doc: introduce some minimalistic markdown without essential changes
authorDr. Matthias St. Pierre <Matthias.St.Pierre@ncp-e.com>
Thu, 28 Nov 2019 22:10:51 +0000 (23:10 +0100)
committerDr. Matthias St. Pierre <Matthias.St.Pierre@ncp-e.com>
Wed, 26 Feb 2020 20:04:38 +0000 (21:04 +0100)
The goal is to transform the standard documents

    README, INSTALL, SUPPORT, CONTRIBUTING, ...

from a pure text format into markdown format, but in such a way
that the documentation remains nicely formatted an easy readable
when viewed with an normal text editor.

To achieve this goal, we use a special form of 'minimalistic' markdown
which interferes as little as possible with the reading flow.

 * avoid [ATX headings][] and use [setext headings][] instead
   (works for `<h1>` and `<h2>` headings only).
 * avoid [inline links][] and use [reference links][] instead.
 * avoid [fenced code blocks][], use [indented-code-blocks][] instead.

The transformation will take place in several steps. This commit
introduces mostly changes the formatting and does not chang the
content significantly.

[ATX headings]:         https://github.github.com/gfm/#atx-headings
[setext headings]:      https://github.github.com/gfm/#setext-headings
[inline links]:         https://github.github.com/gfm/#inline-link
[reference links]:      https://github.github.com/gfm/#reference-link
[fenced code blocks]:   https://github.github.com/gfm/#fenced-code-blocks
[indented code blocks]: https://github.github.com/gfm/#indented-code-blocks

Reviewed-by: Tomas Mraz <tmraz@fedoraproject.org>
(Merged from https://github.com/openssl/openssl/pull/10545)

ACKNOWLEDGEMENTS.md
AUTHORS.md
CHANGES.md
CONTRIBUTING.md
FAQ.md
NEWS.md
README.md

index d21dccb..baf7743 100644 (file)
@@ -1,2 +1,8 @@
-Please https://www.openssl.org/community/thanks.html for the current
-acknowledgements.
+Acknowlegements
+===============
+
+Please see our [Thanks!][] page for the current acknowledgements.
+
+
+[Thanks!]: https://www.openssl.org/community/thanks.html
+
index ac93b2e..e9ff544 100644 (file)
@@ -1,35 +1,46 @@
-# This is the list of OpenSSL authors for copyright purposes.
-#
-# This does not necessarily list everyone who has contributed code, since in
-# some cases, their employer may be the copyright holder.  To see the full list
-# of contributors, see the revision history in source control.
-OpenSSL Software Services, Inc.
-OpenSSL Software Foundation, Inc.
+Authors
+=======
 
-# Individuals
-Andy Polyakov
-Ben Laurie
-Ben Kaduk
-Bernd Edlinger
-Bodo Möller
-David Benjamin
-Emilia Käsper
-Eric Young
-Geoff Thorpe
-Holger Reif
-Kurt Roeckx
-Lutz Jänicke
-Mark J. Cox
-Matt Caswell
-Matthias St. Pierre
-Nils Larsch
-Paul Dale
-Paul C. Sutton
-Ralf S. Engelschall
-Rich Salz
-Richard Levitte
-Stephen Henson
-Steve Marquess
-Tim Hudson
-Ulf Möller
-Viktor Dukhovni
+This is the list of OpenSSL authors for copyright purposes.
+It does not necessarily list everyone who has contributed code,
+since in some cases, their employer may be the copyright holder.
+To see the full list of contributors, see the revision history in
+source control.
+
+
+Groups
+------
+
+ *  OpenSSL Software Services, Inc.
+ *  OpenSSL Software Foundation, Inc.
+
+
+Individuals
+-----------
+
+ *  Andy Polyakov
+ *  Ben Laurie
+ *  Ben Kaduk
+ *  Bernd Edlinger
+ *  Bodo Möller
+ *  David Benjamin
+ *  Emilia Käsper
+ *  Eric Young
+ *  Geoff Thorpe
+ *  Holger Reif
+ *  Kurt Roeckx
+ *  Lutz Jänicke
+ *  Mark J. Cox
+ *  Matt Caswell
+ *  Matthias St. Pierre
+ *  Nils Larsch
+ *  Paul Dale
+ *  Paul C. Sutton
+ *  Ralf S. Engelschall
+ *  Rich Salz
+ *  Richard Levitte
+ *  Stephen Henson
+ *  Steve Marquess
+ *  Tim Hudson
+ *  Ulf Möller
+ *  Viktor Dukhovni
index ee4d953..dcc89f0 100644 (file)
 
