This time, get it right.
[openssl.git] / CHANGES
1
2  OpenSSL CHANGES
3  _______________
4
5
6  Changes between 0.9.1c and 0.9.2
7
8   *) Deal with irritating shit to do with dependencies, in YAAHW (Yet Another
9      Ad Hoc Way) - Makefile.ssls now all contain local dependencies, which
10      can still be regenerated with "make depend".
11      [Ben Laurie]
12
13   *) Spelling mistake in C version of CAST-128.
14      [Ben Laurie, reported by Jeremy Hylton <jeremy@cnri.reston.va.us>]
15
16   *) Changes to the error generation code. The perl script err-code.pl 
17      now reads in the old error codes and retains the old numbers, only
18      adding new ones if necessary. It also only changes the .err files if new
19      codes are added. The makefiles have been modified to only insert errors
20      when needed (to avoid needlessly modifying header files). This is done
21      by only inserting errors if the .err file is newer than the auto generated
22      C file. To rebuild all the error codes from scratch (the old behaviour)
23      either modify crypto/Makefile.ssl to pass the -regen flag to err_code.pl
24      or delete all the .err files.
25
26   *) CAST-128 was incorrectly implemented for short keys. The C version has
27      been fixed, but is untested. The assembler versions are also fixed, but
28      new assembler HAS NOT BEEN GENERATED FOR WIN32 - the Makefile needs fixing
29      to regenerate it if needed.
30      [Ben Laurie, reported (with fix for C version) by Jun-ichiro itojun
31       Hagino <itojun@kame.net>]
32
33   *) File was opened incorrectly in randfile.c.
34      [Ulf Möller <ulf@fitug.de>]
35
36   *) Beginning of support for GeneralizedTime. d2i, i2d, check and print
37      functions. Also ASN1_TIME suite which is a CHOICE of UTCTime or
38      GeneralizedTime. ASN1_TIME is the proper type used in certificates et
39      al: it's just almost always a UTCTime. Note this patch adds new error
40      codes so do a "make errors" if there are problems.
41      [Steve Henson]
42
43   *) Correct Linux 1 recognition in config.
44      [Ulf Möller <ulf@fitug.de>]
45
46   *) Remove pointless MD5 hash when using DSA keys in ca.
47      [Anonymous <nobody@replay.com>]
48
49   *) Generate an error if given an empty string as a cert directory. Also
50      generate an error if handed NULL (previously returned 0 to indicate an
51      error, but didn't set one).
52      [Ben Laurie, reported by Anonymous <nobody@replay.com>]
53
54   *) Add prototypes to SSL methods. Make SSL_write's buffer const, at last.
55      [Ben Laurie]
56
57   *) Fix the dummy function BN_ref_mod_exp() in rsaref.c to have the correct
58      parameters. This was causing a warning which killed off the Win32 compile.
59      [Steve Henson]
60
61   *) Remove C++ style comments from crypto/bn/bn_local.h.
62      [Neil Costigan <neil.costigan@celocom.com>]
63
64   *) The function OBJ_txt2nid was broken. It was supposed to return a nid
65      based on a text string, looking up short and long names and finally
66      "dot" format. The "dot" format stuff didn't work. Added new function
67      OBJ_txt2obj to do the same but return an ASN1_OBJECT and rewrote 
68      OBJ_txt2nid to use it. OBJ_txt2obj can also return objects even if the
69      OID is not part of the table.
70      [Steve Henson]
71
72   *) Add prototypes to X509 lookup/verify methods, fixing a bug in
73      X509_LOOKUP_by_alias().
74      [Ben Laurie]
75
76   *) Sort openssl functions by name.
77      [Ben Laurie]
78
79   *) Get the gendsa program working (hopefully) and add it to app list. Remove
80      encryption from sample DSA keys (in case anyone is interested the password
81      was "1234").
82      [Steve Henson]
83
84   *) Make _all_ *_free functions accept a NULL pointer.
