Add FIPS FAQ, update FIPS status.

Another try at table spacing for donations page

Make the table look a tiny bit better

Update sponsros and acks page to match reality

Update donations and acknowledgements page to match reality and
add in new sponsors

Fix date for when travel policy was approved

Add GeneralName question

Reviewed-by: Viktor Dukhovni <viktor@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/64)

Fix NIST links, remove 2473.

Also remove some "political" content.

Reviewed-by: Tim Hudson <tjh@openssl.org>
Reviewed-by: Paul Dale <paul.dale@oracle.com>
(Merged from https://github.com/openssl/openssl/pull/63)

Update newsflash for pre 8

Reviewed-by: Richard Levitte <levitte@openssl.org>
(Merged from https://github.com/openssl/web/pull/62)

OMC generation: account for titles when sorting names

This moves the process of making names sortable to a separate function.

Reviewed-by: Matt Caswell <matt@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/61)

OMC generation: Make sure non-ASCII characters are made into entities

Reviewed-by: Matt Caswell <matt@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/61)

Generate OMC Members and OMC Alumni

This simplifies our lives when we need to do changes, since we already
have a personell database.

Reviewed-by: Rich Salz <rsalz@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/60)

Fix advisory link

Reviewed-by: Richard Levitte <levitte@openssl.org>
(Merged from https://github.com/openssl/web/pull/59)

Updates for CVE-2018-0732

Reviewed-by: Tim Hudson <tjh@openssl.org>
(Merged from https://github.com/openssl/web/pull/58)

Emilia Käsper has left us

Remove rationale paragraph

Reviewed-by: OMC Vote

Update the release strategy

Updates in line with the following votes:

"The next LTS release will be 1.1.1 and the LTS expiry date for 1.0.2 will
not be changed."

and

"1.1.1 beta release schedule changed so that the next two beta releases
are now 29th May, 19 June and we will re-review release readiness after
that. We will also ensure that there is at least one beta release post
TLS-1.3 RFC publication prior to the final release."

Reviewed-by: Tim Hudson <tjh@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/55)

Updates to newsflash for pre7 release

Reviewed-by: Richard Levitte <levitte@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/56)

Revert "Remove rationale, clarify language."

This reverts commit ac5eb58ddc24db122c494b4cb13de3adff366e48.

Remove rationale, clarify language.

Add 1.1.1 release/LTS details.

Remove paragraph justifying binary compatibility.  Also remove
phrase "as implied by the above" beause, well, it ACTUALY ISN'T
implied by the above. :)

Reviewed-by: Matt Caswell <matt@openssl.org>
Reviewed-by: Mark Cox <mark@openssl.org>
(Merged from https://github.com/openssl/web/pull/52)

Remove the Forthcoming Features section as per OMC vote

Issues have been created for the outstanding features, also as per the
vote.

Reviewed-by: Tim Hudson <tjh@openssl.org>
Reviewed-by: Rich Salz <rsalz@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/54)

Update policy to remove a guiding principle as per vote at Ottawa f2f

Broken link to pgpkey.html

Also fix indent of #include'd file

Reviewed-by: Tim Hudson <tjh@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/53)

Remove NSA license and mention of it

Reviewed-by: Richard Levitte <levitte@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/51)

Tweak wording based on F2F

Update newsflash for new release

What we probably meant to do here is create anchors, so let's do that

Update the URL to save having to click through twice to the new
location; this is a trivial change for which we do not need to vote
on a policy change or update the policy change date.

Fix emacs autowrap I didn't notice

Note the questions we get asked frequently about bug bounties and
lack of a SPF record.  We could add more here for the other frequently
reported issues (like an open ftp server, open directory listings etc)

Remove duplicated text and refer to report a security issue section

Move the details of reporting security issues here, that way we can
remove the duplication from each vulnerability page and we can add
more details about reports we will reject

Fix error for CVE-2018-0737

vulnerabilities.xml erroneously did not list 1.0.2a and 1.0.2 as affected.

Add bug bounty reference

Update newsflash for release of OpenSSL 1.1.1-pre5 (beta 3)

1747 newsflash

Update newsflash for security advisory

Updates for CVE-2018-0737

Use a unified converter tool with Apache by making it handle both formats and abstracting the differences

Generalise the rewrites of older tarballs

We enumerated every series when we could as simply handle them all
with one simple regexp.

bin/mk-latest: Allow for 1.1.1 URLs

source/.htaccess: I forgot it's autogenerated

Update newsflash for new release

source/: translate /source/openssl-x.y.z*.tar.gz -> /source/old/x.y.z/...

Some people try to access older archive through their original
position.  Help them along.