- OpenSSL CHANGES
- _______________
-
- This is a high-level summary of the most important changes.
- For a full list of changes, see the git commit log; for example,
- https://github.com/openssl/openssl/commits/ and pick the appropriate
- release branch.
-
- Changes between 1.1.1 and 3.0.0 [xx XXX xxxx]
-
-  *) The test suite is changed to preserve results of each test recipe.
-     A new directory test-runs/ with subdirectories named like the
-     test recipes are created in the build tree for this purpose.
-     [Richard Levitte]
-
-  *) The command line utilities ecparam and ec have been deprecated.  Instead
-     use the pkeyparam, pkey and genpkey programs.
-     [Paul Dale]
-
-  *) All of the low level RSA functions have been deprecated including:
-
-     RSA_new_method, RSA_bits, RSA_size, RSA_security_bits,
-     RSA_get0_pss_params, RSA_get_version, RSA_get0_engine,
-     RSA_generate_key_ex, RSA_generate_multi_prime_key,
-     RSA_X931_derive_ex, RSA_X931_generate_key_ex, RSA_check_key,
-     RSA_check_key_ex, RSA_public_encrypt, RSA_private_encrypt,
-     RSA_public_decrypt, RSA_private_decrypt, RSA_set_default_method,
-     RSA_get_default_method, RSA_null_method, RSA_get_method, RSA_set_method,
-     RSA_PKCS1_OpenSSL, RSA_print_fp, RSA_print, RSA_sign, RSA_verify,
-     RSA_sign_ASN1_OCTET_STRING, RSA_verify_ASN1_OCTET_STRING,
-     RSA_blinding_on, RSA_blinding_off, RSA_setup_blinding,
-     RSA_padding_add_PKCS1_type_1, RSA_padding_check_PKCS1_type_1,
-     RSA_padding_add_PKCS1_type_2, RSA_padding_check_PKCS1_type_2,
-     PKCS1_MGF1, RSA_padding_add_PKCS1_OAEP, RSA_padding_check_PKCS1_OAEP,
-     RSA_padding_add_PKCS1_OAEP_mgf1, RSA_padding_check_PKCS1_OAEP_mgf1,
-     RSA_padding_add_SSLv23, RSA_padding_check_SSLv23,
-     RSA_padding_add_none, RSA_padding_check_none, RSA_padding_add_X931,
-     RSA_padding_check_X931, RSA_X931_hash_id, RSA_verify_PKCS1_PSS,
-     RSA_padding_add_PKCS1_PSS, RSA_verify_PKCS1_PSS_mgf1,
-     RSA_padding_add_PKCS1_PSS_mgf1, RSA_set_ex_data, RSA_get_ex_data,
-     RSA_meth_new, RSA_meth_free, RSA_meth_dup, RSA_meth_get0_name,
-     RSA_meth_set1_name, RSA_meth_get_flags, RSA_meth_set_flags,
-     RSA_meth_get0_app_data, RSA_meth_set0_app_data, RSA_meth_get_pub_enc,
-     RSA_meth_set_pub_enc, RSA_meth_get_pub_dec, RSA_meth_set_pub_dec,
-     RSA_meth_get_priv_enc, RSA_meth_set_priv_enc, RSA_meth_get_priv_dec,
-     RSA_meth_set_priv_dec, RSA_meth_get_mod_exp, RSA_meth_set_mod_exp,
-     RSA_meth_get_bn_mod_exp, RSA_meth_set_bn_mod_exp, RSA_meth_get_init,
-     RSA_meth_set_init, RSA_meth_get_finish, RSA_meth_set_finish,
-     RSA_meth_get_sign, RSA_meth_set_sign, RSA_meth_get_verify,
-     RSA_meth_set_verify, RSA_meth_get_keygen, RSA_meth_set_keygen,
-     RSA_meth_get_multi_prime_keygen and RSA_meth_set_multi_prime_keygen.
-
-     Use of these low level functions has been informally discouraged for a long
-     time.  Instead applications should use L<EVP_PKEY_encrypt_init(3)>,
-     L<EVP_PKEY_encrypt(3)>, L<EVP_PKEY_decrypt_init(3)> and
-     L<EVP_PKEY_decrypt(3)>.
-     [Paul Dale]
-
-  *) X509 certificates signed using SHA1 are no longer allowed at security
-     level 1 and above.
-     In TLS/SSL the default security level is 1. It can be set either
-     using the cipher string with @SECLEVEL, or calling
-     SSL_CTX_set_security_level(). If the leaf certificate is signed with SHA-1,
-     a call to SSL_CTX_use_certificate() will fail if the security level is not
-     lowered first.
-     Outside TLS/SSL, the default security level is -1 (effectively 0). It can
-     be set using X509_VERIFY_PARAM_set_auth_level() or using the -auth_level
-     options of the apps.
-     [Kurt Roeckx]
-
-  *) The command line utilities dhparam, dsa, gendsa and dsaparam have been
-     deprecated.  Instead use the pkeyparam, pkey, genpkey and pkeyparam
-     programs respectively.
-     [Paul Dale]
-
-  *) All of the low level DH functions have been deprecated including:
-
-     DH_OpenSSL, DH_set_default_method, DH_get_default_method, DH_set_method,
-     DH_new_method, DH_bits, DH_size, DH_security_bits, DH_get_ex_new_index,
-     DH_set_ex_data, DH_get_ex_data, DH_generate_parameters_ex,
-     DH_check_params_ex, DH_check_ex, DH_check_pub_key_ex,
-     DH_check, DH_check_pub_key, DH_generate_key, DH_compute_key,
-     DH_compute_key_padded, DHparams_print_fp, DHparams_print, DH_get_nid,
-     DH_KDF_X9_42, DH_get0_engine, DH_get_length, DH_set_length, DH_meth_new,
-     DH_meth_free, DH_meth_dup, DH_meth_get0_name, DH_meth_set1_name,
-     DH_meth_get_flags, DH_meth_set_flags, DH_meth_get0_app_data,
-     DH_meth_set0_app_data, DH_meth_get_generate_key,
-     DH_meth_set_generate_key, DH_meth_get_compute_key,
-     DH_meth_set_compute_key, DH_meth_get_bn_mod_exp,
-     DH_meth_set_bn_mod_exp, DH_meth_get_init, DH_meth_set_init,
-     DH_meth_get_finish, DH_meth_set_finish, DH_meth_get_generate_params
-     and DH_meth_set_generate_params.
-
-     Use of these low level functions has been informally discouraged for a long
-     time.  Instead applications should use L<EVP_PKEY_derive_init(3)>
-     and L<EVP_PKEY_derive(3)>.
-     [Paul Dale]
-
-  *) All of the low level DSA functions have been deprecated including:
-
-     DSA_do_sign, DSA_do_verify, DSA_OpenSSL, DSA_set_default_method,
-     DSA_get_default_method, DSA_set_method, DSA_get_method, DSA_new_method,
-     DSA_sign_setup, DSA_sign, DSA_verify, DSA_get_ex_new_index,
-     DSA_set_ex_data, DSA_get_ex_data, DSA_generate_parameters_ex,
-     DSA_generate_key, DSA_meth_new, DSA_get0_engine, DSA_meth_free,
-     DSA_meth_dup, DSA_meth_get0_name, DSA_meth_set1_name, DSA_meth_get_flags,
-     DSA_meth_set_flags, DSA_meth_get0_app_data, DSA_meth_set0_app_data,
-     DSA_meth_get_sign, DSA_meth_set_sign, DSA_meth_get_sign_setup,
-     DSA_meth_set_sign_setup, DSA_meth_get_verify, DSA_meth_set_verify,
-     DSA_meth_get_mod_exp, DSA_meth_set_mod_exp, DSA_meth_get_bn_mod_exp,
-     DSA_meth_set_bn_mod_exp, DSA_meth_get_init, DSA_meth_set_init,
-     DSA_meth_get_finish, DSA_meth_set_finish, DSA_meth_get_paramgen,
-     DSA_meth_set_paramgen, DSA_meth_get_keygen and DSA_meth_set_keygen.
-
-     Use of these low level functions has been informally discouraged for a long
-     time.  Instead applications should use L<EVP_DigestSignInit_ex(3)>,
-     L<EVP_DigestSignUpdate(3)> and L<EVP_DigestSignFinal(3)>.
-     [Paul Dale]
-
-  *) Reworked the treatment of EC EVP_PKEYs with the SM2 curve to
-     automatically become EVP_PKEY_SM2 rather than EVP_PKEY_EC.
-     This means that applications don't have to look at the curve NID and
-     'EVP_PKEY_set_alias_type(pkey, EVP_PKEY_SM2)' to get SM2 computations.
-     However, they still can, that EVP_PKEY_set_alias_type() call acts as
-     a no-op when the EVP_PKEY is already of the given type.
-
-     Parameter and key generation is also reworked to make it possible
-     to generate EVP_PKEY_SM2 parameters and keys without having to go
-     through EVP_PKEY_EC generation and then change the EVP_PKEY type.
-     However, code that does the latter will still work as before.
-     [Richard Levitte]
-
-  *) Deprecated low level ECDH and ECDSA functions.  These include:
-
-     ECDH_compute_key, ECDSA_do_sign, ECDSA_do_sign_ex, ECDSA_do_verify,
-     ECDSA_sign_setup, ECDSA_sign, ECDSA_sign_ex, ECDSA_verify and
-     ECDSA_size.
-
-     Use of these low level functions has been informally discouraged for a long
-     time.  Instead applications should use the EVP_PKEY_derive(3),
-     EVP_DigestSign(3) and EVP_DigestVerify(3) functions.
-     [Paul Dale]
-
-  *) Deprecated the EC_KEY_METHOD functions.  These include:
-
-     EC_KEY_METHOD_new, EC_KEY_METHOD_free, EC_KEY_METHOD_set_init,
-     EC_KEY_METHOD_set_keygen, EC_KEY_METHOD_set_compute_key,
-     EC_KEY_METHOD_set_sign, EC_KEY_METHOD_set_verify,
-     EC_KEY_METHOD_get_init, EC_KEY_METHOD_get_keygen,
-     EC_KEY_METHOD_get_compute_key, EC_KEY_METHOD_get_sign and
-     EC_KEY_METHOD_get_verify.
-
-     Instead applications and extension writers should use the OSSL_PROVIDER
-     APIs.
-     [Paul Dale]
-
-  *) Deprecated EVP_PKEY_decrypt_old(), please use EVP_PKEY_decrypt_init()
-     and EVP_PKEY_decrypt() instead.
-     Deprecated EVP_PKEY_encrypt_old(), please use EVP_PKEY_encrypt_init()
-     and EVP_PKEY_encrypt() instead.
-     [Richard Levitte]
-
-  *) Enhanced the documentation of EVP_PKEY_size(), EVP_PKEY_bits()
-     and EVP_PKEY_security_bits().  Especially EVP_PKEY_size() needed
-     a new formulation to include all the things it can be used for,
-     as well as words of caution.
-     [Richard Levitte]
-
-  *) The SSL_CTX_set_tlsext_ticket_key_cb(3) function has been deprecated.
-     Instead used the new SSL_CTX_set_tlsext_ticket_key_evp_cb(3) function.
-     [Paul Dale]
-
-  *) All of the low level HMAC functions have been deprecated including:
-     HMAC, HMAC_size, HMAC_CTX_new, HMAC_CTX_reset, HMAC_CTX_free,
-     HMAC_Init_ex, HMAC_Update, HMAC_Final, HMAC_CTX_copy, HMAC_CTX_set_flags
-     and HMAC_CTX_get_md.
-     Use of these low level functions has been informally discouraged for a long
-     time.  Instead applications should use L<EVP_MAC_CTX_new(3)>,
-     L<EVP_MAC_CTX_free(3)>, L<EVP_MAC_init(3)>, L<EVP_MAC_update(3)>
-     and L<EVP_MAC_final(3)>.
-     [Paul Dale]
-
-  *) All of the low level CMAC functions have been deprecated including:
-     CMAC_CTX_new, CMAC_CTX_cleanup, CMAC_CTX_free, CMAC_CTX_get0_cipher_ctx,
-     CMAC_CTX_copy, CMAC_Init, CMAC_Update, CMAC_Final and CMAC_resume.
-     Use of these low level functions has been informally discouraged for a long
-     time.  Instead applications should use L<EVP_MAC_CTX_new(3)>,
-     L<EVP_MAC_CTX_free(3)>, L<EVP_MAC_init(3)>, L<EVP_MAC_update(3)>
-     and L<EVP_MAC_final(3)>.
-     [Paul Dale]
-
-  *) Over two thousand fixes were made to the documentation, including:
-     - Common options (such as -rand/-writerand, TLS version control, etc)
-       were refactored and point to newly-enhanced descriptions in openssl.pod.
-     - Added style conformance for all options (with help from Richard Levitte),
-       documented all reported missing options, added a CI build to check
-       that all options are documented and that no unimplemented options
-       are documented.
-     - Documented some internals, such as all use of environment variables.
-     - Addressed all internal broken L<> references.
-     [Rich Salz]
-
-  *) All of the low level MD2, MD4, MD5, MDC2, RIPEMD160, SHA1, SHA224, SHA256,
-     SHA384, SHA512 and Whirlpool digest functions have been deprecated.
-     These include:
-
-     MD2, MD2_options, MD2_Init, MD2_Update, MD2_Final, MD4, MD4_Init,
-     MD4_Update, MD4_Final, MD4_Transform, MD5, MD5_Init, MD5_Update,
-     MD5_Final, MD5_Transform, MDC2, MDC2_Init, MDC2_Update, MDC2_Final,
-     RIPEMD160, RIPEMD160_Init, RIPEMD160_Update, RIPEMD160_Final,
-     RIPEMD160_Transform, SHA1_Init, SHA1_Update, SHA1_Final, SHA1_Transform,
-     SHA224_Init, SHA224_Update, SHA224_Final, SHA224_Transform, SHA256_Init,
-     SHA256_Update, SHA256_Final, SHA256_Transform, SHA384, SHA384_Init,
-     SHA384_Update, SHA384_Final, SHA512, SHA512_Init, SHA512_Update,
-     SHA512_Final, SHA512_Transform, WHIRLPOOL, WHIRLPOOL_Init,
-     WHIRLPOOL_Update, WHIRLPOOL_BitUpdate and WHIRLPOOL_Final.
-
-     Use of these low level functions has been informally discouraged
-     for a long time.  Applications should use the EVP_DigestInit_ex(3),
-     EVP_DigestUpdate(3) and EVP_DigestFinal_ex(3) functions instead.
-     [Paul Dale]
-
-  *) Corrected the documentation of the return values from the EVP_DigestSign*
-     set of functions.  The documentation mentioned negative values for some
-     errors, but this was never the case, so the mention of negative values
-     was removed.
-
-     Code that followed the documentation and thereby check with something
-     like 'EVP_DigestSignInit(...) <= 0' will continue to work undisturbed.
-     [Richard Levitte]
-
-  *) All of the low level cipher functions have been deprecated including:
-
-     AES_options, AES_set_encrypt_key, AES_set_decrypt_key, AES_encrypt,
-     AES_decrypt, AES_ecb_encrypt, AES_cbc_encrypt, AES_cfb128_encrypt,
-     AES_cfb1_encrypt, AES_cfb8_encrypt, AES_ofb128_encrypt,
-     AES_wrap_key, AES_unwrap_key, BF_set_key, BF_encrypt, BF_decrypt,
-     BF_ecb_encrypt, BF_cbc_encrypt, BF_cfb64_encrypt, BF_ofb64_encrypt,
-     BF_options, Camellia_set_key, Camellia_encrypt, Camellia_decrypt,
-     Camellia_ecb_encrypt, Camellia_cbc_encrypt, Camellia_cfb128_encrypt,
-     Camellia_cfb1_encrypt, Camellia_cfb8_encrypt, Camellia_ofb128_encrypt,
-     Camellia_ctr128_encrypt, CAST_set_key, CAST_encrypt, CAST_decrypt,
-     CAST_ecb_encrypt, CAST_cbc_encrypt, CAST_cfb64_encrypt,
-     CAST_ofb64_encrypt, DES_options, DES_encrypt1, DES_encrypt2,
-     DES_encrypt3, DES_decrypt3, DES_cbc_encrypt, DES_ncbc_encrypt,
-     DES_pcbc_encrypt, DES_xcbc_encrypt, DES_cfb_encrypt, DES_cfb64_encrypt,
-     DES_ecb_encrypt, DES_ofb_encrypt, DES_ofb64_encrypt, DES_random_key,
-     DES_set_odd_parity, DES_check_key_parity, DES_is_weak_key, DES_set_key,
-     DES_key_sched, DES_set_key_checked, DES_set_key_unchecked,
-     DES_string_to_key, DES_string_to_2keys, DES_fixup_key_parity,
-     DES_ecb2_encrypt, DES_ede2_cbc_encrypt, DES_ede2_cfb64_encrypt,
-     DES_ede2_ofb64_encrypt, DES_ecb3_encrypt, DES_ede3_cbc_encrypt,
-     DES_ede3_cfb64_encrypt, DES_ede3_cfb_encrypt, DES_ede3_ofb64_encrypt,
-     DES_cbc_cksum, DES_quad_cksum, IDEA_encrypt, IDEA_options,
-     IDEA_ecb_encrypt, IDEA_set_encrypt_key, IDEA_set_decrypt_key,
-     IDEA_cbc_encrypt, IDEA_cfb64_encrypt, IDEA_ofb64_encrypt, RC2_set_key,
-     RC2_encrypt, RC2_decrypt, RC2_ecb_encrypt, RC2_cbc_encrypt,
-     RC2_cfb64_encrypt, RC2_ofb64_encrypt, RC4, RC4_options, RC4_set_key,
-     RC5_32_set_key, RC5_32_encrypt, RC5_32_decrypt, RC5_32_ecb_encrypt,
-     RC5_32_cbc_encrypt, RC5_32_cfb64_encrypt, RC5_32_ofb64_encrypt,
-     SEED_set_key, SEED_encrypt, SEED_decrypt, SEED_ecb_encrypt,
-     SEED_cbc_encrypt, SEED_cfb128_encrypt and SEED_ofb128_encrypt.
-
-     Use of these low level functions has been informally discouraged for
-     a long time. Applications should use the high level EVP APIs, e.g.
-     EVP_EncryptInit_ex, EVP_EncryptUpdate, EVP_EncryptFinal_ex, and the
-     equivalently named decrypt functions instead.
-     [Matt Caswell and Paul Dale]
-
-  *) Removed include/openssl/opensslconf.h.in and replaced it with
-     include/openssl/configuration.h.in, which differs in not including
-     <openssl/macros.h>.  A short header include/openssl/opensslconf.h
-     was added to include both.
-
-     This allows internal hacks where one might need to modify the set
-     of configured macros, for example this if deprecated symbols are
-     still supposed to be available internally:
-
-         #include <openssl/configuration.h>
-
-         #undef OPENSSL_NO_DEPRECATED
-         #define OPENSSL_SUPPRESS_DEPRECATED
-
-         #include <openssl/macros.h>
-
-     This should not be used by applications that use the exported
-     symbols, as that will lead to linking errors.
-     [Richard Levitte]
-
-  *) Fixed an an overflow bug in the x64_64 Montgomery squaring procedure
-     used in exponentiation with 512-bit moduli. No EC algorithms are
-     affected. Analysis suggests that attacks against 2-prime RSA1024,
-     3-prime RSA1536, and DSA1024 as a result of this defect would be very
-     difficult to perform and are not believed likely. Attacks against DH512
-     are considered just feasible. However, for an attack the target would
-     have to re-use the DH512 private key, which is not recommended anyway.
-     Also applications directly using the low level API BN_mod_exp may be
-     affected if they use BN_FLG_CONSTTIME.
-     (CVE-2019-1551)
-     [Andy Polyakov]
-
-  *) Most memory-debug features have been deprecated, and the functionality
-     replaced with no-ops.
-     [Rich Salz]
-
-  *) Introduced a new method type and API, OSSL_SERIALIZER, to
-     represent generic serializers.  An implementation is expected to
-     be able to serialize an object associated with a given name (such
-     as an algorithm name for an asymmetric key) into forms given by
-     implementation properties.
-
-     Serializers are primarily used from inside libcrypto, through
-     calls to functions like EVP_PKEY_print_private(),
-     PEM_write_bio_PrivateKey() and similar.
-
-     Serializers are specified in such a way that they can be made to
-     directly handle the provider side portion of an object, if this
-     provider side part comes from the same provider as the serializer
-     itself, but can also be made to handle objects in parametrized
-     form (as an OSSL_PARAM array of data).  This allows a provider to
-     offer generic serializers as a service for any other provider.
-     [Richard Levitte]
-
-  *) Added a .pragma directive to the syntax of configuration files, to
-     allow varying behavior in a supported and predictable manner.
-     Currently added pragma:
-
-     .pragma dollarid:on
-
-     This allows dollar signs to be a keyword character unless it's
-     followed by a opening brace or parenthesis.  This is useful for
-     platforms where dollar signs are commonly used in names, such as
-     volume names and system directory names on VMS.
-     [Richard Levitte]
-
-  *) Added functionality to create an EVP_PKEY from user data.  This
-     is effectively the same as creating a RSA, DH or DSA object and
-     then assigning them to an EVP_PKEY, but directly using algorithm
-     agnostic EVP functions.  A benefit is that this should be future
-     proof for public key algorithms to come.
-     [Richard Levitte]
-
-  *) Change the interpretation of the '--api' configuration option to
-     mean that this is a desired API compatibility level with no
-     further meaning.  The previous interpretation, that this would
-     also mean to remove all deprecated symbols up to and including
-     the given version, no requires that 'no-deprecated' is also used
-     in the configuration.
-
-     When building applications, the desired API compatibility level
-     can be set with the OPENSSL_API_COMPAT macro like before.  For
-     API compatibility version below 3.0, the old style numerical
-     value is valid as before, such as -DOPENSSL_API_COMPAT=0x10100000L.
-     For version 3.0 and on, the value is expected to be the decimal
-     value calculated from the major and minor version like this:
-
-         MAJOR * 10000 + MINOR * 100
-
-     Examples:
-
-         -DOPENSSL_API_COMPAT=30000             For 3.0
-         -DOPENSSL_API_COMPAT=30200             For 3.2
-
-     To hide declarations that are deprecated up to and including the
-     given API compatibility level, -DOPENSSL_NO_DEPRECATED must be
-     given when building the application as well.
-     [Richard Levitte]
-
-  *) Added the X509_LOOKUP_METHOD called X509_LOOKUP_store, to allow
-     access to certificate and CRL stores via URIs and OSSL_STORE
-     loaders.
-
-     This adds the following functions:
-
-     X509_LOOKUP_store()
-     X509_STORE_load_file()
-     X509_STORE_load_path()
-     X509_STORE_load_store()
-     SSL_add_store_cert_subjects_to_stack()
-     SSL_CTX_set_default_verify_store()
-     SSL_CTX_load_verify_file()
-     SSL_CTX_load_verify_dir()
-     SSL_CTX_load_verify_store()
-
-     Also, the following functions are now deprecated:
-
-     - X509_STORE_load_locations() (use X509_STORE_load_file(),
-       X509_STORE_load_path() or X509_STORE_load_store() instead)
-     - SSL_CTX_load_verify_locations() (use SSL_CTX_load_verify_file(),
-       SSL_CTX_load_verify_dir() or SSL_CTX_load_verify_store() instead)
-     [Richard Levitte]
-
-  *) Added a new method to gather entropy on VMS, based on SYS$GET_ENTROPY.
-     The presence of this system service is determined at run-time.
-     [Richard Levitte]
-
-  *) Added functionality to create an EVP_PKEY context based on data
-     for methods from providers.  This takes an algorithm name and a
-     property query string and simply stores them, with the intent
-     that any operation that uses this context will use those strings
-     to fetch the needed methods implicitly, thereby making the port
-     of application written for pre-3.0 OpenSSL easier.
-     [Richard Levitte]
-
-  *) The undocumented function NCONF_WIN32() has been deprecated; for
-     conversion details see the HISTORY section of doc/man5/config.pod
-     [Rich Salz]
-
-  *) Introduced the new functions EVP_DigestSignInit_ex() and
-     EVP_DigestVerifyInit_ex(). The macros EVP_DigestSignUpdate() and
-     EVP_DigestVerifyUpdate() have been converted to functions. See the man
-     pages for further details.
-     [Matt Caswell]
-
-  *) s390x assembly pack: add hardware-support for P-256, P-384, P-521,
-     X25519, X448, Ed25519 and Ed448.
-     [Patrick Steuer]
-
-  *) Print all values for a PKCS#12 attribute with 'openssl pkcs12', not just
-     the first value.
-     [Jon Spillett]
-
-  *) Deprecated the public definition of ERR_STATE as well as the function
-     ERR_get_state().  This is done in preparation of making ERR_STATE an
-     opaque type.
-     [Richard Levitte]
-
-  *) Added ERR functionality to give callers access to the stored function
-     names that have replaced the older function code based functions.
-
-     New functions are ERR_get_error_func(), ERR_peek_error_func(),
-     ERR_peek_last_error_func(), ERR_get_error_data(), ERR_peek_error_data(),
-     ERR_peek_last_error_data(), ERR_get_error_all(), ERR_peek_error_all()
-     and ERR_peek_last_error_all().
-
-     These functions have become deprecated: ERR_get_error_line_data(),
-     ERR_peek_error_line_data(), ERR_peek_last_error_line_data() and
-     ERR_func_error_string().
-     [Richard Levitte]
-
-  *) Extended testing to be verbose for failing tests only.  The make variables
-     VERBOSE_FAILURE or VF can be used to enable this:
-
-     $ make VF=1 test                                   # Unix
-     $ mms /macro=(VF=1) test                           ! OpenVMS
-     $ nmake VF=1 test                                  # Windows
-
-     [Richard Levitte]
-
-  *) For built-in EC curves, ensure an EC_GROUP built from the curve name is
-     used even when parsing explicit parameters, when loading a serialized key
-     or calling `EC_GROUP_new_from_ecpkparameters()`/
-     `EC_GROUP_new_from_ecparameters()`.
-     This prevents bypass of security hardening and performance gains,
-     especially for curves with specialized EC_METHODs.
-     By default, if a key encoded with explicit parameters is loaded and later
-     serialized, the output is still encoded with explicit parameters, even if
-     internally a "named" EC_GROUP is used for computation.
-     [Nicola Tuveri]
-
-  *) Compute ECC cofactors if not provided during EC_GROUP construction. Before
-     this change, EC_GROUP_set_generator would accept order and/or cofactor as
-     NULL. After this change, only the cofactor parameter can be NULL. It also
-     does some minimal sanity checks on the passed order.
-     (CVE-2019-1547)
-     [Billy Bob Brumley]
-
-  *) Fixed a padding oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey.
-     An attack is simple, if the first CMS_recipientInfo is valid but the
-     second CMS_recipientInfo is chosen ciphertext. If the second
-     recipientInfo decodes to PKCS #1 v1.5 form plaintext, the correct
-     encryption key will be replaced by garbage, and the message cannot be
-     decoded, but if the RSA decryption fails, the correct encryption key is
-     used and the recipient will not notice the attack.
-     As a work around for this potential attack the length of the decrypted
-     key must be equal to the cipher default key length, in case the
-     certifiate is not given and all recipientInfo are tried out.
-     The old behaviour can be re-enabled in the CMS code by setting the
-     CMS_DEBUG_DECRYPT flag.
-     [Bernd Edlinger]
-
-  *) Early start up entropy quality from the DEVRANDOM seed source has been
-     improved for older Linux systems.  The RAND subsystem will wait for
-     /dev/random to be producing output before seeding from /dev/urandom.
-     The seeded state is stored for future library initialisations using
-     a system global shared memory segment.  The shared memory identifier
-     can be configured by defining OPENSSL_RAND_SEED_DEVRANDOM_SHM_ID to
-     the desired value.  The default identifier is 114.
-     [Paul Dale]
-
-  *) Revised BN_generate_prime_ex to not avoid factors 2..17863 in p-1
-     when primes for RSA keys are computed.
-     Since we previously always generated primes == 2 (mod 3) for RSA keys,
-     the 2-prime and 3-prime RSA modules were easy to distinguish, since
-     N = p*q = 1 (mod 3), but N = p*q*r = 2 (mod 3). Therefore fingerprinting
-     2-prime vs. 3-prime RSA keys was possible by computing N mod 3.
-     This avoids possible fingerprinting of newly generated RSA modules.
-     [Bernd Edlinger]
-
-  *) Correct the extended master secret constant on EBCDIC systems. Without this
-     fix TLS connections between an EBCDIC system and a non-EBCDIC system that
-     negotiate EMS will fail. Unfortunately this also means that TLS connections
-     between EBCDIC systems with this fix, and EBCDIC systems without this
-     fix will fail if they negotiate EMS.
-     [Matt Caswell]
-
-  *) Changed the library initialisation so that the config file is now loaded
-     by default. This was already the case for libssl. It now occurs for both
-     libcrypto and libssl. Use the OPENSSL_INIT_NO_LOAD_CONFIG option to
-     OPENSSL_init_crypto() to suppress automatic loading of a config file.
-     [Matt Caswell]
-
-  *) Introduced new error raising macros, ERR_raise() and ERR_raise_data(),
-     where the former acts as a replacement for ERR_put_error(), and the
-     latter replaces the combination ERR_put_error()+ERR_add_error_data().
-     ERR_raise_data() adds more flexibility by taking a format string and
-     an arbitrary number of arguments following it, to be processed with
-     BIO_snprintf().
-     [Richard Levitte]
-
-  *) Introduced a new function, OSSL_PROVIDER_available(), which can be used
-     to check if a named provider is loaded and available.  When called, it
-     will also activate all fallback providers if such are still present.
-     [Richard Levitte]
-
-  *) Enforce a minimum DH modulus size of 512 bits.
-     [Bernd Edlinger]
-
-  *) Changed DH parameters to generate the order q subgroup instead of 2q.
-     Previously generated DH parameters are still accepted by DH_check
-     but DH_generate_key works around that by clearing bit 0 of the
-     private key for those. This avoids leaking bit 0 of the private key.
-     [Bernd Edlinger]
-
-  *) Significantly reduce secure memory usage by the randomness pools.
-     [Paul Dale]
-
-  *) {CRYPTO,OPENSSL}_mem_debug_{push,pop} are now no-ops and have been
-     deprecated.
-     [Rich Salz]
-
-  *) A new type, EVP_KEYEXCH, has been introduced to represent key exchange
-     algorithms. An implementation of a key exchange algorithm can be obtained
-     by using the function EVP_KEYEXCH_fetch(). An EVP_KEYEXCH algorithm can be
-     used in a call to EVP_PKEY_derive_init_ex() which works in a similar way to
-     the older EVP_PKEY_derive_init() function. See the man pages for the new
-     functions for further details.
-     [Matt Caswell]
-
-  *) The EVP_PKEY_CTX_set_dh_pad() macro has now been converted to a function.
-     [Matt Caswell]
-
-  *) Removed the function names from error messages and deprecated the
-     xxx_F_xxx define's.
-
-  *) Removed NextStep support and the macro OPENSSL_UNISTD
-     [Rich Salz]
-
-  *) Removed DES_check_key.  Also removed OPENSSL_IMPLEMENT_GLOBAL,
-     OPENSSL_GLOBAL_REF, OPENSSL_DECLARE_GLOBAL.
-     Also removed "export var as function" capability; we do not export
-     variables, only functions.
-     [Rich Salz]
-
-  *) RC5_32_set_key has been changed to return an int type, with 0 indicating
-     an error and 1 indicating success. In previous versions of OpenSSL this
-     was a void type. If a key was set longer than the maximum possible this
-     would crash.
-     [Matt Caswell]
-
-  *) Support SM2 signing and verification schemes with X509 certificate.
-     [Paul Yang]
-
-  *) Use SHA256 as the default digest for TS query in the ts app.
-     [Tomas Mraz]
-
-  *) Change PBKDF2 to conform to SP800-132 instead of the older PKCS5 RFC2898.
-     This checks that the salt length is at least 128 bits, the derived key
-     length is at least 112 bits, and that the iteration count is at least 1000.
-     For backwards compatibility these checks are disabled by default in the
-     default provider, but are enabled by default in the fips provider.
-     To enable or disable these checks use the control
-     EVP_KDF_CTRL_SET_PBKDF2_PKCS5_MODE.
-     [Shane Lontis]
-
-  *) Default cipher lists/suites are now available via a function, the
-     #defines are deprecated.
-     [Todd Short]
-
-  *) Add target VC-WIN32-UWP, VC-WIN64A-UWP, VC-WIN32-ARM-UWP and
-     VC-WIN64-ARM-UWP in Windows OneCore target for making building libraries
-     for Windows Store apps easier. Also, the "no-uplink" option has been added.
-     [Kenji Mouri]
-
-  *) Join the directories crypto/x509 and crypto/x509v3
-     [Richard Levitte]
-
-  *) Change the default RSA, DSA and DH size to 2048 bit instead of 1024.
-     This changes the size when using the genpkey app when no size is given. It
-     fixes an omission in earlier changes that changed all RSA, DSA and DH
-     generation apps to use 2048 bits by default.
-     [Kurt Roeckx]
-
-  *) Added command 'openssl kdf' that uses the EVP_KDF API.
-     [Shane Lontis]
-
-  *) Added command 'openssl mac' that uses the EVP_MAC API.
-     [Shane Lontis]
-
-  *) Added OPENSSL_info() to get diverse built-in OpenSSL data, such
-     as default directories.  Also added the command 'openssl info'
-     for scripting purposes.
-     [Richard Levitte]
-
-  *) The functions AES_ige_encrypt() and AES_bi_ige_encrypt() have been
-     deprecated. These undocumented functions were never integrated into the EVP
-     layer and implement the AES Infinite Garble Extension (IGE) mode and AES
-     Bi-directional IGE mode. These modes were never formally standardised and
-     usage of these functions is believed to be very small. In particular
-     AES_bi_ige_encrypt() has a known bug. It accepts 2 AES keys, but only one
-     is ever used. The security implications are believed to be minimal, but
-     this issue was never fixed for backwards compatibility reasons. New code
-     should not use these modes.
-     [Matt Caswell]
-
-  *) Add prediction resistance to the DRBG reseeding process.
-     [Paul Dale]
-
-  *) Limit the number of blocks in a data unit for AES-XTS to 2^20 as
-     mandated by IEEE Std 1619-2018.
-     [Paul Dale]
-
-  *) Added newline escaping functionality to a filename when using openssl dgst.
-     This output format is to replicate the output format found in the '*sum'
-     checksum programs. This aims to preserve backward compatibility.
-     [Matt Eaton, Richard Levitte, and Paul Dale]
-
-  *) Removed the heartbeat message in DTLS feature, as it has very
-     little usage and doesn't seem to fulfill a valuable purpose.
-     The configuration option is now deprecated.
-     [Richard Levitte]
-
-  *) Changed the output of 'openssl {digestname} < file' to display the
-     digest name in its output.
-     [Richard Levitte]
-
-  *) Added a new generic trace API which provides support for enabling
-     instrumentation through trace output. This feature is mainly intended
-     as an aid for developers and is disabled by default. To utilize it,
-     OpenSSL needs to be configured with the `enable-trace` option.
-
-     If the tracing API is enabled, the application can activate trace output
-     by registering BIOs as trace channels for a number of tracing and debugging
-     categories.
-
-     The 'openssl' application has been expanded to enable any of the types
-     available via environment variables defined by the user, and serves as
-     one possible example on how to use this functionality.
-     [Richard Levitte & Matthias St. Pierre]
-
-  *) Added build tests for C++.  These are generated files that only do one
-     thing, to include one public OpenSSL head file each.  This tests that
-     the public header files can be usefully included in a C++ application.
-
-     This test isn't enabled by default.  It can be enabled with the option
-     'enable-buildtest-c++'.
-     [Richard Levitte]
-
-  *) Add Single Step KDF (EVP_KDF_SS) to EVP_KDF.
-     [Shane Lontis]
-
-  *) Add KMAC to EVP_MAC.
-     [Shane Lontis]
-
-  *) Added property based algorithm implementation selection framework to
-     the core.
-     [Paul Dale]
-
-  *) Added SCA hardening for modular field inversion in EC_GROUP through
-     a new dedicated field_inv() pointer in EC_METHOD.
-     This also addresses a leakage affecting conversions from projective
-     to affine coordinates.
-     [Billy Bob Brumley, Nicola Tuveri]
-
-  *) Added EVP_KDF, an EVP layer KDF API, to simplify adding KDF and PRF
-     implementations.  This includes an EVP_PKEY to EVP_KDF bridge for
-     those algorithms that were already supported through the EVP_PKEY API
-     (scrypt, TLS1 PRF and HKDF).  The low-level KDF functions for PBKDF2
-     and scrypt are now wrappers that call EVP_KDF.
-     [David Makepeace]
-
-  *) Build devcrypto engine as a dynamic engine.
-     [Eneas U de Queiroz]
-
-  *) Add keyed BLAKE2 to EVP_MAC.
-     [Antoine Salon]
-
-  *) Fix a bug in the computation of the endpoint-pair shared secret used
-     by DTLS over SCTP. This breaks interoperability with older versions
-     of OpenSSL like OpenSSL 1.1.0 and OpenSSL 1.0.2. There is a runtime
-     switch SSL_MODE_DTLS_SCTP_LABEL_LENGTH_BUG (off by default) enabling
-     interoperability with such broken implementations. However, enabling
-     this switch breaks interoperability with correct implementations.
-
-  *) Fix a use after free bug in d2i_X509_PUBKEY when overwriting a
-     re-used X509_PUBKEY object if the second PUBKEY is malformed.
-     [Bernd Edlinger]
-
-  *) Move strictness check from EVP_PKEY_asn1_new() to EVP_PKEY_asn1_add0().
-     [Richard Levitte]
-
-  *) Change the license to the Apache License v2.0.
-     [Richard Levitte]
-
-  *) Switch to a new version scheme using three numbers MAJOR.MINOR.PATCH.
-
-     o Major releases (indicated by incrementing the MAJOR release number)
-       may introduce incompatible API/ABI changes.
-     o Minor releases (indicated by incrementing the MINOR release number)
-       may introduce new features but retain API/ABI compatibility.
-     o Patch releases (indicated by incrementing the PATCH number)
-       are intended for bug fixes and other improvements of existing
-       features only (like improving performance or adding documentation)
-       and retain API/ABI compatibility.
-     [Richard Levitte]
-
-  *) Add support for RFC5297 SIV mode (siv128), including AES-SIV.
-     [Todd Short]
-
-  *) Remove the 'dist' target and add a tarball building script.  The
-     'dist' target has fallen out of use, and it shouldn't be
-     necessary to configure just to create a source distribution.
-     [Richard Levitte]
-
-  *) Recreate the OS390-Unix config target.  It no longer relies on a
-     special script like it did for OpenSSL pre-1.1.0.
-     [Richard Levitte]
-
-  *) Instead of having the source directories listed in Configure, add
-     a 'build.info' keyword SUBDIRS to indicate what sub-directories to
-     look into.
-     [Richard Levitte]
-
-  *) Add GMAC to EVP_MAC.
-     [Paul Dale]
-
-  *) Ported the HMAC, CMAC and SipHash EVP_PKEY_METHODs to EVP_MAC.
-     [Richard Levitte]
-
-  *) Added EVP_MAC, an EVP layer MAC API, to simplify adding MAC
-     implementations.  This includes a generic EVP_PKEY to EVP_MAC bridge,
-     to facilitate the continued use of MACs through raw private keys in
-     functionality such as EVP_DigestSign* and EVP_DigestVerify*.
-     [Richard Levitte]
-
-  *) Deprecate ECDH_KDF_X9_62() and mark its replacement as internal. Users
-     should use the EVP interface instead (EVP_PKEY_CTX_set_ecdh_kdf_type).
-     [Antoine Salon]
-
-  *) Added EVP_PKEY_ECDH_KDF_X9_63 and ecdh_KDF_X9_63() as replacements for
-     the EVP_PKEY_ECDH_KDF_X9_62 KDF type and ECDH_KDF_X9_62(). The old names
-     are retained for backwards compatibility.
-     [Antoine Salon]
-
-  *) AES-XTS mode now enforces that its two keys are different to mitigate
-     the attacked described in "Efficient Instantiations of Tweakable
-     Blockciphers and Refinements to Modes OCB and PMAC" by Phillip Rogaway.
-     Details of this attack can be obtained from:
-     http://web.cs.ucdavis.edu/%7Erogaway/papers/offsets.pdf
-     [Paul Dale]
-
-  *) Rename the object files, i.e. give them other names than in previous
-     versions.  Their names now include the name of the final product, as
-     well as its type mnemonic (bin, lib, shlib).
-     [Richard Levitte]
-
-  *) Added new option for 'openssl list', '-objects', which will display the
-     list of built in objects, i.e. OIDs with names.
-     [Richard Levitte]
-
-  *) Added support for Linux Kernel TLS data-path. The Linux Kernel data-path
-     improves application performance by removing data copies and providing
-     applications with zero-copy system calls such as sendfile and splice.
-     [Boris Pismenny]
-
- Changes between 1.1.1a and 1.1.1b [xx XXX xxxx]
-
-  *) Change the info callback signals for the start and end of a post-handshake
-     message exchange in TLSv1.3. In 1.1.1/1.1.1a we used SSL_CB_HANDSHAKE_START
-     and SSL_CB_HANDSHAKE_DONE. Experience has shown that many applications get
-     confused by this and assume that a TLSv1.2 renegotiation has started. This
-     can break KeyUpdate handling. Instead we no longer signal the start and end
-     of a post handshake message exchange (although the messages themselves are
-     still signalled). This could break some applications that were expecting
-     the old signals. However without this KeyUpdate is not usable for many
-     applications.
-     [Matt Caswell]
-
- Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
-
-  *) Timing vulnerability in DSA signature generation
-
-     The OpenSSL DSA signature algorithm has been shown to be vulnerable to a
-     timing side channel attack. An attacker could use variations in the signing
-     algorithm to recover the private key.
-
-     This issue was reported to OpenSSL on 16th October 2018 by Samuel Weiser.
-     (CVE-2018-0734)
-     [Paul Dale]
-
-  *) Timing vulnerability in ECDSA signature generation
-
-     The OpenSSL ECDSA signature algorithm has been shown to be vulnerable to a
-     timing side channel attack. An attacker could use variations in the signing
-     algorithm to recover the private key.
-
-     This issue was reported to OpenSSL on 25th October 2018 by Samuel Weiser.
-     (CVE-2018-0735)
-     [Paul Dale]
-
-  *) Fixed the issue that RAND_add()/RAND_seed() silently discards random input
-     if its length exceeds 4096 bytes. The limit has been raised to a buffer size
-     of two gigabytes and the error handling improved.
-
-     This issue was reported to OpenSSL by Dr. Falko Strenzke. It has been
-     categorized as a normal bug, not a security issue, because the DRBG reseeds
-     automatically and is fully functional even without additional randomness
-     provided by the application.
-
- Changes between 1.1.0i and 1.1.1 [11 Sep 2018]
-
-  *) Add a new ClientHello callback. Provides a callback interface that gives
-     the application the ability to adjust the nascent SSL object at the
-     earliest stage of ClientHello processing, immediately after extensions have
-     been collected but before they have been processed. In particular, this
-     callback can adjust the supported TLS versions in response to the contents
-     of the ClientHello
-     [Benjamin Kaduk]
-
-  *) Add SM2 base algorithm support.
-     [Jack Lloyd]
-
-  *) s390x assembly pack: add (improved) hardware-support for the following
-     cryptographic primitives: sha3, shake, aes-gcm, aes-ccm, aes-ctr, aes-ofb,
-     aes-cfb/cfb8, aes-ecb.
-     [Patrick Steuer]
-
-  *) Make EVP_PKEY_asn1_new() a bit stricter about its input.  A NULL pem_str
-     parameter is no longer accepted, as it leads to a corrupt table.  NULL
-     pem_str is reserved for alias entries only.
-     [Richard Levitte]
-
-  *) Use the new ec_scalar_mul_ladder scaffold to implement a specialized ladder
-     step for prime curves. The new implementation is based on formulae from
-     differential addition-and-doubling in homogeneous projective coordinates
-     from Izu-Takagi "A fast parallel elliptic curve multiplication resistant
-     against side channel attacks" and Brier-Joye "Weierstrass Elliptic Curves
-     and Side-Channel Attacks" Eq. (8) for y-coordinate recovery, modified
-     to work in projective coordinates.
-     [Billy Bob Brumley, Nicola Tuveri]
-
-  *) Change generating and checking of primes so that the error rate of not
-     being prime depends on the intended use based on the size of the input.
-     For larger primes this will result in more rounds of Miller-Rabin.
-     The maximal error rate for primes with more than 1080 bits is lowered
-     to 2^-128.
-     [Kurt Roeckx, Annie Yousar]
-
-  *) Increase the number of Miller-Rabin rounds for DSA key generating to 64.
-     [Kurt Roeckx]
-
-  *) The 'tsget' script is renamed to 'tsget.pl', to avoid confusion when
-     moving between systems, and to avoid confusion when a Windows build is
-     done with mingw vs with MSVC.  For POSIX installs, there's still a
-     symlink or copy named 'tsget' to avoid that confusion as well.
-     [Richard Levitte]
-
-  *) Revert blinding in ECDSA sign and instead make problematic addition
-     length-invariant. Switch even to fixed-length Montgomery multiplication.
-     [Andy Polyakov]
-
-  *) Use the new ec_scalar_mul_ladder scaffold to implement a specialized ladder
-     step for binary curves. The new implementation is based on formulae from
-     differential addition-and-doubling in mixed Lopez-Dahab projective
-     coordinates, modified to independently blind the operands.
-     [Billy Bob Brumley, Sohaib ul Hassan, Nicola Tuveri]
-
-  *) Add a scaffold to optionally enhance the Montgomery ladder implementation
-     for `ec_scalar_mul_ladder` (formerly `ec_mul_consttime`) allowing
-     EC_METHODs to implement their own specialized "ladder step", to take
-     advantage of more favorable coordinate systems or more efficient
-     differential addition-and-doubling algorithms.
-     [Billy Bob Brumley, Sohaib ul Hassan, Nicola Tuveri]
-
-  *) Modified the random device based seed sources to keep the relevant
-     file descriptors open rather than reopening them on each access.
-     This allows such sources to operate in a chroot() jail without
-     the associated device nodes being available. This behaviour can be
-     controlled using RAND_keep_random_devices_open().
-     [Paul Dale]
-
-  *) Numerous side-channel attack mitigations have been applied. This may have
-     performance impacts for some algorithms for the benefit of improved
-     security. Specific changes are noted in this change log by their respective
-     authors.
-     [Matt Caswell]
-
-  *) AIX shared library support overhaul. Switch to AIX "natural" way of
-     handling shared libraries, which means collecting shared objects of
-     different versions and bitnesses in one common archive. This allows to
-     mitigate conflict between 1.0 and 1.1 side-by-side installations. It
-     doesn't affect the way 3rd party applications are linked, only how
-     multi-version installation is managed.
-     [Andy Polyakov]
-
-  *) Make ec_group_do_inverse_ord() more robust and available to other
-     EC cryptosystems, so that irrespective of BN_FLG_CONSTTIME, SCA
-     mitigations are applied to the fallback BN_mod_inverse().
-     When using this function rather than BN_mod_inverse() directly, new
-     EC cryptosystem implementations are then safer-by-default.
-     [Billy Bob Brumley]
-
-  *) Add coordinate blinding for EC_POINT and implement projective
-     coordinate blinding for generic prime curves as a countermeasure to
-     chosen point SCA attacks.
-     [Sohaib ul Hassan, Nicola Tuveri, Billy Bob Brumley]
-
-  *) Add blinding to ECDSA and DSA signatures to protect against side channel
-     attacks discovered by Keegan Ryan (NCC Group).
-     [Matt Caswell]
-
-  *) Enforce checking in the pkeyutl command line app to ensure that the input
-     length does not exceed the maximum supported digest length when performing
-     a sign, verify or verifyrecover operation.
-     [Matt Caswell]
-
-  *) SSL_MODE_AUTO_RETRY is enabled by default. Applications that use blocking
-     I/O in combination with something like select() or poll() will hang. This
-     can be turned off again using SSL_CTX_clear_mode().
-     Many applications do not properly handle non-application data records, and
-     TLS 1.3 sends more of such records. Setting SSL_MODE_AUTO_RETRY works
-     around the problems in those applications, but can also break some.
-     It's recommended to read the manpages about SSL_read(), SSL_write(),
-     SSL_get_error(), SSL_shutdown(), SSL_CTX_set_mode() and
-     SSL_CTX_set_read_ahead() again.
-     [Kurt Roeckx]
-
-  *) When unlocking a pass phrase protected PEM file or PKCS#8 container, we
-     now allow empty (zero character) pass phrases.
-     [Richard Levitte]
-
-  *) Apply blinding to binary field modular inversion and remove patent
-     pending (OPENSSL_SUN_GF2M_DIV) BN_GF2m_mod_div implementation.
-     [Billy Bob Brumley]
-
-  *) Deprecate ec2_mult.c and unify scalar multiplication code paths for
-     binary and prime elliptic curves.
-     [Billy Bob Brumley]
-
-  *) Remove ECDSA nonce padding: EC_POINT_mul is now responsible for
-     constant time fixed point multiplication.
-     [Billy Bob Brumley]
-
-  *) Revise elliptic curve scalar multiplication with timing attack
-     defenses: ec_wNAF_mul redirects to a constant time implementation
-     when computing fixed point and variable point multiplication (which
-     in OpenSSL are mostly used with secret scalars in keygen, sign,
-     ECDH derive operations).
-     [Billy Bob Brumley, Nicola Tuveri, Cesar Pereida García,
-      Sohaib ul Hassan]
-
-  *) Updated CONTRIBUTING
-     [Rich Salz]
-
-  *) Updated DRBG / RAND to request nonce and additional low entropy
-     randomness from the system.
-     [Matthias St. Pierre]
-
-  *) Updated 'openssl rehash' to use OpenSSL consistent default.
-     [Richard Levitte]
-
-  *) Moved the load of the ssl_conf module to libcrypto, which helps
-     loading engines that libssl uses before libssl is initialised.
-     [Matt Caswell]
-
-  *) Added EVP_PKEY_sign() and EVP_PKEY_verify() for EdDSA
-     [Matt Caswell]
-
-  *) Fixed X509_NAME_ENTRY_set to get multi-valued RDNs right in all cases.
-     [Ingo Schwarze, Rich Salz]
-
-  *) Added output of accepting IP address and port for 'openssl s_server'
-     [Richard Levitte]
-
-  *) Added a new API for TLSv1.3 ciphersuites:
-        SSL_CTX_set_ciphersuites()
-        SSL_set_ciphersuites()
-     [Matt Caswell]
-
-  *) Memory allocation failures consistently add an error to the error
-     stack.
-     [Rich Salz]
-
-  *) Don't use OPENSSL_ENGINES and OPENSSL_CONF environment values
-     in libcrypto when run as setuid/setgid.
-     [Bernd Edlinger]
-
-  *) Load any config file by default when libssl is used.
-     [Matt Caswell]
-
-  *) Added new public header file <openssl/rand_drbg.h> and documentation
-     for the RAND_DRBG API. See manual page RAND_DRBG(7) for an overview.
-     [Matthias St. Pierre]
-
-  *) QNX support removed (cannot find contributors to get their approval
-     for the license change).
-     [Rich Salz]
-
-  *) TLSv1.3 replay protection for early data has been implemented. See the
-     SSL_read_early_data() man page for further details.
-     [Matt Caswell]
-
-  *) Separated TLSv1.3 ciphersuite configuration out from TLSv1.2 ciphersuite
-     configuration. TLSv1.3 ciphersuites are not compatible with TLSv1.2 and
-     below. Similarly TLSv1.2 ciphersuites are not compatible with TLSv1.3.
-     In order to avoid issues where legacy TLSv1.2 ciphersuite configuration
-     would otherwise inadvertently disable all TLSv1.3 ciphersuites the
-     configuration has been separated out. See the ciphers man page or the
-     SSL_CTX_set_ciphersuites() man page for more information.
-     [Matt Caswell]
-
-  *) On POSIX (BSD, Linux, ...) systems the ocsp(1) command running
-     in responder mode now supports the new "-multi" option, which
-     spawns the specified number of child processes to handle OCSP
-     requests.  The "-timeout" option now also limits the OCSP
-     responder's patience to wait to receive the full client request
-     on a newly accepted connection. Child processes are respawned
-     as needed, and the CA index file is automatically reloaded
-     when changed.  This makes it possible to run the "ocsp" responder
-     as a long-running service, making the OpenSSL CA somewhat more
-     feature-complete.  In this mode, most diagnostic messages logged
-     after entering the event loop are logged via syslog(3) rather than
-     written to stderr.
-     [Viktor Dukhovni]
-
-  *) Added support for X448 and Ed448. Heavily based on original work by
-     Mike Hamburg.
-     [Matt Caswell]
-
-  *) Extend OSSL_STORE with capabilities to search and to narrow the set of
-     objects loaded.  This adds the functions OSSL_STORE_expect() and
-     OSSL_STORE_find() as well as needed tools to construct searches and
-     get the search data out of them.
-     [Richard Levitte]
-
-  *) Support for TLSv1.3 added. Note that users upgrading from an earlier
-     version of OpenSSL should review their configuration settings to ensure
-     that they are still appropriate for TLSv1.3. For further information see:
-     https://wiki.openssl.org/index.php/TLS1.3
-     [Matt Caswell]
-
-  *) Grand redesign of the OpenSSL random generator
-
-     The default RAND method now utilizes an AES-CTR DRBG according to
-     NIST standard SP 800-90Ar1. The new random generator is essentially
-     a port of the default random generator from the OpenSSL FIPS 2.0
-     object module. It is a hybrid deterministic random bit generator
-     using an AES-CTR bit stream and which seeds and reseeds itself
-     automatically using trusted system entropy sources.
-
-     Some of its new features are:
-      o Support for multiple DRBG instances with seed chaining.
-      o The default RAND method makes use of a DRBG.
-      o There is a public and private DRBG instance.
-      o The DRBG instances are fork-safe.
-      o Keep all global DRBG instances on the secure heap if it is enabled.
-      o The public and private DRBG instance are per thread for lock free
-        operation
-     [Paul Dale, Benjamin Kaduk, Kurt Roeckx, Rich Salz, Matthias St. Pierre]
-
-  *) Changed Configure so it only says what it does and doesn't dump
-     so much data.  Instead, ./configdata.pm should be used as a script
-     to display all sorts of configuration data.
-     [Richard Levitte]
-
-  *) Added processing of "make variables" to Configure.
-     [Richard Levitte]
-
-  *) Added SHA512/224 and SHA512/256 algorithm support.
-     [Paul Dale]
-
-  *) The last traces of Netware support, first removed in 1.1.0, have
-     now been removed.
-     [Rich Salz]
-
-  *) Get rid of Makefile.shared, and in the process, make the processing
-     of certain files (rc.obj, or the .def/.map/.opt files produced from
-     the ordinal files) more visible and hopefully easier to trace and
-     debug (or make silent).
-     [Richard Levitte]
-
-  *) Make it possible to have environment variable assignments as
-     arguments to config / Configure.
-     [Richard Levitte]
-
-  *) Add multi-prime RSA (RFC 8017) support.
-     [Paul Yang]
-
-  *) Add SM3 implemented according to GB/T 32905-2016
-     [ Jack Lloyd <jack.lloyd@ribose.com>,
-       Ronald Tse <ronald.tse@ribose.com>,
-       Erick Borsboom <erick.borsboom@ribose.com> ]
-
-  *) Add 'Maximum Fragment Length' TLS extension negotiation and support
-     as documented in RFC6066.
-     Based on a patch from Tomasz Moń
-     [Filipe Raimundo da Silva]
-
-  *) Add SM4 implemented according to GB/T 32907-2016.
-     [ Jack Lloyd <jack.lloyd@ribose.com>,
-       Ronald Tse <ronald.tse@ribose.com>,
-       Erick Borsboom <erick.borsboom@ribose.com> ]
-
-  *) Reimplement -newreq-nodes and ERR_error_string_n; the
-     original author does not agree with the license change.
-     [Rich Salz]
-
-  *) Add ARIA AEAD TLS support.
-     [Jon Spillett]
-
-  *) Some macro definitions to support VS6 have been removed.  Visual
-     Studio 6 has not worked since 1.1.0
-     [Rich Salz]
-
-  *) Add ERR_clear_last_mark(), to allow callers to clear the last mark
-     without clearing the errors.
-     [Richard Levitte]
-
-  *) Add "atfork" functions.  If building on a system that without
-     pthreads, see doc/man3/OPENSSL_fork_prepare.pod for application
-     requirements.  The RAND facility now uses/requires this.
-     [Rich Salz]
-
-  *) Add SHA3.
-     [Andy Polyakov]
-
-  *) The UI API becomes a permanent and integral part of libcrypto, i.e.
-     not possible to disable entirely.  However, it's still possible to
-     disable the console reading UI method, UI_OpenSSL() (use UI_null()
-     as a fallback).
-
-     To disable, configure with 'no-ui-console'.  'no-ui' is still
-     possible to use as an alias.  Check at compile time with the
-     macro OPENSSL_NO_UI_CONSOLE.  The macro OPENSSL_NO_UI is still
-     possible to check and is an alias for OPENSSL_NO_UI_CONSOLE.
-     [Richard Levitte]
-
-  *) Add a STORE module, which implements a uniform and URI based reader of
-     stores that can contain keys, certificates, CRLs and numerous other
-     objects.  The main API is loosely based on a few stdio functions,
-     and includes OSSL_STORE_open, OSSL_STORE_load, OSSL_STORE_eof,
-     OSSL_STORE_error and OSSL_STORE_close.
-     The implementation uses backends called "loaders" to implement arbitrary
-     URI schemes.  There is one built in "loader" for the 'file' scheme.
-     [Richard Levitte]
-
-  *) Add devcrypto engine.  This has been implemented against cryptodev-linux,
-     then adjusted to work on FreeBSD 8.4 as well.
-     Enable by configuring with 'enable-devcryptoeng'.  This is done by default
-     on BSD implementations, as cryptodev.h is assumed to exist on all of them.
-     [Richard Levitte]
-
-  *) Module names can prefixed with OSSL_ or OPENSSL_.  This affects
-     util/mkerr.pl, which is adapted to allow those prefixes, leading to
-     error code calls like this:
-
-         OSSL_FOOerr(OSSL_FOO_F_SOMETHING, OSSL_FOO_R_WHATEVER);
-
-     With this change, we claim the namespaces OSSL and OPENSSL in a manner
-     that can be encoded in C.  For the foreseeable future, this will only
-     affect new modules.
-     [Richard Levitte and Tim Hudson]
-
-  *) Removed BSD cryptodev engine.
-     [Rich Salz]
-
-  *) Add a build target 'build_all_generated', to build all generated files
-     and only that.  This can be used to prepare everything that requires
-     things like perl for a system that lacks perl and then move everything
-     to that system and do the rest of the build there.
-     [Richard Levitte]
-
-  *) In the UI interface, make it possible to duplicate the user data.  This
-     can be used by engines that need to retain the data for a longer time
-     than just the call where this user data is passed.
-     [Richard Levitte]
-
-  *) Ignore the '-named_curve auto' value for compatibility of applications
-     with OpenSSL 1.0.2.
-     [Tomas Mraz <tmraz@fedoraproject.org>]
-
-  *) Fragmented SSL/TLS alerts are no longer accepted. An alert message is 2
-     bytes long. In theory it is permissible in SSLv3 - TLSv1.2 to fragment such
-     alerts across multiple records (some of which could be empty). In practice
-     it make no sense to send an empty alert record, or to fragment one. TLSv1.3
-     prohibits this altogether and other libraries (BoringSSL, NSS) do not
-     support this at all. Supporting it adds significant complexity to the
-     record layer, and its removal is unlikely to cause interoperability
-     issues.
-     [Matt Caswell]
-
-  *) Add the ASN.1 types INT32, UINT32, INT64, UINT64 and variants prefixed
-     with Z.  These are meant to replace LONG and ZLONG and to be size safe.
-     The use of LONG and ZLONG is discouraged and scheduled for deprecation
-     in OpenSSL 1.2.0.
-     [Richard Levitte]
-
-  *) Add the 'z' and 'j' modifiers to BIO_printf() et al formatting string,
-     'z' is to be used for [s]size_t, and 'j' - with [u]int64_t.
-     [Richard Levitte, Andy Polyakov]
-
-  *) Add EC_KEY_get0_engine(), which does for EC_KEY what RSA_get0_engine()
-     does for RSA, etc.
-     [Richard Levitte]
-
-  *) Have 'config' recognise 64-bit mingw and choose 'mingw64' as the target
-     platform rather than 'mingw'.
-     [Richard Levitte]
-
-  *) The functions X509_STORE_add_cert and X509_STORE_add_crl return
-     success if they are asked to add an object which already exists
-     in the store. This change cascades to other functions which load
-     certificates and CRLs.
-     [Paul Dale]
-
-  *) x86_64 assembly pack: annotate code with DWARF CFI directives to
-     facilitate stack unwinding even from assembly subroutines.
-     [Andy Polyakov]
-
-  *) Remove VAX C specific definitions of OPENSSL_EXPORT, OPENSSL_EXTERN.
-     Also remove OPENSSL_GLOBAL entirely, as it became a no-op.
-     [Richard Levitte]
-
-  *) Remove the VMS-specific reimplementation of gmtime from crypto/o_times.c.
-     VMS C's RTL has a fully up to date gmtime() and gmtime_r() since V7.1,
-     which is the minimum version we support.
-     [Richard Levitte]
-
-  *) Certificate time validation (X509_cmp_time) enforces stricter
-     compliance with RFC 5280. Fractional seconds and timezone offsets
-     are no longer allowed.
-     [Emilia Käsper]
-
-  *) Add support for ARIA
-     [Paul Dale]
-
-  *) s_client will now send the Server Name Indication (SNI) extension by
-     default unless the new "-noservername" option is used. The server name is
-     based on the host provided to the "-connect" option unless overridden by
-     using "-servername".
-     [Matt Caswell]
-
-  *) Add support for SipHash
-     [Todd Short]
-
-  *) OpenSSL now fails if it receives an unrecognised record type in TLS1.0
-     or TLS1.1. Previously this only happened in SSLv3 and TLS1.2. This is to
-     prevent issues where no progress is being made and the peer continually
-     sends unrecognised record types, using up resources processing them.
-     [Matt Caswell]
-
-  *) 'openssl passwd' can now produce SHA256 and SHA512 based output,
-     using the algorithm defined in
-     https://www.akkadia.org/drepper/SHA-crypt.txt
-     [Richard Levitte]
-
-  *) Heartbeat support has been removed; the ABI is changed for now.
-     [Richard Levitte, Rich Salz]
-
-  *) Support for SSL_OP_NO_ENCRYPT_THEN_MAC in SSL_CONF_cmd.
-     [Emilia Käsper]
-
-  *) The RSA "null" method, which was partially supported to avoid patent
-     issues, has been replaced to always returns NULL.
-     [Rich Salz]
-
-
- Changes between 1.1.0h and 1.1.0i [xx XXX xxxx]
-
-  *) Client DoS due to large DH parameter
-
-     During key agreement in a TLS handshake using a DH(E) based ciphersuite a
-     malicious server can send a very large prime value to the client. This will
-     cause the client to spend an unreasonably long period of time generating a
-     key for this prime resulting in a hang until the client has finished. This
-     could be exploited in a Denial Of Service attack.
-
-     This issue was reported to OpenSSL on 5th June 2018 by Guido Vranken
-     (CVE-2018-0732)
-     [Guido Vranken]
-
-  *) Cache timing vulnerability in RSA Key Generation
-
-     The OpenSSL RSA Key generation algorithm has been shown to be vulnerable to
-     a cache timing side channel attack. An attacker with sufficient access to
-     mount cache timing attacks during the RSA key generation process could
-     recover the private key.
-
-     This issue was reported to OpenSSL on 4th April 2018 by Alejandro Cabrera
-     Aldaya, Billy Brumley, Cesar Pereida Garcia and Luis Manuel Alvarez Tapia.
-     (CVE-2018-0737)
-     [Billy Brumley]
-
-  *) Make EVP_PKEY_asn1_new() a bit stricter about its input.  A NULL pem_str
-     parameter is no longer accepted, as it leads to a corrupt table.  NULL
-     pem_str is reserved for alias entries only.
-     [Richard Levitte]
-
-  *) Revert blinding in ECDSA sign and instead make problematic addition
-     length-invariant. Switch even to fixed-length Montgomery multiplication.
-     [Andy Polyakov]
-
-  *) Change generating and checking of primes so that the error rate of not
-     being prime depends on the intended use based on the size of the input.
-     For larger primes this will result in more rounds of Miller-Rabin.
-     The maximal error rate for primes with more than 1080 bits is lowered
-     to 2^-128.
-     [Kurt Roeckx, Annie Yousar]
-
-  *) Increase the number of Miller-Rabin rounds for DSA key generating to 64.
-     [Kurt Roeckx]
-
-  *) Add blinding to ECDSA and DSA signatures to protect against side channel
-     attacks discovered by Keegan Ryan (NCC Group).
-     [Matt Caswell]
-
-  *) When unlocking a pass phrase protected PEM file or PKCS#8 container, we
-     now allow empty (zero character) pass phrases.
-     [Richard Levitte]
-
-  *) Certificate time validation (X509_cmp_time) enforces stricter
-     compliance with RFC 5280. Fractional seconds and timezone offsets
-     are no longer allowed.
-     [Emilia Käsper]
-
-  *) Fixed a text canonicalisation bug in CMS
-
-     Where a CMS detached signature is used with text content the text goes
-     through a canonicalisation process first prior to signing or verifying a
-     signature. This process strips trailing space at the end of lines, converts
-     line terminators to CRLF and removes additional trailing line terminators
-     at the end of a file. A bug in the canonicalisation process meant that
-     some characters, such as form-feed, were incorrectly treated as whitespace
-     and removed. This is contrary to the specification (RFC5485). This fix
-     could mean that detached text data signed with an earlier version of
-     OpenSSL 1.1.0 may fail to verify using the fixed version, or text data
-     signed with a fixed OpenSSL may fail to verify with an earlier version of
-     OpenSSL 1.1.0. A workaround is to only verify the canonicalised text data
-     and use the "-binary" flag (for the "cms" command line application) or set
-     the SMIME_BINARY/PKCS7_BINARY/CMS_BINARY flags (if using CMS_verify()).
-     [Matt Caswell]
-
- Changes between 1.1.0g and 1.1.0h [27 Mar 2018]
-
-  *) Constructed ASN.1 types with a recursive definition could exceed the stack
-
-     Constructed ASN.1 types with a recursive definition (such as can be found
-     in PKCS7) could eventually exceed the stack given malicious input with
-     excessive recursion. This could result in a Denial Of Service attack. There
-     are no such structures used within SSL/TLS that come from untrusted sources
-     so this is considered safe.
-
-     This issue was reported to OpenSSL on 4th January 2018 by the OSS-fuzz
-     project.
-     (CVE-2018-0739)
-     [Matt Caswell]
-
-  *) Incorrect CRYPTO_memcmp on HP-UX PA-RISC
-
-     Because of an implementation bug the PA-RISC CRYPTO_memcmp function is
-     effectively reduced to only comparing the least significant bit of each
-     byte. This allows an attacker to forge messages that would be considered as
-     authenticated in an amount of tries lower than that guaranteed by the
-     security claims of the scheme. The module can only be compiled by the
-     HP-UX assembler, so that only HP-UX PA-RISC targets are affected.
-
-     This issue was reported to OpenSSL on 2nd March 2018 by Peter Waltenberg
-     (IBM).
-     (CVE-2018-0733)
-     [Andy Polyakov]
-
-  *) Add a build target 'build_all_generated', to build all generated files
-     and only that.  This can be used to prepare everything that requires
-     things like perl for a system that lacks perl and then move everything
-     to that system and do the rest of the build there.
-     [Richard Levitte]
-
-  *) Backport SSL_OP_NO_RENGOTIATION
-
-     OpenSSL 1.0.2 and below had the ability to disable renegotiation using the
-     (undocumented) SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS flag. Due to the opacity
-     changes this is no longer possible in 1.1.0. Therefore the new
-     SSL_OP_NO_RENEGOTIATION option from 1.1.1-dev has been backported to
-     1.1.0 to provide equivalent functionality.
-
-     Note that if an application built against 1.1.0h headers (or above) is run
-     using an older version of 1.1.0 (prior to 1.1.0h) then the option will be
-     accepted but nothing will happen, i.e. renegotiation will not be prevented.
-     [Matt Caswell]
-
-  *) Removed the OS390-Unix config target.  It relied on a script that doesn't
-     exist.
-     [Rich Salz]
-
-  *) rsaz_1024_mul_avx2 overflow bug on x86_64
-
-     There is an overflow bug in the AVX2 Montgomery multiplication procedure
-     used in exponentiation with 1024-bit moduli. No EC algorithms are affected.
-     Analysis suggests that attacks against RSA and DSA as a result of this
-     defect would be very difficult to perform and are not believed likely.
-     Attacks against DH1024 are considered just feasible, because most of the
-     work necessary to deduce information about a private key may be performed
-     offline. The amount of resources required for such an attack would be
-     significant. However, for an attack on TLS to be meaningful, the server
-     would have to share the DH1024 private key among multiple clients, which is
-     no longer an option since CVE-2016-0701.
-
-     This only affects processors that support the AVX2 but not ADX extensions
-     like Intel Haswell (4th generation).
-
-     This issue was reported to OpenSSL by David Benjamin (Google). The issue
-     was originally found via the OSS-Fuzz project.
-     (CVE-2017-3738)
-     [Andy Polyakov]
-
- Changes between 1.1.0f and 1.1.0g [2 Nov 2017]
-
-  *) bn_sqrx8x_internal carry bug on x86_64
-
-     There is a carry propagating bug in the x86_64 Montgomery squaring
-     procedure. No EC algorithms are affected. Analysis suggests that attacks
-     against RSA and DSA as a result of this defect would be very difficult to
-     perform and are not believed likely. Attacks against DH are considered just
-     feasible (although very difficult) because most of the work necessary to
-     deduce information about a private key may be performed offline. The amount
-     of resources required for such an attack would be very significant and
-     likely only accessible to a limited number of attackers. An attacker would
-     additionally need online access to an unpatched system using the target
-     private key in a scenario with persistent DH parameters and a private
-     key that is shared between multiple clients.
-
-     This only affects processors that support the BMI1, BMI2 and ADX extensions
-     like Intel Broadwell (5th generation) and later or AMD Ryzen.
-
-     This issue was reported to OpenSSL by the OSS-Fuzz project.
-     (CVE-2017-3736)
-     [Andy Polyakov]
-
-  *) Malformed X.509 IPAddressFamily could cause OOB read
-
-     If an X.509 certificate has a malformed IPAddressFamily extension,
-     OpenSSL could do a one-byte buffer overread. The most likely result
-     would be an erroneous display of the certificate in text format.
-
-     This issue was reported to OpenSSL by the OSS-Fuzz project.
-     (CVE-2017-3735)
-     [Rich Salz]
-
- Changes between 1.1.0e and 1.1.0f [25 May 2017]
-
-  *) Have 'config' recognise 64-bit mingw and choose 'mingw64' as the target
-     platform rather than 'mingw'.
-     [Richard Levitte]
-
-  *) Remove the VMS-specific reimplementation of gmtime from crypto/o_times.c.
-     VMS C's RTL has a fully up to date gmtime() and gmtime_r() since V7.1,
-     which is the minimum version we support.
-     [Richard Levitte]
-
- Changes between 1.1.0d and 1.1.0e [16 Feb 2017]
-
-  *) Encrypt-Then-Mac renegotiation crash
-
-     During a renegotiation handshake if the Encrypt-Then-Mac extension is
-     negotiated where it was not in the original handshake (or vice-versa) then
-     this can cause OpenSSL to crash (dependant on ciphersuite). Both clients
-     and servers are affected.
-
-     This issue was reported to OpenSSL by Joe Orton (Red Hat).
-     (CVE-2017-3733)
-     [Matt Caswell]
-
- Changes between 1.1.0c and 1.1.0d [26 Jan 2017]
-
-  *) Truncated packet could crash via OOB read
-
-     If one side of an SSL/TLS path is running on a 32-bit host and a specific
-     cipher is being used, then a truncated packet can cause that host to
-     perform an out-of-bounds read, usually resulting in a crash.
-
-     This issue was reported to OpenSSL by Robert Święcki of Google.
-     (CVE-2017-3731)
-     [Andy Polyakov]
-
-  *) Bad (EC)DHE parameters cause a client crash
-
-     If a malicious server supplies bad parameters for a DHE or ECDHE key
-     exchange then this can result in the client attempting to dereference a
-     NULL pointer leading to a client crash. This could be exploited in a Denial
-     of Service attack.
-
-     This issue was reported to OpenSSL by Guido Vranken.
-     (CVE-2017-3730)
-     [Matt Caswell]
-
-  *) BN_mod_exp may produce incorrect results on x86_64
-
-     There is a carry propagating bug in the x86_64 Montgomery squaring
-     procedure. No EC algorithms are affected. Analysis suggests that attacks
-     against RSA and DSA as a result of this defect would be very difficult to
-     perform and are not believed likely. Attacks against DH are considered just
-     feasible (although very difficult) because most of the work necessary to
-     deduce information about a private key may be performed offline. The amount
-     of resources required for such an attack would be very significant and
-     likely only accessible to a limited number of attackers. An attacker would
-     additionally need online access to an unpatched system using the target
-     private key in a scenario with persistent DH parameters and a private
-     key that is shared between multiple clients. For example this can occur by
-     default in OpenSSL DHE based SSL/TLS ciphersuites. Note: This issue is very
-     similar to CVE-2015-3193 but must be treated as a separate problem.
-
-     This issue was reported to OpenSSL by the OSS-Fuzz project.
-     (CVE-2017-3732)
-     [Andy Polyakov]
+OpenSSL CHANGES
+===============
+
+This is a high-level summary of the most important changes.
+For a full list of changes, see the [git commit log][log] and
+pick the appropriate release branch.
+
+  [log]: https://github.com/openssl/openssl/commits/
+
+### Changes between 1.1.1 and 3.0.0 [xx XXX xxxx] ###
+
+ * Removed include/openssl/opensslconf.h.in and replaced it with
+   include/openssl/configuration.h.in, which differs in not including
+   <openssl/macros.h>.  A short header include/openssl/opensslconf.h
+   was added to include both.
+   
+   This allows internal hacks where one might need to modify the set
+   of configured macros, for example this if deprecated symbols are
+   still supposed to be available internally:
+   
+       #include <openssl/configuration.h>
+   
+       #undef OPENSSL_NO_DEPRECATED
+       #define OPENSSL_SUPPRESS_DEPRECATED
+   
+       #include <openssl/macros.h>
+   
+   This should not be used by applications that use the exported
+   symbols, as that will lead to linking errors.
+   *Richard Levitte*
+
+* Fixed an an overflow bug in the x64_64 Montgomery squaring procedure
+  used in exponentiation with 512-bit moduli. No EC algorithms are
+  affected. Analysis suggests that attacks against 2-prime RSA1024,
+  3-prime RSA1536, and DSA1024 as a result of this defect would be very
+  difficult to perform and are not believed likely. Attacks against DH512
+  are considered just feasible. However, for an attack the target would
+  have to re-use the DH512 private key, which is not recommended anyway.
+  Also applications directly using the low level API BN_mod_exp may be
+  affected if they use BN_FLG_CONSTTIME.
+  (CVE-2019-1551)
+  *Andy Polyakov*
+
+* Most memory-debug features have been deprecated, and the functionality
+  replaced with no-ops.
+  *Rich Salz*
+
+* Most common options (such as -rand/-writerand, TLS version control, etc)
+  were refactored and point to newly-enhanced descriptions in openssl.pod
+  *Rich Salz*
+
+* Introduced a new method type and API, OSSL_SERIALIZER, to
+   represent generic serializers.  An implementation is expected to
+   be able to serialize an object associated with a given name (such
+   as an algorithm name for an asymmetric key) into forms given by
+   implementation properties.
+
+   Serializers are primarily used from inside libcrypto, through
+   calls to functions like EVP_PKEY_print_private(),
+   PEM_write_bio_PrivateKey() and similar.
+
+   Serializers are specified in such a way that they can be made to
+   directly handle the provider side portion of an object, if this
+   provider side part comes from the same provider as the serializer
+   itself, but can also be made to handle objects in parametrized
+   form (as an OSSL_PARAM array of data).  This allows a provider to
+   offer generic serializers as a service for any other provider.
+
+   *Richard Levitte*
+
+ * Added a .pragma directive to the syntax of configuration files, to
+   allow varying behavior in a supported and predictable manner.
+   Currently added pragma:
+
+           .pragma dollarid:on
+
+   This allows dollar signs to be a keyword character unless it's
+   followed by a opening brace or parenthesis.  This is useful for
+   platforms where dollar signs are commonly used in names, such as
+   volume names and system directory names on VMS.
+
+   *Richard Levitte*
+
+ * Added functionality to create an EVP_PKEY from user data.  This
+   is effectively the same as creating a RSA, DH or DSA object and
+   then assigning them to an EVP_PKEY, but directly using algorithm
+   agnostic EVP functions.  A benefit is that this should be future
+   proof for public key algorithms to come.
+
+   *Richard Levitte*
 