85      [Frans Heymans <fheymans@isaserver.be>]
86
87   *) If a DH key is generated in s3_srvr.c, don't blow it by trying to use
88      NULL pointers.
89      [Anonymous <nobody@replay.com>]
90
91   *) s_server should send the CAfile as acceptable CAs, not its own cert.
92      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
93
94   *) Don't blow it for numeric -newkey arguments to apps/req.
95      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
96
97   *) Temp key "for export" tests were wrong in s3_srvr.c.
98      [Anonymous <nobody@replay.com>]
99
100   *) Add prototype for temp key callback functions
101      SSL_CTX_set_tmp_{rsa,dh}_callback().
102      [Ben Laurie]
103
104   *) Make DH_free() tolerate being passed a NULL pointer (like RSA_free() and
105      DSA_free()). Make X509_PUBKEY_set() check for errors in d2i_PublicKey().
106      [Steve Henson]
107
108   *) X509_name_add_entry() freed the wrong thing after an error.
109      [Arne Ansper <arne@ats.cyber.ee>]
110
111   *) rsa_eay.c would attempt to free a NULL context.
112      [Arne Ansper <arne@ats.cyber.ee>]
113
114   *) BIO_s_socket() had a broken should_retry() on Windoze.
115      [Arne Ansper <arne@ats.cyber.ee>]
116
117   *) BIO_f_buffer() didn't pass on BIO_CTRL_FLUSH.
118      [Arne Ansper <arne@ats.cyber.ee>]
119
120   *) Make sure the already existing X509_STORE->depth variable is initialized
121      in X509_STORE_new(), but document the fact that this variable is still
122      unused in the certificate verification process.
123      [Ralf S. Engelschall]
124
125   *) Fix the various library and apps files to free up pkeys obtained from
126      X509_PUBKEY_get() et al. Also allow x509.c to handle netscape extensions.
127      [Steve Henson]
128
129   *) Fix reference counting in X509_PUBKEY_get(). This makes
130      demos/maurice/example2.c work, amongst others, probably.
131      [Steve Henson and Ben Laurie]
132
133   *) First cut of a cleanup for apps/. First the `ssleay' program is now named
134      `openssl' and second, the shortcut symlinks for the `openssl <command>'
135      are no longer created. This way we have a single and consistent command
136      line interface `openssl <command>', similar to `cvs <command>'.
137      [Ralf S. Engelschall, Paul Sutton and Ben Laurie]
138
139   *) ca.c: move test for DSA keys inside #ifndef NO_DSA. Make pubkey
140      BIT STRING wrapper always have zero unused bits.
141      [Steve Henson]
142
143   *) Add CA.pl, perl version of CA.sh, add extended key usage OID.
144      [Steve Henson]
145
146   *) Make the top-level INSTALL documentation easier to understand.
147      [Paul Sutton]
148
149   *) Makefiles updated to exit if an error occurs in a sub-directory
150      make (including if user presses ^C) [Paul Sutton]
151
152   *) Make Montgomery context stuff explicit in RSA data structure.
153      [Ben Laurie]
154
155   *) Fix build order of pem and err to allow for generated pem.h.
156      [Ben Laurie]
157
158   *) Fix renumbering bug in X509_NAME_delete_entry().
159      [Ben Laurie]
160
161   *) Enhanced the err-ins.pl script so it makes the error library number 
162      global and can add a library name. This is needed for external ASN1 and
163      other error libraries.
164      [Steve Henson]
165
166   *) Fixed sk_insert which never worked properly.
167      [Steve Henson]
168
169   *) Fix ASN1 macros so they can handle indefinite length construted 
170      EXPLICIT tags. Some non standard certificates use these: they can now
171      be read in.