Add a link to the advisory

Publish security advisory

Update news for new release

mk-notes: slight change to include unreleased stuff from other branches

mk-notes: Find all sections; only print released

mk-notes: Allow 'under development' version

Make news/cl111.txt as well

Update newsflash with pre-announcement for next release

Updates for beta 1 release

Update the release dates according to OMC vote

OMC vote has the following text:

  topic: Push the release of 1.1.1 beta1 (pre3) forward one week

         Reason: we have a number of unreviewed PRs on github marked
         1.1.1 and time is getting short.

         All other current future release dates will be pushed one week as well.
         https://www.openssl.org/policies/releasestrat.html will be updated.
         An official announcement should be made.
  Proposed by Richard Levitte

The votes are 6 +1's, no -1's and one not voted

Give full hash

Add missing blog posts

Address issue 44

Add Travel Reimbursement policy

Include source/old/1.1.1

Add old source directories for 1.1.1

Update for new release

Add 1.1.1 stuff

Remake 'manmaster' into 'newmanpages'

Generalise it with a multi-line macro, as we'll use it for more than
just master.

Update news for new 1.1.1 alpha1 release

Correct signature file name

Update release strategy for 1.1.1

Reviewed-by: Richard Levitte <levitte@openssl.org>
Reviewed-by: Rich Salz <rsalz@openssl.org>
Reviewed-by: Paul Dale <paul.dale@oracle.com>
(Merged from https://github.com/openssl/openssl/pull/41)

Update the git commit links to use the right trees and add some missing
commit links (20160819 to date is complete)

Merge branch 'master' of git.openssl.org:openssl-web

When an issue affects more than one release list the releases latest first

Typo in directory name

Based on discussions with Mitre, over this field that isn't yet defined, but is unlikely
to be machine parsable (looking at all the published ones to date).  They'd like "Fixed in"
and "Affects", so let's give that both in a nice text format for the description and the
vulnerability affects sections.

CVE-2004-0081 was missing the 'fixed in 0.9.6d' line, causing it to not get included on the list of 0.9.6 issues
and fail json validation.

start adding some git commit links for 1.0.2 vulns (where 1.1.0 doesn't have a link or is a very different patch, for now)

Add links to the 1.1.0 branch git commit for every 1.1.0 issue

fix html not noticed on test due to stylesheet

Put the link to the per-version pages on the main page now it all works

Add EOL notes to the vulnerability pages so it's clear they are
no longer getting security updates (which was kind of the point
of doing these extra pages to start with)

Also ignore the new vulnerabilities inc files

Add vulnerability page for each version.  If we did lots of major
releases it might be worth automating this a bit better.  We could
have used a single page with clever javascript to filter the issues
too (but lets not start adding javascript for the sake of it)

Make the per-version vulnerability files.  We could probably do something
clever here to work out all the versions we have releases for.

Link to all-issues page, better detection of "no vulnerabilities" for a given base version

Update mk-cvepage to remain backward compatible for now, but allow generation of a
"per major version" vuln page.  So users of 1.1.0 can if they like just see a page
of issues that were fixed in 1.1.0*

Match lower case severity names in security policy

So we can link directly to severities

Move the git hash links to the respective 'fixed' sections so they show up on the vulnerabilities page

missing closing h3

tabs not spaces

Switch out the vulnerabilities.xsl for python, the differences to the
final page should be ordering (now for a given date in CVE order),
dates don't have suffixes like "1st", and ranges of affected versions
are used instead of listing every affected version

change mind, don't use output dir since we need to know what inc files
we create, so we'll do that as an option later

we use an inc file for vulnerabilities page

The xslt we use to convert the vulnerabilities.xml is clever, but esoteric, so
let's replace it with python instead and that way we can do things like
collapse the "affected" lists, and possibly in the future create multiple
pages (like a page for 1.0.2, 1.0.1 etc)

Add a script to convert our vulnerabilities.xml file to json
as per Mitre CVE JSON format, and validate it.  We'll use this
for submitting our CVE updates to Mitre (and we may use change the
creation of the web site pages to use a similar script in future
as the xslt we currently use is a little esoteric)

Add -project mailing list; -dev is archived

Fix link wrapping issue

Simplify security policy, as per f2f discussion and subsequent OMC vote

ToC is getting large and probably isn't ever used anyway, simplify
so we get more before the break

Fix some bad formatting errors where we had entries with no advisories etc

Update vulnerability database with references for every CVE, either an
advisory, link to PR, or git commit link.  Split out the DTLS issues
from 2009 as the three were not the same (and we can then ensure we
only have one CVE per entry in this file)

Fix advisory url, note which issues need links of some sort

Working on conversion of the xml to Mitre JSON; there are a few
issues that fail validation due to 1) missing affects (fixed)
and 2) missing references.  Some are still missing references
as there was no security advisory and I'll link to the commits
instead over time.