- Changes between 1.1.0b and 1.1.0c [10 Nov 2016]
-
-  *) ChaCha20/Poly1305 heap-buffer-overflow
-
-     TLS connections using *-CHACHA20-POLY1305 ciphersuites are susceptible to
-     a DoS attack by corrupting larger payloads. This can result in an OpenSSL
-     crash. This issue is not considered to be exploitable beyond a DoS.
-
-     This issue was reported to OpenSSL by Robert Święcki (Google Security Team)
-     (CVE-2016-7054)
-     [Richard Levitte]
-
-  *) CMS Null dereference
-
-     Applications parsing invalid CMS structures can crash with a NULL pointer
-     dereference. This is caused by a bug in the handling of the ASN.1 CHOICE
-     type in OpenSSL 1.1.0 which can result in a NULL value being passed to the
-     structure callback if an attempt is made to free certain invalid encodings.
-     Only CHOICE structures using a callback which do not handle NULL value are
-     affected.
-
-     This issue was reported to OpenSSL by Tyler Nighswander of ForAllSecure.
-     (CVE-2016-7053)
-     [Stephen Henson]
-
-  *) Montgomery multiplication may produce incorrect results
-
-     There is a carry propagating bug in the Broadwell-specific Montgomery
-     multiplication procedure that handles input lengths divisible by, but
-     longer than 256 bits. Analysis suggests that attacks against RSA, DSA
-     and DH private keys are impossible. This is because the subroutine in
-     question is not used in operations with the private key itself and an input
-     of the attacker's direct choice. Otherwise the bug can manifest itself as
-     transient authentication and key negotiation failures or reproducible
-     erroneous outcome of public-key operations with specially crafted input.
-     Among EC algorithms only Brainpool P-512 curves are affected and one
-     presumably can attack ECDH key negotiation. Impact was not analyzed in
-     detail, because pre-requisites for attack are considered unlikely. Namely
-     multiple clients have to choose the curve in question and the server has to
-     share the private key among them, neither of which is default behaviour.
-     Even then only clients that chose the curve will be affected.
-
-     This issue was publicly reported as transient failures and was not
-     initially recognized as a security issue. Thanks to Richard Morgan for
-     providing reproducible case.
-     (CVE-2016-7055)
-     [Andy Polyakov]
-
-  *) Removed automatic addition of RPATH in shared libraries and executables,
-     as this was a remainder from OpenSSL 1.0.x and isn't needed any more.
-     [Richard Levitte]
-
- Changes between 1.1.0a and 1.1.0b [26 Sep 2016]
-
-  *) Fix Use After Free for large message sizes
-
-     The patch applied to address CVE-2016-6307 resulted in an issue where if a
-     message larger than approx 16k is received then the underlying buffer to
-     store the incoming message is reallocated and moved. Unfortunately a
-     dangling pointer to the old location is left which results in an attempt to
-     write to the previously freed location. This is likely to result in a
-     crash, however it could potentially lead to execution of arbitrary code.
-
-     This issue only affects OpenSSL 1.1.0a.
-
-     This issue was reported to OpenSSL by Robert Święcki.
-     (CVE-2016-6309)
-     [Matt Caswell]
-
- Changes between 1.1.0 and 1.1.0a [22 Sep 2016]
-
-  *) OCSP Status Request extension unbounded memory growth
-
-     A malicious client can send an excessively large OCSP Status Request
-     extension. If that client continually requests renegotiation, sending a
-     large OCSP Status Request extension each time, then there will be unbounded
-     memory growth on the server. This will eventually lead to a Denial Of
-     Service attack through memory exhaustion. Servers with a default
-     configuration are vulnerable even if they do not support OCSP. Builds using
-     the "no-ocsp" build time option are not affected.
-
-     This issue was reported to OpenSSL by Shi Lei (Gear Team, Qihoo 360 Inc.)
-     (CVE-2016-6304)
-     [Matt Caswell]
-
-  *) SSL_peek() hang on empty record
-
-     OpenSSL 1.1.0 SSL/TLS will hang during a call to SSL_peek() if the peer
-     sends an empty record. This could be exploited by a malicious peer in a
-     Denial Of Service attack.
-
-     This issue was reported to OpenSSL by Alex Gaynor.
-     (CVE-2016-6305)
-     [Matt Caswell]
-
-  *) Excessive allocation of memory in tls_get_message_header() and
-     dtls1_preprocess_fragment()
-
-     A (D)TLS message includes 3 bytes for its length in the header for the
-     message. This would allow for messages up to 16Mb in length. Messages of
-     this length are excessive and OpenSSL includes a check to ensure that a
-     peer is sending reasonably sized messages in order to avoid too much memory
-     being consumed to service a connection. A flaw in the logic of version
-     1.1.0 means that memory for the message is allocated too early, prior to
-     the excessive message length check. Due to way memory is allocated in
-     OpenSSL this could mean an attacker could force up to 21Mb to be allocated
-     to service a connection. This could lead to a Denial of Service through
-     memory exhaustion. However, the excessive message length check still takes
-     place, and this would cause the connection to immediately fail. Assuming
-     that the application calls SSL_free() on the failed connection in a timely
-     manner then the 21Mb of allocated memory will then be immediately freed
-     again. Therefore the excessive memory allocation will be transitory in
-     nature. This then means that there is only a security impact if:
-
-     1) The application does not call SSL_free() in a timely manner in the event
-     that the connection fails
-     or
-     2) The application is working in a constrained environment where there is
-     very little free memory
-     or
-     3) The attacker initiates multiple connection attempts such that there are
-     multiple connections in a state where memory has been allocated for the
-     connection; SSL_free() has not yet been called; and there is insufficient
-     memory to service the multiple requests.
-
-     Except in the instance of (1) above any Denial Of Service is likely to be
-     transitory because as soon as the connection fails the memory is
-     subsequently freed again in the SSL_free() call. However there is an
-     increased risk during this period of application crashes due to the lack of
-     memory - which would then mean a more serious Denial of Service.
-
-     This issue was reported to OpenSSL by Shi Lei (Gear Team, Qihoo 360 Inc.)
-     (CVE-2016-6307 and CVE-2016-6308)
-     [Matt Caswell]
-
-  *) solaris-x86-cc, i.e. 32-bit configuration with vendor compiler,
-     had to be removed. Primary reason is that vendor assembler can't
-     assemble our modules with -KPIC flag. As result it, assembly
-     support, was not even available as option. But its lack means
-     lack of side-channel resistant code, which is incompatible with
-     security by todays standards. Fortunately gcc is readily available
-     prepackaged option, which we firmly point at...
-     [Andy Polyakov]
-
- Changes between 1.0.2h and 1.1.0  [25 Aug 2016]
-
-  *) Windows command-line tool supports UTF-8 opt-in option for arguments
-     and console input. Setting OPENSSL_WIN32_UTF8 environment variable
-     (to any value) allows Windows user to access PKCS#12 file generated
-     with Windows CryptoAPI and protected with non-ASCII password, as well
-     as files generated under UTF-8 locale on Linux also protected with
-     non-ASCII password.
-     [Andy Polyakov]
-
-  *) To mitigate the SWEET32 attack (CVE-2016-2183), 3DES cipher suites
-     have been disabled by default and removed from DEFAULT, just like RC4.
-     See the RC4 item below to re-enable both.
-     [Rich Salz]
-
-  *) The method for finding the storage location for the Windows RAND seed file
-     has changed. First we check %RANDFILE%. If that is not set then we check
-     the directories %HOME%, %USERPROFILE% and %SYSTEMROOT% in that order. If
-     all else fails we fall back to C:\.
-     [Matt Caswell]
-
-  *) The EVP_EncryptUpdate() function has had its return type changed from void
-     to int. A return of 0 indicates and error while a return of 1 indicates
-     success.
-     [Matt Caswell]
-
-  *) The flags RSA_FLAG_NO_CONSTTIME, DSA_FLAG_NO_EXP_CONSTTIME and
-     DH_FLAG_NO_EXP_CONSTTIME which previously provided the ability to switch
-     off the constant time implementation for RSA, DSA and DH have been made
-     no-ops and deprecated.
-     [Matt Caswell]
-
-  *) Windows RAND implementation was simplified to only get entropy by
-     calling CryptGenRandom(). Various other RAND-related tickets
-     were also closed.
-     [Joseph Wylie Yandle, Rich Salz]
-
-  *) The stack and lhash API's were renamed to start with OPENSSL_SK_
-     and OPENSSL_LH_, respectively.  The old names are available
-     with API compatibility.  They new names are now completely documented.
-     [Rich Salz]
-
-  *) Unify TYPE_up_ref(obj) methods signature.
-     SSL_CTX_up_ref(), SSL_up_ref(), X509_up_ref(), EVP_PKEY_up_ref(),
-     X509_CRL_up_ref(), X509_OBJECT_up_ref_count() methods are now returning an
-     int (instead of void) like all others TYPE_up_ref() methods.
-     So now these methods also check the return value of CRYPTO_atomic_add(),
-     and the validity of object reference counter.
-     [fdasilvayy@gmail.com]
-
-  *) With Windows Visual Studio builds, the .pdb files are installed
-     alongside the installed libraries and executables.  For a static
-     library installation, ossl_static.pdb is the associate compiler
-     generated .pdb file to be used when linking programs.
-     [Richard Levitte]
-
-  *) Remove openssl.spec.  Packaging files belong with the packagers.
-     [Richard Levitte]
-
-  *) Automatic Darwin/OSX configuration has had a refresh, it will now
-     recognise x86_64 architectures automatically.  You can still decide
-     to build for a different bitness with the environment variable
-     KERNEL_BITS (can be 32 or 64), for example:
-
-         KERNEL_BITS=32 ./config
-
-     [Richard Levitte]
-
-  *) Change default algorithms in pkcs8 utility to use PKCS#5 v2.0,
-     256 bit AES and HMAC with SHA256.
-     [Steve Henson]
-
-  *) Remove support for MIPS o32 ABI on IRIX (and IRIX only).
-     [Andy Polyakov]
-
-  *) Triple-DES ciphers have been moved from HIGH to MEDIUM.
-     [Rich Salz]
-
-  *) To enable users to have their own config files and build file templates,
-     Configure looks in the directory indicated by the environment variable
-     OPENSSL_LOCAL_CONFIG_DIR as well as the in-source Configurations/
-     directory.  On VMS, OPENSSL_LOCAL_CONFIG_DIR is expected to be a logical
-     name and is used as is.
-     [Richard Levitte]
-
-  *) The following datatypes were made opaque: X509_OBJECT, X509_STORE_CTX,
-     X509_STORE, X509_LOOKUP, and X509_LOOKUP_METHOD.  The unused type
-     X509_CERT_FILE_CTX was removed.
-     [Rich Salz]
-
-  *) "shared" builds are now the default. To create only static libraries use
-     the "no-shared" Configure option.
-     [Matt Caswell]
-
-  *) Remove the no-aes, no-hmac, no-rsa, no-sha and no-md5 Configure options.
-     All of these option have not worked for some while and are fundamental
-     algorithms.
-     [Matt Caswell]
-
-  *) Make various cleanup routines no-ops and mark them as deprecated. Most
-     global cleanup functions are no longer required because they are handled
-     via auto-deinit (see OPENSSL_init_crypto and OPENSSL_init_ssl man pages).
-     Explicitly de-initing can cause problems (e.g. where a library that uses
-     OpenSSL de-inits, but an application is still using it). The affected
-     functions are CONF_modules_free(), ENGINE_cleanup(), OBJ_cleanup(),
-     EVP_cleanup(), BIO_sock_cleanup(), CRYPTO_cleanup_all_ex_data(),
-     RAND_cleanup(), SSL_COMP_free_compression_methods(), ERR_free_strings() and
-     COMP_zlib_cleanup().
-     [Matt Caswell]
-
-  *) --strict-warnings no longer enables runtime debugging options
-     such as REF_DEBUG. Instead, debug options are automatically
-     enabled with '--debug' builds.
-     [Andy Polyakov, Emilia Käsper]
-
-  *) Made DH and DH_METHOD opaque. The structures for managing DH objects
-     have been moved out of the public header files. New functions for managing
-     these have been added.
-     [Matt Caswell]
-
-  *) Made RSA and RSA_METHOD opaque. The structures for managing RSA
-     objects have been moved out of the public header files. New
-     functions for managing these have been added.
-     [Richard Levitte]
-
-  *) Made DSA and DSA_METHOD opaque. The structures for managing DSA objects
-     have been moved out of the public header files. New functions for managing
-     these have been added.
-     [Matt Caswell]
-
-  *) Made BIO and BIO_METHOD opaque. The structures for managing BIOs have been
-     moved out of the public header files. New functions for managing these
-     have been added.
-     [Matt Caswell]
-
-  *) Removed no-rijndael as a config option. Rijndael is an old name for AES.
-     [Matt Caswell]
-
-  *) Removed the mk1mf build scripts.
-     [Richard Levitte]
-
-  *) Headers are now wrapped, if necessary, with OPENSSL_NO_xxx, so
-     it is always safe to #include a header now.
-     [Rich Salz]
-
-  *) Removed the aged BC-32 config and all its supporting scripts
-     [Richard Levitte]
-
-  *) Removed support for Ultrix, Netware, and OS/2.
-     [Rich Salz]
-
-  *) Add support for HKDF.
-     [Alessandro Ghedini]
-
-  *) Add support for blake2b and blake2s
-     [Bill Cox]
-
-  *) Added support for "pipelining". Ciphers that have the
-     EVP_CIPH_FLAG_PIPELINE flag set have a capability to process multiple
-     encryptions/decryptions simultaneously. There are currently no built-in
-     ciphers with this property but the expectation is that engines will be able
-     to offer it to significantly improve throughput. Support has been extended
-     into libssl so that multiple records for a single connection can be
-     processed in one go (for >=TLS 1.1).
-     [Matt Caswell]
-
-  *) Added the AFALG engine. This is an async capable engine which is able to
-     offload work to the Linux kernel. In this initial version it only supports
-     AES128-CBC. The kernel must be version 4.1.0 or greater.
-     [Catriona Lucey]
-
-  *) OpenSSL now uses a new threading API. It is no longer necessary to
-     set locking callbacks to use OpenSSL in a multi-threaded environment. There
-     are two supported threading models: pthreads and windows threads. It is
-     also possible to configure OpenSSL at compile time for "no-threads". The
-     old threading API should no longer be used. The functions have been
-     replaced with "no-op" compatibility macros.
-     [Alessandro Ghedini, Matt Caswell]
-
-  *) Modify behavior of ALPN to invoke callback after SNI/servername
-     callback, such that updates to the SSL_CTX affect ALPN.
-     [Todd Short]
-
-  *) Add SSL_CIPHER queries for authentication and key-exchange.
-     [Todd Short]
-
-  *) Changes to the DEFAULT cipherlist:
-       - Prefer (EC)DHE handshakes over plain RSA.
-       - Prefer AEAD ciphers over legacy ciphers.
-       - Prefer ECDSA over RSA when both certificates are available.
-       - Prefer TLSv1.2 ciphers/PRF.
-       - Remove DSS, SEED, IDEA, CAMELLIA, and AES-CCM from the
-         default cipherlist.
-     [Emilia Käsper]
-
-  *) Change the ECC default curve list to be this, in order: x25519,
-     secp256r1, secp521r1, secp384r1.
-     [Rich Salz]
-
-  *) RC4 based libssl ciphersuites are now classed as "weak" ciphers and are
-     disabled by default. They can be re-enabled using the
-     enable-weak-ssl-ciphers option to Configure.
-     [Matt Caswell]
-
-  *) If the server has ALPN configured, but supports no protocols that the
-     client advertises, send a fatal "no_application_protocol" alert.
-     This behaviour is SHALL in RFC 7301, though it isn't universally
-     implemented by other servers.
-     [Emilia Käsper]
-
-  *) Add X25519 support.
-     Add ASN.1 and EVP_PKEY methods for X25519. This includes support
-     for public and private key encoding using the format documented in
-     draft-ietf-curdle-pkix-02. The corresponding EVP_PKEY method supports
-     key generation and key derivation.
-
-     TLS support complies with draft-ietf-tls-rfc4492bis-08 and uses
-     X25519(29).
-     [Steve Henson]
-
-  *) Deprecate SRP_VBASE_get_by_user.
-     SRP_VBASE_get_by_user had inconsistent memory management behaviour.
-     In order to fix an unavoidable memory leak (CVE-2016-0798),
-     SRP_VBASE_get_by_user was changed to ignore the "fake user" SRP
-     seed, even if the seed is configured.
-
-     Users should use SRP_VBASE_get1_by_user instead. Note that in
-     SRP_VBASE_get1_by_user, caller must free the returned value. Note
-     also that even though configuring the SRP seed attempts to hide
-     invalid usernames by continuing the handshake with fake
-     credentials, this behaviour is not constant time and no strong
-     guarantees are made that the handshake is indistinguishable from
-     that of a valid user.
-     [Emilia Käsper]
-
-  *) Configuration change; it's now possible to build dynamic engines
-     without having to build shared libraries and vice versa.  This
-     only applies to the engines in engines/, those in crypto/engine/
-     will always be built into libcrypto (i.e. "static").
-
-     Building dynamic engines is enabled by default; to disable, use
-     the configuration option "disable-dynamic-engine".
-
-     The only requirements for building dynamic engines are the
-     presence of the DSO module and building with position independent
-     code, so they will also automatically be disabled if configuring
-     with "disable-dso" or "disable-pic".
-
-     The macros OPENSSL_NO_STATIC_ENGINE and OPENSSL_NO_DYNAMIC_ENGINE
-     are also taken away from openssl/opensslconf.h, as they are
-     irrelevant.
-     [Richard Levitte]
-
-  *) Configuration change; if there is a known flag to compile
-     position independent code, it will always be applied on the
-     libcrypto and libssl object files, and never on the application
-     object files.  This means other libraries that use routines from
-     libcrypto / libssl can be made into shared libraries regardless
-     of how OpenSSL was configured.
-
-     If this isn't desirable, the configuration options "disable-pic"
-     or "no-pic" can be used to disable the use of PIC.  This will
-     also disable building shared libraries and dynamic engines.
-     [Richard Levitte]
-
-  *) Removed JPAKE code.  It was experimental and has no wide use.
-     [Rich Salz]
-
-  *) The INSTALL_PREFIX Makefile variable has been renamed to
-     DESTDIR.  That makes for less confusion on what this variable
-     is for.  Also, the configuration option --install_prefix is
-     removed.
-     [Richard Levitte]
-
-  *) Heartbeat for TLS has been removed and is disabled by default
-     for DTLS; configure with enable-heartbeats.  Code that uses the
-     old #define's might need to be updated.
-     [Emilia Käsper, Rich Salz]
-
-  *) Rename REF_CHECK to REF_DEBUG.
-     [Rich Salz]
-
-  *) New "unified" build system
-
-     The "unified" build system is aimed to be a common system for all
-     platforms we support.  With it comes new support for VMS.
-
-     This system builds supports building in a different directory tree
-     than the source tree.  It produces one Makefile (for unix family
-     or lookalikes), or one descrip.mms (for VMS).
-
-     The source of information to make the Makefile / descrip.mms is
-     small files called 'build.info', holding the necessary
-     information for each directory with source to compile, and a
-     template in Configurations, like unix-Makefile.tmpl or
-     descrip.mms.tmpl.
-
-     With this change, the library names were also renamed on Windows
-     and on VMS.  They now have names that are closer to the standard
-     on Unix, and include the major version number, and in certain
-     cases, the architecture they are built for.  See "Notes on shared
-     libraries" in INSTALL.
-
-     We rely heavily on the perl module Text::Template.
-     [Richard Levitte]
-
-  *) Added support for auto-initialisation and de-initialisation of the library.
-     OpenSSL no longer requires explicit init or deinit routines to be called,
-     except in certain circumstances. See the OPENSSL_init_crypto() and
-     OPENSSL_init_ssl() man pages for further information.
-     [Matt Caswell]
-
-  *) The arguments to the DTLSv1_listen function have changed. Specifically the
-     "peer" argument is now expected to be a BIO_ADDR object.
-
-  *) Rewrite of BIO networking library. The BIO library lacked consistent
-     support of IPv6, and adding it required some more extensive
-     modifications.  This introduces the BIO_ADDR and BIO_ADDRINFO types,
-     which hold all types of addresses and chains of address information.
-     It also introduces a new API, with functions like BIO_socket,
-     BIO_connect, BIO_listen, BIO_lookup and a rewrite of BIO_accept.
-     The source/sink BIOs BIO_s_connect, BIO_s_accept and BIO_s_datagram
-     have been adapted accordingly.
-     [Richard Levitte]
-
-  *) RSA_padding_check_PKCS1_type_1 now accepts inputs with and without
-     the leading 0-byte.
-     [Emilia Käsper]
-
-  *) CRIME protection: disable compression by default, even if OpenSSL is
-     compiled with zlib enabled. Applications can still enable compression
-     by calling SSL_CTX_clear_options(ctx, SSL_OP_NO_COMPRESSION), or by
-     using the SSL_CONF library to configure compression.
-     [Emilia Käsper]
-
-  *) The signature of the session callback configured with
-     SSL_CTX_sess_set_get_cb was changed. The read-only input buffer
-     was explicitly marked as 'const unsigned char*' instead of
-     'unsigned char*'.
-     [Emilia Käsper]
-
-  *) Always DPURIFY. Remove the use of uninitialized memory in the
-     RNG, and other conditional uses of DPURIFY. This makes -DPURIFY a no-op.
-     [Emilia Käsper]
-
-  *) Removed many obsolete configuration items, including
-        DES_PTR, DES_RISC1, DES_RISC2, DES_INT
-        MD2_CHAR, MD2_INT, MD2_LONG
-        BF_PTR, BF_PTR2
-        IDEA_SHORT, IDEA_LONG
-        RC2_SHORT, RC2_LONG, RC4_LONG, RC4_CHUNK, RC4_INDEX
-     [Rich Salz, with advice from Andy Polyakov]
-
-  *) Many BN internals have been moved to an internal header file.
-     [Rich Salz with help from Andy Polyakov]
-
-  *) Configuration and writing out the results from it has changed.
-     Files such as Makefile include/openssl/opensslconf.h and are now
-     produced through general templates, such as Makefile.in and
-     crypto/opensslconf.h.in and some help from the perl module
-     Text::Template.
-
-     Also, the center of configuration information is no longer
-     Makefile.  Instead, Configure produces a perl module in
-     configdata.pm which holds most of the config data (in the hash
-     table %config), the target data that comes from the target
-     configuration in one of the Configurations/*.conf files (in
-     %target).
-     [Richard Levitte]
-
-  *) To clarify their intended purposes, the Configure options
-     --prefix and --openssldir change their semantics, and become more
-     straightforward and less interdependent.
-
-     --prefix shall be used exclusively to give the location INSTALLTOP
-     where programs, scripts, libraries, include files and manuals are
-     going to be installed.  The default is now /usr/local.
-
-     --openssldir shall be used exclusively to give the default
-     location OPENSSLDIR where certificates, private keys, CRLs are
-     managed.  This is also where the default openssl.cnf gets
-     installed.
-     If the directory given with this option is a relative path, the
-     values of both the --prefix value and the --openssldir value will
-     be combined to become OPENSSLDIR.
-     The default for --openssldir is INSTALLTOP/ssl.
-
-     Anyone who uses --openssldir to specify where OpenSSL is to be
-     installed MUST change to use --prefix instead.
-     [Richard Levitte]
-
-  *) The GOST engine was out of date and therefore it has been removed. An up
-     to date GOST engine is now being maintained in an external repository.
-     See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
-     support for GOST ciphersuites (these are only activated if a GOST engine
-     is present).
-     [Matt Caswell]
-
-  *) EGD is no longer supported by default; use enable-egd when
-     configuring.
-     [Ben Kaduk and Rich Salz]
-
-  *) The distribution now has Makefile.in files, which are used to
-     create Makefile's when Configure is run.  *Configure must be run
-     before trying to build now.*
-     [Rich Salz]
-
-  *) The return value for SSL_CIPHER_description() for error conditions
-     has changed.
-     [Rich Salz]
-
-  *) Support for RFC6698/RFC7671 DANE TLSA peer authentication.
-
-     Obtaining and performing DNSSEC validation of TLSA records is
-     the application's responsibility.  The application provides
-     the TLSA records of its choice to OpenSSL, and these are then
-     used to authenticate the peer.
-
-     The TLSA records need not even come from DNS.  They can, for
-     example, be used to implement local end-entity certificate or
-     trust-anchor "pinning", where the "pin" data takes the form
-     of TLSA records, which can augment or replace verification
-     based on the usual WebPKI public certification authorities.
-     [Viktor Dukhovni]
-
-  *) Revert default OPENSSL_NO_DEPRECATED setting.  Instead OpenSSL
-     continues to support deprecated interfaces in default builds.
-     However, applications are strongly advised to compile their
-     source files with -DOPENSSL_API_COMPAT=0x10100000L, which hides
-     the declarations of all interfaces deprecated in 0.9.8, 1.0.0
-     or the 1.1.0 releases.
-
-     In environments in which all applications have been ported to
-     not use any deprecated interfaces OpenSSL's Configure script
-     should be used with the --api=1.1.0 option to entirely remove
-     support for the deprecated features from the library and
-     unconditionally disable them in the installed headers.
-     Essentially the same effect can be achieved with the "no-deprecated"
-     argument to Configure, except that this will always restrict
-     the build to just the latest API, rather than a fixed API
-     version.
-
-     As applications are ported to future revisions of the API,
-     they should update their compile-time OPENSSL_API_COMPAT define
-     accordingly, but in most cases should be able to continue to
-     compile with later releases.
-
-     The OPENSSL_API_COMPAT versions for 1.0.0, and 0.9.8 are
-     0x10000000L and 0x00908000L, respectively.  However those
-     versions did not support the OPENSSL_API_COMPAT feature, and
-     so applications are not typically tested for explicit support
-     of just the undeprecated features of either release.
-     [Viktor Dukhovni]
-
-  *) Add support for setting the minimum and maximum supported protocol.
-     It can bet set via the SSL_set_min_proto_version() and
-     SSL_set_max_proto_version(), or via the SSL_CONF's MinProtocol and
-     MaxProtocol.  It's recommended to use the new APIs to disable
-     protocols instead of disabling individual protocols using
-     SSL_set_options() or SSL_CONF's Protocol.  This change also
-     removes support for disabling TLS 1.2 in the OpenSSL TLS
-     client at compile time by defining OPENSSL_NO_TLS1_2_CLIENT.
-     [Kurt Roeckx]
-
-  *) Support for ChaCha20 and Poly1305 added to libcrypto and libssl.
-     [Andy Polyakov]
-
-  *) New EC_KEY_METHOD, this replaces the older ECDSA_METHOD and ECDH_METHOD
-     and integrates ECDSA and ECDH functionality into EC. Implementations can
-     now redirect key generation and no longer need to convert to or from
-     ECDSA_SIG format.
-
-     Note: the ecdsa.h and ecdh.h headers are now no longer needed and just
-     include the ec.h header file instead.
-     [Steve Henson]
-
-  *) Remove support for all 40 and 56 bit ciphers.  This includes all the export
-     ciphers who are no longer supported and drops support the ephemeral RSA key
-     exchange. The LOW ciphers currently doesn't have any ciphers in it.
-     [Kurt Roeckx]
-
-  *) Made EVP_MD_CTX, EVP_MD, EVP_CIPHER_CTX, EVP_CIPHER and HMAC_CTX
-     opaque.  For HMAC_CTX, the following constructors and destructors
-     were added:
-
-        HMAC_CTX *HMAC_CTX_new(void);
-        void HMAC_CTX_free(HMAC_CTX *ctx);
-
-     For EVP_MD and EVP_CIPHER, complete APIs to create, fill and
-     destroy such methods has been added.  See EVP_MD_meth_new(3) and
-     EVP_CIPHER_meth_new(3) for documentation.
-
-     Additional changes:
-     1) EVP_MD_CTX_cleanup(), EVP_CIPHER_CTX_cleanup() and
-        HMAC_CTX_cleanup() were removed.  HMAC_CTX_reset() and
-        EVP_MD_CTX_reset() should be called instead to reinitialise
-        an already created structure.
-     2) For consistency with the majority of our object creators and
-        destructors, EVP_MD_CTX_(create|destroy) were renamed to
-        EVP_MD_CTX_(new|free).  The old names are retained as macros
-        for deprecated builds.
-     [Richard Levitte]
-
-  *) Added ASYNC support. Libcrypto now includes the async sub-library to enable
-     cryptographic operations to be performed asynchronously as long as an
-     asynchronous capable engine is used. See the ASYNC_start_job() man page for
-     further details. Libssl has also had this capability integrated with the
-     introduction of the new mode SSL_MODE_ASYNC and associated error
-     SSL_ERROR_WANT_ASYNC. See the SSL_CTX_set_mode() and SSL_get_error() man
-     pages. This work was developed in partnership with Intel Corp.
-     [Matt Caswell]
-
-  *) SSL_{CTX_}set_ecdh_auto() has been removed and ECDH is support is
-     always enabled now.  If you want to disable the support you should
-     exclude it using the list of supported ciphers. This also means that the
-     "-no_ecdhe" option has been removed from s_server.
-     [Kurt Roeckx]
-
-  *) SSL_{CTX}_set_tmp_ecdh() which can set 1 EC curve now internally calls
-     SSL_{CTX_}set1_curves() which can set a list.
-     [Kurt Roeckx]
-
-  *) Remove support for SSL_{CTX_}set_tmp_ecdh_callback().  You should set the
-     curve you want to support using SSL_{CTX_}set1_curves().
-     [Kurt Roeckx]
-
-  *) State machine rewrite. The state machine code has been significantly
-     refactored in order to remove much duplication of code and solve issues
-     with the old code (see ssl/statem/README for further details). This change
-     does have some associated API changes. Notably the SSL_state() function
-     has been removed and replaced by SSL_get_state which now returns an
-     "OSSL_HANDSHAKE_STATE" instead of an int. SSL_set_state() has been removed
-     altogether. The previous handshake states defined in ssl.h and ssl3.h have
-     also been removed.
-     [Matt Caswell]
-
-  *) All instances of the string "ssleay" in the public API were replaced
-     with OpenSSL (case-matching; e.g., OPENSSL_VERSION for #define's)
-     Some error codes related to internal RSA_eay API's were renamed.
-     [Rich Salz]
-
-  *) The demo files in crypto/threads were moved to demo/threads.
-     [Rich Salz]
-
-  *) Removed obsolete engines: 4758cca, aep, atalla, cswift, nuron, gmp,
-     sureware and ubsec.
-     [Matt Caswell, Rich Salz]
-
-  *) New ASN.1 embed macro.
-
-     New ASN.1 macro ASN1_EMBED. This is the same as ASN1_SIMPLE except the
-     structure is not allocated: it is part of the parent. That is instead of
-
-     FOO *x;
-
-     it must be:
-
-     FOO x;
-
-     This reduces memory fragmentation and make it impossible to accidentally
-     set a mandatory field to NULL.
-
-     This currently only works for some fields specifically a SEQUENCE, CHOICE,
-     or ASN1_STRING type which is part of a parent SEQUENCE. Since it is
-     equivalent to ASN1_SIMPLE it cannot be tagged, OPTIONAL, SET OF or
-     SEQUENCE OF.
-     [Steve Henson]
-
-  *) Remove EVP_CHECK_DES_KEY, a compile-time option that never compiled.
-     [Emilia Käsper]
-
-  *) Removed DES and RC4 ciphersuites from DEFAULT. Also removed RC2 although
-     in 1.0.2 EXPORT was already removed and the only RC2 ciphersuite is also
-     an EXPORT one. COMPLEMENTOFDEFAULT has been updated accordingly to add
-     DES and RC4 ciphersuites.
-     [Matt Caswell]
-
-  *) Rewrite EVP_DecodeUpdate (base64 decoding) to fix several bugs.
-     This changes the decoding behaviour for some invalid messages,
-     though the change is mostly in the more lenient direction, and
-     legacy behaviour is preserved as much as possible.
-     [Emilia Käsper]
-
-  *) Fix no-stdio build.
-    [ David Woodhouse <David.Woodhouse@intel.com> and also
-      Ivan Nestlerode <ivan.nestlerode@sonos.com> ]
-
-  *) New testing framework
-     The testing framework has been largely rewritten and is now using
-     perl and the perl modules Test::Harness and an extended variant of
-     Test::More called OpenSSL::Test to do its work.  All test scripts in
-     test/ have been rewritten into test recipes, and all direct calls to
-     executables in test/Makefile have become individual recipes using the
-     simplified testing OpenSSL::Test::Simple.
-
-     For documentation on our testing modules, do:
-
-        perldoc test/testlib/OpenSSL/Test/Simple.pm
-        perldoc test/testlib/OpenSSL/Test.pm
-
-     [Richard Levitte]
-
-  *) Revamped memory debug; only -DCRYPTO_MDEBUG and -DCRYPTO_MDEBUG_ABORT
-     are used; the latter aborts on memory leaks (usually checked on exit).
-     Some undocumented "set malloc, etc., hooks" functions were removed
-     and others were changed.  All are now documented.
-     [Rich Salz]
-
-  *) In DSA_generate_parameters_ex, if the provided seed is too short,
-     return an error
-     [Rich Salz and Ismo Puustinen <ismo.puustinen@intel.com>]
-
-  *) Rewrite PSK to support ECDHE_PSK, DHE_PSK and RSA_PSK. Add ciphersuites
-     from RFC4279, RFC4785, RFC5487, RFC5489.
-
-     Thanks to Christian J. Dietrich and Giuseppe D'Angelo for the
-     original RSA_PSK patch.
-     [Steve Henson]
-
-  *) Dropped support for the SSL3_FLAGS_DELAY_CLIENT_FINISHED flag. This SSLeay
-     era flag was never set throughout the codebase (only read). Also removed
-     SSL3_FLAGS_POP_BUFFER which was only used if
-     SSL3_FLAGS_DELAY_CLIENT_FINISHED was also set.
-     [Matt Caswell]
-
-  *) Changed the default name options in the "ca", "crl", "req" and "x509"
-     to be "oneline" instead of "compat".
-     [Richard Levitte]
-
-  *) Remove SSL_OP_TLS_BLOCK_PADDING_BUG. This is SSLeay legacy, we're
-     not aware of clients that still exhibit this bug, and the workaround
-     hasn't been working properly for a while.
-     [Emilia Käsper]
-
-  *) The return type of BIO_number_read() and BIO_number_written() as well as
-     the corresponding num_read and num_write members in the BIO structure has
-     changed from unsigned long to uint64_t. On platforms where an unsigned
-     long is 32 bits (e.g. Windows) these counters could overflow if >4Gb is
-     transferred.
-     [Matt Caswell]
-
-  *) Given the pervasive nature of TLS extensions it is inadvisable to run
-     OpenSSL without support for them. It also means that maintaining
-     the OPENSSL_NO_TLSEXT option within the code is very invasive (and probably
-     not well tested). Therefore the OPENSSL_NO_TLSEXT option has been removed.
-     [Matt Caswell]
-
-  *) Removed support for the two export grade static DH ciphersuites
-     EXP-DH-RSA-DES-CBC-SHA and EXP-DH-DSS-DES-CBC-SHA. These two ciphersuites
-     were newly added (along with a number of other static DH ciphersuites) to
-     1.0.2. However the two export ones have *never* worked since they were
-     introduced. It seems strange in any case to be adding new export
-     ciphersuites, and given "logjam" it also does not seem correct to fix them.
-     [Matt Caswell]
-
-  *) Version negotiation has been rewritten. In particular SSLv23_method(),
-     SSLv23_client_method() and SSLv23_server_method() have been deprecated,
-     and turned into macros which simply call the new preferred function names
-     TLS_method(), TLS_client_method() and TLS_server_method(). All new code
-     should use the new names instead. Also as part of this change the ssl23.h
-     header file has been removed.
-     [Matt Caswell]
-
-  *) Support for Kerberos ciphersuites in TLS (RFC2712) has been removed. This
-     code and the associated standard is no longer considered fit-for-purpose.
-     [Matt Caswell]
-
-  *) RT2547 was closed.  When generating a private key, try to make the
-     output file readable only by the owner.  This behavior change might
-     be noticeable when interacting with other software.
-
-  *) Documented all exdata functions.  Added CRYPTO_free_ex_index.
-     Added a test.
-     [Rich Salz]
-
-  *) Added HTTP GET support to the ocsp command.
-     [Rich Salz]
-
-  *) Changed default digest for the dgst and enc commands from MD5 to
-     sha256
-     [Rich Salz]
-
-  *) RAND_pseudo_bytes has been deprecated. Users should use RAND_bytes instead.
-     [Matt Caswell]
-
-  *) Added support for TLS extended master secret from
-     draft-ietf-tls-session-hash-03.txt. Thanks for Alfredo Pironti for an
-     initial patch which was a great help during development.
-     [Steve Henson]
-
-  *) All libssl internal structures have been removed from the public header
-     files, and the OPENSSL_NO_SSL_INTERN option has been removed (since it is
-     now redundant). Users should not attempt to access internal structures
-     directly. Instead they should use the provided API functions.
-     [Matt Caswell]
-
-  *) config has been changed so that by default OPENSSL_NO_DEPRECATED is used.
-     Access to deprecated functions can be re-enabled by running config with
-     "enable-deprecated". In addition applications wishing to use deprecated
-     functions must define OPENSSL_USE_DEPRECATED. Note that this new behaviour
-     will, by default, disable some transitive includes that previously existed
-     in the header files (e.g. ec.h will no longer, by default, include bn.h)
-     [Matt Caswell]
-
-  *) Added support for OCB mode. OpenSSL has been granted a patent license
-     compatible with the OpenSSL license for use of OCB. Details are available
-     at https://www.openssl.org/source/OCB-patent-grant-OpenSSL.pdf. Support
-     for OCB can be removed by calling config with no-ocb.
-     [Matt Caswell]
-
-  *) SSLv2 support has been removed.  It still supports receiving a SSLv2
-     compatible client hello.
-     [Kurt Roeckx]
-
-  *) Increased the minimal RSA keysize from 256 to 512 bits [Rich Salz],
-     done while fixing the error code for the key-too-small case.
-     [Annie Yousar <a.yousar@informatik.hu-berlin.de>]
-
-  *) CA.sh has been removed; use CA.pl instead.
-     [Rich Salz]
-
-  *) Removed old DES API.
-     [Rich Salz]
-
-  *) Remove various unsupported platforms:
-        Sony NEWS4
-        BEOS and BEOS_R5
-        NeXT
-        SUNOS
-        MPE/iX
-        Sinix/ReliantUNIX RM400
-        DGUX
-        NCR
-        Tandem
-        Cray
-        16-bit platforms such as WIN16
-     [Rich Salz]
-
-  *) Clean up OPENSSL_NO_xxx #define's
-        Use setbuf() and remove OPENSSL_NO_SETVBUF_IONBF
-        Rename OPENSSL_SYSNAME_xxx to OPENSSL_SYS_xxx
-        OPENSSL_NO_EC{DH,DSA} merged into OPENSSL_NO_EC
-        OPENSSL_NO_RIPEMD160, OPENSSL_NO_RIPEMD merged into OPENSSL_NO_RMD160
-        OPENSSL_NO_FP_API merged into OPENSSL_NO_STDIO
-        Remove OPENSSL_NO_BIO OPENSSL_NO_BUFFER OPENSSL_NO_CHAIN_VERIFY
-        OPENSSL_NO_EVP OPENSSL_NO_FIPS_ERR OPENSSL_NO_HASH_COMP
-        OPENSSL_NO_LHASH OPENSSL_NO_OBJECT OPENSSL_NO_SPEED OPENSSL_NO_STACK
-        OPENSSL_NO_X509 OPENSSL_NO_X509_VERIFY
-        Remove MS_STATIC; it's a relic from platforms <32 bits.
-     [Rich Salz]
-
-  *) Cleaned up dead code
-        Remove all but one '#ifdef undef' which is to be looked at.
-     [Rich Salz]
-
-  *) Clean up calling of xxx_free routines.
-        Just like free(), fix most of the xxx_free routines to accept
-        NULL.  Remove the non-null checks from callers.  Save much code.
-     [Rich Salz]
-
-  *) Add secure heap for storage of private keys (when possible).
-     Add BIO_s_secmem(), CBIGNUM, etc.
-     Contributed by Akamai Technologies under our Corporate CLA.
-     [Rich Salz]
-
-  *) Experimental support for a new, fast, unbiased prime candidate generator,
-     bn_probable_prime_dh_coprime(). Not currently used by any prime generator.
-     [Felix Laurie von Massenbach <felix@erbridge.co.uk>]
-
-  *) New output format NSS in the sess_id command line tool. This allows
-     exporting the session id and the master key in NSS keylog format.
-     [Martin Kaiser <martin@kaiser.cx>]
-
-  *) Harmonize version and its documentation. -f flag is used to display
-     compilation flags.
-     [mancha <mancha1@zoho.com>]
-
-  *) Fix eckey_priv_encode so it immediately returns an error upon a failure
-     in i2d_ECPrivateKey.  Thanks to Ted Unangst for feedback on this issue.
-     [mancha <mancha1@zoho.com>]
-
-  *) Fix some double frees. These are not thought to be exploitable.
-     [mancha <mancha1@zoho.com>]
-
-  *) A missing bounds check in the handling of the TLS heartbeat extension
-     can be used to reveal up to 64k of memory to a connected client or
-     server.
-
-     Thanks for Neel Mehta of Google Security for discovering this bug and to
-     Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
-     preparing the fix (CVE-2014-0160)
-     [Adam Langley, Bodo Moeller]
-
-  *) Fix for the attack described in the paper "Recovering OpenSSL
-     ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack"
-     by Yuval Yarom and Naomi Benger. Details can be obtained from:
-     http://eprint.iacr.org/2014/140
-
-     Thanks to Yuval Yarom and Naomi Benger for discovering this
-     flaw and to Yuval Yarom for supplying a fix (CVE-2014-0076)
-     [Yuval Yarom and Naomi Benger]
-
-  *) Use algorithm specific chains in SSL_CTX_use_certificate_chain_file():
-     this fixes a limitation in previous versions of OpenSSL.
-     [Steve Henson]
-
-  *) Experimental encrypt-then-mac support.
-
-     Experimental support for encrypt then mac from
-     draft-gutmann-tls-encrypt-then-mac-02.txt
-
-     To enable it set the appropriate extension number (0x42 for the test
-     server) using e.g. -DTLSEXT_TYPE_encrypt_then_mac=0x42
-
-     For non-compliant peers (i.e. just about everything) this should have no
-     effect.
-
-     WARNING: EXPERIMENTAL, SUBJECT TO CHANGE.
-
-     [Steve Henson]
-
-  *) Add EVP support for key wrapping algorithms, to avoid problems with
-     existing code the flag EVP_CIPHER_CTX_WRAP_ALLOW has to be set in
-     the EVP_CIPHER_CTX or an error is returned. Add AES and DES3 wrap
-     algorithms and include tests cases.
-     [Steve Henson]
-
-  *) Extend CMS code to support RSA-PSS signatures and RSA-OAEP for
-     enveloped data.
-     [Steve Henson]
-
-  *) Extended RSA OAEP support via EVP_PKEY API. Options to specify digest,
-     MGF1 digest and OAEP label.
-     [Steve Henson]
-
-  *) Make openssl verify return errors.
-     [Chris Palmer <palmer@google.com> and Ben Laurie]
-
-  *) New function ASN1_TIME_diff to calculate the difference between two
-     ASN1_TIME structures or one structure and the current time.
-     [Steve Henson]
-
-  *) Update fips_test_suite to support multiple command line options. New
-     test to induce all self test errors in sequence and check expected
-     failures.
-     [Steve Henson]
-
-  *) Add FIPS_{rsa,dsa,ecdsa}_{sign,verify} functions which digest and
-     sign or verify all in one operation.
-     [Steve Henson]
-
-  *) Add fips_algvs: a multicall fips utility incorporating all the algorithm
-     test programs and fips_test_suite. Includes functionality to parse
-     the minimal script output of fipsalgest.pl directly.
-     [Steve Henson]
-
-  *) Add authorisation parameter to FIPS_module_mode_set().
-     [Steve Henson]
-
-  *) Add FIPS selftest for ECDH algorithm using P-224 and B-233 curves.
-     [Steve Henson]
-
-  *) Use separate DRBG fields for internal and external flags. New function
-     FIPS_drbg_health_check() to perform on demand health checking. Add
-     generation tests to fips_test_suite with reduced health check interval to
-     demonstrate periodic health checking. Add "nodh" option to
-     fips_test_suite to skip very slow DH test.
-     [Steve Henson]
-
-  *) New function FIPS_get_cipherbynid() to lookup FIPS supported ciphers
-     based on NID.
-     [Steve Henson]
-
-  *) More extensive health check for DRBG checking many more failure modes.
-     New function FIPS_selftest_drbg_all() to handle every possible DRBG
-     combination: call this in fips_test_suite.
-     [Steve Henson]
-
-  *) Add support for canonical generation of DSA parameter 'g'. See
-     FIPS 186-3 A.2.3.
-
-  *) Add support for HMAC DRBG from SP800-90. Update DRBG algorithm test and
-     POST to handle HMAC cases.
-     [Steve Henson]
-
-  *) Add functions FIPS_module_version() and FIPS_module_version_text()
-     to return numerical and string versions of the FIPS module number.
-     [Steve Henson]
-
-  *) Rename FIPS_mode_set and FIPS_mode to FIPS_module_mode_set and
-     FIPS_module_mode. FIPS_mode and FIPS_mode_set will be implemented
-     outside the validated module in the FIPS capable OpenSSL.
-     [Steve Henson]
-
-  *) Minor change to DRBG entropy callback semantics. In some cases
-     there is no multiple of the block length between min_len and
-     max_len. Allow the callback to return more than max_len bytes
-     of entropy but discard any extra: it is the callback's responsibility
-     to ensure that the extra data discarded does not impact the
-     requested amount of entropy.
-     [Steve Henson]
-
-  *) Add PRNG security strength checks to RSA, DSA and ECDSA using
-     information in FIPS186-3, SP800-57 and SP800-131A.
-     [Steve Henson]
-
-  *) CCM support via EVP. Interface is very similar to GCM case except we
-     must supply all data in one chunk (i.e. no update, final) and the
-     message length must be supplied if AAD is used. Add algorithm test
-     support.
-     [Steve Henson]
-
-  *) Initial version of POST overhaul. Add POST callback to allow the status
-     of POST to be monitored and/or failures induced. Modify fips_test_suite
-     to use callback. Always run all selftests even if one fails.
-     [Steve Henson]
-
-  *) XTS support including algorithm test driver in the fips_gcmtest program.
-     Note: this does increase the maximum key length from 32 to 64 bytes but
-     there should be no binary compatibility issues as existing applications
-     will never use XTS mode.
-     [Steve Henson]
-
-  *) Extensive reorganisation of FIPS PRNG behaviour. Remove all dependencies
-     to OpenSSL RAND code and replace with a tiny FIPS RAND API which also
-     performs algorithm blocking for unapproved PRNG types. Also do not
-     set PRNG type in FIPS_mode_set(): leave this to the application.
-     Add default OpenSSL DRBG handling: sets up FIPS PRNG and seeds with
-     the standard OpenSSL PRNG: set additional data to a date time vector.
-     [Steve Henson]
-
-  *) Rename old X9.31 PRNG functions of the form FIPS_rand* to FIPS_x931*.
-     This shouldn't present any incompatibility problems because applications
-     shouldn't be using these directly and any that are will need to rethink
-     anyway as the X9.31 PRNG is now deprecated by FIPS 140-2
-     [Steve Henson]
-
-  *) Extensive self tests and health checking required by SP800-90 DRBG.
-     Remove strength parameter from FIPS_drbg_instantiate and always
-     instantiate at maximum supported strength.
-     [Steve Henson]
-
-  *) Add ECDH code to fips module and fips_ecdhvs for primitives only testing.
-     [Steve Henson]
-
-  *) New algorithm test program fips_dhvs to handle DH primitives only testing.
-     [Steve Henson]
-
-  *) New function DH_compute_key_padded() to compute a DH key and pad with
-     leading zeroes if needed: this complies with SP800-56A et al.
-     [Steve Henson]
-
-  *) Initial implementation of SP800-90 DRBGs for Hash and CTR. Not used by
-     anything, incomplete, subject to change and largely untested at present.
-     [Steve Henson]
-
-  *) Modify fipscanisteronly build option to only build the necessary object
-     files by filtering FIPS_EX_OBJ through a perl script in crypto/Makefile.
-     [Steve Henson]
-
-  *) Add experimental option FIPSSYMS to give all symbols in
-     fipscanister.o and FIPS or fips prefix. This will avoid
-     conflicts with future versions of OpenSSL. Add perl script
-     util/fipsas.pl to preprocess assembly language source files
-     and rename any affected symbols.
-     [Steve Henson]
-
-  *) Add selftest checks and algorithm block of non-fips algorithms in
-     FIPS mode. Remove DES2 from selftests.
-     [Steve Henson]
-
-  *) Add ECDSA code to fips module. Add tiny fips_ecdsa_check to just
-     return internal method without any ENGINE dependencies. Add new
-     tiny fips sign and verify functions.
-     [Steve Henson]
-
-  *) New build option no-ec2m to disable characteristic 2 code.
-     [Steve Henson]
-
-  *) New build option "fipscanisteronly". This only builds fipscanister.o
-     and (currently) associated fips utilities. Uses the file Makefile.fips
-     instead of Makefile.org as the prototype.
-     [Steve Henson]
-
-  *) Add some FIPS mode restrictions to GCM. Add internal IV generator.
-     Update fips_gcmtest to use IV generator.
-     [Steve Henson]
-
-  *) Initial, experimental EVP support for AES-GCM. AAD can be input by
-     setting output buffer to NULL. The *Final function must be
-     called although it will not retrieve any additional data. The tag
-     can be set or retrieved with a ctrl. The IV length is by default 12
-     bytes (96 bits) but can be set to an alternative value. If the IV
-     length exceeds the maximum IV length (currently 16 bytes) it cannot be
-     set before the key.
-     [Steve Henson]
-
-  *) New flag in ciphers: EVP_CIPH_FLAG_CUSTOM_CIPHER. This means the
-     underlying do_cipher function handles all cipher semantics itself
-     including padding and finalisation. This is useful if (for example)
-     an ENGINE cipher handles block padding itself. The behaviour of
-     do_cipher is subtly changed if this flag is set: the return value
-     is the number of characters written to the output buffer (zero is
-     no longer an error code) or a negative error code. Also if the
-     input buffer is NULL and length 0 finalisation should be performed.
-     [Steve Henson]
-
-  *) If a candidate issuer certificate is already part of the constructed
-     path ignore it: new debug notification X509_V_ERR_PATH_LOOP for this case.
-     [Steve Henson]
-
-  *) Improve forward-security support: add functions
-
-       void SSL_CTX_set_not_resumable_session_callback(SSL_CTX *ctx, int (*cb)(SSL *ssl, int is_forward_secure))
-       void SSL_set_not_resumable_session_callback(SSL *ssl, int (*cb)(SSL *ssl, int is_forward_secure))
-
-     for use by SSL/TLS servers; the callback function will be called whenever a
-     new session is created, and gets to decide whether the session may be
-     cached to make it resumable (return 0) or not (return 1).  (As by the
-     SSL/TLS protocol specifications, the session_id sent by the server will be
-     empty to indicate that the session is not resumable; also, the server will
-     not generate RFC 4507 (RFC 5077) session tickets.)
-
-     A simple reasonable callback implementation is to return is_forward_secure.
-     This parameter will be set to 1 or 0 depending on the ciphersuite selected
-     by the SSL/TLS server library, indicating whether it can provide forward
-     security.
-     [Emilia Käsper <emilia.kasper@esat.kuleuven.be> (Google)]
-
-  *) New -verify_name option in command line utilities to set verification
-     parameters by name.
-     [Steve Henson]
-
-  *) Initial CMAC implementation. WARNING: EXPERIMENTAL, API MAY CHANGE.
-     Add CMAC pkey methods.
-     [Steve Henson]
-
-  *) Experimental renegotiation in s_server -www mode. If the client
-     browses /reneg connection is renegotiated. If /renegcert it is
-     renegotiated requesting a certificate.
-     [Steve Henson]
-
-  *) Add an "external" session cache for debugging purposes to s_server. This
-     should help trace issues which normally are only apparent in deployed
-     multi-process servers.
-     [Steve Henson]
-
-  *) Extensive audit of libcrypto with DEBUG_UNUSED. Fix many cases where
-     return value is ignored. NB. The functions RAND_add(), RAND_seed(),
-     BIO_set_cipher() and some obscure PEM functions were changed so they
-     can now return an error. The RAND changes required a change to the
-     RAND_METHOD structure.
-     [Steve Henson]
-
-  *) New macro __owur for "OpenSSL Warn Unused Result". This makes use of
-     a gcc attribute to warn if the result of a function is ignored. This
-     is enable if DEBUG_UNUSED is set. Add to several functions in evp.h
-     whose return value is often ignored.
-     [Steve Henson]
-
-  *) New -noct, -requestct, -requirect and -ctlogfile options for s_client.
-     These allow SCTs (signed certificate timestamps) to be requested and
-     validated when establishing a connection.
-     [Rob Percival <robpercival@google.com>]
-
- Changes between 1.0.2g and 1.0.2h [3 May 2016]
-
-  *) Prevent padding oracle in AES-NI CBC MAC check
-
-     A MITM attacker can use a padding oracle attack to decrypt traffic
-     when the connection uses an AES CBC cipher and the server support
-     AES-NI.
-
-     This issue was introduced as part of the fix for Lucky 13 padding
-     attack (CVE-2013-0169). The padding check was rewritten to be in
-     constant time by making sure that always the same bytes are read and
-     compared against either the MAC or padding bytes. But it no longer
-     checked that there was enough data to have both the MAC and padding
-     bytes.
-
-     This issue was reported by Juraj Somorovsky using TLS-Attacker.
-     (CVE-2016-2107)
-     [Kurt Roeckx]
-
-  *) Fix EVP_EncodeUpdate overflow
-
-     An overflow can occur in the EVP_EncodeUpdate() function which is used for
-     Base64 encoding of binary data. If an attacker is able to supply very large
-     amounts of input data then a length check can overflow resulting in a heap
-     corruption.
-
-     Internally to OpenSSL the EVP_EncodeUpdate() function is primarily used by
-     the PEM_write_bio* family of functions. These are mainly used within the