172      [Steve Henson]
173
174   *) Merged the various old/obsolete SSLeay documentation files (doc/xxx.doc)
175      into a single doc/ssleay.txt bundle. This way the information is still
176      preserved but no longer messes up this directory. Now it's new room for
177      the new set of documenation files.
178      [Ralf S. Engelschall]
179
180   *) SETs were incorrectly DER encoded. This was a major pain, because they
181      shared code with SEQUENCEs, which aren't coded the same. This means that
182      almost everything to do with SETs or SEQUENCEs has either changed name or
183      number of arguments.
184      [Ben Laurie, based on a partial fix by GP Jayan <gp@nsj.co.jp>]
185
186   *) Fix test data to work with the above.
187      [Ben Laurie]
188
189   *) Fix the RSA header declarations that hid a bug I fixed in 0.9.0b but
190      was already fixed by Eric for 0.9.1 it seems.
191      [Ben Laurie - pointed out by Ulf Möller <ulf@fitug.de>]
192
193   *) Autodetect FreeBSD3.
194      [Ben Laurie]
195
196   *) Fix various bugs in Configure. This affects the following platforms:
197      nextstep
198      ncr-scde
199      unixware-2.0
200      unixware-2.0-pentium
201      sco5-cc.
202      [Ben Laurie]
203
204   *) Eliminate generated files from CVS. Reorder tests to regenerate files
205      before they are needed.
206      [Ben Laurie]
207
208   *) Generate Makefile.ssl from Makefile.org (to keep CVS happy).
209      [Ben Laurie]
210
211  Changes between 0.9.1b and 0.9.1c
212
213   *) Added OPENSSL_VERSION_NUMBER to crypto/crypto.h and 
214      changed SSLeay to OpenSSL in version strings.
215      [Ralf S. Engelschall]
216   
217   *) Some fixups to the top-level documents.
218      [Paul Sutton]
219
220   *) Fixed the nasty bug where rsaref.h was not found under compile-time
221      because the symlink to include/ was missing.
222      [Ralf S. Engelschall]
223
224   *) Incorporated the popular no-RSA/DSA-only patches 
225      which allow to compile a RSA-free SSLeay.
226      [Andrew Cooke / Interrader Ldt., Ralf S. Engelschall]
227
228   *) Fixed nasty rehash problem under `make -f Makefile.ssl links'
229      when "ssleay" is still not found.
230      [Ralf S. Engelschall]
231
232   *) Added more platforms to Configure: Cray T3E, HPUX 11, 
233      [Ralf S. Engelschall, Beckmann <beckman@acl.lanl.gov>]
234
235   *) Updated the README file.
236      [Ralf S. Engelschall]
237
238   *) Added various .cvsignore files in the CVS repository subdirs
239      to make a "cvs update" really silent.
240      [Ralf S. Engelschall]
241
242   *) Recompiled the error-definition header files and added
243      missing symbols to the Win32 linker tables.
244      [Ralf S. Engelschall]
245
246   *) Cleaned up the top-level documents;
247      o new files: CHANGES and LICENSE
248      o merged VERSION, HISTORY* and README* files a CHANGES.SSLeay 
249      o merged COPYRIGHT into LICENSE
250      o removed obsolete TODO file
251      o renamed MICROSOFT to INSTALL.W32
252      [Ralf S. Engelschall]
253
254   *) Removed dummy files from the 0.9.1b source tree: 
255      crypto/asn1/x crypto/bio/cd crypto/bio/fg crypto/bio/grep crypto/bio/vi
256      crypto/bn/asm/......add.c crypto/bn/asm/a.out crypto/dsa/f crypto/md5/f
257      crypto/pem/gmon.out crypto/perlasm/f crypto/pkcs7/build crypto/rsa/f
258      crypto/sha/asm/f crypto/threads/f ms/zzz ssl/f ssl/f.mak test/f
259      util/f.mak util/pl/f util/pl/f.mak crypto/bf/bf_locl.old apps/f
260      [Ralf S. Engelschall]
261
262   *) Added various platform portability fixes.
