
and ASN1 code.

fix editing error

add linux-s390 configuration (based on information submitted by
Denis Beauchemin <Denis.Beauchemin@Courrier.USherb.ca>)

add linux-s390 configuration (based on information submitted by
Denis Beauchemin <Denis.Beauchemin@Courrier.USherb.ca>)

Add missing \n's to ocsp usage message.

Allow various options to be included for signing and verify of
OCSP responses.

Documentation to follow...

Urgh.. this conflicted with the -VAfile patch I hope I haven't
broken it.

The check for request including a nonce and response not having it was
inversed.  Corrected.  Hopefully, this will make it work without
dumping core.

Add the -VAfile option to 'openssl ocsp'.  This option will give the
client code certificates to use to only check response signatures.
I'm not entirely sure if the way I just implemented the verification
is the right way to do it, and would be happy if someone would like to
review this.

add comment and RAND_load_file() change as in main branch.

use <= instead of ==

point out that RAND_load_file() etc are only for seed files, not for
entropy devices or sockets.

Note that EGD is used automatically.

cleanup

cleanup

Another comment change.  (Previous comment does not apply
for range = 11000000... or range = 100000...)

Another comment change.  (Previous comment does not apply
for range = 11000000... or range = 100000...)

Change comments.  (The expected number of iterations in BN_rand_range
never exceeds 1.333...).

Change comments.  (The expected number of iterations in BN_rand_range
never exceeds 1.333...).

oops -- remove observation code

oops -- remove observation code

Integrate my implementation of a countermeasure against
Bleichenbacher's DSA attack.  With this implementation, the expected
number of iterations never exceeds 2.

New semantics for BN_rand_range():
BN_rand_range(r, min, range) now generates r such that
     min <= r < min+range.
(Previously, BN_rand_range(r, min, max) generated r such that
     min <= r < max.
It is more convenient to have the range; also the previous
prototype was misleading because max was larger than
the actual maximum.)

Integrate my implementation of a countermeasure against
Bleichenbacher's DSA attack.  With this implementation, the expected
number of iterations never exceeds 2.

New semantics for BN_rand_range():
BN_rand_range(r, min, range) now generates r such that
     min <= r < min+range.
(Previously, BN_rand_range(r, min, max) generated r such that
     min <= r < max.
It is more convenient to have the range; also the previous
prototype was misleading because max was larger than
the actual maximum.)

platform specific CFLAGS don't belong into this Makefile

Update documentation to match the state at 0.9.6 _and_ the recent changes.

Update documentation to match the state of OpenSSL 0.9.6.

DSA fix from main branch.

Bleichenbacher's DSA attack

Modify access to EGD socket to deal with EINTR etc that can appear
during connect() and other calls. First seen on Unixware-7.

Unify access to EGD-socket for all RAND_egd_*() methods.

EBCDIC bug fix from main branch.

Fix AES code.

Update Rijndael source to v3.0

Add AES OIDs.

Change most references of Rijndael to AES.

Add new draft AES ciphersuites.

Change preferences for sockets of EGD-style entropy daemons to a more
reasonable selection.

Fix typo preventing correct usage of -out option.

Rijdael CBC mode and partial undebugged SSL support.

Improve the state machine.

Avoid coredumps for CONF_get_...(NULL, ...)

Avoid coredumps for CONF_get_...(NULL, ...)

don't dump core

don't dump core

format strings

Fix potential buffer overrun for EBCDIC.

Merge in memory leak correction from main trunk.

0.9.6a will not be release in Y2K.  :-)

Fix a memory leak in BIO_get_accept_socket().  This leak was small and
only happened when the port number wasn't parsable ot the host wasn't
possible to convert to an IP address.
Contributed by Niko Baric <Niko.Baric@epost.de>

Include string.h (whis is in all relevant standards) instead of
memory.h (which is not).

New function to copy nonce values from OCSP
request to response.

Make depend.

BN assembler is no longer option on x86.

Can't remember why this was needed?

Fix a warning.

Documenting session caching, 2nd step.

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_6-stable'.

Documenting session caching, 2nd step.

Fix ASN1_TIME_to_generlizedtime().

Add protoype for OCSP_response_create().

Add OCSP_request_sign() and OCSP_basic_sign()
private key and certificate checks and make
OCSP_NOCERTS consistent with PKCS7_NOCERTS

Various OCSP responder utility functions.

Delete obsolete OCSP functions.

Largely untested at present...

Clarify why SSL_CTX_use_certificate_chain_file() should be preferred.

Clarify why SSL_CTX_use_certificate_chain_file() should be preferred.

Typo: on my screen it nicely wrapped around at 80 :-)

Typo: on my screen it nicely wrapped around at 80 :-)

If the source has already been succesfully queried, do not try to open it
again as file.

If the source has already been succesfully queried, do not try to open it
again as file.

Backport...

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_6-stable'.

Document session caching, first step.

Various function for commmon operations.

Tidy up the mess in bss_sock.c and bss_fd.c
by placing them socket/fd code in separate
files rather than trying to have them both
share the same one.

Tolerate some "variations" used in some
certificates.

One is a valid CA which has no basicConstraints
but does have certSign keyUsage.

Other is S/MIME signer with nonRepudiation but
no digitalSignature.

Tolerate some "variations" used in some
certificates.

One is a valid CA which has no basicConstraints
but does have certSign keyUsage.

Other is S/MIME signer with nonRepudiation but
no digitalSignature.

Backport extended documentation.

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_6-stable'.

New manual page for a hardly known but important item :-)

Transport from development branch.

Document the change.

Increase consistency of header data (some mail readers really do not
like spaces before the semicolon, and besides, other parts of this
file makes the values without those spaces), and move spacing of
continuation lines to support BIO's that break lines after each
write.

Remove serial number file during 'make clean'.

Backported manual pages from 0.9.7.

Backport documentation added for 0.9.7.

For CRLs.

Shouldn't use the "encode empty" macros with the
revoked field since that is initialised.

Extensions should now be set to NULL so they
encode as absent if none are added.

Comment and indentation

Make sk_sort tolearate a NULL argument.

New ASN1 macros which will encode an empty SEQUENCE OF.

Fix CRL encoders to encode empty SEQUENCE OF.

The old code was breaking CRL signatures.

Note: it is best to add new macros because changing the
old ones could break other code which expects that behaviour.
None of this is needed with the new ASN1 code anyway...

New OCSP response verify option OCSP_TRUSTOTHER

Documentation language corrections, contributed by Chris Pepper <pepper@mail.reppep.com>

Zero the premaster secret after deriving the master secret in DH
ciphersuites.

Zero the premaster secret after deriving the master secret in DH
ciphersuites.

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_6-stable'.

Insert a missing space to stop pod2man giving stroppy "malformed" warnings.