-     OpenSSL command line applications, so any application which processes data
-     from an untrusted source and outputs it as a PEM file should be considered
-     vulnerable to this issue. User applications that call these APIs directly
-     with large amounts of untrusted data may also be vulnerable.
-
-     This issue was reported by Guido Vranken.
-     (CVE-2016-2105)
-     [Matt Caswell]
-
-  *) Fix EVP_EncryptUpdate overflow
-
-     An overflow can occur in the EVP_EncryptUpdate() function. If an attacker
-     is able to supply very large amounts of input data after a previous call to
-     EVP_EncryptUpdate() with a partial block then a length check can overflow
-     resulting in a heap corruption. Following an analysis of all OpenSSL
-     internal usage of the EVP_EncryptUpdate() function all usage is one of two
-     forms. The first form is where the EVP_EncryptUpdate() call is known to be
-     the first called function after an EVP_EncryptInit(), and therefore that
-     specific call must be safe. The second form is where the length passed to
-     EVP_EncryptUpdate() can be seen from the code to be some small value and
-     therefore there is no possibility of an overflow. Since all instances are
-     one of these two forms, it is believed that there can be no overflows in
-     internal code due to this problem. It should be noted that
-     EVP_DecryptUpdate() can call EVP_EncryptUpdate() in certain code paths.
-     Also EVP_CipherUpdate() is a synonym for EVP_EncryptUpdate(). All instances
-     of these calls have also been analysed too and it is believed there are no
-     instances in internal usage where an overflow could occur.
-
-     This issue was reported by Guido Vranken.
-     (CVE-2016-2106)
-     [Matt Caswell]
-
-  *) Prevent ASN.1 BIO excessive memory allocation
-
-     When ASN.1 data is read from a BIO using functions such as d2i_CMS_bio()
-     a short invalid encoding can cause allocation of large amounts of memory
-     potentially consuming excessive resources or exhausting memory.
-
-     Any application parsing untrusted data through d2i BIO functions is
-     affected. The memory based functions such as d2i_X509() are *not* affected.
-     Since the memory based functions are used by the TLS library, TLS
-     applications are not affected.
-
-     This issue was reported by Brian Carpenter.
-     (CVE-2016-2109)
-     [Stephen Henson]
-
-  *) EBCDIC overread
-
-     ASN1 Strings that are over 1024 bytes can cause an overread in applications
-     using the X509_NAME_oneline() function on EBCDIC systems. This could result
-     in arbitrary stack data being returned in the buffer.
-
-     This issue was reported by Guido Vranken.
-     (CVE-2016-2176)
-     [Matt Caswell]
-
-  *) Modify behavior of ALPN to invoke callback after SNI/servername
-     callback, such that updates to the SSL_CTX affect ALPN.
-     [Todd Short]
-
-  *) Remove LOW from the DEFAULT cipher list.  This removes singles DES from the
-     default.
-     [Kurt Roeckx]
-
-  *) Only remove the SSLv2 methods with the no-ssl2-method option. When the
-     methods are enabled and ssl2 is disabled the methods return NULL.
-     [Kurt Roeckx]
-
- Changes between 1.0.2f and 1.0.2g [1 Mar 2016]
-
-  * Disable weak ciphers in SSLv3 and up in default builds of OpenSSL.
-    Builds that are not configured with "enable-weak-ssl-ciphers" will not
-    provide any "EXPORT" or "LOW" strength ciphers.
-    [Viktor Dukhovni]
-
-  * Disable SSLv2 default build, default negotiation and weak ciphers.  SSLv2
-    is by default disabled at build-time.  Builds that are not configured with
-    "enable-ssl2" will not support SSLv2.  Even if "enable-ssl2" is used,
-    users who want to negotiate SSLv2 via the version-flexible SSLv23_method()
-    will need to explicitly call either of:
-
-        SSL_CTX_clear_options(ctx, SSL_OP_NO_SSLv2);
-    or
-        SSL_clear_options(ssl, SSL_OP_NO_SSLv2);
-
-    as appropriate.  Even if either of those is used, or the application
-    explicitly uses the version-specific SSLv2_method() or its client and
-    server variants, SSLv2 ciphers vulnerable to exhaustive search key
-    recovery have been removed.  Specifically, the SSLv2 40-bit EXPORT
-    ciphers, and SSLv2 56-bit DES are no longer available.
-    (CVE-2016-0800)
-    [Viktor Dukhovni]
-
-  *) Fix a double-free in DSA code
-
-     A double free bug was discovered when OpenSSL parses malformed DSA private
-     keys and could lead to a DoS attack or memory corruption for applications
-     that receive DSA private keys from untrusted sources.  This scenario is
-     considered rare.
-
-     This issue was reported to OpenSSL by Adam Langley(Google/BoringSSL) using
-     libFuzzer.
-     (CVE-2016-0705)
-     [Stephen Henson]
-
-  *) Disable SRP fake user seed to address a server memory leak.
-
-     Add a new method SRP_VBASE_get1_by_user that handles the seed properly.
-
-     SRP_VBASE_get_by_user had inconsistent memory management behaviour.
-     In order to fix an unavoidable memory leak, SRP_VBASE_get_by_user
-     was changed to ignore the "fake user" SRP seed, even if the seed
-     is configured.
-
-     Users should use SRP_VBASE_get1_by_user instead. Note that in
-     SRP_VBASE_get1_by_user, caller must free the returned value. Note
-     also that even though configuring the SRP seed attempts to hide
-     invalid usernames by continuing the handshake with fake
-     credentials, this behaviour is not constant time and no strong
-     guarantees are made that the handshake is indistinguishable from
-     that of a valid user.
-     (CVE-2016-0798)
-     [Emilia Käsper]
-
-  *) Fix BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption
-
-     In the BN_hex2bn function the number of hex digits is calculated using an
-     int value |i|. Later |bn_expand| is called with a value of |i * 4|. For
-     large values of |i| this can result in |bn_expand| not allocating any
-     memory because |i * 4| is negative. This can leave the internal BIGNUM data
-     field as NULL leading to a subsequent NULL ptr deref. For very large values
-     of |i|, the calculation |i * 4| could be a positive value smaller than |i|.
-     In this case memory is allocated to the internal BIGNUM data field, but it
-     is insufficiently sized leading to heap corruption. A similar issue exists
-     in BN_dec2bn. This could have security consequences if BN_hex2bn/BN_dec2bn
-     is ever called by user applications with very large untrusted hex/dec data.
-     This is anticipated to be a rare occurrence.
-
-     All OpenSSL internal usage of these functions use data that is not expected
-     to be untrusted, e.g. config file data or application command line
-     arguments. If user developed applications generate config file data based
-     on untrusted data then it is possible that this could also lead to security
-     consequences. This is also anticipated to be rare.
-
-     This issue was reported to OpenSSL by Guido Vranken.
-     (CVE-2016-0797)
-     [Matt Caswell]
-
-  *) Fix memory issues in BIO_*printf functions
-
-     The internal |fmtstr| function used in processing a "%s" format string in
-     the BIO_*printf functions could overflow while calculating the length of a
-     string and cause an OOB read when printing very long strings.
-
-     Additionally the internal |doapr_outch| function can attempt to write to an
-     OOB memory location (at an offset from the NULL pointer) in the event of a
-     memory allocation failure. In 1.0.2 and below this could be caused where
-     the size of a buffer to be allocated is greater than INT_MAX. E.g. this
-     could be in processing a very long "%s" format string. Memory leaks can
-     also occur.
-
-     The first issue may mask the second issue dependent on compiler behaviour.
-     These problems could enable attacks where large amounts of untrusted data
-     is passed to the BIO_*printf functions. If applications use these functions
-     in this way then they could be vulnerable. OpenSSL itself uses these
-     functions when printing out human-readable dumps of ASN.1 data. Therefore
-     applications that print this data could be vulnerable if the data is from
-     untrusted sources. OpenSSL command line applications could also be
-     vulnerable where they print out ASN.1 data, or if untrusted data is passed
-     as command line arguments.
-
-     Libssl is not considered directly vulnerable. Additionally certificates etc
-     received via remote connections via libssl are also unlikely to be able to
-     trigger these issues because of message size limits enforced within libssl.
-
-     This issue was reported to OpenSSL Guido Vranken.
-     (CVE-2016-0799)
-     [Matt Caswell]
-
-  *) Side channel attack on modular exponentiation
-
-     A side-channel attack was found which makes use of cache-bank conflicts on
-     the Intel Sandy-Bridge microarchitecture which could lead to the recovery
-     of RSA keys.  The ability to exploit this issue is limited as it relies on
-     an attacker who has control of code in a thread running on the same
-     hyper-threaded core as the victim thread which is performing decryptions.
-
-     This issue was reported to OpenSSL by Yuval Yarom, The University of
-     Adelaide and NICTA, Daniel Genkin, Technion and Tel Aviv University, and
-     Nadia Heninger, University of Pennsylvania with more information at
-     http://cachebleed.info.
-     (CVE-2016-0702)
-     [Andy Polyakov]
-
-  *) Change the req app to generate a 2048-bit RSA/DSA key by default,
-     if no keysize is specified with default_bits. This fixes an
-     omission in an earlier change that changed all RSA/DSA key generation
-     apps to use 2048 bits by default.
-     [Emilia Käsper]
-
- Changes between 1.0.2e and 1.0.2f [28 Jan 2016]
-  *) DH small subgroups
-
-     Historically OpenSSL only ever generated DH parameters based on "safe"
-     primes. More recently (in version 1.0.2) support was provided for
-     generating X9.42 style parameter files such as those required for RFC 5114
-     support. The primes used in such files may not be "safe". Where an
-     application is using DH configured with parameters based on primes that are
-     not "safe" then an attacker could use this fact to find a peer's private
-     DH exponent. This attack requires that the attacker complete multiple
-     handshakes in which the peer uses the same private DH exponent. For example
-     this could be used to discover a TLS server's private DH exponent if it's
-     reusing the private DH exponent or it's using a static DH ciphersuite.
-
-     OpenSSL provides the option SSL_OP_SINGLE_DH_USE for ephemeral DH (DHE) in
-     TLS. It is not on by default. If the option is not set then the server
-     reuses the same private DH exponent for the life of the server process and
-     would be vulnerable to this attack. It is believed that many popular
-     applications do set this option and would therefore not be at risk.
-
-     The fix for this issue adds an additional check where a "q" parameter is
-     available (as is the case in X9.42 based parameters). This detects the
-     only known attack, and is the only possible defense for static DH
-     ciphersuites. This could have some performance impact.
-
-     Additionally the SSL_OP_SINGLE_DH_USE option has been switched on by
-     default and cannot be disabled. This could have some performance impact.
-
-     This issue was reported to OpenSSL by Antonio Sanso (Adobe).
-     (CVE-2016-0701)
-     [Matt Caswell]
-
-  *) SSLv2 doesn't block disabled ciphers
-
-     A malicious client can negotiate SSLv2 ciphers that have been disabled on
-     the server and complete SSLv2 handshakes even if all SSLv2 ciphers have
-     been disabled, provided that the SSLv2 protocol was not also disabled via
-     SSL_OP_NO_SSLv2.
-
-     This issue was reported to OpenSSL on 26th December 2015 by Nimrod Aviram
-     and Sebastian Schinzel.
-     (CVE-2015-3197)
-     [Viktor Dukhovni]
-
- Changes between 1.0.2d and 1.0.2e [3 Dec 2015]
-
-  *) BN_mod_exp may produce incorrect results on x86_64
-
-     There is a carry propagating bug in the x86_64 Montgomery squaring
-     procedure. No EC algorithms are affected. Analysis suggests that attacks
-     against RSA and DSA as a result of this defect would be very difficult to
-     perform and are not believed likely. Attacks against DH are considered just
-     feasible (although very difficult) because most of the work necessary to
-     deduce information about a private key may be performed offline. The amount
-     of resources required for such an attack would be very significant and
-     likely only accessible to a limited number of attackers. An attacker would
-     additionally need online access to an unpatched system using the target
-     private key in a scenario with persistent DH parameters and a private
-     key that is shared between multiple clients. For example this can occur by
-     default in OpenSSL DHE based SSL/TLS ciphersuites.
-
-     This issue was reported to OpenSSL by Hanno Böck.
-     (CVE-2015-3193)
-     [Andy Polyakov]
-
-  *) Certificate verify crash with missing PSS parameter
-
-     The signature verification routines will crash with a NULL pointer
-     dereference if presented with an ASN.1 signature using the RSA PSS
-     algorithm and absent mask generation function parameter. Since these
-     routines are used to verify certificate signature algorithms this can be
-     used to crash any certificate verification operation and exploited in a
-     DoS attack. Any application which performs certificate verification is
-     vulnerable including OpenSSL clients and servers which enable client
-     authentication.
-
-     This issue was reported to OpenSSL by Loïc Jonas Etienne (Qnective AG).
-     (CVE-2015-3194)
-     [Stephen Henson]
-
-  *) X509_ATTRIBUTE memory leak
-
-     When presented with a malformed X509_ATTRIBUTE structure OpenSSL will leak
-     memory. This structure is used by the PKCS#7 and CMS routines so any
-     application which reads PKCS#7 or CMS data from untrusted sources is
-     affected. SSL/TLS is not affected.
-
-     This issue was reported to OpenSSL by Adam Langley (Google/BoringSSL) using
-     libFuzzer.
-     (CVE-2015-3195)
-     [Stephen Henson]
-
-  *) Rewrite EVP_DecodeUpdate (base64 decoding) to fix several bugs.
-     This changes the decoding behaviour for some invalid messages,
-     though the change is mostly in the more lenient direction, and
-     legacy behaviour is preserved as much as possible.
-     [Emilia Käsper]
-
-  *) In DSA_generate_parameters_ex, if the provided seed is too short,
-     return an error
-     [Rich Salz and Ismo Puustinen <ismo.puustinen@intel.com>]
-
- Changes between 1.0.2c and 1.0.2d [9 Jul 2015]
-
-  *) Alternate chains certificate forgery
-
-     During certificate verification, OpenSSL will attempt to find an
-     alternative certificate chain if the first attempt to build such a chain
-     fails. An error in the implementation of this logic can mean that an
-     attacker could cause certain checks on untrusted certificates to be
-     bypassed, such as the CA flag, enabling them to use a valid leaf
-     certificate to act as a CA and "issue" an invalid certificate.
-
-     This issue was reported to OpenSSL by Adam Langley/David Benjamin
-     (Google/BoringSSL).
-     [Matt Caswell]
-
- Changes between 1.0.2b and 1.0.2c [12 Jun 2015]
-
-  *) Fix HMAC ABI incompatibility. The previous version introduced an ABI
-     incompatibility in the handling of HMAC. The previous ABI has now been
-     restored.
-     [Matt Caswell]
-
- Changes between 1.0.2a and 1.0.2b [11 Jun 2015]
-
-  *) Malformed ECParameters causes infinite loop
-
-     When processing an ECParameters structure OpenSSL enters an infinite loop
-     if the curve specified is over a specially malformed binary polynomial
-     field.
-
-     This can be used to perform denial of service against any
-     system which processes public keys, certificate requests or
-     certificates.  This includes TLS clients and TLS servers with
-     client authentication enabled.
-
-     This issue was reported to OpenSSL by Joseph Barr-Pixton.
-     (CVE-2015-1788)
-     [Andy Polyakov]
-
-  *) Exploitable out-of-bounds read in X509_cmp_time
-
-     X509_cmp_time does not properly check the length of the ASN1_TIME
-     string and can read a few bytes out of bounds. In addition,
-     X509_cmp_time accepts an arbitrary number of fractional seconds in the
-     time string.
-
-     An attacker can use this to craft malformed certificates and CRLs of
-     various sizes and potentially cause a segmentation fault, resulting in
-     a DoS on applications that verify certificates or CRLs. TLS clients
-     that verify CRLs are affected. TLS clients and servers with client
-     authentication enabled may be affected if they use custom verification
-     callbacks.
-
-     This issue was reported to OpenSSL by Robert Swiecki (Google), and
-     independently by Hanno Böck.
-     (CVE-2015-1789)
-     [Emilia Käsper]
-
-  *) PKCS7 crash with missing EnvelopedContent
-
-     The PKCS#7 parsing code does not handle missing inner EncryptedContent
-     correctly. An attacker can craft malformed ASN.1-encoded PKCS#7 blobs
-     with missing content and trigger a NULL pointer dereference on parsing.
-
-     Applications that decrypt PKCS#7 data or otherwise parse PKCS#7
-     structures from untrusted sources are affected. OpenSSL clients and
-     servers are not affected.
-
-     This issue was reported to OpenSSL by Michal Zalewski (Google).
-     (CVE-2015-1790)
-     [Emilia Käsper]
-
-  *) CMS verify infinite loop with unknown hash function
-
-     When verifying a signedData message the CMS code can enter an infinite loop
-     if presented with an unknown hash function OID. This can be used to perform
-     denial of service against any system which verifies signedData messages using
-     the CMS code.
-     This issue was reported to OpenSSL by Johannes Bauer.
-     (CVE-2015-1792)
-     [Stephen Henson]
-
-  *) Race condition handling NewSessionTicket
-
-     If a NewSessionTicket is received by a multi-threaded client when attempting to
-     reuse a previous ticket then a race condition can occur potentially leading to
-     a double free of the ticket data.
-     (CVE-2015-1791)
-     [Matt Caswell]
-
-  *) Only support 256-bit or stronger elliptic curves with the
-     'ecdh_auto' setting (server) or by default (client). Of supported
-     curves, prefer P-256 (both).
-     [Emilia Kasper]
-
- Changes between 1.0.2 and 1.0.2a [19 Mar 2015]
-
-  *) ClientHello sigalgs DoS fix
-
-     If a client connects to an OpenSSL 1.0.2 server and renegotiates with an
-     invalid signature algorithms extension a NULL pointer dereference will
-     occur. This can be exploited in a DoS attack against the server.
-
-     This issue was was reported to OpenSSL by David Ramos of Stanford
-     University.
-     (CVE-2015-0291)
-     [Stephen Henson and Matt Caswell]
-
-  *) Multiblock corrupted pointer fix
-
-     OpenSSL 1.0.2 introduced the "multiblock" performance improvement. This
-     feature only applies on 64 bit x86 architecture platforms that support AES
-     NI instructions. A defect in the implementation of "multiblock" can cause
-     OpenSSL's internal write buffer to become incorrectly set to NULL when
-     using non-blocking IO. Typically, when the user application is using a
-     socket BIO for writing, this will only result in a failed connection.
-     However if some other BIO is used then it is likely that a segmentation
-     fault will be triggered, thus enabling a potential DoS attack.
-
-     This issue was reported to OpenSSL by Daniel Danner and Rainer Mueller.
-     (CVE-2015-0290)
-     [Matt Caswell]
-
-  *) Segmentation fault in DTLSv1_listen fix
-
-     The DTLSv1_listen function is intended to be stateless and processes the
-     initial ClientHello from many peers. It is common for user code to loop
-     over the call to DTLSv1_listen until a valid ClientHello is received with
-     an associated cookie. A defect in the implementation of DTLSv1_listen means
-     that state is preserved in the SSL object from one invocation to the next
-     that can lead to a segmentation fault. Errors processing the initial
-     ClientHello can trigger this scenario. An example of such an error could be
-     that a DTLS1.0 only client is attempting to connect to a DTLS1.2 only
-     server.
-
-     This issue was reported to OpenSSL by Per Allansson.
-     (CVE-2015-0207)
-     [Matt Caswell]
-
-  *) Segmentation fault in ASN1_TYPE_cmp fix
-
-     The function ASN1_TYPE_cmp will crash with an invalid read if an attempt is
-     made to compare ASN.1 boolean types. Since ASN1_TYPE_cmp is used to check
-     certificate signature algorithm consistency this can be used to crash any
-     certificate verification operation and exploited in a DoS attack. Any
-     application which performs certificate verification is vulnerable including
-     OpenSSL clients and servers which enable client authentication.
-     (CVE-2015-0286)
-     [Stephen Henson]
-
-  *) Segmentation fault for invalid PSS parameters fix
-
-     The signature verification routines will crash with a NULL pointer
-     dereference if presented with an ASN.1 signature using the RSA PSS
-     algorithm and invalid parameters. Since these routines are used to verify
-     certificate signature algorithms this can be used to crash any
-     certificate verification operation and exploited in a DoS attack. Any
-     application which performs certificate verification is vulnerable including
-     OpenSSL clients and servers which enable client authentication.
-
-     This issue was was reported to OpenSSL by Brian Carpenter.
-     (CVE-2015-0208)
-     [Stephen Henson]
-
-  *) ASN.1 structure reuse memory corruption fix
-
-     Reusing a structure in ASN.1 parsing may allow an attacker to cause
-     memory corruption via an invalid write. Such reuse is and has been
-     strongly discouraged and is believed to be rare.
-
-     Applications that parse structures containing CHOICE or ANY DEFINED BY
-     components may be affected. Certificate parsing (d2i_X509 and related
-     functions) are however not affected. OpenSSL clients and servers are
-     not affected.
-     (CVE-2015-0287)
-     [Stephen Henson]
-
-  *) PKCS7 NULL pointer dereferences fix
-
-     The PKCS#7 parsing code does not handle missing outer ContentInfo
-     correctly. An attacker can craft malformed ASN.1-encoded PKCS#7 blobs with
-     missing content and trigger a NULL pointer dereference on parsing.
-
-     Applications that verify PKCS#7 signatures, decrypt PKCS#7 data or
-     otherwise parse PKCS#7 structures from untrusted sources are
-     affected. OpenSSL clients and servers are not affected.
-
-     This issue was reported to OpenSSL by Michal Zalewski (Google).
-     (CVE-2015-0289)
-     [Emilia Käsper]
-
-  *) DoS via reachable assert in SSLv2 servers fix
-
-     A malicious client can trigger an OPENSSL_assert (i.e., an abort) in
-     servers that both support SSLv2 and enable export cipher suites by sending
-     a specially crafted SSLv2 CLIENT-MASTER-KEY message.
-
-     This issue was discovered by Sean Burford (Google) and Emilia Käsper
-     (OpenSSL development team).
-     (CVE-2015-0293)
-     [Emilia Käsper]
-
-  *) Empty CKE with client auth and DHE fix
-
-     If client auth is used then a server can seg fault in the event of a DHE
-     ciphersuite being selected and a zero length ClientKeyExchange message
-     being sent by the client. This could be exploited in a DoS attack.
-     (CVE-2015-1787)
-     [Matt Caswell]
-
-  *) Handshake with unseeded PRNG fix
-
-     Under certain conditions an OpenSSL 1.0.2 client can complete a handshake
-     with an unseeded PRNG. The conditions are:
-     - The client is on a platform where the PRNG has not been seeded
-     automatically, and the user has not seeded manually
-     - A protocol specific client method version has been used (i.e. not
-     SSL_client_methodv23)
-     - A ciphersuite is used that does not require additional random data from
-     the PRNG beyond the initial ClientHello client random (e.g. PSK-RC4-SHA).
-
-     If the handshake succeeds then the client random that has been used will
-     have been generated from a PRNG with insufficient entropy and therefore the
-     output may be predictable.
-
-     For example using the following command with an unseeded openssl will
-     succeed on an unpatched platform:
-
-     openssl s_client -psk 1a2b3c4d -tls1_2 -cipher PSK-RC4-SHA
-     (CVE-2015-0285)
-     [Matt Caswell]
-
-  *) Use After Free following d2i_ECPrivatekey error fix
-
-     A malformed EC private key file consumed via the d2i_ECPrivateKey function
-     could cause a use after free condition. This, in turn, could cause a double
-     free in several private key parsing functions (such as d2i_PrivateKey
-     or EVP_PKCS82PKEY) and could lead to a DoS attack or memory corruption
-     for applications that receive EC private keys from untrusted
-     sources. This scenario is considered rare.
-
-     This issue was discovered by the BoringSSL project and fixed in their
-     commit 517073cd4b.
-     (CVE-2015-0209)
-     [Matt Caswell]
-
-  *) X509_to_X509_REQ NULL pointer deref fix
-
-     The function X509_to_X509_REQ will crash with a NULL pointer dereference if
-     the certificate key is invalid. This function is rarely used in practice.
-
-     This issue was discovered by Brian Carpenter.
-     (CVE-2015-0288)
-     [Stephen Henson]
-
-  *) Removed the export ciphers from the DEFAULT ciphers
-     [Kurt Roeckx]
-
- Changes between 1.0.1l and 1.0.2 [22 Jan 2015]
-
-  *) Facilitate "universal" ARM builds targeting range of ARM ISAs, e.g.
-     ARMv5 through ARMv8, as opposite to "locking" it to single one.
-     So far those who have to target multiple platforms would compromise
-     and argue that binary targeting say ARMv5 would still execute on
-     ARMv8. "Universal" build resolves this compromise by providing
-     near-optimal performance even on newer platforms.
-     [Andy Polyakov]
-
-  *) Accelerated NIST P-256 elliptic curve implementation for x86_64
-     (other platforms pending).
-     [Shay Gueron & Vlad Krasnov (Intel Corp), Andy Polyakov]
-
-  *) Add support for the SignedCertificateTimestampList certificate and
-     OCSP response extensions from RFC6962.
-     [Rob Stradling]
-
-  *) Fix ec_GFp_simple_points_make_affine (thus, EC_POINTs_mul etc.)
-     for corner cases. (Certain input points at infinity could lead to
-     bogus results, with non-infinity inputs mapped to infinity too.)
-     [Bodo Moeller]
-
-  *) Initial support for PowerISA 2.0.7, first implemented in POWER8.
-     This covers AES, SHA256/512 and GHASH. "Initial" means that most
-     common cases are optimized and there still is room for further
-     improvements. Vector Permutation AES for Altivec is also added.
-     [Andy Polyakov]
-
-  *) Add support for little-endian ppc64 Linux target.
-     [Marcelo Cerri (IBM)]
-
-  *) Initial support for AMRv8 ISA crypto extensions. This covers AES,
-     SHA1, SHA256 and GHASH. "Initial" means that most common cases
-     are optimized and there still is room for further improvements.
-     Both 32- and 64-bit modes are supported.
-     [Andy Polyakov, Ard Biesheuvel (Linaro)]
-
-  *) Improved ARMv7 NEON support.
-     [Andy Polyakov]
-
-  *) Support for SPARC Architecture 2011 crypto extensions, first
-     implemented in SPARC T4. This covers AES, DES, Camellia, SHA1,
-     SHA256/512, MD5, GHASH and modular exponentiation.
-     [Andy Polyakov, David Miller]
-
-  *) Accelerated modular exponentiation for Intel processors, a.k.a.
-     RSAZ.
-     [Shay Gueron & Vlad Krasnov (Intel Corp)]
-
-  *) Support for new and upcoming Intel processors, including AVX2,
-     BMI and SHA ISA extensions. This includes additional "stitched"
-     implementations, AESNI-SHA256 and GCM, and multi-buffer support
-     for TLS encrypt.
-
-     This work was sponsored by Intel Corp.
-     [Andy Polyakov]
-
-  *) Support for DTLS 1.2. This adds two sets of DTLS methods: DTLS_*_method()
-     supports both DTLS 1.2 and 1.0 and should use whatever version the peer
-     supports and DTLSv1_2_*_method() which supports DTLS 1.2 only.
-     [Steve Henson]
-
-  *) Use algorithm specific chains in SSL_CTX_use_certificate_chain_file():
-     this fixes a limitation in previous versions of OpenSSL.
-     [Steve Henson]
-
-  *) Extended RSA OAEP support via EVP_PKEY API. Options to specify digest,
-     MGF1 digest and OAEP label.
-     [Steve Henson]
-
-  *) Add EVP support for key wrapping algorithms, to avoid problems with
-     existing code the flag EVP_CIPHER_CTX_WRAP_ALLOW has to be set in
-     the EVP_CIPHER_CTX or an error is returned. Add AES and DES3 wrap
-     algorithms and include tests cases.
-     [Steve Henson]
-
-  *) Add functions to allocate and set the fields of an ECDSA_METHOD
-     structure.
-     [Douglas E. Engert, Steve Henson]
-
-  *) New functions OPENSSL_gmtime_diff and ASN1_TIME_diff to find the
-     difference in days and seconds between two tm or ASN1_TIME structures.
-     [Steve Henson]
-
-  *) Add -rev test option to s_server to just reverse order of characters
-     received by client and send back to server. Also prints an abbreviated
-     summary of the connection parameters.
-     [Steve Henson]
-
-  *) New option -brief for s_client and s_server to print out a brief summary
-     of connection parameters.
-     [Steve Henson]
-
-  *) Add callbacks for arbitrary TLS extensions.
-     [Trevor Perrin <trevp@trevp.net> and Ben Laurie]
-
-  *) New option -crl_download in several openssl utilities to download CRLs
-     from CRLDP extension in certificates.
-     [Steve Henson]
-
-  *) New options -CRL and -CRLform for s_client and s_server for CRLs.
-     [Steve Henson]
-
-  *) New function X509_CRL_diff to generate a delta CRL from the difference
-     of two full CRLs. Add support to "crl" utility.
-     [Steve Henson]
-
-  *) New functions to set lookup_crls function and to retrieve
-     X509_STORE from X509_STORE_CTX.
-     [Steve Henson]
-
-  *) Print out deprecated issuer and subject unique ID fields in
-     certificates.
-     [Steve Henson]
-
-  *) Extend OCSP I/O functions so they can be used for simple general purpose
-     HTTP as well as OCSP. New wrapper function which can be used to download
-     CRLs using the OCSP API.
-     [Steve Henson]
-
-  *) Delegate command line handling in s_client/s_server to SSL_CONF APIs.
-     [Steve Henson]
-
-  *) SSL_CONF* functions. These provide a common framework for application
-     configuration using configuration files or command lines.
-     [Steve Henson]
-
-  *) SSL/TLS tracing code. This parses out SSL/TLS records using the
-     message callback and prints the results. Needs compile time option
-     "enable-ssl-trace". New options to s_client and s_server to enable
-     tracing.
-     [Steve Henson]
-
-  *) New ctrl and macro to retrieve supported points extensions.
-     Print out extension in s_server and s_client.
-     [Steve Henson]
-
-  *) New functions to retrieve certificate signature and signature
-     OID NID.
-     [Steve Henson]
-
-  *) Add functions to retrieve and manipulate the raw cipherlist sent by a
-     client to OpenSSL.
-     [Steve Henson]
-
-  *) New Suite B modes for TLS code. These use and enforce the requirements
-     of RFC6460: restrict ciphersuites, only permit Suite B algorithms and
-     only use Suite B curves. The Suite B modes can be set by using the
-     strings "SUITEB128", "SUITEB192" or "SUITEB128ONLY" for the cipherstring.
-     [Steve Henson]
-
-  *) New chain verification flags for Suite B levels of security. Check
-     algorithms are acceptable when flags are set in X509_verify_cert.
-     [Steve Henson]
-
-  *) Make tls1_check_chain return a set of flags indicating checks passed
-     by a certificate chain. Add additional tests to handle client
-     certificates: checks for matching certificate type and issuer name
-     comparison.
-     [Steve Henson]
-
-  *) If an attempt is made to use a signature algorithm not in the peer
-     preference list abort the handshake. If client has no suitable
-     signature algorithms in response to a certificate request do not
-     use the certificate.
-     [Steve Henson]
-
-  *) If server EC tmp key is not in client preference list abort handshake.
-     [Steve Henson]
-
-  *) Add support for certificate stores in CERT structure. This makes it
-     possible to have different stores per SSL structure or one store in
-     the parent SSL_CTX. Include distinct stores for certificate chain
-     verification and chain building. New ctrl SSL_CTRL_BUILD_CERT_CHAIN
-     to build and store a certificate chain in CERT structure: returning
-     an error if the chain cannot be built: this will allow applications
-     to test if a chain is correctly configured.
-
-     Note: if the CERT based stores are not set then the parent SSL_CTX
-     store is used to retain compatibility with existing behaviour.
-
-     [Steve Henson]
-
-  *) New function ssl_set_client_disabled to set a ciphersuite disabled
-     mask based on the current session, check mask when sending client
-     hello and checking the requested ciphersuite.
-     [Steve Henson]
-
-  *) New ctrls to retrieve and set certificate types in a certificate
-     request message. Print out received values in s_client. If certificate
-     types is not set with custom values set sensible values based on
-     supported signature algorithms.
-     [Steve Henson]
-
-  *) Support for distinct client and server supported signature algorithms.
-     [Steve Henson]
-
-  *) Add certificate callback. If set this is called whenever a certificate
-     is required by client or server. An application can decide which
-     certificate chain to present based on arbitrary criteria: for example
-     supported signature algorithms. Add very simple example to s_server.
-     This fixes many of the problems and restrictions of the existing client
-     certificate callback: for example you can now clear an existing
-     certificate and specify the whole chain.
-     [Steve Henson]
-
-  *) Add new "valid_flags" field to CERT_PKEY structure which determines what
-     the certificate can be used for (if anything). Set valid_flags field
-     in new tls1_check_chain function. Simplify ssl_set_cert_masks which used
-     to have similar checks in it.
-
-     Add new "cert_flags" field to CERT structure and include a "strict mode".
-     This enforces some TLS certificate requirements (such as only permitting
-     certificate signature algorithms contained in the supported algorithms
-     extension) which some implementations ignore: this option should be used
-     with caution as it could cause interoperability issues.
-     [Steve Henson]
-
-  *) Update and tidy signature algorithm extension processing. Work out
-     shared signature algorithms based on preferences and peer algorithms
-     and print them out in s_client and s_server. Abort handshake if no
-     shared signature algorithms.
-     [Steve Henson]
-
-  *) Add new functions to allow customised supported signature algorithms
-     for SSL and SSL_CTX structures. Add options to s_client and s_server
-     to support them.
-     [Steve Henson]
-
-  *) New function SSL_certs_clear() to delete all references to certificates
-     from an SSL structure. Before this once a certificate had been added
-     it couldn't be removed.
-     [Steve Henson]
-
-  *) Integrate hostname, email address and IP address checking with certificate
-     verification. New verify options supporting checking in openssl utility.
-     [Steve Henson]
-
-  *) Fixes and wildcard matching support to hostname and email checking
-     functions. Add manual page.
-     [Florian Weimer (Red Hat Product Security Team)]
-
-  *) New functions to check a hostname email or IP address against a
-     certificate. Add options x509 utility to print results of checks against
-     a certificate.
-     [Steve Henson]
-
-  *) Fix OCSP checking.
-     [Rob Stradling <rob.stradling@comodo.com> and Ben Laurie]
-
-  *) Initial experimental support for explicitly trusted non-root CAs.
-     OpenSSL still tries to build a complete chain to a root but if an
-     intermediate CA has a trust setting included that is used. The first
-     setting is used: whether to trust (e.g., -addtrust option to the x509
-     utility) or reject.
-     [Steve Henson]
-
-  *) Add -trusted_first option which attempts to find certificates in the
-     trusted store even if an untrusted chain is also supplied.
-     [Steve Henson]
-
-  *) MIPS assembly pack updates: support for MIPS32r2 and SmartMIPS ASE,
-     platform support for Linux and Android.
-     [Andy Polyakov]
-
-  *) Support for linux-x32, ILP32 environment in x86_64 framework.
-     [Andy Polyakov]
-
-  *) Experimental multi-implementation support for FIPS capable OpenSSL.
-     When in FIPS mode the approved implementations are used as normal,
-     when not in FIPS mode the internal unapproved versions are used instead.
-     This means that the FIPS capable OpenSSL isn't forced to use the
-     (often lower performance) FIPS implementations outside FIPS mode.
-     [Steve Henson]
-
-  *) Transparently support X9.42 DH parameters when calling
-     PEM_read_bio_DHparameters. This means existing applications can handle
-     the new parameter format automatically.
-     [Steve Henson]
-
-  *) Initial experimental support for X9.42 DH parameter format: mainly
-     to support use of 'q' parameter for RFC5114 parameters.
-     [Steve Henson]
-
-  *) Add DH parameters from RFC5114 including test data to dhtest.
-     [Steve Henson]
-
-  *) Support for automatic EC temporary key parameter selection. If enabled
-     the most preferred EC parameters are automatically used instead of
-     hardcoded fixed parameters. Now a server just has to call:
-     SSL_CTX_set_ecdh_auto(ctx, 1) and the server will automatically
-     support ECDH and use the most appropriate parameters.
-     [Steve Henson]
-
-  *) Enhance and tidy EC curve and point format TLS extension code. Use
-     static structures instead of allocation if default values are used.
-     New ctrls to set curves we wish to support and to retrieve shared curves.
-     Print out shared curves in s_server. New options to s_server and s_client
-     to set list of supported curves.
-     [Steve Henson]
-
-  *) New ctrls to retrieve supported signature algorithms and
-     supported curve values as an array of NIDs. Extend openssl utility
-     to print out received values.
-     [Steve Henson]
-
-  *) Add new APIs EC_curve_nist2nid and EC_curve_nid2nist which convert
-     between NIDs and the more common NIST names such as "P-256". Enhance
-     ecparam utility and ECC method to recognise the NIST names for curves.
-     [Steve Henson]
-
-  *) Enhance SSL/TLS certificate chain handling to support different
-     chains for each certificate instead of one chain in the parent SSL_CTX.
-     [Steve Henson]
-
-  *) Support for fixed DH ciphersuite client authentication: where both
-     server and client use DH certificates with common parameters.
-     [Steve Henson]
-
-  *) Support for fixed DH ciphersuites: those requiring DH server
-     certificates.
-     [Steve Henson]
-
-  *) New function i2d_re_X509_tbs for re-encoding the TBS portion of
-     the certificate.
-     Note: Related 1.0.2-beta specific macros X509_get_cert_info,
-     X509_CINF_set_modified, X509_CINF_get_issuer, X509_CINF_get_extensions and
-     X509_CINF_get_signature were reverted post internal team review.
-
- Changes between 1.0.1k and 1.0.1l [15 Jan 2015]
-
-  *) Build fixes for the Windows and OpenVMS platforms
-     [Matt Caswell and Richard Levitte]
-
- Changes between 1.0.1j and 1.0.1k [8 Jan 2015]
-
-  *) Fix DTLS segmentation fault in dtls1_get_record. A carefully crafted DTLS
-     message can cause a segmentation fault in OpenSSL due to a NULL pointer
-     dereference. This could lead to a Denial Of Service attack. Thanks to
-     Markus Stenberg of Cisco Systems, Inc. for reporting this issue.
-     (CVE-2014-3571)
-     [Steve Henson]
-
-  *) Fix DTLS memory leak in dtls1_buffer_record. A memory leak can occur in the
-     dtls1_buffer_record function under certain conditions. In particular this
-     could occur if an attacker sent repeated DTLS records with the same
-     sequence number but for the next epoch. The memory leak could be exploited
-     by an attacker in a Denial of Service attack through memory exhaustion.
-     Thanks to Chris Mueller for reporting this issue.
-     (CVE-2015-0206)
-     [Matt Caswell]
-
-  *) Fix issue where no-ssl3 configuration sets method to NULL. When openssl is
-     built with the no-ssl3 option and a SSL v3 ClientHello is received the ssl
-     method would be set to NULL which could later result in a NULL pointer
-     dereference. Thanks to Frank Schmirler for reporting this issue.
-     (CVE-2014-3569)
-     [Kurt Roeckx]
-
-  *) Abort handshake if server key exchange message is omitted for ephemeral
-     ECDH ciphersuites.
-
-     Thanks to Karthikeyan Bhargavan of the PROSECCO team at INRIA for
-     reporting this issue.
-     (CVE-2014-3572)
-     [Steve Henson]
-
-  *) Remove non-export ephemeral RSA code on client and server. This code
-     violated the TLS standard by allowing the use of temporary RSA keys in
-     non-export ciphersuites and could be used by a server to effectively
-     downgrade the RSA key length used to a value smaller than the server
-     certificate. Thanks for Karthikeyan Bhargavan of the PROSECCO team at
-     INRIA or reporting this issue.
-     (CVE-2015-0204)
-     [Steve Henson]
-
-  *) Fixed issue where DH client certificates are accepted without verification.
-     An OpenSSL server will accept a DH certificate for client authentication
-     without the certificate verify message. This effectively allows a client to
-     authenticate without the use of a private key. This only affects servers
-     which trust a client certificate authority which issues certificates
-     containing DH keys: these are extremely rare and hardly ever encountered.
-     Thanks for Karthikeyan Bhargavan of the PROSECCO team at INRIA or reporting
-     this issue.
-     (CVE-2015-0205)
-     [Steve Henson]
-
-  *) Ensure that the session ID context of an SSL is updated when its
-     SSL_CTX is updated via SSL_set_SSL_CTX.
-
-     The session ID context is typically set from the parent SSL_CTX,
-     and can vary with the CTX.
-     [Adam Langley]
-
-  *) Fix various certificate fingerprint issues.
-
-     By using non-DER or invalid encodings outside the signed portion of a
-     certificate the fingerprint can be changed without breaking the signature.
-     Although no details of the signed portion of the certificate can be changed
-     this can cause problems with some applications: e.g. those using the
-     certificate fingerprint for blacklists.
-
-     1. Reject signatures with non zero unused bits.
-
-     If the BIT STRING containing the signature has non zero unused bits reject
-     the signature. All current signature algorithms require zero unused bits.
-
-     2. Check certificate algorithm consistency.
-
-     Check the AlgorithmIdentifier inside TBS matches the one in the
-     certificate signature. NB: this will result in signature failure
-     errors for some broken certificates.
-
-     Thanks to Konrad Kraszewski from Google for reporting this issue.
-
-     3. Check DSA/ECDSA signatures use DER.
-
-     Re-encode DSA/ECDSA signatures and compare with the original received
-     signature. Return an error if there is a mismatch.
-
-     This will reject various cases including garbage after signature
-     (thanks to Antti Karjalainen and Tuomo Untinen from the Codenomicon CROSS
-     program for discovering this case) and use of BER or invalid ASN.1 INTEGERs
-     (negative or with leading zeroes).
-
-     Further analysis was conducted and fixes were developed by Stephen Henson
-     of the OpenSSL core team.
-
-     (CVE-2014-8275)
-     [Steve Henson]
-
-   *) Correct Bignum squaring. Bignum squaring (BN_sqr) may produce incorrect
-      results on some platforms, including x86_64. This bug occurs at random
-      with a very low probability, and is not known to be exploitable in any
-      way, though its exact impact is difficult to determine. Thanks to Pieter
-      Wuille (Blockstream) who reported this issue and also suggested an initial
-      fix. Further analysis was conducted by the OpenSSL development team and
-      Adam Langley of Google. The final fix was developed by Andy Polyakov of
-      the OpenSSL core team.
-      (CVE-2014-3570)
-      [Andy Polyakov]
-
-   *) Do not resume sessions on the server if the negotiated protocol
-      version does not match the session's version. Resuming with a different
-      version, while not strictly forbidden by the RFC, is of questionable
-      sanity and breaks all known clients.
-      [David Benjamin, Emilia Käsper]
-
-   *) Tighten handling of the ChangeCipherSpec (CCS) message: reject
-      early CCS messages during renegotiation. (Note that because
-      renegotiation is encrypted, this early CCS was not exploitable.)
-      [Emilia Käsper]
-
-   *) Tighten client-side session ticket handling during renegotiation:
-      ensure that the client only accepts a session ticket if the server sends
-      the extension anew in the ServerHello. Previously, a TLS client would
-      reuse the old extension state and thus accept a session ticket if one was
-      announced in the initial ServerHello.
-
-      Similarly, ensure that the client requires a session ticket if one
-      was advertised in the ServerHello. Previously, a TLS client would
-      ignore a missing NewSessionTicket message.
-      [Emilia Käsper]
-
- Changes between 1.0.1i and 1.0.1j [15 Oct 2014]
-
-  *) SRTP Memory Leak.
-
-     A flaw in the DTLS SRTP extension parsing code allows an attacker, who
-     sends a carefully crafted handshake message, to cause OpenSSL to fail
-     to free up to 64k of memory causing a memory leak. This could be
-     exploited in a Denial Of Service attack. This issue affects OpenSSL
-     1.0.1 server implementations for both SSL/TLS and DTLS regardless of
-     whether SRTP is used or configured. Implementations of OpenSSL that
-     have been compiled with OPENSSL_NO_SRTP defined are not affected.
-
-     The fix was developed by the OpenSSL team.
-     (CVE-2014-3513)
-     [OpenSSL team]
-
-  *) Session Ticket Memory Leak.
-
-     When an OpenSSL SSL/TLS/DTLS server receives a session ticket the
-     integrity of that ticket is first verified. In the event of a session
-     ticket integrity check failing, OpenSSL will fail to free memory
-     causing a memory leak. By sending a large number of invalid session
-     tickets an attacker could exploit this issue in a Denial Of Service
-     attack.
-     (CVE-2014-3567)
-     [Steve Henson]
-
-  *) Build option no-ssl3 is incomplete.
-
-     When OpenSSL is configured with "no-ssl3" as a build option, servers
-     could accept and complete a SSL 3.0 handshake, and clients could be
-     configured to send them.
-     (CVE-2014-3568)
-     [Akamai and the OpenSSL team]
-
-  *) Add support for TLS_FALLBACK_SCSV.
-     Client applications doing fallback retries should call
-     SSL_set_mode(s, SSL_MODE_SEND_FALLBACK_SCSV).
-     (CVE-2014-3566)
-     [Adam Langley, Bodo Moeller]
-
-  *) Add additional DigestInfo checks.
-
-     Re-encode DigestInto in DER and check against the original when
-     verifying RSA signature: this will reject any improperly encoded
-     DigestInfo structures.
-
-     Note: this is a precautionary measure and no attacks are currently known.
-
-     [Steve Henson]
-
- Changes between 1.0.1h and 1.0.1i [6 Aug 2014]
-
-  *) Fix SRP buffer overrun vulnerability. Invalid parameters passed to the
-     SRP code can be overrun an internal buffer. Add sanity check that
-     g, A, B < N to SRP code.
-
-     Thanks to Sean Devlin and Watson Ladd of Cryptography Services, NCC
-     Group for discovering this issue.
-     (CVE-2014-3512)
-     [Steve Henson]
-
-  *) A flaw in the OpenSSL SSL/TLS server code causes the server to negotiate
-     TLS 1.0 instead of higher protocol versions when the ClientHello message
-     is badly fragmented. This allows a man-in-the-middle attacker to force a
-     downgrade to TLS 1.0 even if both the server and the client support a
-     higher protocol version, by modifying the client's TLS records.
-
-     Thanks to David Benjamin and Adam Langley (Google) for discovering and
-     researching this issue.
-     (CVE-2014-3511)
-     [David Benjamin]
-
-  *) OpenSSL DTLS clients enabling anonymous (EC)DH ciphersuites are subject
-     to a denial of service attack. A malicious server can crash the client
-     with a null pointer dereference (read) by specifying an anonymous (EC)DH
-     ciphersuite and sending carefully crafted handshake messages.
-
-     Thanks to Felix Gröbert (Google) for discovering and researching this
-     issue.
-     (CVE-2014-3510)
-     [Emilia Käsper]
-
-  *) By sending carefully crafted DTLS packets an attacker could cause openssl
-     to leak memory. This can be exploited through a Denial of Service attack.
-     Thanks to Adam Langley for discovering and researching this issue.
-     (CVE-2014-3507)
-     [Adam Langley]
-
-  *) An attacker can force openssl to consume large amounts of memory whilst
-     processing DTLS handshake messages. This can be exploited through a
-     Denial of Service attack.
-     Thanks to Adam Langley for discovering and researching this issue.
-     (CVE-2014-3506)
-     [Adam Langley]
-
-  *) An attacker can force an error condition which causes openssl to crash
-     whilst processing DTLS packets due to memory being freed twice. This
-     can be exploited through a Denial of Service attack.
-     Thanks to Adam Langley and Wan-Teh Chang for discovering and researching
-     this issue.
-     (CVE-2014-3505)
-     [Adam Langley]
-
-  *) If a multithreaded client connects to a malicious server using a resumed
-     session and the server sends an ec point format extension it could write
-     up to 255 bytes to freed memory.
-
-     Thanks to Gabor Tyukasz (LogMeIn Inc) for discovering and researching this
-     issue.
-     (CVE-2014-3509)
-     [Gabor Tyukasz]
-
-  *) A malicious server can crash an OpenSSL client with a null pointer
-     dereference (read) by specifying an SRP ciphersuite even though it was not
-     properly negotiated with the client. This can be exploited through a
-     Denial of Service attack.
-
-     Thanks to Joonas Kuorilehto and Riku Hietamäki (Codenomicon) for
-     discovering and researching this issue.
-     (CVE-2014-5139)
-     [Steve Henson]
-
-  *) A flaw in OBJ_obj2txt may cause pretty printing functions such as
-     X509_name_oneline, X509_name_print_ex et al. to leak some information
-     from the stack. Applications may be affected if they echo pretty printing
-     output to the attacker.
-
-     Thanks to Ivan Fratric (Google) for discovering this issue.
-     (CVE-2014-3508)
-     [Emilia Käsper, and Steve Henson]
-
-  *) Fix ec_GFp_simple_points_make_affine (thus, EC_POINTs_mul etc.)
-     for corner cases. (Certain input points at infinity could lead to
-     bogus results, with non-infinity inputs mapped to infinity too.)
-     [Bodo Moeller]
-
- Changes between 1.0.1g and 1.0.1h [5 Jun 2014]
-
-  *) Fix for SSL/TLS MITM flaw. An attacker using a carefully crafted
-     handshake can force the use of weak keying material in OpenSSL
-     SSL/TLS clients and servers.
-
-     Thanks to KIKUCHI Masashi (Lepidum Co. Ltd.) for discovering and
-     researching this issue. (CVE-2014-0224)
-     [KIKUCHI Masashi, Steve Henson]
-
-  *) Fix DTLS recursion flaw. By sending an invalid DTLS handshake to an
-     OpenSSL DTLS client the code can be made to recurse eventually crashing
-     in a DoS attack.
-
-     Thanks to Imre Rad (Search-Lab Ltd.) for discovering this issue.
-     (CVE-2014-0221)
-     [Imre Rad, Steve Henson]
-
-  *) Fix DTLS invalid fragment vulnerability. A buffer overrun attack can
-     be triggered by sending invalid DTLS fragments to an OpenSSL DTLS
-     client or server. This is potentially exploitable to run arbitrary
-     code on a vulnerable client or server.
-
-     Thanks to Jüri Aedla for reporting this issue. (CVE-2014-0195)
-     [Jüri Aedla, Steve Henson]
-
-  *) Fix bug in TLS code where clients enable anonymous ECDH ciphersuites
-     are subject to a denial of service attack.
-
-     Thanks to Felix Gröbert and Ivan Fratric at Google for discovering
-     this issue. (CVE-2014-3470)
-     [Felix Gröbert, Ivan Fratric, Steve Henson]
-
-  *) Harmonize version and its documentation. -f flag is used to display
-     compilation flags.
-     [mancha <mancha1@zoho.com>]
-
-  *) Fix eckey_priv_encode so it immediately returns an error upon a failure
-     in i2d_ECPrivateKey.
-     [mancha <mancha1@zoho.com>]
-
-  *) Fix some double frees. These are not thought to be exploitable.
-     [mancha <mancha1@zoho.com>]
-
- Changes between 1.0.1f and 1.0.1g [7 Apr 2014]
-
-  *) A missing bounds check in the handling of the TLS heartbeat extension
-     can be used to reveal up to 64k of memory to a connected client or
-     server.
-
-     Thanks for Neel Mehta of Google Security for discovering this bug and to
-     Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
-     preparing the fix (CVE-2014-0160)
-     [Adam Langley, Bodo Moeller]
-
-  *) Fix for the attack described in the paper "Recovering OpenSSL
-     ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack"
-     by Yuval Yarom and Naomi Benger. Details can be obtained from:
-     http://eprint.iacr.org/2014/140
-
-     Thanks to Yuval Yarom and Naomi Benger for discovering this
-     flaw and to Yuval Yarom for supplying a fix (CVE-2014-0076)
-     [Yuval Yarom and Naomi Benger]
+ * Change the interpretation of the '--api' configuration option to
+   mean that this is a desired API compatibility level with no
+   further meaning.  The previous interpretation, that this would
+   also mean to remove all deprecated symbols up to and including
+   the given version, no requires that 'no-deprecated' is also used
+   in the configuration.
+
+   When building applications, the desired API compatibility level
+   can be set with the OPENSSL_API_COMPAT macro like before.  For
+   API compatibility version below 3.0, the old style numerical
+   value is valid as before, such as -DOPENSSL_API_COMPAT=0x10100000L.
+   For version 3.0 and on, the value is expected to be the decimal
+   value calculated from the major and minor version like this:
 