263      [Mark J. Cox]
264
265   *) The Genesis of the OpenSSL rpject:
266      We start with the latest (unreleased) SSLeay version 0.9.1b which Eric A.
267      Young and Tim J. Hudson created while they were working for C2Net until
268      summer 1998.
269      [The OpenSSL Project]
270  
271  Changes between 0.9.0b and 0.9.1b
272
273   *) Updated a few CA certificates under certs/
274      [Eric A. Young]
275
276   *) Changed some BIGNUM api stuff.
277      [Eric A. Young]
278
279   *) Various platform ports: OpenBSD, Ultrix, IRIX 64bit, NetBSD, 
280      DGUX x86, Linux Alpha, etc.
281      [Eric A. Young]
282
283   *) New COMP library [crypto/comp/] for SSL Record Layer Compression: 
284      RLE (dummy implemented) and ZLIB (really implemented when ZLIB is
285      available).
286      [Eric A. Young]
287
288   *) Add -strparse option to asn1pars program which parses nested 
289      binary structures 
290      [Dr Stephen Henson <shenson@bigfoot.com>]
291
292   *) Added "oid_file" to ssleay.cnf for "ca" and "req" programs.
293      [Eric A. Young]
294
295   *) DSA fix for "ca" program.
296      [Eric A. Young]
297
298   *) Added "-genkey" option to "dsaparam" program.
299      [Eric A. Young]
300
301   *) Added RIPE MD160 (rmd160) message digest.
302      [Eric A. Young]
303
304   *) Added -a (all) option to "ssleay version" command.
305      [Eric A. Young]
306
307   *) Added PLATFORM define which is the id given to Configure.
308      [Eric A. Young]
309
310   *) Added MemCheck_XXXX functions to crypto/mem.c for memory checking.
311      [Eric A. Young]
312
313   *) Extended the ASN.1 parser routines.
314      [Eric A. Young]
315
316   *) Extended BIO routines to support REUSEADDR, seek, tell, etc.
317      [Eric A. Young]
318
319   *) Added a BN_CTX to the BN library.
320      [Eric A. Young]
321
322   *) Fixed the weak key values in DES library
323      [Eric A. Young]
324
325   *) Changed API in EVP library for cipher aliases.
326      [Eric A. Young]
327
328   *) Added support for RC2/64bit cipher.
329      [Eric A. Young]
330
331   *) Converted the lhash library to the crypto/mem.c functions.
332      [Eric A. Young]
333
334   *) Added more recognized ASN.1 object ids.
335      [Eric A. Young]
336
337   *) Added more RSA padding checks for SSL/TLS.
338      [Eric A. Young]
339
340   *) Added BIO proxy/filter functionality.
341      [Eric A. Young]
342
343   *) Added extra_certs to SSL_CTX which can be used
344      send extra CA certificates to the client in the CA cert chain sending
345      process. It can be configured with SSL_CTX_add_extra_chain_cert().
346      [Eric A. Young]
347
348   *) Now Fortezza is denied in the authentication phase because
349      this is key exchange mechanism is not supported by SSLeay at all.
350      [Eric A. Young]
351
352   *) Additional PKCS1 checks.
353      [Eric A. Young]
354
355   *) Support the string "TLSv1" for all TLS v1 ciphers.
356      [Eric A. Young]
357
358   *) Added function SSL_get_ex_data_X509_STORE_CTX_idx() which gives the
359      ex_data index of the SSL context in the X509_STORE_CTX ex_data.
360      [Eric A. Young]
361
362   *) Fixed a few memory leaks.
363      [Eric A. Young]
364
365   *) Fixed various code and comment typos.
366      [Eric A. Young]
367
368   *) A minor bug in ssl/s3_clnt.c where there would always be 4 0 
369      bytes sent in the client random.
370      [Edward Bishop <ebishop@spyglass.com>]
371