-  *) TLS pad extension: draft-agl-tls-padding-03
+           MAJOR * 10000 + MINOR * 100
 
-     Workaround for the "TLS hang bug" (see FAQ and PR#2771): if the
-     TLS client Hello record length value would otherwise be > 255 and
-     less that 512 pad with a dummy extension containing zeroes so it
-     is at least 512 bytes long.
-
-     [Adam Langley, Steve Henson]
-
- Changes between 1.0.1e and 1.0.1f [6 Jan 2014]
-
-  *) Fix for TLS record tampering bug. A carefully crafted invalid
-     handshake could crash OpenSSL with a NULL pointer exception.
-     Thanks to Anton Johansson for reporting this issues.
-     (CVE-2013-4353)
-
-  *) Keep original DTLS digest and encryption contexts in retransmission
-     structures so we can use the previous session parameters if they need
-     to be resent. (CVE-2013-6450)
-     [Steve Henson]
-
-  *) Add option SSL_OP_SAFARI_ECDHE_ECDSA_BUG (part of SSL_OP_ALL) which
-     avoids preferring ECDHE-ECDSA ciphers when the client appears to be
-     Safari on OS X.  Safari on OS X 10.8..10.8.3 advertises support for
-     several ECDHE-ECDSA ciphers, but fails to negotiate them.  The bug
-     is fixed in OS X 10.8.4, but Apple have ruled out both hot fixing
-     10.8..10.8.3 and forcing users to upgrade to 10.8.4 or newer.
-     [Rob Stradling, Adam Langley]
-
- Changes between 1.0.1d and 1.0.1e [11 Feb 2013]
-
-  *) Correct fix for CVE-2013-0169. The original didn't work on AES-NI
-     supporting platforms or when small records were transferred.
-     [Andy Polyakov, Steve Henson]
-
- Changes between 1.0.1c and 1.0.1d [5 Feb 2013]
-
-  *) Make the decoding of SSLv3, TLS and DTLS CBC records constant time.
-
-     This addresses the flaw in CBC record processing discovered by
-     Nadhem Alfardan and Kenny Paterson. Details of this attack can be found
-     at: http://www.isg.rhul.ac.uk/tls/
-
-     Thanks go to Nadhem Alfardan and Kenny Paterson of the Information
-     Security Group at Royal Holloway, University of London
-     (www.isg.rhul.ac.uk) for discovering this flaw and Adam Langley and
-     Emilia Käsper for the initial patch.
-     (CVE-2013-0169)
-     [Emilia Käsper, Adam Langley, Ben Laurie, Andy Polyakov, Steve Henson]
-
-  *) Fix flaw in AESNI handling of TLS 1.2 and 1.1 records for CBC mode
-     ciphersuites which can be exploited in a denial of service attack.
-     Thanks go to and to Adam Langley <agl@chromium.org> for discovering
-     and detecting this bug and to Wolfgang Ettlinger
-     <wolfgang.ettlinger@gmail.com> for independently discovering this issue.
-     (CVE-2012-2686)
-     [Adam Langley]
-
-  *) Return an error when checking OCSP signatures when key is NULL.
-     This fixes a DoS attack. (CVE-2013-0166)
-     [Steve Henson]
-
-  *) Make openssl verify return errors.
-     [Chris Palmer <palmer@google.com> and Ben Laurie]
-
-  *) Call OCSP Stapling callback after ciphersuite has been chosen, so
-     the right response is stapled. Also change SSL_get_certificate()
-     so it returns the certificate actually sent.
-     See http://rt.openssl.org/Ticket/Display.html?id=2836.
-     [Rob Stradling <rob.stradling@comodo.com>]
-
-  *) Fix possible deadlock when decoding public keys.
-     [Steve Henson]
-
-  *) Don't use TLS 1.0 record version number in initial client hello
-     if renegotiating.
-     [Steve Henson]
-
- Changes between 1.0.1b and 1.0.1c [10 May 2012]
-
-  *) Sanity check record length before skipping explicit IV in TLS
-     1.2, 1.1 and DTLS to fix DoS attack.
-
-     Thanks to Codenomicon for discovering this issue using Fuzz-o-Matic
-     fuzzing as a service testing platform.
-     (CVE-2012-2333)
-     [Steve Henson]
-
-  *) Initialise tkeylen properly when encrypting CMS messages.
-     Thanks to Solar Designer of Openwall for reporting this issue.
-     [Steve Henson]
-
-  *) In FIPS mode don't try to use composite ciphers as they are not
-     approved.
-     [Steve Henson]
-
- Changes between 1.0.1a and 1.0.1b [26 Apr 2012]
-
-  *) OpenSSL 1.0.0 sets SSL_OP_ALL to 0x80000FFFL and OpenSSL 1.0.1 and
-     1.0.1a set SSL_OP_NO_TLSv1_1 to 0x00000400L which would unfortunately
-     mean any application compiled against OpenSSL 1.0.0 headers setting
-     SSL_OP_ALL would also set SSL_OP_NO_TLSv1_1, unintentionally disabling
-     TLS 1.1 also. Fix this by changing the value of SSL_OP_NO_TLSv1_1 to
-     0x10000000L Any application which was previously compiled against
-     OpenSSL 1.0.1 or 1.0.1a headers and which cares about SSL_OP_NO_TLSv1_1
-     will need to be recompiled as a result. Letting be results in
-     inability to disable specifically TLS 1.1 and in client context,
-     in unlike event, limit maximum offered version to TLS 1.0 [see below].
-     [Steve Henson]
-
-  *) In order to ensure interoperability SSL_OP_NO_protocolX does not
-     disable just protocol X, but all protocols above X *if* there are
-     protocols *below* X still enabled. In more practical terms it means
-     that if application wants to disable TLS1.0 in favor of TLS1.1 and
-     above, it's not sufficient to pass SSL_OP_NO_TLSv1, one has to pass
-     SSL_OP_NO_TLSv1|SSL_OP_NO_SSLv3|SSL_OP_NO_SSLv2. This applies to
-     client side.
-     [Andy Polyakov]
-
- Changes between 1.0.1 and 1.0.1a [19 Apr 2012]
-
-  *) Check for potentially exploitable overflows in asn1_d2i_read_bio
-     BUF_mem_grow and BUF_mem_grow_clean. Refuse attempts to shrink buffer
-     in CRYPTO_realloc_clean.
-
-     Thanks to Tavis Ormandy, Google Security Team, for discovering this
-     issue and to Adam Langley <agl@chromium.org> for fixing it.
-     (CVE-2012-2110)
-     [Adam Langley (Google), Tavis Ormandy, Google Security Team]
-
-  *) Don't allow TLS 1.2 SHA-256 ciphersuites in TLS 1.0, 1.1 connections.
-     [Adam Langley]
-
-  *) Workarounds for some broken servers that "hang" if a client hello
-     record length exceeds 255 bytes.
-
-     1. Do not use record version number > TLS 1.0 in initial client
-        hello: some (but not all) hanging servers will now work.
-     2. If we set OPENSSL_MAX_TLS1_2_CIPHER_LENGTH this will truncate
-        the number of ciphers sent in the client hello. This should be
-        set to an even number, such as 50, for example by passing:
-        -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 to config or Configure.
-        Most broken servers should now work.
-     3. If all else fails setting OPENSSL_NO_TLS1_2_CLIENT will disable
-        TLS 1.2 client support entirely.
-     [Steve Henson]
-
-  *) Fix SEGV in Vector Permutation AES module observed in OpenSSH.
-     [Andy Polyakov]
-
- Changes between 1.0.0h and 1.0.1  [14 Mar 2012]
-
-  *) Add compatibility with old MDC2 signatures which use an ASN1 OCTET
-     STRING form instead of a DigestInfo.
-     [Steve Henson]
-
-  *) The format used for MDC2 RSA signatures is inconsistent between EVP
-     and the RSA_sign/RSA_verify functions. This was made more apparent when
-     OpenSSL used RSA_sign/RSA_verify for some RSA signatures in particular
-     those which went through EVP_PKEY_METHOD in 1.0.0 and later. Detect
-     the correct format in RSA_verify so both forms transparently work.
-     [Steve Henson]
-
-  *) Some servers which support TLS 1.0 can choke if we initially indicate
-     support for TLS 1.2 and later renegotiate using TLS 1.0 in the RSA
-     encrypted premaster secret. As a workaround use the maximum permitted
-     client version in client hello, this should keep such servers happy
-     and still work with previous versions of OpenSSL.
-     [Steve Henson]
-
-  *) Add support for TLS/DTLS heartbeats.
-     [Robin Seggelmann <seggelmann@fh-muenster.de>]
-
-  *) Add support for SCTP.
-     [Robin Seggelmann <seggelmann@fh-muenster.de>]
-
-  *) Improved PRNG seeding for VOS.
-     [Paul Green <Paul.Green@stratus.com>]
-
-  *) Extensive assembler packs updates, most notably:
-
-        - x86[_64]:     AES-NI, PCLMULQDQ, RDRAND support;
-        - x86[_64]:     SSSE3 support (SHA1, vector-permutation AES);
-        - x86_64:       bit-sliced AES implementation;
-        - ARM:          NEON support, contemporary platforms optimizations;
-        - s390x:        z196 support;
-        - *:            GHASH and GF(2^m) multiplication implementations;
-
-     [Andy Polyakov]
-
-  *) Make TLS-SRP code conformant with RFC 5054 API cleanup
-     (removal of unnecessary code)
-     [Peter Sylvester <peter.sylvester@edelweb.fr>]
-
-  *) Add TLS key material exporter from RFC 5705.
-     [Eric Rescorla]
-
-  *) Add DTLS-SRTP negotiation from RFC 5764.
-     [Eric Rescorla]
-
-  *) Add Next Protocol Negotiation,
-     http://tools.ietf.org/html/draft-agl-tls-nextprotoneg-00. Can be
-     disabled with a no-npn flag to config or Configure. Code donated
-     by Google.
-     [Adam Langley <agl@google.com> and Ben Laurie]
-
-  *) Add optional 64-bit optimized implementations of elliptic curves NIST-P224,
-     NIST-P256, NIST-P521, with constant-time single point multiplication on
-     typical inputs. Compiler support for the nonstandard type __uint128_t is
-     required to use this (present in gcc 4.4 and later, for 64-bit builds).
-     Code made available under Apache License version 2.0.
-
-     Specify "enable-ec_nistp_64_gcc_128" on the Configure (or config) command
-     line to include this in your build of OpenSSL, and run "make depend" (or
-     "make update"). This enables the following EC_METHODs:
-
-         EC_GFp_nistp224_method()
-         EC_GFp_nistp256_method()
-         EC_GFp_nistp521_method()
-
-     EC_GROUP_new_by_curve_name() will automatically use these (while
-     EC_GROUP_new_curve_GFp() currently prefers the more flexible
-     implementations).
-     [Emilia Käsper, Adam Langley, Bodo Moeller (Google)]
-
-  *) Use type ossl_ssize_t instead of ssize_t which isn't available on
-     all platforms. Move ssize_t definition from e_os.h to the public
-     header file e_os2.h as it now appears in public header file cms.h
-     [Steve Henson]
-
-  *) New -sigopt option to the ca, req and x509 utilities. Additional
-     signature parameters can be passed using this option and in
-     particular PSS.
-     [Steve Henson]
-
-  *) Add RSA PSS signing function. This will generate and set the
-     appropriate AlgorithmIdentifiers for PSS based on those in the
-     corresponding EVP_MD_CTX structure. No application support yet.
-     [Steve Henson]
-
-  *) Support for companion algorithm specific ASN1 signing routines.
-     New function ASN1_item_sign_ctx() signs a pre-initialised
-     EVP_MD_CTX structure and sets AlgorithmIdentifiers based on
-     the appropriate parameters.
-     [Steve Henson]
-
-  *) Add new algorithm specific ASN1 verification initialisation function
-     to EVP_PKEY_ASN1_METHOD: this is not in EVP_PKEY_METHOD since the ASN1
-     handling will be the same no matter what EVP_PKEY_METHOD is used.
-     Add a PSS handler to support verification of PSS signatures: checked
-     against a number of sample certificates.
-     [Steve Henson]
-
-  *) Add signature printing for PSS. Add PSS OIDs.
-     [Steve Henson, Martin Kaiser <lists@kaiser.cx>]
-
-  *) Add algorithm specific signature printing. An individual ASN1 method
-     can now print out signatures instead of the standard hex dump.
-
-     More complex signatures (e.g. PSS) can print out more meaningful
-     information. Include DSA version that prints out the signature
-     parameters r, s.
-     [Steve Henson]
-
-  *) Password based recipient info support for CMS library: implementing
-     RFC3211.
-     [Steve Henson]
-
-  *) Split password based encryption into PBES2 and PBKDF2 functions. This
-     neatly separates the code into cipher and PBE sections and is required
-     for some algorithms that split PBES2 into separate pieces (such as
-     password based CMS).
-     [Steve Henson]
-
-  *) Session-handling fixes:
-     - Fix handling of connections that are resuming with a session ID,
-       but also support Session Tickets.
-     - Fix a bug that suppressed issuing of a new ticket if the client
-       presented a ticket with an expired session.
-     - Try to set the ticket lifetime hint to something reasonable.
-     - Make tickets shorter by excluding irrelevant information.
-     - On the client side, don't ignore renewed tickets.
-     [Adam Langley, Bodo Moeller (Google)]
-
-  *) Fix PSK session representation.
-     [Bodo Moeller]
-
-  *) Add RC4-MD5 and AESNI-SHA1 "stitched" implementations.
-
-     This work was sponsored by Intel.
-     [Andy Polyakov]
-
-  *) Add GCM support to TLS library. Some custom code is needed to split
-     the IV between the fixed (from PRF) and explicit (from TLS record)
-     portions. This adds all GCM ciphersuites supported by RFC5288 and
-     RFC5289. Generalise some AES* cipherstrings to include GCM and
-     add a special AESGCM string for GCM only.
-     [Steve Henson]
-
-  *) Expand range of ctrls for AES GCM. Permit setting invocation
-     field on decrypt and retrieval of invocation field only on encrypt.
-     [Steve Henson]
-
-  *) Add HMAC ECC ciphersuites from RFC5289. Include SHA384 PRF support.
-     As required by RFC5289 these ciphersuites cannot be used if for
-     versions of TLS earlier than 1.2.
-     [Steve Henson]
-
-  *) For FIPS capable OpenSSL interpret a NULL default public key method
-     as unset and return the appropriate default but do *not* set the default.
-     This means we can return the appropriate method in applications that
-     switch between FIPS and non-FIPS modes.
-     [Steve Henson]
-
-  *) Redirect HMAC and CMAC operations to FIPS module in FIPS mode. If an
-     ENGINE is used then we cannot handle that in the FIPS module so we
-     keep original code iff non-FIPS operations are allowed.
-     [Steve Henson]
-
-  *) Add -attime option to openssl utilities.
-     [Peter Eckersley <pde@eff.org>, Ben Laurie and Steve Henson]
-
-  *) Redirect DSA and DH operations to FIPS module in FIPS mode.
-     [Steve Henson]
-
-  *) Redirect ECDSA and ECDH operations to FIPS module in FIPS mode. Also use
-     FIPS EC methods unconditionally for now.
-     [Steve Henson]
-
-  *) New build option no-ec2m to disable characteristic 2 code.
-     [Steve Henson]
-
-  *) Backport libcrypto audit of return value checking from 1.1.0-dev; not
-     all cases can be covered as some introduce binary incompatibilities.
-     [Steve Henson]
-
-  *) Redirect RSA operations to FIPS module including keygen,
-     encrypt, decrypt, sign and verify. Block use of non FIPS RSA methods.
-     [Steve Henson]
-
-  *) Add similar low level API blocking to ciphers.
-     [Steve Henson]
-
-  *) Low level digest APIs are not approved in FIPS mode: any attempt
-     to use these will cause a fatal error. Applications that *really* want
-     to use them can use the private_* version instead.
-     [Steve Henson]
-
-  *) Redirect cipher operations to FIPS module for FIPS builds.
-     [Steve Henson]
-
-  *) Redirect digest operations to FIPS module for FIPS builds.
-     [Steve Henson]
-
-  *) Update build system to add "fips" flag which will link in fipscanister.o
-     for static and shared library builds embedding a signature if needed.
-     [Steve Henson]
-
-  *) Output TLS supported curves in preference order instead of numerical
-     order. This is currently hardcoded for the highest order curves first.
-     This should be configurable so applications can judge speed vs strength.
-     [Steve Henson]
-
-  *) Add TLS v1.2 server support for client authentication.
-     [Steve Henson]
-
-  *) Add support for FIPS mode in ssl library: disable SSLv3, non-FIPS ciphers
-     and enable MD5.
-     [Steve Henson]
-
-  *) Functions FIPS_mode_set() and FIPS_mode() which call the underlying
-     FIPS modules versions.
-     [Steve Henson]
-
-  *) Add TLS v1.2 client side support for client authentication. Keep cache
-     of handshake records longer as we don't know the hash algorithm to use
-     until after the certificate request message is received.
-     [Steve Henson]
-
-  *) Initial TLS v1.2 client support. Add a default signature algorithms
-     extension including all the algorithms we support. Parse new signature
-     format in client key exchange. Relax some ECC signing restrictions for
-     TLS v1.2 as indicated in RFC5246.
-     [Steve Henson]
-
-  *) Add server support for TLS v1.2 signature algorithms extension. Switch
-     to new signature format when needed using client digest preference.
-     All server ciphersuites should now work correctly in TLS v1.2. No client
-     support yet and no support for client certificates.
-     [Steve Henson]
-
-  *) Initial TLS v1.2 support. Add new SHA256 digest to ssl code, switch
-     to SHA256 for PRF when using TLS v1.2 and later. Add new SHA256 based
-     ciphersuites. At present only RSA key exchange ciphersuites work with
-     TLS v1.2. Add new option for TLS v1.2 replacing the old and obsolete
-     SSL_OP_PKCS1_CHECK flags with SSL_OP_NO_TLSv1_2. New TLSv1.2 methods
-     and version checking.
-     [Steve Henson]
-
-  *) New option OPENSSL_NO_SSL_INTERN. If an application can be compiled
-     with this defined it will not be affected by any changes to ssl internal
-     structures. Add several utility functions to allow openssl application
-     to work with OPENSSL_NO_SSL_INTERN defined.
-     [Steve Henson]
-
-  *) A long standing patch to add support for SRP from EdelWeb (Peter
-     Sylvester and Christophe Renou) was integrated.
-     [Christophe Renou <christophe.renou@edelweb.fr>, Peter Sylvester
-     <peter.sylvester@edelweb.fr>, Tom Wu <tjw@cs.stanford.edu>, and
-     Ben Laurie]
-
-  *) Add functions to copy EVP_PKEY_METHOD and retrieve flags and id.
-     [Steve Henson]
-
-  *) Permit abbreviated handshakes when renegotiating using the function
-     SSL_renegotiate_abbreviated().
-     [Robin Seggelmann <seggelmann@fh-muenster.de>]
-
-  *) Add call to ENGINE_register_all_complete() to
-     ENGINE_load_builtin_engines(), so some implementations get used
-     automatically instead of needing explicit application support.
-     [Steve Henson]
-
-  *) Add support for TLS key exporter as described in RFC5705.
-     [Robin Seggelmann <seggelmann@fh-muenster.de>, Steve Henson]
-
-  *) Initial TLSv1.1 support. Since TLSv1.1 is very similar to TLS v1.0 only
-     a few changes are required:
-
-       Add SSL_OP_NO_TLSv1_1 flag.
-       Add TLSv1_1 methods.
-       Update version checking logic to handle version 1.1.
-       Add explicit IV handling (ported from DTLS code).
-       Add command line options to s_client/s_server.
-     [Steve Henson]
-
- Changes between 1.0.0g and 1.0.0h [12 Mar 2012]
-
-  *) Fix MMA (Bleichenbacher's attack on PKCS #1 v1.5 RSA padding) weakness
-     in CMS and PKCS7 code. When RSA decryption fails use a random key for
-     content decryption and always return the same error. Note: this attack
-     needs on average 2^20 messages so it only affects automated senders. The
-     old behaviour can be re-enabled in the CMS code by setting the
-     CMS_DEBUG_DECRYPT flag: this is useful for debugging and testing where
-     an MMA defence is not necessary.
-     Thanks to Ivan Nestlerode <inestlerode@us.ibm.com> for discovering
-     this issue. (CVE-2012-0884)
-     [Steve Henson]
-
-  *) Fix CVE-2011-4619: make sure we really are receiving a
-     client hello before rejecting multiple SGC restarts. Thanks to
-     Ivan Nestlerode <inestlerode@us.ibm.com> for discovering this bug.
-     [Steve Henson]
-
- Changes between 1.0.0f and 1.0.0g [18 Jan 2012]
-
-  *) Fix for DTLS DoS issue introduced by fix for CVE-2011-4109.
-     Thanks to Antonio Martin, Enterprise Secure Access Research and
-     Development, Cisco Systems, Inc. for discovering this bug and
-     preparing a fix. (CVE-2012-0050)
-     [Antonio Martin]
-
- Changes between 1.0.0e and 1.0.0f [4 Jan 2012]
-
-  *) Nadhem Alfardan and Kenny Paterson have discovered an extension
-     of the Vaudenay padding oracle attack on CBC mode encryption
-     which enables an efficient plaintext recovery attack against
-     the OpenSSL implementation of DTLS. Their attack exploits timing
-     differences arising during decryption processing. A research
-     paper describing this attack can be found at:
-                  http://www.isg.rhul.ac.uk/~kp/dtls.pdf
-     Thanks go to Nadhem Alfardan and Kenny Paterson of the Information
-     Security Group at Royal Holloway, University of London
-     (www.isg.rhul.ac.uk) for discovering this flaw and to Robin Seggelmann
-     <seggelmann@fh-muenster.de> and Michael Tuexen <tuexen@fh-muenster.de>
-     for preparing the fix. (CVE-2011-4108)
-     [Robin Seggelmann, Michael Tuexen]
-
-  *) Clear bytes used for block padding of SSL 3.0 records.
-     (CVE-2011-4576)
-     [Adam Langley (Google)]
-
-  *) Only allow one SGC handshake restart for SSL/TLS. Thanks to George
-     Kadianakis <desnacked@gmail.com> for discovering this issue and
-     Adam Langley for preparing the fix. (CVE-2011-4619)
-     [Adam Langley (Google)]
-
-  *) Check parameters are not NULL in GOST ENGINE. (CVE-2012-0027)
-     [Andrey Kulikov <amdeich@gmail.com>]
-
-  *) Prevent malformed RFC3779 data triggering an assertion failure.
-     Thanks to Andrew Chi, BBN Technologies, for discovering the flaw
-     and Rob Austein <sra@hactrn.net> for fixing it. (CVE-2011-4577)
-     [Rob Austein <sra@hactrn.net>]
-
-  *) Improved PRNG seeding for VOS.
-     [Paul Green <Paul.Green@stratus.com>]
-
-  *) Fix ssl_ciph.c set-up race.
-     [Adam Langley (Google)]
-
-  *) Fix spurious failures in ecdsatest.c.
-     [Emilia Käsper (Google)]
+   Examples:
 
-  *) Fix the BIO_f_buffer() implementation (which was mixing different
-     interpretations of the '..._len' fields).
-     [Adam Langley (Google)]
+           -DOPENSSL_API_COMPAT=30000             For 3.0
+           -DOPENSSL_API_COMPAT=30200             For 3.2
+
+   To hide declarations that are deprecated up to and including the
+   given API compatibility level, -DOPENSSL_NO_DEPRECATED must be
+   given when building the application as well.
 
-  *) Fix handling of BN_BLINDING: now BN_BLINDING_invert_ex (rather than
-     BN_BLINDING_invert_ex) calls BN_BLINDING_update, ensuring that concurrent
-     threads won't reuse the same blinding coefficients.
+   *Richard Levitte*
 
-     This also avoids the need to obtain the CRYPTO_LOCK_RSA_BLINDING
-     lock to call BN_BLINDING_invert_ex, and avoids one use of
-     BN_BLINDING_update for each BN_BLINDING structure (previously,
-     the last update always remained unused).
-     [Emilia Käsper (Google)]
+ * Added the X509_LOOKUP_METHOD called X509_LOOKUP_store, to allow
+   access to certificate and CRL stores via URIs and OSSL_STORE
+   loaders.
 
-  *) In ssl3_clear, preserve s3->init_extra along with s3->rbuf.
-     [Bob Buckholz (Google)]
+   This adds the following functions:
 
- Changes between 1.0.0d and 1.0.0e [6 Sep 2011]
+   - X509_LOOKUP_store()
+   - X509_STORE_load_file()
+   - X509_STORE_load_path()
+   - X509_STORE_load_store()
+   - SSL_add_store_cert_subjects_to_stack()
+   - SSL_CTX_set_default_verify_store()
+   - SSL_CTX_load_verify_file()
+   - SSL_CTX_load_verify_dir()
+   - SSL_CTX_load_verify_store()
 
-  *) Fix bug where CRLs with nextUpdate in the past are sometimes accepted
-     by initialising X509_STORE_CTX properly. (CVE-2011-3207)
-     [Kaspar Brand <ossl@velox.ch>]
-
-  *) Fix SSL memory handling for (EC)DH ciphersuites, in particular
-     for multi-threaded use of ECDH. (CVE-2011-3210)
-     [Adam Langley (Google)]
-
-  *) Fix x509_name_ex_d2i memory leak on bad inputs.
-     [Bodo Moeller]
-
-  *) Remove hard coded ecdsaWithSHA1 signature tests in ssl code and check
-     signature public key algorithm by using OID xref utilities instead.
-     Before this you could only use some ECC ciphersuites with SHA1 only.
-     [Steve Henson]
-
-  *) Add protection against ECDSA timing attacks as mentioned in the paper
-     by Billy Bob Brumley and Nicola Tuveri, see:
-
-        http://eprint.iacr.org/2011/232.pdf
-
-     [Billy Bob Brumley and Nicola Tuveri]
+   Also, the following functions are now deprecated:
 
- Changes between 1.0.0c and 1.0.0d [8 Feb 2011]
+   - X509_STORE_load_locations() (use X509_STORE_load_file(),
+     X509_STORE_load_path() or X509_STORE_load_store() instead)
+   - SSL_CTX_load_verify_locations() (use SSL_CTX_load_verify_file(),
+     SSL_CTX_load_verify_dir() or SSL_CTX_load_verify_store() instead)
 
-  *) Fix parsing of OCSP stapling ClientHello extension. CVE-2011-0014
-     [Neel Mehta, Adam Langley, Bodo Moeller (Google)]
-
-  *) Fix bug in string printing code: if *any* escaping is enabled we must
-     escape the escape character (backslash) or the resulting string is
-     ambiguous.
-     [Steve Henson]
-
- Changes between 1.0.0b and 1.0.0c  [2 Dec 2010]
-
-  *) Disable code workaround for ancient and obsolete Netscape browsers
-     and servers: an attacker can use it in a ciphersuite downgrade attack.
-     Thanks to Martin Rex for discovering this bug. CVE-2010-4180
-     [Steve Henson]
-
-  *) Fixed J-PAKE implementation error, originally discovered by
-     Sebastien Martini, further info and confirmation from Stefan
-     Arentz and Feng Hao. Note that this fix is a security fix. CVE-2010-4252
-     [Ben Laurie]
-
- Changes between 1.0.0a and 1.0.0b  [16 Nov 2010]
-
-  *) Fix extension code to avoid race conditions which can result in a buffer
-     overrun vulnerability: resumed sessions must not be modified as they can
-     be shared by multiple threads. CVE-2010-3864
-     [Steve Henson]
+   *Richard Levitte*
 
-  *) Fix WIN32 build system to correctly link an ENGINE directory into
-     a DLL.
-     [Steve Henson]
+ * Added a new method to gather entropy on VMS, based on SYS$GET_ENTROPY.
+   The presence of this system service is determined at run-time.
 
- Changes between 1.0.0 and 1.0.0a  [01 Jun 2010]
+   *Richard Levitte*
 
-  *) Check return value of int_rsa_verify in pkey_rsa_verifyrecover
-     (CVE-2010-1633)
-     [Steve Henson, Peter-Michael Hager <hager@dortmund.net>]
+ * Added functionality to create an EVP_PKEY context based on data
+   for methods from providers.  This takes an algorithm name and a
+   property query string and simply stores them, with the intent
+   that any operation that uses this context will use those strings
+   to fetch the needed methods implicitly, thereby making the port
+   of application written for pre-3.0 OpenSSL easier.
 
- Changes between 0.9.8n and 1.0.0  [29 Mar 2010]
+   *Richard Levitte*
 
-  *) Add "missing" function EVP_CIPHER_CTX_copy(). This copies a cipher
-     context. The operation can be customised via the ctrl mechanism in
-     case ENGINEs want to include additional functionality.
-     [Steve Henson]
+ * The undocumented function NCONF_WIN32() has been deprecated; for
+   conversion details see the HISTORY section of doc/man5/config.pod
 
-  *) Tolerate yet another broken PKCS#8 key format: private key value negative.
-     [Steve Henson]
+   *Rich Salz*
 
-  *) Add new -subject_hash_old and -issuer_hash_old options to x509 utility to
-     output hashes compatible with older versions of OpenSSL.
-     [Willy Weisz <weisz@vcpc.univie.ac.at>]
+ * Introduced the new functions EVP_DigestSignInit_ex() and
+   EVP_DigestVerifyInit_ex(). The macros EVP_DigestSignUpdate() and
+   EVP_DigestVerifyUpdate() have been converted to functions. See the man
+   pages for further details.
 
-  *) Fix compression algorithm handling: if resuming a session use the
-     compression algorithm of the resumed session instead of determining
-     it from client hello again. Don't allow server to change algorithm.
-     [Steve Henson]
+   *Matt Caswell*
 
-  *) Add load_crls() function to apps tidying load_certs() too. Add option
-     to verify utility to allow additional CRLs to be included.
-     [Steve Henson]
+ * Over two thousand fixes were made to the documentation, including:
+   adding missing command flags, better style conformance, documentation
+   of internals, etc.
 
-  *) Update OCSP request code to permit adding custom headers to the request:
-     some responders need this.
-     [Steve Henson]
+   *Rich Salz, Richard Levitte*
 
-  *) The function EVP_PKEY_sign() returns <=0 on error: check return code
-     correctly.
-     [Julia Lawall <julia@diku.dk>]
+ * s390x assembly pack: add hardware-support for P-256, P-384, P-521,
+   X25519, X448, Ed25519 and Ed448.
 
-  *) Update verify callback code in apps/s_cb.c and apps/verify.c, it
-     needlessly dereferenced structures, used obsolete functions and
-     didn't handle all updated verify codes correctly.
-     [Steve Henson]
+   *Patrick Steuer*
 
-  *) Disable MD2 in the default configuration.
-     [Steve Henson]
+ * Print all values for a PKCS#12 attribute with 'openssl pkcs12', not just
+   the first value.
 
-  *) In BIO_pop() and BIO_push() use the ctrl argument (which was NULL) to
-     indicate the initial BIO being pushed or popped. This makes it possible
-     to determine whether the BIO is the one explicitly called or as a result
-     of the ctrl being passed down the chain. Fix BIO_pop() and SSL BIOs so
-     it handles reference counts correctly and doesn't zero out the I/O bio
-     when it is not being explicitly popped. WARNING: applications which
-     included workarounds for the old buggy behaviour will need to be modified
-     or they could free up already freed BIOs.
-     [Steve Henson]
+   *Jon Spillett*
 
-  *) Extend the uni2asc/asc2uni => OPENSSL_uni2asc/OPENSSL_asc2uni
-     renaming to all platforms (within the 0.9.8 branch, this was
-     done conditionally on Netware platforms to avoid a name clash).
-     [Guenter <lists@gknw.net>]
+ * Deprecated the public definition of ERR_STATE as well as the function
+   ERR_get_state().  This is done in preparation of making ERR_STATE an
+   opaque type.
 
-  *) Add ECDHE and PSK support to DTLS.
-     [Michael Tuexen <tuexen@fh-muenster.de>]
+   *Richard Levitte*
 
-  *) Add CHECKED_STACK_OF macro to safestack.h, otherwise safestack can't
-     be used on C++.
-     [Steve Henson]
-
-  *) Add "missing" function EVP_MD_flags() (without this the only way to
-     retrieve a digest flags is by accessing the structure directly. Update
-     EVP_MD_do_all*() and EVP_CIPHER_do_all*() to include the name a digest
-     or cipher is registered as in the "from" argument. Print out all
-     registered digests in the dgst usage message instead of manually
-     attempting to work them out.
-     [Steve Henson]
-
-  *) If no SSLv2 ciphers are used don't use an SSLv2 compatible client hello:
-     this allows the use of compression and extensions. Change default cipher
-     string to remove SSLv2 ciphersuites. This effectively avoids ancient SSLv2
-     by default unless an application cipher string requests it.
-     [Steve Henson]
-
-  *) Alter match criteria in PKCS12_parse(). It used to try to use local
-     key ids to find matching certificates and keys but some PKCS#12 files
-     don't follow the (somewhat unwritten) rules and this strategy fails.
-     Now just gather all certificates together and the first private key
-     then look for the first certificate that matches the key.
-     [Steve Henson]
-
-  *) Support use of registered digest and cipher names for dgst and cipher
-     commands instead of having to add each one as a special case. So now
-     you can do:
-
-        openssl sha256 foo
-
-     as well as:
+ * Added ERR functionality to give callers access to the stored function
+   names that have replaced the older function code based functions.
 
-        openssl dgst -sha256 foo
+   New functions are ERR_get_error_func(), ERR_peek_error_func(),
+   ERR_peek_last_error_func(), ERR_get_error_data(), ERR_peek_error_data(),
+   ERR_peek_last_error_data(), ERR_get_error_all(), ERR_peek_error_all()
+   and ERR_peek_last_error_all().
 
-     and this works for ENGINE based algorithms too.
+   These functions have become deprecated: ERR_get_error_line_data(),
+   ERR_peek_error_line_data(), ERR_peek_last_error_line_data() and
+   ERR_func_error_string().
 
-     [Steve Henson]
+   *Richard Levitte*
 
-  *) Update Gost ENGINE to support parameter files.
-     [Victor B. Wagner <vitus@cryptocom.ru>]
+ * Extended testing to be verbose for failing tests only.  The make variables
+   VERBOSE_FAILURE or VF can be used to enable this:
 
-  *) Support GeneralizedTime in ca utility.
-     [Oliver Martin <oliver@volatilevoid.net>, Steve Henson]
-
-  *) Enhance the hash format used for certificate directory links. The new
-     form uses the canonical encoding (meaning equivalent names will work
-     even if they aren't identical) and uses SHA1 instead of MD5. This form
-     is incompatible with the older format and as a result c_rehash should
-     be used to rebuild symbolic links.
-     [Steve Henson]
-
-  *) Make PKCS#8 the default write format for private keys, replacing the
-     traditional format. This form is standardised, more secure and doesn't
-     include an implicit MD5 dependency.
-     [Steve Henson]
-
-  *) Add a $gcc_devteam_warn option to Configure. The idea is that any code
-     committed to OpenSSL should pass this lot as a minimum.
-     [Steve Henson]
-
-  *) Add session ticket override functionality for use by EAP-FAST.
-     [Jouni Malinen <j@w1.fi>]
-
-  *) Modify HMAC functions to return a value. Since these can be implemented
-     in an ENGINE errors can occur.
-     [Steve Henson]
-
-  *) Type-checked OBJ_bsearch_ex.
-     [Ben Laurie]
-
-  *) Type-checked OBJ_bsearch. Also some constification necessitated
-     by type-checking.  Still to come: TXT_DB, bsearch(?),
-     OBJ_bsearch_ex, qsort, CRYPTO_EX_DATA, ASN1_VALUE, ASN1_STRING,
-     CONF_VALUE.
-     [Ben Laurie]
-
-  *) New function OPENSSL_gmtime_adj() to add a specific number of days and
-     seconds to a tm structure directly, instead of going through OS
-     specific date routines. This avoids any issues with OS routines such
-     as the year 2038 bug. New *_adj() functions for ASN1 time structures
-     and X509_time_adj_ex() to cover the extended range. The existing
-     X509_time_adj() is still usable and will no longer have any date issues.
-     [Steve Henson]
-
-  *) Delta CRL support. New use deltas option which will attempt to locate
-     and search any appropriate delta CRLs available.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Support for CRLs partitioned by reason code. Reorganise CRL processing
-     code and add additional score elements. Validate alternate CRL paths
-     as part of the CRL checking and indicate a new error "CRL path validation
-     error" in this case. Applications wanting additional details can use
-     the verify callback and check the new "parent" field. If this is not
-     NULL CRL path validation is taking place. Existing applications won't
-     see this because it requires extended CRL support which is off by
-     default.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Support for freshest CRL extension.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Initial indirect CRL support. Currently only supported in the CRLs
-     passed directly and not via lookup. Process certificate issuer
-     CRL entry extension and lookup CRL entries by bother issuer name
-     and serial number. Check and process CRL issuer entry in IDP extension.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Add support for distinct certificate and CRL paths. The CRL issuer
-     certificate is validated separately in this case. Only enabled if
-     an extended CRL support flag is set: this flag will enable additional
-     CRL functionality in future.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Add support for policy mappings extension.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Fixes to pathlength constraint, self issued certificate handling,
-     policy processing to align with RFC3280 and PKITS tests.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Support for name constraints certificate extension. DN, email, DNS
-     and URI types are currently supported.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) To cater for systems that provide a pointer-based thread ID rather
-     than numeric, deprecate the current numeric thread ID mechanism and
-     replace it with a structure and associated callback type. This
-     mechanism allows a numeric "hash" to be extracted from a thread ID in
-     either case, and on platforms where pointers are larger than 'long',
-     mixing is done to help ensure the numeric 'hash' is usable even if it
-     can't be guaranteed unique. The default mechanism is to use "&errno"
-     as a pointer-based thread ID to distinguish between threads.
-
-     Applications that want to provide their own thread IDs should now use
-     CRYPTO_THREADID_set_callback() to register a callback that will call
-     either CRYPTO_THREADID_set_numeric() or CRYPTO_THREADID_set_pointer().
-
-     Note that ERR_remove_state() is now deprecated, because it is tied
-     to the assumption that thread IDs are numeric.  ERR_remove_state(0)
-     to free the current thread's error state should be replaced by
-     ERR_remove_thread_state(NULL).
-
-     (This new approach replaces the functions CRYPTO_set_idptr_callback(),
-     CRYPTO_get_idptr_callback(), and CRYPTO_thread_idptr() that existed in
-     OpenSSL 0.9.9-dev between June 2006 and August 2008. Also, if an
-     application was previously providing a numeric thread callback that
-     was inappropriate for distinguishing threads, then uniqueness might
-     have been obtained with &errno that happened immediately in the
-     intermediate development versions of OpenSSL; this is no longer the
-     case, the numeric thread callback will now override the automatic use
-     of &errno.)
-     [Geoff Thorpe, with help from Bodo Moeller]
-
-  *) Initial support for different CRL issuing certificates. This covers a
-     simple case where the self issued certificates in the chain exist and
-     the real CRL issuer is higher in the existing chain.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Removed effectively defunct crypto/store from the build.
-     [Ben Laurie]
-
-  *) Revamp of STACK to provide stronger type-checking. Still to come:
-     TXT_DB, bsearch(?), OBJ_bsearch, qsort, CRYPTO_EX_DATA, ASN1_VALUE,
-     ASN1_STRING, CONF_VALUE.
-     [Ben Laurie]
-
-  *) Add a new SSL_MODE_RELEASE_BUFFERS mode flag to release unused buffer
-     RAM on SSL connections.  This option can save about 34k per idle SSL.
-     [Nick Mathewson]
-
-  *) Revamp of LHASH to provide stronger type-checking. Still to come:
-     STACK, TXT_DB, bsearch, qsort.
-     [Ben Laurie]
-
-  *) Initial support for Cryptographic Message Syntax (aka CMS) based
-     on RFC3850, RFC3851 and RFC3852. New cms directory and cms utility,
-     support for data, signedData, compressedData, digestedData and
-     encryptedData, envelopedData types included. Scripts to check against
-     RFC4134 examples draft and interop and consistency checks of many
-     content types and variants.
-     [Steve Henson]
-
-  *) Add options to enc utility to support use of zlib compression BIO.
-     [Steve Henson]
-
-  *) Extend mk1mf to support importing of options and assembly language
-     files from Configure script, currently only included in VC-WIN32.
-     The assembly language rules can now optionally generate the source
-     files from the associated perl scripts.
-     [Steve Henson]
-
-  *) Implement remaining functionality needed to support GOST ciphersuites.
-     Interop testing has been performed using CryptoPro implementations.
-     [Victor B. Wagner <vitus@cryptocom.ru>]
-
-  *) s390x assembler pack.
-     [Andy Polyakov]
-
-  *) ARMv4 assembler pack. ARMv4 refers to v4 and later ISA, not CPU
-     "family."
-     [Andy Polyakov]
-
-  *) Implement Opaque PRF Input TLS extension as specified in
-     draft-rescorla-tls-opaque-prf-input-00.txt.  Since this is not an
-     official specification yet and no extension type assignment by
-     IANA exists, this extension (for now) will have to be explicitly
-     enabled when building OpenSSL by providing the extension number
-     to use.  For example, specify an option
-
-         -DTLSEXT_TYPE_opaque_prf_input=0x9527
-
-     to the "config" or "Configure" script to enable the extension,
-     assuming extension number 0x9527 (which is a completely arbitrary
-     and unofficial assignment based on the MD5 hash of the Internet
-     Draft).  Note that by doing so, you potentially lose
-     interoperability with other TLS implementations since these might
-     be using the same extension number for other purposes.
-
-     SSL_set_tlsext_opaque_prf_input(ssl, src, len) is used to set the
-     opaque PRF input value to use in the handshake.  This will create
-     an internal copy of the length-'len' string at 'src', and will
-     return non-zero for success.
-
-     To get more control and flexibility, provide a callback function
-     by using
-
-          SSL_CTX_set_tlsext_opaque_prf_input_callback(ctx, cb)
-          SSL_CTX_set_tlsext_opaque_prf_input_callback_arg(ctx, arg)
-
-     where
-
-          int (*cb)(SSL *, void *peerinput, size_t len, void *arg);
-          void *arg;
-
-     Callback function 'cb' will be called in handshakes, and is
-     expected to use SSL_set_tlsext_opaque_prf_input() as appropriate.
-     Argument 'arg' is for application purposes (the value as given to
-     SSL_CTX_set_tlsext_opaque_prf_input_callback_arg() will directly
-     be provided to the callback function).  The callback function
-     has to return non-zero to report success: usually 1 to use opaque
-     PRF input just if possible, or 2 to enforce use of the opaque PRF
-     input.  In the latter case, the library will abort the handshake
-     if opaque PRF input is not successfully negotiated.
-
-     Arguments 'peerinput' and 'len' given to the callback function
-     will always be NULL and 0 in the case of a client.  A server will
-     see the client's opaque PRF input through these variables if
-     available (NULL and 0 otherwise).  Note that if the server
-     provides an opaque PRF input, the length must be the same as the
-     length of the client's opaque PRF input.
-
-     Note that the callback function will only be called when creating
-     a new session (session resumption can resume whatever was
-     previously negotiated), and will not be called in SSL 2.0
-     handshakes; thus, SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2) or
-     SSL_set_options(ssl, SSL_OP_NO_SSLv2) is especially recommended
-     for applications that need to enforce opaque PRF input.
-
-     [Bodo Moeller]
-
-  *) Update ssl code to support digests other than SHA1+MD5 for handshake
-     MAC.
-
-     [Victor B. Wagner <vitus@cryptocom.ru>]
-
-  *) Add RFC4507 support to OpenSSL. This includes the corrections in
-     RFC4507bis. The encrypted ticket format is an encrypted encoded
-     SSL_SESSION structure, that way new session features are automatically
-     supported.
-
-     If a client application caches session in an SSL_SESSION structure
-     support is transparent because tickets are now stored in the encoded
-     SSL_SESSION.
-
-     The SSL_CTX structure automatically generates keys for ticket
-     protection in servers so again support should be possible
-     with no application modification.
-
-     If a client or server wishes to disable RFC4507 support then the option
-     SSL_OP_NO_TICKET can be set.
-
-     Add a TLS extension debugging callback to allow the contents of any client
-     or server extensions to be examined.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Final changes to avoid use of pointer pointer casts in OpenSSL.
-     OpenSSL should now compile cleanly on gcc 4.2
-     [Peter Hartley <pdh@utter.chaos.org.uk>, Steve Henson]
-
-  *) Update SSL library to use new EVP_PKEY MAC API. Include generic MAC
-     support including streaming MAC support: this is required for GOST
-     ciphersuite support.
-     [Victor B. Wagner <vitus@cryptocom.ru>, Steve Henson]
-
-  *) Add option -stream to use PKCS#7 streaming in smime utility. New
-     function i2d_PKCS7_bio_stream() and PEM_write_PKCS7_bio_stream()
-     to output in BER and PEM format.
-     [Steve Henson]
-
-  *) Experimental support for use of HMAC via EVP_PKEY interface. This
-     allows HMAC to be handled via the EVP_DigestSign*() interface. The
-     EVP_PKEY "key" in this case is the HMAC key, potentially allowing
-     ENGINE support for HMAC keys which are unextractable. New -mac and
-     -macopt options to dgst utility.
-     [Steve Henson]
-
-  *) New option -sigopt to dgst utility. Update dgst to use
-     EVP_Digest{Sign,Verify}*. These two changes make it possible to use
-     alternative signing parameters such as X9.31 or PSS in the dgst
-     utility.
-     [Steve Henson]
-
-  *) Change ssl_cipher_apply_rule(), the internal function that does
-     the work each time a ciphersuite string requests enabling
-     ("foo+bar"), moving ("+foo+bar"), disabling ("-foo+bar", or
-     removing ("!foo+bar") a class of ciphersuites: Now it maintains
-     the order of disabled ciphersuites such that those ciphersuites
-     that most recently went from enabled to disabled not only stay
-     in order with respect to each other, but also have higher priority
-     than other disabled ciphersuites the next time ciphersuites are
-     enabled again.
-
-     This means that you can now say, e.g., "PSK:-PSK:HIGH" to enable
-     the same ciphersuites as with "HIGH" alone, but in a specific
-     order where the PSK ciphersuites come first (since they are the
-     most recently disabled ciphersuites when "HIGH" is parsed).
-
-     Also, change ssl_create_cipher_list() (using this new
-     functionality) such that between otherwise identical
-     ciphersuites, ephemeral ECDH is preferred over ephemeral DH in
-     the default order.
-     [Bodo Moeller]
-
-  *) Change ssl_create_cipher_list() so that it automatically
-     arranges the ciphersuites in reasonable order before starting
-     to process the rule string.  Thus, the definition for "DEFAULT"
-     (SSL_DEFAULT_CIPHER_LIST) now is just "ALL:!aNULL:!eNULL", but
-     remains equivalent to "AES:ALL:!aNULL:!eNULL:+aECDH:+kRSA:+RC4:@STRENGTH".
-     This makes it much easier to arrive at a reasonable default order
-     in applications for which anonymous ciphers are OK (meaning
-     that you can't actually use DEFAULT).
-     [Bodo Moeller; suggested by Victor Duchovni]
-
-  *) Split the SSL/TLS algorithm mask (as used for ciphersuite string
-     processing) into multiple integers instead of setting
-     "SSL_MKEY_MASK" bits, "SSL_AUTH_MASK" bits, "SSL_ENC_MASK",
-     "SSL_MAC_MASK", and "SSL_SSL_MASK" bits all in a single integer.
-     (These masks as well as the individual bit definitions are hidden
-     away into the non-exported interface ssl/ssl_locl.h, so this
-     change to the definition of the SSL_CIPHER structure shouldn't
-     affect applications.)  This give us more bits for each of these
-     categories, so there is no longer a need to coagulate AES128 and
-     AES256 into a single algorithm bit, and to coagulate Camellia128
-     and Camellia256 into a single algorithm bit, which has led to all
-     kinds of kludges.
-
-     Thus, among other things, the kludge introduced in 0.9.7m and
-     0.9.8e for masking out AES256 independently of AES128 or masking
-     out Camellia256 independently of AES256 is not needed here in 0.9.9.
-
-     With the change, we also introduce new ciphersuite aliases that
-     so far were missing: "AES128", "AES256", "CAMELLIA128", and
-     "CAMELLIA256".
-     [Bodo Moeller]
-
-  *) Add support for dsa-with-SHA224 and dsa-with-SHA256.
-     Use the leftmost N bytes of the signature input if the input is
-     larger than the prime q (with N being the size in bytes of q).
-     [Nils Larsch]
-
-  *) Very *very* experimental PKCS#7 streaming encoder support. Nothing uses
-     it yet and it is largely untested.
-     [Steve Henson]
-
-  *) Add support for the ecdsa-with-SHA224/256/384/512 signature types.
-     [Nils Larsch]
-
-  *) Initial incomplete changes to avoid need for function casts in OpenSSL
-     some compilers (gcc 4.2 and later) reject their use. Safestack is
-     reimplemented.  Update ASN1 to avoid use of legacy functions.
-     [Steve Henson]
-
-  *) Win32/64 targets are linked with Winsock2.
-     [Andy Polyakov]
-
-  *) Add an X509_CRL_METHOD structure to allow CRL processing to be redirected
-     to external functions. This can be used to increase CRL handling
-     efficiency especially when CRLs are very large by (for example) storing
-     the CRL revoked certificates in a database.
-     [Steve Henson]
-
-  *) Overhaul of by_dir code. Add support for dynamic loading of CRLs so
-     new CRLs added to a directory can be used. New command line option
-     -verify_return_error to s_client and s_server. This causes real errors
-     to be returned by the verify callback instead of carrying on no matter
-     what. This reflects the way a "real world" verify callback would behave.
-     [Steve Henson]
-
-  *) GOST engine, supporting several GOST algorithms and public key formats.
-     Kindly donated by Cryptocom.
-     [Cryptocom]
-
-  *) Partial support for Issuing Distribution Point CRL extension. CRLs
-     partitioned by DP are handled but no indirect CRL or reason partitioning
-     (yet). Complete overhaul of CRL handling: now the most suitable CRL is
-     selected via a scoring technique which handles IDP and AKID in CRLs.
-     [Steve Henson]
-
-  *) New X509_STORE_CTX callbacks lookup_crls() and lookup_certs() which
-     will ultimately be used for all verify operations: this will remove the
-     X509_STORE dependency on certificate verification and allow alternative
-     lookup methods.  X509_STORE based implementations of these two callbacks.
-     [Steve Henson]
-
-  *) Allow multiple CRLs to exist in an X509_STORE with matching issuer names.
-     Modify get_crl() to find a valid (unexpired) CRL if possible.
-     [Steve Henson]
-
-  *) New function X509_CRL_match() to check if two CRLs are identical. Normally
-     this would be called X509_CRL_cmp() but that name is already used by
-     a function that just compares CRL issuer names. Cache several CRL
-     extensions in X509_CRL structure and cache CRLDP in X509.
-     [Steve Henson]
-
-  *) Store a "canonical" representation of X509_NAME structure (ASN1 Name)
-     this maps equivalent X509_NAME structures into a consistent structure.
-     Name comparison can then be performed rapidly using memcmp().
-     [Steve Henson]
-
-  *) Non-blocking OCSP request processing. Add -timeout option to ocsp
-     utility.
-     [Steve Henson]
-
-  *) Allow digests to supply their own micalg string for S/MIME type using
-     the ctrl EVP_MD_CTRL_MICALG.
-     [Steve Henson]
-
-  *) During PKCS7 signing pass the PKCS7 SignerInfo structure to the
-     EVP_PKEY_METHOD before and after signing via the EVP_PKEY_CTRL_PKCS7_SIGN
-     ctrl. It can then customise the structure before and/or after signing
-     if necessary.
-     [Steve Henson]
-
-  *) New function OBJ_add_sigid() to allow application defined signature OIDs
-     to be added to OpenSSLs internal tables. New function OBJ_sigid_free()
-     to free up any added signature OIDs.
-     [Steve Henson]
-
-  *) New functions EVP_CIPHER_do_all(), EVP_CIPHER_do_all_sorted(),
-     EVP_MD_do_all() and EVP_MD_do_all_sorted() to enumerate internal
-     digest and cipher tables. New options added to openssl utility:
-     list-message-digest-algorithms and list-cipher-algorithms.
-     [Steve Henson]
-
-  *) Change the array representation of binary polynomials: the list
-     of degrees of non-zero coefficients is now terminated with -1.
-     Previously it was terminated with 0, which was also part of the
-     value; thus, the array representation was not applicable to
-     polynomials where t^0 has coefficient zero.  This change makes
-     the array representation useful in a more general context.
-     [Douglas Stebila]
-
-  *) Various modifications and fixes to SSL/TLS cipher string
-     handling.  For ECC, the code now distinguishes between fixed ECDH
-     with RSA certificates on the one hand and with ECDSA certificates
-     on the other hand, since these are separate ciphersuites.  The
-     unused code for Fortezza ciphersuites has been removed.
-
-     For consistency with EDH, ephemeral ECDH is now called "EECDH"
-     (not "ECDHE").  For consistency with the code for DH
-     certificates, use of ECDH certificates is now considered ECDH
-     authentication, not RSA or ECDSA authentication (the latter is
-     merely the CA's signing algorithm and not actively used in the
-     protocol).
-
-     The temporary ciphersuite alias "ECCdraft" is no longer
-     available, and ECC ciphersuites are no longer excluded from "ALL"
-     and "DEFAULT".  The following aliases now exist for RFC 4492
-     ciphersuites, most of these by analogy with the DH case:
-
-         kECDHr   - ECDH cert, signed with RSA
-         kECDHe   - ECDH cert, signed with ECDSA
-         kECDH    - ECDH cert (signed with either RSA or ECDSA)
-         kEECDH   - ephemeral ECDH
-         ECDH     - ECDH cert or ephemeral ECDH
-
-         aECDH    - ECDH cert
-         aECDSA   - ECDSA cert
-         ECDSA    - ECDSA cert
-
-         AECDH    - anonymous ECDH
-         EECDH    - non-anonymous ephemeral ECDH (equivalent to "kEECDH:-AECDH")
-
-     [Bodo Moeller]
-
-  *) Add additional S/MIME capabilities for AES and GOST ciphers if supported.
-     Use correct micalg parameters depending on digest(s) in signed message.
-     [Steve Henson]
-
-  *) Add engine support for EVP_PKEY_ASN1_METHOD. Add functions to process
-     an ENGINE asn1 method. Support ENGINE lookups in the ASN1 code.
-     [Steve Henson]
-
-  *) Initial engine support for EVP_PKEY_METHOD. New functions to permit
-     an engine to register a method. Add ENGINE lookups for methods and
-     functional reference processing.
-     [Steve Henson]
-
-  *) New functions EVP_Digest{Sign,Verify)*. These are enhanced versions of
-     EVP_{Sign,Verify}* which allow an application to customise the signature
-     process.
-     [Steve Henson]
-
-  *) New -resign option to smime utility. This adds one or more signers
-     to an existing PKCS#7 signedData structure. Also -md option to use an
-     alternative message digest algorithm for signing.
-     [Steve Henson]
-
-  *) Tidy up PKCS#7 routines and add new functions to make it easier to
-     create PKCS7 structures containing multiple signers. Update smime
-     application to support multiple signers.
-     [Steve Henson]
-
-  *) New -macalg option to pkcs12 utility to allow setting of an alternative
-     digest MAC.
-     [Steve Henson]
-
-  *) Initial support for PKCS#5 v2.0 PRFs other than default SHA1 HMAC.
-     Reorganize PBE internals to lookup from a static table using NIDs,
-     add support for HMAC PBE OID translation. Add a EVP_CIPHER ctrl:
-     EVP_CTRL_PBE_PRF_NID this allows a cipher to specify an alternative
-     PRF which will be automatically used with PBES2.
-     [Steve Henson]
-
-  *) Replace the algorithm specific calls to generate keys in "req" with the
-     new API.
-     [Steve Henson]
-
-  *) Update PKCS#7 enveloped data routines to use new API. This is now
-     supported by any public key method supporting the encrypt operation. A
-     ctrl is added to allow the public key algorithm to examine or modify
-     the PKCS#7 RecipientInfo structure if it needs to: for RSA this is
-     a no op.
-     [Steve Henson]
-
-  *) Add a ctrl to asn1 method to allow a public key algorithm to express
-     a default digest type to use. In most cases this will be SHA1 but some
-     algorithms (such as GOST) need to specify an alternative digest. The
-     return value indicates how strong the preference is 1 means optional and
-     2 is mandatory (that is it is the only supported type). Modify
-     ASN1_item_sign() to accept a NULL digest argument to indicate it should
-     use the default md. Update openssl utilities to use the default digest
-     type for signing if it is not explicitly indicated.
-     [Steve Henson]
-
-  *) Use OID cross reference table in ASN1_sign() and ASN1_verify(). New
-     EVP_MD flag EVP_MD_FLAG_PKEY_METHOD_SIGNATURE. This uses the relevant
-     signing method from the key type. This effectively removes the link
-     between digests and public key types.
-     [Steve Henson]
-
-  *) Add an OID cross reference table and utility functions. Its purpose is to
-     translate between signature OIDs such as SHA1WithrsaEncryption and SHA1,
-     rsaEncryption. This will allow some of the algorithm specific hackery
-     needed to use the correct OID to be removed.
-     [Steve Henson]
-
-  *) Remove algorithm specific dependencies when setting PKCS7_SIGNER_INFO
-     structures for PKCS7_sign(). They are now set up by the relevant public
-     key ASN1 method.
-     [Steve Henson]
-
-  *) Add provisional EC pkey method with support for ECDSA and ECDH.
-     [Steve Henson]
-
-  *) Add support for key derivation (agreement) in the API, DH method and
-     pkeyutl.
-     [Steve Henson]
-
-  *) Add DSA pkey method and DH pkey methods, extend DH ASN1 method to support
-     public and private key formats. As a side effect these add additional
-     command line functionality not previously available: DSA signatures can be
-     generated and verified using pkeyutl and DH key support and generation in
-     pkey, genpkey.
-     [Steve Henson]
-
-  *) BeOS support.
-     [Oliver Tappe <zooey@hirschkaefer.de>]
-
-  *) New make target "install_html_docs" installs HTML renditions of the
-     manual pages.
-     [Oliver Tappe <zooey@hirschkaefer.de>]
-
-  *) New utility "genpkey" this is analogous to "genrsa" etc except it can
-     generate keys for any algorithm. Extend and update EVP_PKEY_METHOD to
-     support key and parameter generation and add initial key generation
-     functionality for RSA.
-     [Steve Henson]
-
-  *) Add functions for main EVP_PKEY_method operations. The undocumented
-     functions EVP_PKEY_{encrypt,decrypt} have been renamed to
-     EVP_PKEY_{encrypt,decrypt}_old.
-     [Steve Henson]
-
-  *) Initial definitions for EVP_PKEY_METHOD. This will be a high level public
-     key API, doesn't do much yet.
-     [Steve Henson]
-
-  *) New function EVP_PKEY_asn1_get0_info() to retrieve information about
-     public key algorithms. New option to openssl utility:
-     "list-public-key-algorithms" to print out info.
-     [Steve Henson]
-
-  *) Implement the Supported Elliptic Curves Extension for
-     ECC ciphersuites from draft-ietf-tls-ecc-12.txt.
-     [Douglas Stebila]
-
-  *) Don't free up OIDs in OBJ_cleanup() if they are in use by EVP_MD or
-     EVP_CIPHER structures to avoid later problems in EVP_cleanup().
-     [Steve Henson]
-
-  *) New utilities pkey and pkeyparam. These are similar to algorithm specific
-     utilities such as rsa, dsa, dsaparam etc except they process any key
-     type.
-     [Steve Henson]
-
-  *) Transfer public key printing routines to EVP_PKEY_ASN1_METHOD. New
-     functions EVP_PKEY_print_public(), EVP_PKEY_print_private(),
-     EVP_PKEY_print_param() to print public key data from an EVP_PKEY
-     structure.
-     [Steve Henson]
-
-  *) Initial support for pluggable public key ASN1.
-     De-spaghettify the public key ASN1 handling. Move public and private
-     key ASN1 handling to a new EVP_PKEY_ASN1_METHOD structure. Relocate
-     algorithm specific handling to a single module within the relevant
-     algorithm directory. Add functions to allow (near) opaque processing
-     of public and private key structures.
-     [Steve Henson]
-
-  *) Implement the Supported Point Formats Extension for
-     ECC ciphersuites from draft-ietf-tls-ecc-12.txt.
-     [Douglas Stebila]
-
-  *) Add initial support for RFC 4279 PSK TLS ciphersuites. Add members
-     for the psk identity [hint] and the psk callback functions to the
-     SSL_SESSION, SSL and SSL_CTX structure.
-
-     New ciphersuites:
-         PSK-RC4-SHA, PSK-3DES-EDE-CBC-SHA, PSK-AES128-CBC-SHA,
-         PSK-AES256-CBC-SHA
-
-     New functions:
-         SSL_CTX_use_psk_identity_hint
-         SSL_get_psk_identity_hint
-         SSL_get_psk_identity
-         SSL_use_psk_identity_hint
-
-     [Mika Kousa and Pasi Eronen of Nokia Corporation]
-
-  *) Add RFC 3161 compliant time stamp request creation, response generation
-     and response verification functionality.
-     [Zoltán Glózik <zglozik@opentsa.org>, The OpenTSA Project]
-
-  *) Add initial support for TLS extensions, specifically for the server_name
-     extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
-     have new members for a host name.  The SSL data structure has an
-     additional member SSL_CTX *initial_ctx so that new sessions can be
-     stored in that context to allow for session resumption, even after the
-     SSL has been switched to a new SSL_CTX in reaction to a client's
-     server_name extension.
-
-     New functions (subject to change):
-
-         SSL_get_servername()
-         SSL_get_servername_type()
-         SSL_set_SSL_CTX()
-
-     New CTRL codes and macros (subject to change):
-
-         SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
-                                 - SSL_CTX_set_tlsext_servername_callback()
-         SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
-                                      - SSL_CTX_set_tlsext_servername_arg()
-         SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
-
-     openssl s_client has a new '-servername ...' option.
-
-     openssl s_server has new options '-servername_host ...', '-cert2 ...',
-     '-key2 ...', '-servername_fatal' (subject to change).  This allows
-     testing the HostName extension for a specific single host name ('-cert'
-     and '-key' remain fallbacks for handshakes without HostName
-     negotiation).  If the unrecognized_name alert has to be sent, this by
-     default is a warning; it becomes fatal with the '-servername_fatal'
-     option.
-
-     [Peter Sylvester,  Remy Allais, Christophe Renou]
-
-  *) Whirlpool hash implementation is added.
-     [Andy Polyakov]
-
-  *) BIGNUM code on 64-bit SPARCv9 targets is switched from bn(64,64) to
-     bn(64,32). Because of instruction set limitations it doesn't have
-     any negative impact on performance. This was done mostly in order
-     to make it possible to share assembler modules, such as bn_mul_mont
-     implementations, between 32- and 64-bit builds without hassle.
-     [Andy Polyakov]
-
-  *) Move code previously exiled into file crypto/ec/ec2_smpt.c
-     to ec2_smpl.c, and no longer require the OPENSSL_EC_BIN_PT_COMP
-     macro.
-     [Bodo Moeller]
-
-  *) New candidate for BIGNUM assembler implementation, bn_mul_mont,
-     dedicated Montgomery multiplication procedure, is introduced.
-     BN_MONT_CTX is modified to allow bn_mul_mont to reach for higher
-     "64-bit" performance on certain 32-bit targets.
-     [Andy Polyakov]
-
-  *) New option SSL_OP_NO_COMP to disable use of compression selectively
-     in SSL structures. New SSL ctrl to set maximum send fragment size.
-     Save memory by setting the I/O buffer sizes dynamically instead of
-     using the maximum available value.
-     [Steve Henson]
-
-  *) New option -V for 'openssl ciphers'. This prints the ciphersuite code
-     in addition to the text details.
-     [Bodo Moeller]
-
-  *) Very, very preliminary EXPERIMENTAL support for printing of general
-     ASN1 structures. This currently produces rather ugly output and doesn't
-     handle several customised structures at all.
-     [Steve Henson]
-
-  *) Integrated support for PVK file format and some related formats such
-     as MS PUBLICKEYBLOB and PRIVATEKEYBLOB. Command line switches to support
-     these in the 'rsa' and 'dsa' utilities.
-     [Steve Henson]
-
-  *) Support for PKCS#1 RSAPublicKey format on rsa utility command line.
-     [Steve Henson]
-
-  *) Remove the ancient ASN1_METHOD code. This was only ever used in one
-     place for the (very old) "NETSCAPE" format certificates which are now
-     handled using new ASN1 code equivalents.
-     [Steve Henson]
-
-  *) Let the TLSv1_method() etc. functions return a 'const' SSL_METHOD
-     pointer and make the SSL_METHOD parameter in SSL_CTX_new,
-     SSL_CTX_set_ssl_version and SSL_set_ssl_method 'const'.
-     [Nils Larsch]
-
-  *) Modify CRL distribution points extension code to print out previously
-     unsupported fields. Enhance extension setting code to allow setting of
-     all fields.
-     [Steve Henson]
-
-  *) Add print and set support for Issuing Distribution Point CRL extension.
-     [Steve Henson]
-
-  *) Change 'Configure' script to enable Camellia by default.
-     [NTT]
-
- Changes between 0.9.8m and 0.9.8n [24 Mar 2010]
-
-  *) When rejecting SSL/TLS records due to an incorrect version number, never
-     update s->server with a new major version number.  As of
-     - OpenSSL 0.9.8m if 'short' is a 16-bit type,
-     - OpenSSL 0.9.8f if 'short' is longer than 16 bits,
-     the previous behavior could result in a read attempt at NULL when
-     receiving specific incorrect SSL/TLS records once record payload
-     protection is active.  (CVE-2010-0740)
-     [Bodo Moeller, Adam Langley <agl@chromium.org>]
-
-  *) Fix for CVE-2010-0433 where some kerberos enabled versions of OpenSSL
-     could be crashed if the relevant tables were not present (e.g. chrooted).
-     [Tomas Hoger <thoger@redhat.com>]
-
- Changes between 0.9.8l and 0.9.8m [25 Feb 2010]
-
-  *) Always check bn_wexpand() return values for failure.  (CVE-2009-3245)
-     [Martin Olsson, Neel Mehta]
-
-  *) Fix X509_STORE locking: Every 'objs' access requires a lock (to
-     accommodate for stack sorting, always a write lock!).
-     [Bodo Moeller]
-
-  *) On some versions of WIN32 Heap32Next is very slow. This can cause
-     excessive delays in the RAND_poll(): over a minute. As a workaround
-     include a time check in the inner Heap32Next loop too.
-     [Steve Henson]
-
-  *) The code that handled flushing of data in SSL/TLS originally used the
-     BIO_CTRL_INFO ctrl to see if any data was pending first. This caused
-     the problem outlined in PR#1949. The fix suggested there however can
-     trigger problems with buggy BIO_CTRL_WPENDING (e.g. some versions
-     of Apache). So instead simplify the code to flush unconditionally.
-     This should be fine since flushing with no data to flush is a no op.
-     [Steve Henson]
-
-  *) Handle TLS versions 2.0 and later properly and correctly use the
-     highest version of TLS/SSL supported. Although TLS >= 2.0 is some way
-     off ancient servers have a habit of sticking around for a while...
-     [Steve Henson]
-
-  *) Modify compression code so it frees up structures without using the
-     ex_data callbacks. This works around a problem where some applications
-     call CRYPTO_cleanup_all_ex_data() before application exit (e.g. when
-     restarting) then use compression (e.g. SSL with compression) later.
-     This results in significant per-connection memory leaks and
-     has caused some security issues including CVE-2008-1678 and
-     CVE-2009-4355.
-     [Steve Henson]
-
-  *) Constify crypto/cast (i.e., <openssl/cast.h>): a CAST_KEY doesn't
-     change when encrypting or decrypting.
-     [Bodo Moeller]
-
-  *) Add option SSL_OP_LEGACY_SERVER_CONNECT which will allow clients to
-     connect and renegotiate with servers which do not support RI.
-     Until RI is more widely deployed this option is enabled by default.
-     [Steve Henson]
-
-  *) Add "missing" ssl ctrls to clear options and mode.
-     [Steve Henson]
-
-  *) If client attempts to renegotiate and doesn't support RI respond with
-     a no_renegotiation alert as required by RFC5746.  Some renegotiating
-     TLS clients will continue a connection gracefully when they receive
-     the alert. Unfortunately OpenSSL mishandled this alert and would hang
-     waiting for a server hello which it will never receive. Now we treat a
-     received no_renegotiation alert as a fatal error. This is because
-     applications requesting a renegotiation might well expect it to succeed
-     and would have no code in place to handle the server denying it so the
-     only safe thing to do is to terminate the connection.
-     [Steve Henson]
-
-  *) Add ctrl macro SSL_get_secure_renegotiation_support() which returns 1 if
-     peer supports secure renegotiation and 0 otherwise. Print out peer
-     renegotiation support in s_client/s_server.
-     [Steve Henson]
-
-  *) Replace the highly broken and deprecated SPKAC certification method with
-     the updated NID creation version. This should correctly handle UTF8.
-     [Steve Henson]
-
-  *) Implement RFC5746. Re-enable renegotiation but require the extension
-     as needed. Unfortunately, SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
-     turns out to be a bad idea. It has been replaced by
-     SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION which can be set with
-     SSL_CTX_set_options(). This is really not recommended unless you
-     know what you are doing.
-     [Eric Rescorla <ekr@networkresonance.com>, Ben Laurie, Steve Henson]
-
-  *) Fixes to stateless session resumption handling. Use initial_ctx when
-     issuing and attempting to decrypt tickets in case it has changed during
-     servername handling. Use a non-zero length session ID when attempting
-     stateless session resumption: this makes it possible to determine if
-     a resumption has occurred immediately after receiving server hello
-     (several places in OpenSSL subtly assume this) instead of later in
-     the handshake.
-     [Steve Henson]
-
-  *) The functions ENGINE_ctrl(), OPENSSL_isservice(),
-     CMS_get1_RecipientRequest() and RAND_bytes() can return <=0 on error
-     fixes for a few places where the return code is not checked
-     correctly.
-     [Julia Lawall <julia@diku.dk>]
-
-  *) Add --strict-warnings option to Configure script to include devteam
-     warnings in other configurations.
-     [Steve Henson]
-
-  *) Add support for --libdir option and LIBDIR variable in makefiles. This
-     makes it possible to install openssl libraries in locations which
-     have names other than "lib", for example "/usr/lib64" which some
-     systems need.
-     [Steve Henson, based on patch from Jeremy Utley]
-
-  *) Don't allow the use of leading 0x80 in OIDs. This is a violation of
-     X690 8.9.12 and can produce some misleading textual output of OIDs.
-     [Steve Henson, reported by Dan Kaminsky]
-
-  *) Delete MD2 from algorithm tables. This follows the recommendation in
-     several standards that it is not used in new applications due to
-     several cryptographic weaknesses. For binary compatibility reasons
-     the MD2 API is still compiled in by default.
-     [Steve Henson]
-
-  *) Add compression id to {d2i,i2d}_SSL_SESSION so it is correctly saved
-     and restored.
-     [Steve Henson]
-
-  *) Rename uni2asc and asc2uni functions to OPENSSL_uni2asc and
-     OPENSSL_asc2uni conditionally on Netware platforms to avoid a name
-     clash.
-     [Guenter <lists@gknw.net>]
-
-  *) Fix the server certificate chain building code to use X509_verify_cert(),
-     it used to have an ad-hoc builder which was unable to cope with anything
-     other than a simple chain.
-     [David Woodhouse <dwmw2@infradead.org>, Steve Henson]
-
-  *) Don't check self signed certificate signatures in X509_verify_cert()
-     by default (a flag can override this): it just wastes time without
-     adding any security. As a useful side effect self signed root CAs
-     with non-FIPS digests are now usable in FIPS mode.
-     [Steve Henson]
-
-  *) In dtls1_process_out_of_seq_message() the check if the current message
-     is already buffered was missing. For every new message was memory
-     allocated, allowing an attacker to perform an denial of service attack
-     with sending out of seq handshake messages until there is no memory
-     left. Additionally every future message was buffered, even if the
-     sequence number made no sense and would be part of another handshake.
-     So only messages with sequence numbers less than 10 in advance will be
-     buffered.  (CVE-2009-1378)
-     [Robin Seggelmann, discovered by Daniel Mentz]
-
-  *) Records are buffered if they arrive with a future epoch to be
-     processed after finishing the corresponding handshake. There is
-     currently no limitation to this buffer allowing an attacker to perform
-     a DOS attack with sending records with future epochs until there is no
-     memory left. This patch adds the pqueue_size() function to determine
-     the size of a buffer and limits the record buffer to 100 entries.
-     (CVE-2009-1377)
-     [Robin Seggelmann, discovered by Daniel Mentz]
-
-  *) Keep a copy of frag->msg_header.frag_len so it can be used after the
-     parent structure is freed.  (CVE-2009-1379)
-     [Daniel Mentz]
-
-  *) Handle non-blocking I/O properly in SSL_shutdown() call.
-     [Darryl Miles <darryl-mailinglists@netbauds.net>]
-
-  *) Add 2.5.4.* OIDs
-     [Ilya O. <vrghost@gmail.com>]
-
- Changes between 0.9.8k and 0.9.8l  [5 Nov 2009]
-
-  *) Disable renegotiation completely - this fixes a severe security
-     problem (CVE-2009-3555) at the cost of breaking all
-     renegotiation. Renegotiation can be re-enabled by setting
-     SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION in s3->flags at
-     run-time. This is really not recommended unless you know what
-     you're doing.
-     [Ben Laurie]
-
- Changes between 0.9.8j and 0.9.8k  [25 Mar 2009]
-
-  *) Don't set val to NULL when freeing up structures, it is freed up by
-     underlying code. If sizeof(void *) > sizeof(long) this can result in
-     zeroing past the valid field. (CVE-2009-0789)
-     [Paolo Ganci <Paolo.Ganci@AdNovum.CH>]
-
-  *) Fix bug where return value of CMS_SignerInfo_verify_content() was not
-     checked correctly. This would allow some invalid signed attributes to
-     appear to verify correctly. (CVE-2009-0591)
-     [Ivan Nestlerode <inestlerode@us.ibm.com>]
-
-  *) Reject UniversalString and BMPString types with invalid lengths. This
-     prevents a crash in ASN1_STRING_print_ex() which assumes the strings have
-     a legal length. (CVE-2009-0590)
-     [Steve Henson]
-
-  *) Set S/MIME signing as the default purpose rather than setting it
-     unconditionally. This allows applications to override it at the store
-     level.
-     [Steve Henson]
-
-  *) Permit restricted recursion of ASN1 strings. This is needed in practice
-     to handle some structures.
-     [Steve Henson]
-
-  *) Improve efficiency of mem_gets: don't search whole buffer each time
-     for a '\n'
-     [Jeremy Shapiro <jnshapir@us.ibm.com>]
+           $ make VF=1 test                           # Unix
+           $ mms /macro=(VF=1) test                   ! OpenVMS
+           $ nmake VF=1 test                          # Windows
 
-  *) New -hex option for openssl rand.
-     [Matthieu Herrb]
 
-  *) Print out UTF8String and NumericString when parsing ASN1.
-     [Steve Henson]
+   *Richard Levitte*
 
-  *) Support NumericString type for name components.
-     [Steve Henson]
+ * For built-in EC curves, ensure an EC_GROUP built from the curve name is
+   used even when parsing explicit parameters, when loading a serialized key
+   or calling `EC_GROUP_new_from_ecpkparameters()`/
+   `EC_GROUP_new_from_ecparameters()`.
+   This prevents bypass of security hardening and performance gains,
+   especially for curves with specialized EC_METHODs.
+   By default, if a key encoded with explicit parameters is loaded and later
+   serialized, the output is still encoded with explicit parameters, even if
+   internally a "named" EC_GROUP is used for computation.
 
-  *) Allow CC in the environment to override the automatically chosen
-     compiler. Note that nothing is done to ensure flags work with the
-     chosen compiler.
-     [Ben Laurie]
+   *Nicola Tuveri*
 
- Changes between 0.9.8i and 0.9.8j  [07 Jan 2009]
+ * Compute ECC cofactors if not provided during EC_GROUP construction. Before
+   this change, EC_GROUP_set_generator would accept order and/or cofactor as
+   NULL. After this change, only the cofactor parameter can be NULL. It also
+   does some minimal sanity checks on the passed order.
+   (CVE-2019-1547)
 
-  *) Properly check EVP_VerifyFinal() and similar return values
-     (CVE-2008-5077).
-     [Ben Laurie, Bodo Moeller, Google Security Team]
+   *Billy Bob Brumley*
 
-  *) Enable TLS extensions by default.
-     [Ben Laurie]
+ * Fixed a padding oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey.
+   An attack is simple, if the first CMS_recipientInfo is valid but the
+   second CMS_recipientInfo is chosen ciphertext. If the second
+   recipientInfo decodes to PKCS #1 v1.5 form plaintext, the correct
+   encryption key will be replaced by garbage, and the message cannot be
+   decoded, but if the RSA decryption fails, the correct encryption key is
+   used and the recipient will not notice the attack.
+   As a work around for this potential attack the length of the decrypted
+   key must be equal to the cipher default key length, in case the
+   certifiate is not given and all recipientInfo are tried out.
+   The old behaviour can be re-enabled in the CMS code by setting the
+   CMS_DEBUG_DECRYPT flag.
 
-  *) Allow the CHIL engine to be loaded, whether the application is
-     multithreaded or not. (This does not release the developer from the
-     obligation to set up the dynamic locking callbacks.)
-     [Sander Temme <sander@temme.net>]
+   *Bernd Edlinger*
 
-  *) Use correct exit code if there is an error in dgst command.
-     [Steve Henson; problem pointed out by Roland Dirlewanger]
+ * Early start up entropy quality from the DEVRANDOM seed source has been
+   improved for older Linux systems.  The RAND subsystem will wait for
+   /dev/random to be producing output before seeding from /dev/urandom.
+   The seeded state is stored for future library initialisations using
+   a system global shared memory segment.  The shared memory identifier
+   can be configured by defining OPENSSL_RAND_SEED_DEVRANDOM_SHM_ID to
+   the desired value.  The default identifier is 114.
 
-  *) Tweak Configure so that you need to say "experimental-jpake" to enable
-     JPAKE, and need to use -DOPENSSL_EXPERIMENTAL_JPAKE in applications.
-     [Bodo Moeller]
+   *Paul Dale*
 
-  *) Add experimental JPAKE support, including demo authentication in
-     s_client and s_server.
-     [Ben Laurie]
+ * Revised BN_generate_prime_ex to not avoid factors 2..17863 in p-1
+   when primes for RSA keys are computed.
+   Since we previously always generated primes == 2 (mod 3) for RSA keys,
+   the 2-prime and 3-prime RSA modules were easy to distinguish, since
+   N = p*q = 1 (mod 3), but N = p*q*r = 2 (mod 3). Therefore fingerprinting
+   2-prime vs. 3-prime RSA keys was possible by computing N mod 3.
+   This avoids possible fingerprinting of newly generated RSA modules.
 
-  *) Set the comparison function in v3_addr_canonize().
-     [Rob Austein <sra@hactrn.net>]
+   *Bernd Edlinger*
 
-  *) Add support for XMPP STARTTLS in s_client.
-     [Philip Paeps <philip@freebsd.org>]
+ * Correct the extended master secret constant on EBCDIC systems. Without this
+   fix TLS connections between an EBCDIC system and a non-EBCDIC system that
+   negotiate EMS will fail. Unfortunately this also means that TLS connections
+   between EBCDIC systems with this fix, and EBCDIC systems without this
+   fix will fail if they negotiate EMS.
 
-  *) Change the server-side SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG behavior
-     to ensure that even with this option, only ciphersuites in the
-     server's preference list will be accepted.  (Note that the option
-     applies only when resuming a session, so the earlier behavior was
-     just about the algorithm choice for symmetric cryptography.)
-     [Bodo Moeller]
+   *Matt Caswell*
 
- Changes between 0.9.8h and 0.9.8i  [15 Sep 2008]
+ * Changed the library initialisation so that the config file is now loaded
+   by default. This was already the case for libssl. It now occurs for both
+   libcrypto and libssl. Use the OPENSSL_INIT_NO_LOAD_CONFIG option to
+   OPENSSL_init_crypto() to suppress automatic loading of a config file.
 
-  *) Fix NULL pointer dereference if a DTLS server received
-     ChangeCipherSpec as first record (CVE-2009-1386).
-     [PR #1679]
+   *Matt Caswell*
 
-  *) Fix a state transition in s3_srvr.c and d1_srvr.c
-     (was using SSL3_ST_CW_CLNT_HELLO_B, should be ..._ST_SW_SRVR_...).
-     [Nagendra Modadugu]
+ * Introduced new error raising macros, ERR_raise() and ERR_raise_data(),
+   where the former acts as a replacement for ERR_put_error(), and the
+   latter replaces the combination ERR_put_error()+ERR_add_error_data().
+   ERR_raise_data() adds more flexibility by taking a format string and
+   an arbitrary number of arguments following it, to be processed with
+   BIO_snprintf().
 
-  *) The fix in 0.9.8c that supposedly got rid of unsafe
-     double-checked locking was incomplete for RSA blinding,
-     addressing just one layer of what turns out to have been
-     doubly unsafe triple-checked locking.
+   *Richard Levitte*
 
-     So now fix this for real by retiring the MONT_HELPER macro
-     in crypto/rsa/rsa_eay.c.
+ * Introduced a new function, OSSL_PROVIDER_available(), which can be used
+   to check if a named provider is loaded and available.  When called, it
+   will also activate all fallback providers if such are still present.
 
-     [Bodo Moeller; problem pointed out by Marius Schilder]
+   *Richard Levitte*
 
-  *) Various precautionary measures:
+ * Enforce a minimum DH modulus size of 512 bits.
 
-     - Avoid size_t integer overflow in HASH_UPDATE (md32_common.h).
+   *Bernd Edlinger*
 
-     - Avoid a buffer overflow in d2i_SSL_SESSION() (ssl_asn1.c).
-       (NB: This would require knowledge of the secret session ticket key
-       to exploit, in which case you'd be SOL either way.)
+ * Changed DH parameters to generate the order q subgroup instead of 2q.
+   Previously generated DH parameters are still accepted by DH_check
+   but DH_generate_key works around that by clearing bit 0 of the
+   private key for those. This avoids leaking bit 0 of the private key.
 
-     - Change bn_nist.c so that it will properly handle input BIGNUMs
-       outside the expected range.
+   *Bernd Edlinger*
 
-     - Enforce the 'num' check in BN_div() (bn_div.c) for non-BN_DEBUG
-       builds.
+ * Significantly reduce secure memory usage by the randomness pools.
 
-     [Neel Mehta, Bodo Moeller]
+   *Paul Dale*
 
-  *) Allow engines to be "soft loaded" - i.e. optionally don't die if
-     the load fails. Useful for distros.
-     [Ben Laurie and the FreeBSD team]
+ * {CRYPTO,OPENSSL}_mem_debug_{push,pop} are now no-ops and have been
+   deprecated.
 
-  *) Add support for Local Machine Keyset attribute in PKCS#12 files.
-     [Steve Henson]
+   *Rich Salz*
 
-  *) Fix BN_GF2m_mod_arr() top-bit cleanup code.
-     [Huang Ying]
+ * A new type, EVP_KEYEXCH, has been introduced to represent key exchange
+   algorithms. An implementation of a key exchange algorithm can be obtained
+   by using the function EVP_KEYEXCH_fetch(). An EVP_KEYEXCH algorithm can be
+   used in a call to EVP_PKEY_derive_init_ex() which works in a similar way to
+   the older EVP_PKEY_derive_init() function. See the man pages for the new
+   functions for further details.
 
-  *) Expand ENGINE to support engine supplied SSL client certificate functions.
+   *Matt Caswell*
 
-     This work was sponsored by Logica.
-     [Steve Henson]
+ * The EVP_PKEY_CTX_set_dh_pad() macro has now been converted to a function.
 
-  *) Add CryptoAPI ENGINE to support use of RSA and DSA keys held in Windows
-     keystores. Support for SSL/TLS client authentication too.
-     Not compiled unless enable-capieng specified to Configure.
+   *Matt Caswell*
 
-     This work was sponsored by Logica.
-     [Steve Henson]
+ * Removed the function names from error messages and deprecated the
+   xxx_F_xxx define's.
 
-  *) Fix bug in X509_ATTRIBUTE creation: don't set attribute using
-     ASN1_TYPE_set1 if MBSTRING flag set. This bug would crash certain
-     attribute creation routines such as certificate requests and PKCS#12
-     files.
-     [Steve Henson]
+ * Removed NextStep support and the macro OPENSSL_UNISTD
 
- Changes between 0.9.8g and 0.9.8h  [28 May 2008]
+   *Rich Salz*
 
-  *) Fix flaw if 'Server Key exchange message' is omitted from a TLS
-     handshake which could lead to a client crash as found using the
-     Codenomicon TLS test suite (CVE-2008-1672)
-     [Steve Henson, Mark Cox]
+ * Removed DES_check_key.  Also removed OPENSSL_IMPLEMENT_GLOBAL,
+   OPENSSL_GLOBAL_REF, OPENSSL_DECLARE_GLOBAL.
+   Also removed "export var as function" capability; we do not export
+   variables, only functions.
 
-  *) Fix double free in TLS server name extensions which could lead to
-     a remote crash found by Codenomicon TLS test suite (CVE-2008-0891)
-     [Joe Orton]
+   *Rich Salz*
 
-  *) Clear error queue in SSL_CTX_use_certificate_chain_file()
+ * RC5_32_set_key has been changed to return an int type, with 0 indicating
+   an error and 1 indicating success. In previous versions of OpenSSL this
+   was a void type. If a key was set longer than the maximum possible this
+   would crash.
 
-     Clear the error queue to ensure that error entries left from
-     older function calls do not interfere with the correct operation.
-     [Lutz Jaenicke, Erik de Castro Lopo]
+   *Matt Caswell*
 
-  *) Remove root CA certificates of commercial CAs:
+ * Support SM2 signing and verification schemes with X509 certificate.
 
-     The OpenSSL project does not recommend any specific CA and does not
-     have any policy with respect to including or excluding any CA.
-     Therefore it does not make any sense to ship an arbitrary selection
-     of root CA certificates with the OpenSSL software.
-     [Lutz Jaenicke]
-
-  *) RSA OAEP patches to fix two separate invalid memory reads.
-     The first one involves inputs when 'lzero' is greater than
-     'SHA_DIGEST_LENGTH' (it would read about SHA_DIGEST_LENGTH bytes
-     before the beginning of from). The second one involves inputs where
-     the 'db' section contains nothing but zeroes (there is a one-byte
-     invalid read after the end of 'db').
-     [Ivan Nestlerode <inestlerode@us.ibm.com>]
-
-  *) Partial backport from 0.9.9-dev:
-
-     Introduce bn_mul_mont (dedicated Montgomery multiplication
-     procedure) as a candidate for BIGNUM assembler implementation.
-     While 0.9.9-dev uses assembler for various architectures, only
-     x86_64 is available by default here in the 0.9.8 branch, and
-     32-bit x86 is available through a compile-time setting.
-
-     To try the 32-bit x86 assembler implementation, use Configure
-     option "enable-montasm" (which exists only for this backport).
-
-     As "enable-montasm" for 32-bit x86 disclaims code stability
-     anyway, in this constellation we activate additional code
-     backported from 0.9.9-dev for further performance improvements,
-     namely BN_from_montgomery_word.  (To enable this otherwise,
-     e.g. x86_64, try "-DMONT_FROM_WORD___NON_DEFAULT_0_9_8_BUILD".)
-
-     [Andy Polyakov (backport partially by Bodo Moeller)]
-
-  *) Add TLS session ticket callback. This allows an application to set
-     TLS ticket cipher and HMAC keys rather than relying on hardcoded fixed
-     values. This is useful for key rollover for example where several key
-     sets may exist with different names.
-     [Steve Henson]
-
-  *) Reverse ENGINE-internal logic for caching default ENGINE handles.
-     This was broken until now in 0.9.8 releases, such that the only way
-     a registered ENGINE could be used (assuming it initialises
-     successfully on the host) was to explicitly set it as the default
-     for the relevant algorithms. This is in contradiction with 0.9.7
-     behaviour and the documentation. With this fix, when an ENGINE is
-     registered into a given algorithm's table of implementations, the
-     'uptodate' flag is reset so that auto-discovery will be used next
-     time a new context for that algorithm attempts to select an
-     implementation.
-     [Ian Lister (tweaked by Geoff Thorpe)]
-
-  *) Backport of CMS code to OpenSSL 0.9.8. This differs from the 0.9.9
-     implementation in the following ways:
-
-     Lack of EVP_PKEY_ASN1_METHOD means algorithm parameters have to be
-     hard coded.
-
-     Lack of BER streaming support means one pass streaming processing is
-     only supported if data is detached: setting the streaming flag is
-     ignored for embedded content.
-
-     CMS support is disabled by default and must be explicitly enabled
-     with the enable-cms configuration option.
-     [Steve Henson]
-
-  *) Update the GMP engine glue to do direct copies between BIGNUM and
-     mpz_t when openssl and GMP use the same limb size. Otherwise the
-     existing "conversion via a text string export" trick is still used.
-     [Paul Sheer <paulsheer@gmail.com>]
-
-  *) Zlib compression BIO. This is a filter BIO which compressed and
-     uncompresses any data passed through it.
-     [Steve Henson]
-
-  *) Add AES_wrap_key() and AES_unwrap_key() functions to implement
-     RFC3394 compatible AES key wrapping.
-     [Steve Henson]
-
-  *) Add utility functions to handle ASN1 structures. ASN1_STRING_set0():
-     sets string data without copying. X509_ALGOR_set0() and
-     X509_ALGOR_get0(): set and retrieve X509_ALGOR (AlgorithmIdentifier)
-     data. Attribute function X509at_get0_data_by_OBJ(): retrieves data
-     from an X509_ATTRIBUTE structure optionally checking it occurs only
-     once. ASN1_TYPE_set1(): set and ASN1_TYPE structure copying supplied
-     data.
-     [Steve Henson]
-
-  *) Fix BN flag handling in RSA_eay_mod_exp() and BN_MONT_CTX_set()
-     to get the expected BN_FLG_CONSTTIME behavior.
-     [Bodo Moeller (Google)]
-
-  *) Netware support:
-
-     - fixed wrong usage of ioctlsocket() when build for LIBC BSD sockets
-     - fixed do_tests.pl to run the test suite with CLIB builds too (CLIB_OPT)
-     - added some more tests to do_tests.pl
-     - fixed RunningProcess usage so that it works with newer LIBC NDKs too
-     - removed usage of BN_LLONG for CLIB builds to avoid runtime dependency
-     - added new Configure targets netware-clib-bsdsock, netware-clib-gcc,
-       netware-clib-bsdsock-gcc, netware-libc-bsdsock-gcc
-     - various changes to netware.pl to enable gcc-cross builds on Win32
-       platform
-     - changed crypto/bio/b_sock.c to work with macro functions (CLIB BSD)
-     - various changes to fix missing prototype warnings
-     - fixed x86nasm.pl to create correct asm files for NASM COFF output
-     - added AES, WHIRLPOOL and CPUID assembler code to build files
-     - added missing AES assembler make rules to mk1mf.pl
-     - fixed order of includes in apps/ocsp.c so that e_os.h settings apply
-     [Guenter Knauf <eflash@gmx.net>]
-
-  *) Implement certificate status request TLS extension defined in RFC3546.
-     A client can set the appropriate parameters and receive the encoded
-     OCSP response via a callback. A server can query the supplied parameters
-     and set the encoded OCSP response in the callback. Add simplified examples
-     to s_client and s_server.
-     [Steve Henson]
-
- Changes between 0.9.8f and 0.9.8g  [19 Oct 2007]
-
-  *) Fix various bugs:
-     + Binary incompatibility of ssl_ctx_st structure
-     + DTLS interoperation with non-compliant servers
-     + Don't call get_session_cb() without proposed session
-     + Fix ia64 assembler code
-     [Andy Polyakov, Steve Henson]
-
- Changes between 0.9.8e and 0.9.8f  [11 Oct 2007]
-
-  *) DTLS Handshake overhaul. There were longstanding issues with
-     OpenSSL DTLS implementation, which were making it impossible for
-     RFC 4347 compliant client to communicate with OpenSSL server.
-     Unfortunately just fixing these incompatibilities would "cut off"
-     pre-0.9.8f clients. To allow for hassle free upgrade post-0.9.8e
-     server keeps tolerating non RFC compliant syntax. The opposite is
-     not true, 0.9.8f client can not communicate with earlier server.
-     This update even addresses CVE-2007-4995.
-     [Andy Polyakov]
-
-  *) Changes to avoid need for function casts in OpenSSL: some compilers
-     (gcc 4.2 and later) reject their use.
-     [Kurt Roeckx <kurt@roeckx.be>, Peter Hartley <pdh@utter.chaos.org.uk>,
-      Steve Henson]
-
-  *) Add RFC4507 support to OpenSSL. This includes the corrections in
-     RFC4507bis. The encrypted ticket format is an encrypted encoded
-     SSL_SESSION structure, that way new session features are automatically
-     supported.
-
-     If a client application caches session in an SSL_SESSION structure
-     support is transparent because tickets are now stored in the encoded
-     SSL_SESSION.
-
-     The SSL_CTX structure automatically generates keys for ticket
-     protection in servers so again support should be possible
-     with no application modification.
-
-     If a client or server wishes to disable RFC4507 support then the option
-     SSL_OP_NO_TICKET can be set.
-
-     Add a TLS extension debugging callback to allow the contents of any client
-     or server extensions to be examined.
-
-     This work was sponsored by Google.
-     [Steve Henson]
-
-  *) Add initial support for TLS extensions, specifically for the server_name
-     extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
-     have new members for a host name.  The SSL data structure has an
-     additional member SSL_CTX *initial_ctx so that new sessions can be
-     stored in that context to allow for session resumption, even after the
-     SSL has been switched to a new SSL_CTX in reaction to a client's
-     server_name extension.
-
-     New functions (subject to change):
-
-         SSL_get_servername()
-         SSL_get_servername_type()
-         SSL_set_SSL_CTX()
-
-     New CTRL codes and macros (subject to change):
-
-         SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
-                                 - SSL_CTX_set_tlsext_servername_callback()
-         SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
-                                      - SSL_CTX_set_tlsext_servername_arg()
-         SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
-
-     openssl s_client has a new '-servername ...' option.
-
-     openssl s_server has new options '-servername_host ...', '-cert2 ...',
-     '-key2 ...', '-servername_fatal' (subject to change).  This allows
-     testing the HostName extension for a specific single host name ('-cert'
-     and '-key' remain fallbacks for handshakes without HostName
-     negotiation).  If the unrecognized_name alert has to be sent, this by
-     default is a warning; it becomes fatal with the '-servername_fatal'
-     option.
-
-     [Peter Sylvester,  Remy Allais, Christophe Renou, Steve Henson]
-
-  *) Add AES and SSE2 assembly language support to VC++ build.
-     [Steve Henson]
-
-  *) Mitigate attack on final subtraction in Montgomery reduction.
-     [Andy Polyakov]
-
-  *) Fix crypto/ec/ec_mult.c to work properly with scalars of value 0
-     (which previously caused an internal error).
-     [Bodo Moeller]
-
-  *) Squeeze another 10% out of IGE mode when in != out.
-     [Ben Laurie]
-
-  *) AES IGE mode speedup.
-     [Dean Gaudet (Google)]
-
-  *) Add the Korean symmetric 128-bit cipher SEED (see
-     http://www.kisa.or.kr/kisa/seed/jsp/seed_eng.jsp) and
-     add SEED ciphersuites from RFC 4162:
-
-        TLS_RSA_WITH_SEED_CBC_SHA      =  "SEED-SHA"
-        TLS_DHE_DSS_WITH_SEED_CBC_SHA  =  "DHE-DSS-SEED-SHA"
-        TLS_DHE_RSA_WITH_SEED_CBC_SHA  =  "DHE-RSA-SEED-SHA"
-        TLS_DH_anon_WITH_SEED_CBC_SHA  =  "ADH-SEED-SHA"
-
-     To minimize changes between patchlevels in the OpenSSL 0.9.8
-     series, SEED remains excluded from compilation unless OpenSSL
-     is configured with 'enable-seed'.
-     [KISA, Bodo Moeller]
-
-  *) Mitigate branch prediction attacks, which can be practical if a
-     single processor is shared, allowing a spy process to extract
-     information.  For detailed background information, see
-     http://eprint.iacr.org/2007/039 (O. Aciicmez, S. Gueron,
-     J.-P. Seifert, "New Branch Prediction Vulnerabilities in OpenSSL
-     and Necessary Software Countermeasures").  The core of the change
-     are new versions BN_div_no_branch() and
-     BN_mod_inverse_no_branch() of BN_div() and BN_mod_inverse(),
-     respectively, which are slower, but avoid the security-relevant
-     conditional branches.  These are automatically called by BN_div()
-     and BN_mod_inverse() if the flag BN_FLG_CONSTTIME is set for one
-     of the input BIGNUMs.  Also, BN_is_bit_set() has been changed to
-     remove a conditional branch.
-
-     BN_FLG_CONSTTIME is the new name for the previous
-     BN_FLG_EXP_CONSTTIME flag, since it now affects more than just
-     modular exponentiation.  (Since OpenSSL 0.9.7h, setting this flag
-     in the exponent causes BN_mod_exp_mont() to use the alternative
-     implementation in BN_mod_exp_mont_consttime().)  The old name
-     remains as a deprecated alias.
-
-     Similarly, RSA_FLAG_NO_EXP_CONSTTIME is replaced by a more general
-     RSA_FLAG_NO_CONSTTIME flag since the RSA implementation now uses
-     constant-time implementations for more than just exponentiation.
-     Here too the old name is kept as a deprecated alias.
-
-     BN_BLINDING_new() will now use BN_dup() for the modulus so that
-     the BN_BLINDING structure gets an independent copy of the
-     modulus.  This means that the previous "BIGNUM *m" argument to
-     BN_BLINDING_new() and to BN_BLINDING_create_param() now
-     essentially becomes "const BIGNUM *m", although we can't actually
-     change this in the header file before 0.9.9.  It allows
-     RSA_setup_blinding() to use BN_with_flags() on the modulus to
-     enable BN_FLG_CONSTTIME.
-
-     [Matthew D Wood (Intel Corp)]
-
-  *) In the SSL/TLS server implementation, be strict about session ID
-     context matching (which matters if an application uses a single
-     external cache for different purposes).  Previously,
-     out-of-context reuse was forbidden only if SSL_VERIFY_PEER was
-     set.  This did ensure strict client verification, but meant that,
-     with applications using a single external cache for quite
-     different requirements, clients could circumvent ciphersuite
-     restrictions for a given session ID context by starting a session
-     in a different context.
-     [Bodo Moeller]
-
-  *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
-     a ciphersuite string such as "DEFAULT:RSA" cannot enable
-     authentication-only ciphersuites.
-     [Bodo Moeller]
-
-  *) Update the SSL_get_shared_ciphers() fix CVE-2006-3738 which was
-     not complete and could lead to a possible single byte overflow
-     (CVE-2007-5135) [Ben Laurie]
-
- Changes between 0.9.8d and 0.9.8e  [23 Feb 2007]
-
-  *) Since AES128 and AES256 (and similarly Camellia128 and
-     Camellia256) share a single mask bit in the logic of
-     ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
-     kludge to work properly if AES128 is available and AES256 isn't
-     (or if Camellia128 is available and Camellia256 isn't).
-     [Victor Duchovni]
-
-  *) Fix the BIT STRING encoding generated by crypto/ec/ec_asn1.c
-     (within i2d_ECPrivateKey, i2d_ECPKParameters, i2d_ECParameters):
-     When a point or a seed is encoded in a BIT STRING, we need to
-     prevent the removal of trailing zero bits to get the proper DER
-     encoding.  (By default, crypto/asn1/a_bitstr.c assumes the case
-     of a NamedBitList, for which trailing 0 bits need to be removed.)
-     [Bodo Moeller]
-
-  *) Have SSL/TLS server implementation tolerate "mismatched" record
-     protocol version while receiving ClientHello even if the
-     ClientHello is fragmented.  (The server can't insist on the
-     particular protocol version it has chosen before the ServerHello
-     message has informed the client about his choice.)
-     [Bodo Moeller]
-
-  *) Add RFC 3779 support.
-     [Rob Austein for ARIN, Ben Laurie]
-
-  *) Load error codes if they are not already present instead of using a
-     static variable. This allows them to be cleanly unloaded and reloaded.
-     Improve header file function name parsing.
-     [Steve Henson]
-
-  *) extend SMTP and IMAP protocol emulation in s_client to use EHLO
-     or CAPABILITY handshake as required by RFCs.
-     [Goetz Babin-Ebell]
-
- Changes between 0.9.8c and 0.9.8d  [28 Sep 2006]
-
-  *) Introduce limits to prevent malicious keys being able to
-     cause a denial of service.  (CVE-2006-2940)
-     [Steve Henson, Bodo Moeller]
-
-  *) Fix ASN.1 parsing of certain invalid structures that can result
-     in a denial of service.  (CVE-2006-2937)  [Steve Henson]
-
-  *) Fix buffer overflow in SSL_get_shared_ciphers() function.
-     (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
-
-  *) Fix SSL client code which could crash if connecting to a
-     malicious SSLv2 server.  (CVE-2006-4343)
-     [Tavis Ormandy and Will Drewry, Google Security Team]
-
-  *) Since 0.9.8b, ciphersuite strings naming explicit ciphersuites
-     match only those.  Before that, "AES256-SHA" would be interpreted
-     as a pattern and match "AES128-SHA" too (since AES128-SHA got
-     the same strength classification in 0.9.7h) as we currently only
-     have a single AES bit in the ciphersuite description bitmap.
-     That change, however, also applied to ciphersuite strings such as
-     "RC4-MD5" that intentionally matched multiple ciphersuites --
-     namely, SSL 2.0 ciphersuites in addition to the more common ones
-     from SSL 3.0/TLS 1.0.
-
-     So we change the selection algorithm again: Naming an explicit
-     ciphersuite selects this one ciphersuite, and any other similar
-     ciphersuite (same bitmap) from *other* protocol versions.
-     Thus, "RC4-MD5" again will properly select both the SSL 2.0
-     ciphersuite and the SSL 3.0/TLS 1.0 ciphersuite.
-
-     Since SSL 2.0 does not have any ciphersuites for which the
-     128/256 bit distinction would be relevant, this works for now.
-     The proper fix will be to use different bits for AES128 and
-     AES256, which would have avoided the problems from the beginning;
-     however, bits are scarce, so we can only do this in a new release
-     (not just a patchlevel) when we can change the SSL_CIPHER
-     definition to split the single 'unsigned long mask' bitmap into
-     multiple values to extend the available space.
-
-     [Bodo Moeller]
-
- Changes between 0.9.8b and 0.9.8c  [05 Sep 2006]
-
-  *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
-     (CVE-2006-4339)  [Ben Laurie and Google Security Team]
-
-  *) Add AES IGE and biIGE modes.
-     [Ben Laurie]
-
-  *) Change the Unix randomness entropy gathering to use poll() when
-     possible instead of select(), since the latter has some
-     undesirable limitations.
-     [Darryl Miles via Richard Levitte and Bodo Moeller]
-
-  *) Disable "ECCdraft" ciphersuites more thoroughly.  Now special
-     treatment in ssl/ssl_ciph.s makes sure that these ciphersuites
-     cannot be implicitly activated as part of, e.g., the "AES" alias.
-     However, please upgrade to OpenSSL 0.9.9[-dev] for
-     non-experimental use of the ECC ciphersuites to get TLS extension
-     support, which is required for curve and point format negotiation
-     to avoid potential handshake problems.
-     [Bodo Moeller]
-
-  *) Disable rogue ciphersuites:
-
-      - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
-      - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
-      - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
-
-     The latter two were purportedly from
-     draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
-     appear there.
-
-     Also deactivate the remaining ciphersuites from
-     draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
-     unofficial, and the ID has long expired.
-     [Bodo Moeller]
-
-  *) Fix RSA blinding Heisenbug (problems sometimes occurred on
-     dual-core machines) and other potential thread-safety issues.
-     [Bodo Moeller]
-
-  *) Add the symmetric cipher Camellia (128-bit, 192-bit, 256-bit key
-     versions), which is now available for royalty-free use
-     (see http://info.isl.ntt.co.jp/crypt/eng/info/chiteki.html).
-     Also, add Camellia TLS ciphersuites from RFC 4132.
-
-     To minimize changes between patchlevels in the OpenSSL 0.9.8
-     series, Camellia remains excluded from compilation unless OpenSSL
-     is configured with 'enable-camellia'.
-     [NTT]
-
-  *) Disable the padding bug check when compression is in use. The padding
-     bug check assumes the first packet is of even length, this is not
-     necessarily true if compression is enabled and can result in false
-     positives causing handshake failure. The actual bug test is ancient
-     code so it is hoped that implementations will either have fixed it by
-     now or any which still have the bug do not support compression.
-     [Steve Henson]
-
- Changes between 0.9.8a and 0.9.8b  [04 May 2006]
-
-  *) When applying a cipher rule check to see if string match is an explicit
-     cipher suite and only match that one cipher suite if it is.
-     [Steve Henson]
-
-  *) Link in manifests for VC++ if needed.
-     [Austin Ziegler <halostatue@gmail.com>]
-
-  *) Update support for ECC-based TLS ciphersuites according to
-     draft-ietf-tls-ecc-12.txt with proposed changes (but without
-     TLS extensions, which are supported starting with the 0.9.9
-     branch, not in the OpenSSL 0.9.8 branch).
-     [Douglas Stebila]
-
-  *) New functions EVP_CIPHER_CTX_new() and EVP_CIPHER_CTX_free() to support
-     opaque EVP_CIPHER_CTX handling.
-     [Steve Henson]
-
-  *) Fixes and enhancements to zlib compression code. We now only use
-     "zlib1.dll" and use the default __cdecl calling convention on Win32
-     to conform with the standards mentioned here:
-           http://www.zlib.net/DLL_FAQ.txt
-     Static zlib linking now works on Windows and the new --with-zlib-include
-     --with-zlib-lib options to Configure can be used to supply the location
-     of the headers and library. Gracefully handle case where zlib library
-     can't be loaded.
-     [Steve Henson]
-
-  *) Several fixes and enhancements to the OID generation code. The old code
-     sometimes allowed invalid OIDs (1.X for X >= 40 for example), couldn't
-     handle numbers larger than ULONG_MAX, truncated printing and had a
-     non standard OBJ_obj2txt() behaviour.
-     [Steve Henson]
-
-  *) Add support for building of engines under engine/ as shared libraries
-     under VC++ build system.
-     [Steve Henson]
-
-  *) Corrected the numerous bugs in the Win32 path splitter in DSO.
-     Hopefully, we will not see any false combination of paths any more.
-     [Richard Levitte]
-
- Changes between 0.9.8 and 0.9.8a  [11 Oct 2005]
-
-  *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
-     (part of SSL_OP_ALL).  This option used to disable the
-     countermeasure against man-in-the-middle protocol-version
-     rollback in the SSL 2.0 server implementation, which is a bad
-     idea.  (CVE-2005-2969)
-
-     [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
-     for Information Security, National Institute of Advanced Industrial
-     Science and Technology [AIST], Japan)]
-
-  *) Add two function to clear and return the verify parameter flags.
-     [Steve Henson]
-
-  *) Keep cipherlists sorted in the source instead of sorting them at
-     runtime, thus removing the need for a lock.
-     [Nils Larsch]
-
-  *) Avoid some small subgroup attacks in Diffie-Hellman.
-     [Nick Mathewson and Ben Laurie]
-
-  *) Add functions for well-known primes.
-     [Nick Mathewson]
-
-  *) Extended Windows CE support.
-     [Satoshi Nakamura and Andy Polyakov]
-
-  *) Initialize SSL_METHOD structures at compile time instead of during
-     runtime, thus removing the need for a lock.
-     [Steve Henson]
-
-  *) Make PKCS7_decrypt() work even if no certificate is supplied by
-     attempting to decrypt each encrypted key in turn. Add support to
-     smime utility.
-     [Steve Henson]
-
- Changes between 0.9.7h and 0.9.8  [05 Jul 2005]
-
-  [NB: OpenSSL 0.9.7i and later 0.9.7 patch levels were released after
-  OpenSSL 0.9.8.]
-
-  *) Add libcrypto.pc and libssl.pc for those who feel they need them.
-     [Richard Levitte]
-
-  *) Change CA.sh and CA.pl so they don't bundle the CSR and the private
-     key into the same file any more.
-     [Richard Levitte]
-
-  *) Add initial support for Win64, both IA64 and AMD64/x64 flavors.
-     [Andy Polyakov]
-
-  *) Add -utf8 command line and config file option to 'ca'.
-     [Stefan <stf@udoma.org]
-
-  *) Removed the macro des_crypt(), as it seems to conflict with some
-     libraries.  Use DES_crypt().
-     [Richard Levitte]
-
-  *) Correct naming of the 'chil' and '4758cca' ENGINEs. This
-     involves renaming the source and generated shared-libs for
-     both. The engines will accept the corrected or legacy ids
-     ('ncipher' and '4758_cca' respectively) when binding. NB,
-     this only applies when building 'shared'.
-     [Corinna Vinschen <vinschen@redhat.com> and Geoff Thorpe]
-
-  *) Add attribute functions to EVP_PKEY structure. Modify
-     PKCS12_create() to recognize a CSP name attribute and
-     use it. Make -CSP option work again in pkcs12 utility.
-     [Steve Henson]
-
-  *) Add new functionality to the bn blinding code:
-     - automatic re-creation of the BN_BLINDING parameters after
-       a fixed number of uses (currently 32)
-     - add new function for parameter creation
-     - introduce flags to control the update behaviour of the
-       BN_BLINDING parameters
-     - hide BN_BLINDING structure
-     Add a second BN_BLINDING slot to the RSA structure to improve
-     performance when a single RSA object is shared among several
-     threads.
-     [Nils Larsch]
-
-  *) Add support for DTLS.
-     [Nagendra Modadugu <nagendra@cs.stanford.edu> and Ben Laurie]
-
-  *) Add support for DER encoded private keys (SSL_FILETYPE_ASN1)
-     to SSL_CTX_use_PrivateKey_file() and SSL_use_PrivateKey_file()
-     [Walter Goulet]
-
-  *) Remove buggy and incomplete DH cert support from
-     ssl/ssl_rsa.c and ssl/s3_both.c
-     [Nils Larsch]
-
-  *) Use SHA-1 instead of MD5 as the default digest algorithm for
-     the apps/openssl applications.
-     [Nils Larsch]
-
-  *) Compile clean with "-Wall -Wmissing-prototypes
-     -Wstrict-prototypes -Wmissing-declarations -Werror". Currently
-     DEBUG_SAFESTACK must also be set.
-     [Ben Laurie]
-
-  *) Change ./Configure so that certain algorithms can be disabled by default.
-     The new counterpiece to "no-xxx" is "enable-xxx".
-
-     The patented RC5 and MDC2 algorithms will now be disabled unless
-     "enable-rc5" and "enable-mdc2", respectively, are specified.
-
-     (IDEA remains enabled despite being patented.  This is because IDEA
-     is frequently required for interoperability, and there is no license
-     fee for non-commercial use.  As before, "no-idea" can be used to
-     avoid this algorithm.)
-
-     [Bodo Moeller]
-
-  *) Add processing of proxy certificates (see RFC 3820).  This work was
-     sponsored by KTH (The Royal Institute of Technology in Stockholm) and
-     EGEE (Enabling Grids for E-science in Europe).
-     [Richard Levitte]
-
-  *) RC4 performance overhaul on modern architectures/implementations, such
-     as Intel P4, IA-64 and AMD64.
-     [Andy Polyakov]
-
-  *) New utility extract-section.pl. This can be used specify an alternative
-     section number in a pod file instead of having to treat each file as
-     a separate case in Makefile. This can be done by adding two lines to the
-     pod file:
-
-     =for comment openssl_section:XXX
-
-     The blank line is mandatory.
-
-     [Steve Henson]
-
-  *) New arguments -certform, -keyform and -pass for s_client and s_server
-     to allow alternative format key and certificate files and passphrase
-     sources.
-     [Steve Henson]
-
-  *) New structure X509_VERIFY_PARAM which combines current verify parameters,
-     update associated structures and add various utility functions.
-
-     Add new policy related verify parameters, include policy checking in
-     standard verify code. Enhance 'smime' application with extra parameters
-     to support policy checking and print out.
-     [Steve Henson]
-
-  *) Add a new engine to support VIA PadLock ACE extensions in the VIA C3
-     Nehemiah processors. These extensions support AES encryption in hardware
-     as well as RNG (though RNG support is currently disabled).
-     [Michal Ludvig <michal@logix.cz>, with help from Andy Polyakov]
-
-  *) Deprecate BN_[get|set]_params() functions (they were ignored internally).
-     [Geoff Thorpe]
-
-  *) New FIPS 180-2 algorithms, SHA-224/-256/-384/-512 are implemented.
-     [Andy Polyakov and a number of other people]
-
-  *) Improved PowerPC platform support. Most notably BIGNUM assembler
-     implementation contributed by IBM.
-     [Suresh Chari, Peter Waltenberg, Andy Polyakov]
-
-  *) The new 'RSA_generate_key_ex' function now takes a BIGNUM for the public
-     exponent rather than 'unsigned long'. There is a corresponding change to
-     the new 'rsa_keygen' element of the RSA_METHOD structure.
-     [Jelte Jansen, Geoff Thorpe]
-
-  *) Functionality for creating the initial serial number file is now
-     moved from CA.pl to the 'ca' utility with a new option -create_serial.
-
-     (Before OpenSSL 0.9.7e, CA.pl used to initialize the serial
-     number file to 1, which is bound to cause problems.  To avoid
-     the problems while respecting compatibility between different 0.9.7
-     patchlevels, 0.9.7e  employed 'openssl x509 -next_serial' in
-     CA.pl for serial number initialization.  With the new release 0.9.8,
-     we can fix the problem directly in the 'ca' utility.)
-     [Steve Henson]
-
-  *) Reduced header interdependencies by declaring more opaque objects in
-     ossl_typ.h. As a consequence, including some headers (eg. engine.h) will
-     give fewer recursive includes, which could break lazy source code - so
-     this change is covered by the OPENSSL_NO_DEPRECATED symbol. As always,
-     developers should define this symbol when building and using openssl to
-     ensure they track the recommended behaviour, interfaces, [etc], but
-     backwards-compatible behaviour prevails when this isn't defined.
-     [Geoff Thorpe]
-
-  *) New function X509_POLICY_NODE_print() which prints out policy nodes.
-     [Steve Henson]
-
-  *) Add new EVP function EVP_CIPHER_CTX_rand_key and associated functionality.
-     This will generate a random key of the appropriate length based on the
-     cipher context. The EVP_CIPHER can provide its own random key generation
-     routine to support keys of a specific form. This is used in the des and
-     3des routines to generate a key of the correct parity. Update S/MIME
-     code to use new functions and hence generate correct parity DES keys.
-     Add EVP_CHECK_DES_KEY #define to return an error if the key is not
-     valid (weak or incorrect parity).
-     [Steve Henson]
-
-  *) Add a local set of CRLs that can be used by X509_verify_cert() as well
-     as looking them up. This is useful when the verified structure may contain
-     CRLs, for example PKCS#7 signedData. Modify PKCS7_verify() to use any CRLs
-     present unless the new PKCS7_NO_CRL flag is asserted.
-     [Steve Henson]
-
-  *) Extend ASN1 oid configuration module. It now additionally accepts the
-     syntax:
-
-     shortName = some long name, 1.2.3.4
-     [Steve Henson]
-
-  *) Reimplemented the BN_CTX implementation. There is now no more static
-     limitation on the number of variables it can handle nor the depth of the
-     "stack" handling for BN_CTX_start()/BN_CTX_end() pairs. The stack
-     information can now expand as required, and rather than having a single
-     static array of bignums, BN_CTX now uses a linked-list of such arrays
-     allowing it to expand on demand whilst maintaining the usefulness of
-     BN_CTX's "bundling".
-     [Geoff Thorpe]
-
-  *) Add a missing BN_CTX parameter to the 'rsa_mod_exp' callback in RSA_METHOD
-     to allow all RSA operations to function using a single BN_CTX.
-     [Geoff Thorpe]
-
-  *) Preliminary support for certificate policy evaluation and checking. This
-     is initially intended to pass the tests outlined in "Conformance Testing
-     of Relying Party Client Certificate Path Processing Logic" v1.07.
-     [Steve Henson]
-
-  *) bn_dup_expand() has been deprecated, it was introduced in 0.9.7 and
-     remained unused and not that useful. A variety of other little bignum
-     tweaks and fixes have also been made continuing on from the audit (see
-     below).
-     [Geoff Thorpe]
-
-  *) Constify all or almost all d2i, c2i, s2i and r2i functions, along with
-     associated ASN1, EVP and SSL functions and old ASN1 macros.
-     [Richard Levitte]
-
-  *) BN_zero() only needs to set 'top' and 'neg' to zero for correct results,
-     and this should never fail. So the return value from the use of
-     BN_set_word() (which can fail due to needless expansion) is now deprecated;
-     if OPENSSL_NO_DEPRECATED is defined, BN_zero() is a void macro.
-     [Geoff Thorpe]
-
-  *) BN_CTX_get() should return zero-valued bignums, providing the same
-     initialised value as BN_new().
-     [Geoff Thorpe, suggested by Ulf Möller]
-
-  *) Support for inhibitAnyPolicy certificate extension.
-     [Steve Henson]
-
-  *) An audit of the BIGNUM code is underway, for which debugging code is
-     enabled when BN_DEBUG is defined. This makes stricter enforcements on what
-     is considered valid when processing BIGNUMs, and causes execution to
-     assert() when a problem is discovered. If BN_DEBUG_RAND is defined,
-     further steps are taken to deliberately pollute unused data in BIGNUM
-     structures to try and expose faulty code further on. For now, openssl will
-     (in its default mode of operation) continue to tolerate the inconsistent
-     forms that it has tolerated in the past, but authors and packagers should
-     consider trying openssl and their own applications when compiled with
-     these debugging symbols defined. It will help highlight potential bugs in
-     their own code, and will improve the test coverage for OpenSSL itself. At
-     some point, these tighter rules will become openssl's default to improve
-     maintainability, though the assert()s and other overheads will remain only
-     in debugging configurations. See bn.h for more details.
-     [Geoff Thorpe, Nils Larsch, Ulf Möller]
-
-  *) BN_CTX_init() has been deprecated, as BN_CTX is an opaque structure
-     that can only be obtained through BN_CTX_new() (which implicitly
-     initialises it). The presence of this function only made it possible
-     to overwrite an existing structure (and cause memory leaks).
-     [Geoff Thorpe]
-
-  *) Because of the callback-based approach for implementing LHASH as a
-     template type, lh_insert() adds opaque objects to hash-tables and
-     lh_doall() or lh_doall_arg() are typically used with a destructor callback
-     to clean up those corresponding objects before destroying the hash table
-     (and losing the object pointers). So some over-zealous constifications in
-     LHASH have been relaxed so that lh_insert() does not take (nor store) the
-     objects as "const" and the lh_doall[_arg] callback wrappers are not
-     prototyped to have "const" restrictions on the object pointers they are
-     given (and so aren't required to cast them away any more).
-     [Geoff Thorpe]
-
-  *) The tmdiff.h API was so ugly and minimal that our own timing utility
-     (speed) prefers to use its own implementation. The two implementations
-     haven't been consolidated as yet (volunteers?) but the tmdiff API has had
-     its object type properly exposed (MS_TM) instead of casting to/from "char
-     *". This may still change yet if someone realises MS_TM and "ms_time_***"
-     aren't necessarily the greatest nomenclatures - but this is what was used
-     internally to the implementation so I've used that for now.
-     [Geoff Thorpe]
-
-  *) Ensure that deprecated functions do not get compiled when
-     OPENSSL_NO_DEPRECATED is defined. Some "openssl" subcommands and a few of
-     the self-tests were still using deprecated key-generation functions so
-     these have been updated also.
-     [Geoff Thorpe]
-
-  *) Reorganise PKCS#7 code to separate the digest location functionality
-     into PKCS7_find_digest(), digest addition into PKCS7_bio_add_digest().
-     New function PKCS7_set_digest() to set the digest type for PKCS#7
-     digestedData type. Add additional code to correctly generate the
-     digestedData type and add support for this type in PKCS7 initialization
-     functions.
-     [Steve Henson]
-
-  *) New function PKCS7_set0_type_other() this initializes a PKCS7
-     structure of type "other".
-     [Steve Henson]
-
-  *) Fix prime generation loop in crypto/bn/bn_prime.pl by making
-     sure the loop does correctly stop and breaking ("division by zero")
-     modulus operations are not performed. The (pre-generated) prime
-     table crypto/bn/bn_prime.h was already correct, but it could not be
-     re-generated on some platforms because of the "division by zero"
-     situation in the script.
-     [Ralf S. Engelschall]
-
-  *) Update support for ECC-based TLS ciphersuites according to
-     draft-ietf-tls-ecc-03.txt: the KDF1 key derivation function with
-     SHA-1 now is only used for "small" curves (where the
-     representation of a field element takes up to 24 bytes); for
-     larger curves, the field element resulting from ECDH is directly
-     used as premaster secret.
-     [Douglas Stebila (Sun Microsystems Laboratories)]
-
-  *) Add code for kP+lQ timings to crypto/ec/ectest.c, and add SEC2
-     curve secp160r1 to the tests.
-     [Douglas Stebila (Sun Microsystems Laboratories)]
-
-  *) Add the possibility to load symbols globally with DSO.
-     [Götz Babin-Ebell <babin-ebell@trustcenter.de> via Richard Levitte]
-
-  *) Add the functions ERR_set_mark() and ERR_pop_to_mark() for better
-     control of the error stack.
-     [Richard Levitte]
-
-  *) Add support for STORE in ENGINE.
-     [Richard Levitte]
-
-  *) Add the STORE type.  The intention is to provide a common interface
-     to certificate and key stores, be they simple file-based stores, or
-     HSM-type store, or LDAP stores, or...
-     NOTE: The code is currently UNTESTED and isn't really used anywhere.
-     [Richard Levitte]
-
-  *) Add a generic structure called OPENSSL_ITEM.  This can be used to
-     pass a list of arguments to any function as well as provide a way
-     for a function to pass data back to the caller.
-     [Richard Levitte]
-
-  *) Add the functions BUF_strndup() and BUF_memdup().  BUF_strndup()
-     works like BUF_strdup() but can be used to duplicate a portion of
-     a string.  The copy gets NUL-terminated.  BUF_memdup() duplicates
-     a memory area.
-     [Richard Levitte]
-
-  *) Add the function sk_find_ex() which works like sk_find(), but will
-     return an index to an element even if an exact match couldn't be
-     found.  The index is guaranteed to point at the element where the
-     searched-for key would be inserted to preserve sorting order.
-     [Richard Levitte]
-
-  *) Add the function OBJ_bsearch_ex() which works like OBJ_bsearch() but
-     takes an extra flags argument for optional functionality.  Currently,
-     the following flags are defined:
-
-        OBJ_BSEARCH_VALUE_ON_NOMATCH
-        This one gets OBJ_bsearch_ex() to return a pointer to the first
-        element where the comparing function returns a negative or zero
-        number.
-
-        OBJ_BSEARCH_FIRST_VALUE_ON_MATCH
-        This one gets OBJ_bsearch_ex() to return a pointer to the first
-        element where the comparing function returns zero.  This is useful
-        if there are more than one element where the comparing function
-        returns zero.
-     [Richard Levitte]
-
-  *) Make it possible to create self-signed certificates with 'openssl ca'
-     in such a way that the self-signed certificate becomes part of the
-     CA database and uses the same mechanisms for serial number generation
-     as all other certificate signing.  The new flag '-selfsign' enables
-     this functionality.  Adapt CA.sh and CA.pl.in.
-     [Richard Levitte]
-
-  *) Add functionality to check the public key of a certificate request
-     against a given private.  This is useful to check that a certificate
-     request can be signed by that key (self-signing).
-     [Richard Levitte]
-
-  *) Make it possible to have multiple active certificates with the same
-     subject in the CA index file.  This is done only if the keyword
-     'unique_subject' is set to 'no' in the main CA section (default
-     if 'CA_default') of the configuration file.  The value is saved
-     with the database itself in a separate index attribute file,
-     named like the index file with '.attr' appended to the name.
-     [Richard Levitte]
-
-  *) Generate multi-valued AVAs using '+' notation in config files for
-     req and dirName.
-     [Steve Henson]
-
-  *) Support for nameConstraints certificate extension.
-     [Steve Henson]
-
-  *) Support for policyConstraints certificate extension.
-     [Steve Henson]
-
-  *) Support for policyMappings certificate extension.
-     [Steve Henson]
-
-  *) Make sure the default DSA_METHOD implementation only uses its
-     dsa_mod_exp() and/or bn_mod_exp() handlers if they are non-NULL,
-     and change its own handlers to be NULL so as to remove unnecessary
-     indirection. This lets alternative implementations fallback to the
-     default implementation more easily.
-     [Geoff Thorpe]
-
-  *) Support for directoryName in GeneralName related extensions
-     in config files.
-     [Steve Henson]
-
-  *) Make it possible to link applications using Makefile.shared.
-     Make that possible even when linking against static libraries!
-     [Richard Levitte]
-
-  *) Support for single pass processing for S/MIME signing. This now
-     means that S/MIME signing can be done from a pipe, in addition
-     cleartext signing (multipart/signed type) is effectively streaming
-     and the signed data does not need to be all held in memory.
-
-     This is done with a new flag PKCS7_STREAM. When this flag is set
-     PKCS7_sign() only initializes the PKCS7 structure and the actual signing
-     is done after the data is output (and digests calculated) in
-     SMIME_write_PKCS7().
-     [Steve Henson]
-
-  *) Add full support for -rpath/-R, both in shared libraries and
-     applications, at least on the platforms where it's known how
-     to do it.
-     [Richard Levitte]
-
-  *) In crypto/ec/ec_mult.c, implement fast point multiplication with
-     precomputation, based on wNAF splitting: EC_GROUP_precompute_mult()
-     will now compute a table of multiples of the generator that
-     makes subsequent invocations of EC_POINTs_mul() or EC_POINT_mul()
-     faster (notably in the case of a single point multiplication,
-     scalar * generator).
-     [Nils Larsch, Bodo Moeller]
-
-  *) IPv6 support for certificate extensions. The various extensions
-     which use the IP:a.b.c.d can now take IPv6 addresses using the
-     formats of RFC1884 2.2 . IPv6 addresses are now also displayed
-     correctly.
-     [Steve Henson]
-
-  *) Added an ENGINE that implements RSA by performing private key
-     exponentiations with the GMP library. The conversions to and from
-     GMP's mpz_t format aren't optimised nor are any montgomery forms
-     cached, and on x86 it appears OpenSSL's own performance has caught up.
-     However there are likely to be other architectures where GMP could
-     provide a boost. This ENGINE is not built in by default, but it can be
-     specified at Configure time and should be accompanied by the necessary
-     linker additions, eg;
-         ./config -DOPENSSL_USE_GMP -lgmp
-     [Geoff Thorpe]
-
-  *) "openssl engine" will not display ENGINE/DSO load failure errors when
-     testing availability of engines with "-t" - the old behaviour is
-     produced by increasing the feature's verbosity with "-tt".
-     [Geoff Thorpe]
-
-  *) ECDSA routines: under certain error conditions uninitialized BN objects
-     could be freed. Solution: make sure initialization is performed early
-     enough. (Reported and fix supplied by Nils Larsch <nla@trustcenter.de>
-     via PR#459)
-     [Lutz Jaenicke]
-
-  *) Key-generation can now be implemented in RSA_METHOD, DSA_METHOD
-     and DH_METHOD (eg. by ENGINE implementations) to override the normal
-     software implementations. For DSA and DH, parameter generation can
-     also be overridden by providing the appropriate method callbacks.
-     [Geoff Thorpe]
-
-  *) Change the "progress" mechanism used in key-generation and
-     primality testing to functions that take a new BN_GENCB pointer in
-     place of callback/argument pairs. The new API functions have "_ex"
-     postfixes and the older functions are reimplemented as wrappers for
-     the new ones. The OPENSSL_NO_DEPRECATED symbol can be used to hide
-     declarations of the old functions to help (graceful) attempts to
-     migrate to the new functions. Also, the new key-generation API
-     functions operate on a caller-supplied key-structure and return
-     success/failure rather than returning a key or NULL - this is to
-     help make "keygen" another member function of RSA_METHOD etc.
-
-     Example for using the new callback interface:
-
-          int (*my_callback)(int a, int b, BN_GENCB *cb) = ...;
-          void *my_arg = ...;
-          BN_GENCB my_cb;
-
-          BN_GENCB_set(&my_cb, my_callback, my_arg);
-
-          return BN_is_prime_ex(some_bignum, BN_prime_checks, NULL, &cb);
-          /* For the meaning of a, b in calls to my_callback(), see the
-           * documentation of the function that calls the callback.
-           * cb will point to my_cb; my_arg can be retrieved as cb->arg.
-           * my_callback should return 1 if it wants BN_is_prime_ex()
-           * to continue, or 0 to stop.
-           */
-
-     [Geoff Thorpe]
-
-  *) Change the ZLIB compression method to be stateful, and make it
-     available to TLS with the number defined in
-     draft-ietf-tls-compression-04.txt.
-     [Richard Levitte]
-
-  *) Add the ASN.1 structures and functions for CertificatePair, which
-     is defined as follows (according to X.509_4thEditionDraftV6.pdf):
-
-     CertificatePair ::= SEQUENCE {
-        forward         [0]     Certificate OPTIONAL,
-        reverse         [1]     Certificate OPTIONAL,
-        -- at least one of the pair shall be present -- }
-
-     Also implement the PEM functions to read and write certificate
-     pairs, and defined the PEM tag as "CERTIFICATE PAIR".
-
-     This needed to be defined, mostly for the sake of the LDAP
-     attribute crossCertificatePair, but may prove useful elsewhere as
-     well.
-     [Richard Levitte]
-
-  *) Make it possible to inhibit symlinking of shared libraries in
-     Makefile.shared, for Cygwin's sake.
-     [Richard Levitte]
-
-  *) Extend the BIGNUM API by creating a function
-          void BN_set_negative(BIGNUM *a, int neg);
-     and a macro that behave like
-          int  BN_is_negative(const BIGNUM *a);
-
-     to avoid the need to access 'a->neg' directly in applications.
-     [Nils Larsch]
-
-  *) Implement fast modular reduction for pseudo-Mersenne primes
-     used in NIST curves (crypto/bn/bn_nist.c, crypto/ec/ecp_nist.c).
-     EC_GROUP_new_curve_GFp() will now automatically use this
-     if applicable.
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Add new lock type (CRYPTO_LOCK_BN).
-     [Bodo Moeller]
-
-  *) Change the ENGINE framework to automatically load engines
-     dynamically from specific directories unless they could be
-     found to already be built in or loaded.  Move all the
-     current engines except for the cryptodev one to a new
-     directory engines/.
-     The engines in engines/ are built as shared libraries if
-     the "shared" options was given to ./Configure or ./config.
-     Otherwise, they are inserted in libcrypto.a.
-     /usr/local/ssl/engines is the default directory for dynamic
-     engines, but that can be overridden at configure time through
-     the usual use of --prefix and/or --openssldir, and at run
-     time with the environment variable OPENSSL_ENGINES.
-     [Geoff Thorpe and Richard Levitte]
-
-  *) Add Makefile.shared, a helper makefile to build shared
-     libraries.  Adapt Makefile.org.
-     [Richard Levitte]
-
-  *) Add version info to Win32 DLLs.
-     [Peter 'Luna' Runestig" <peter@runestig.com>]
-
-  *) Add new 'medium level' PKCS#12 API. Certificates and keys
-     can be added using this API to created arbitrary PKCS#12
-     files while avoiding the low level API.
-
-     New options to PKCS12_create(), key or cert can be NULL and
-     will then be omitted from the output file. The encryption
-     algorithm NIDs can be set to -1 for no encryption, the mac
-     iteration count can be set to 0 to omit the mac.
-
-     Enhance pkcs12 utility by making the -nokeys and -nocerts
-     options work when creating a PKCS#12 file. New option -nomac
-     to omit the mac, NONE can be set for an encryption algorithm.
-     New code is modified to use the enhanced PKCS12_create()
-     instead of the low level API.
-     [Steve Henson]
-
-  *) Extend ASN1 encoder to support indefinite length constructed
-     encoding. This can output sequences tags and octet strings in
-     this form. Modify pk7_asn1.c to support indefinite length
-     encoding. This is experimental and needs additional code to
-     be useful, such as an ASN1 bio and some enhanced streaming
-     PKCS#7 code.
-
-     Extend template encode functionality so that tagging is passed
-     down to the template encoder.
-     [Steve Henson]
-
-  *) Let 'openssl req' fail if an argument to '-newkey' is not
-     recognized instead of using RSA as a default.
-     [Bodo Moeller]
-
-  *) Add support for ECC-based ciphersuites from draft-ietf-tls-ecc-01.txt.
-     As these are not official, they are not included in "ALL";
-     the "ECCdraft" ciphersuite group alias can be used to select them.
-     [Vipul Gupta and Sumit Gupta (Sun Microsystems Laboratories)]
-
-  *) Add ECDH engine support.
-     [Nils Gura and Douglas Stebila (Sun Microsystems Laboratories)]
-
-  *) Add ECDH in new directory crypto/ecdh/.
-     [Douglas Stebila (Sun Microsystems Laboratories)]
-
-  *) Let BN_rand_range() abort with an error after 100 iterations
-     without success (which indicates a broken PRNG).
-     [Bodo Moeller]
-
-  *) Change BN_mod_sqrt() so that it verifies that the input value
-     is really the square of the return value.  (Previously,
-     BN_mod_sqrt would show GIGO behaviour.)
-     [Bodo Moeller]
-
-  *) Add named elliptic curves over binary fields from X9.62, SECG,
-     and WAP/WTLS; add OIDs that were still missing.
-
-     [Sheueling Chang Shantz and Douglas Stebila
-     (Sun Microsystems Laboratories)]
-
-  *) Extend the EC library for elliptic curves over binary fields
-     (new files ec2_smpl.c, ec2_smpt.c, ec2_mult.c in crypto/ec/).
-     New EC_METHOD:
-
-          EC_GF2m_simple_method
-
-     New API functions:
-
-          EC_GROUP_new_curve_GF2m
-          EC_GROUP_set_curve_GF2m
-          EC_GROUP_get_curve_GF2m
-          EC_POINT_set_affine_coordinates_GF2m
-          EC_POINT_get_affine_coordinates_GF2m
-          EC_POINT_set_compressed_coordinates_GF2m
-
-     Point compression for binary fields is disabled by default for
-     patent reasons (compile with OPENSSL_EC_BIN_PT_COMP defined to
-     enable it).
-
-     As binary polynomials are represented as BIGNUMs, various members
-     of the EC_GROUP and EC_POINT data structures can be shared
-     between the implementations for prime fields and binary fields;
-     the above ..._GF2m functions (except for EX_GROUP_new_curve_GF2m)
-     are essentially identical to their ..._GFp counterparts.
-     (For simplicity, the '..._GFp' prefix has been dropped from
-     various internal method names.)
-
-     An internal 'field_div' method (similar to 'field_mul' and
-     'field_sqr') has been added; this is used only for binary fields.
-
-     [Sheueling Chang Shantz and Douglas Stebila
-     (Sun Microsystems Laboratories)]
-
-  *) Optionally dispatch EC_POINT_mul(), EC_POINT_precompute_mult()
-     through methods ('mul', 'precompute_mult').
-
-     The generic implementations (now internally called 'ec_wNAF_mul'
-     and 'ec_wNAF_precomputed_mult') remain the default if these
-     methods are undefined.
-
-     [Sheueling Chang Shantz and Douglas Stebila
-     (Sun Microsystems Laboratories)]
-
-  *) New function EC_GROUP_get_degree, which is defined through
-     EC_METHOD.  For curves over prime fields, this returns the bit
-     length of the modulus.
-
-     [Sheueling Chang Shantz and Douglas Stebila
-     (Sun Microsystems Laboratories)]
-
-  *) New functions EC_GROUP_dup, EC_POINT_dup.
-     (These simply call ..._new  and ..._copy).
-
-     [Sheueling Chang Shantz and Douglas Stebila
-     (Sun Microsystems Laboratories)]
-
-  *) Add binary polynomial arithmetic software in crypto/bn/bn_gf2m.c.
-     Polynomials are represented as BIGNUMs (where the sign bit is not
-     used) in the following functions [macros]:
-
-          BN_GF2m_add
-          BN_GF2m_sub             [= BN_GF2m_add]
-          BN_GF2m_mod             [wrapper for BN_GF2m_mod_arr]
-          BN_GF2m_mod_mul         [wrapper for BN_GF2m_mod_mul_arr]
-          BN_GF2m_mod_sqr         [wrapper for BN_GF2m_mod_sqr_arr]
-          BN_GF2m_mod_inv
-          BN_GF2m_mod_exp         [wrapper for BN_GF2m_mod_exp_arr]
-          BN_GF2m_mod_sqrt        [wrapper for BN_GF2m_mod_sqrt_arr]
-          BN_GF2m_mod_solve_quad  [wrapper for BN_GF2m_mod_solve_quad_arr]
-          BN_GF2m_cmp             [= BN_ucmp]
-
-     (Note that only the 'mod' functions are actually for fields GF(2^m).
-     BN_GF2m_add() is misnomer, but this is for the sake of consistency.)
-
-     For some functions, an the irreducible polynomial defining a
-     field can be given as an 'unsigned int[]' with strictly
-     decreasing elements giving the indices of those bits that are set;
-     i.e., p[] represents the polynomial
-          f(t) = t^p[0] + t^p[1] + ... + t^p[k]
-     where
-          p[0] > p[1] > ... > p[k] = 0.
-     This applies to the following functions:
-
-          BN_GF2m_mod_arr
-          BN_GF2m_mod_mul_arr
-          BN_GF2m_mod_sqr_arr
-          BN_GF2m_mod_inv_arr        [wrapper for BN_GF2m_mod_inv]
-          BN_GF2m_mod_div_arr        [wrapper for BN_GF2m_mod_div]
-          BN_GF2m_mod_exp_arr
-          BN_GF2m_mod_sqrt_arr
-          BN_GF2m_mod_solve_quad_arr
-          BN_GF2m_poly2arr
-          BN_GF2m_arr2poly
-
-     Conversion can be performed by the following functions:
-
-          BN_GF2m_poly2arr
-          BN_GF2m_arr2poly
-
-     bntest.c has additional tests for binary polynomial arithmetic.
-
-     Two implementations for BN_GF2m_mod_div() are available.
-     The default algorithm simply uses BN_GF2m_mod_inv() and
-     BN_GF2m_mod_mul().  The alternative algorithm is compiled in only
-     if OPENSSL_SUN_GF2M_DIV is defined (patent pending; read the
-     copyright notice in crypto/bn/bn_gf2m.c before enabling it).
-
-     [Sheueling Chang Shantz and Douglas Stebila
-     (Sun Microsystems Laboratories)]
-
-  *) Add new error code 'ERR_R_DISABLED' that can be used when some
-     functionality is disabled at compile-time.
-     [Douglas Stebila <douglas.stebila@sun.com>]
-
-  *) Change default behaviour of 'openssl asn1parse' so that more
-     information is visible when viewing, e.g., a certificate:
-
-     Modify asn1_parse2 (crypto/asn1/asn1_par.c) so that in non-'dump'
-     mode the content of non-printable OCTET STRINGs is output in a
-     style similar to INTEGERs, but with '[HEX DUMP]' prepended to
-     avoid the appearance of a printable string.
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Add 'asn1_flag' and 'asn1_form' member to EC_GROUP with access
-     functions
-          EC_GROUP_set_asn1_flag()
-          EC_GROUP_get_asn1_flag()
-          EC_GROUP_set_point_conversion_form()
-          EC_GROUP_get_point_conversion_form()
-     These control ASN1 encoding details:
-     - Curves (i.e., groups) are encoded explicitly unless asn1_flag
-       has been set to OPENSSL_EC_NAMED_CURVE.
-     - Points are encoded in uncompressed form by default; options for
-       asn1_for are as for point2oct, namely
-          POINT_CONVERSION_COMPRESSED
-          POINT_CONVERSION_UNCOMPRESSED
-          POINT_CONVERSION_HYBRID
-
-     Also add 'seed' and 'seed_len' members to EC_GROUP with access
-     functions
-          EC_GROUP_set_seed()
-          EC_GROUP_get0_seed()
-          EC_GROUP_get_seed_len()
-     This is used only for ASN1 purposes (so far).
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Add 'field_type' member to EC_METHOD, which holds the NID
-     of the appropriate field type OID.  The new function
-     EC_METHOD_get_field_type() returns this value.
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Add functions
-          EC_POINT_point2bn()
-          EC_POINT_bn2point()
-          EC_POINT_point2hex()
-          EC_POINT_hex2point()
-     providing useful interfaces to EC_POINT_point2oct() and
-     EC_POINT_oct2point().
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Change internals of the EC library so that the functions
-          EC_GROUP_set_generator()
-          EC_GROUP_get_generator()
-          EC_GROUP_get_order()
-          EC_GROUP_get_cofactor()
-     are implemented directly in crypto/ec/ec_lib.c and not dispatched
-     to methods, which would lead to unnecessary code duplication when
-     adding different types of curves.
-     [Nils Larsch <nla@trustcenter.de> with input by Bodo Moeller]
-
-  *) Implement compute_wNAF (crypto/ec/ec_mult.c) without BIGNUM
-     arithmetic, and such that modified wNAFs are generated
-     (which avoid length expansion in many cases).
-     [Bodo Moeller]
-
-  *) Add a function EC_GROUP_check_discriminant() (defined via
-     EC_METHOD) that verifies that the curve discriminant is non-zero.
-
-     Add a function EC_GROUP_check() that makes some sanity tests
-     on a EC_GROUP, its generator and order.  This includes
-     EC_GROUP_check_discriminant().
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Add ECDSA in new directory crypto/ecdsa/.
-
-     Add applications 'openssl ecparam' and 'openssl ecdsa'
-     (these are based on 'openssl dsaparam' and 'openssl dsa').
-
-     ECDSA support is also included in various other files across the
-     library.  Most notably,
-     - 'openssl req' now has a '-newkey ecdsa:file' option;
-     - EVP_PKCS82PKEY (crypto/evp/evp_pkey.c) now can handle ECDSA;
-     - X509_PUBKEY_get (crypto/asn1/x_pubkey.c) and
-       d2i_PublicKey (crypto/asn1/d2i_pu.c) have been modified to make
-       them suitable for ECDSA where domain parameters must be
-       extracted before the specific public key;
-     - ECDSA engine support has been added.
-     [Nils Larsch <nla@trustcenter.de>]
-
-  *) Include some named elliptic curves, and add OIDs from X9.62,
-     SECG, and WAP/WTLS.  Each curve can be obtained from the new
-     function
-          EC_GROUP_new_by_curve_name(),
-     and the list of available named curves can be obtained with
-          EC_get_builtin_curves().
-     Also add a 'curve_name' member to EC_GROUP objects, which can be
-     accessed via
-         EC_GROUP_set_curve_name()
-         EC_GROUP_get_curve_name()
-     [Nils Larsch <larsch@trustcenter.de, Bodo Moeller]
-
-  *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
-     was actually never needed) and in BN_mul().  The removal in BN_mul()
-     required a small change in bn_mul_part_recursive() and the addition
-     of the functions bn_cmp_part_words(), bn_sub_part_words() and
-     bn_add_part_words(), which do the same thing as bn_cmp_words(),
-     bn_sub_words() and bn_add_words() except they take arrays with
-     differing sizes.
-     [Richard Levitte]
-
- Changes between 0.9.7l and 0.9.7m  [23 Feb 2007]
-
-  *) Cleanse PEM buffers before freeing them since they may contain
-     sensitive data.
-     [Benjamin Bennett <ben@psc.edu>]
-
-  *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
-     a ciphersuite string such as "DEFAULT:RSA" cannot enable
-     authentication-only ciphersuites.
-     [Bodo Moeller]
-
-  *) Since AES128 and AES256 share a single mask bit in the logic of
-     ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
-     kludge to work properly if AES128 is available and AES256 isn't.
-     [Victor Duchovni]
-
-  *) Expand security boundary to match 1.1.1 module.
-     [Steve Henson]
-
-  *) Remove redundant features: hash file source, editing of test vectors
-     modify fipsld to use external fips_premain.c signature.
-     [Steve Henson]
-
-  *) New perl script mkfipsscr.pl to create shell scripts or batch files to
-     run algorithm test programs.
-     [Steve Henson]
-
-  *) Make algorithm test programs more tolerant of whitespace.
-     [Steve Henson]
-
-  *) Have SSL/TLS server implementation tolerate "mismatched" record
-     protocol version while receiving ClientHello even if the
-     ClientHello is fragmented.  (The server can't insist on the
-     particular protocol version it has chosen before the ServerHello
-     message has informed the client about his choice.)
-     [Bodo Moeller]
-
-  *) Load error codes if they are not already present instead of using a
-     static variable. This allows them to be cleanly unloaded and reloaded.
-     [Steve Henson]
-
- Changes between 0.9.7k and 0.9.7l  [28 Sep 2006]
-
-  *) Introduce limits to prevent malicious keys being able to
-     cause a denial of service.  (CVE-2006-2940)
-     [Steve Henson, Bodo Moeller]
-
-  *) Fix ASN.1 parsing of certain invalid structures that can result
-     in a denial of service.  (CVE-2006-2937)  [Steve Henson]
-
-  *) Fix buffer overflow in SSL_get_shared_ciphers() function.
-     (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
-
-  *) Fix SSL client code which could crash if connecting to a
-     malicious SSLv2 server.  (CVE-2006-4343)
-     [Tavis Ormandy and Will Drewry, Google Security Team]
-
-  *) Change ciphersuite string processing so that an explicit
-     ciphersuite selects this one ciphersuite (so that "AES256-SHA"
-     will no longer include "AES128-SHA"), and any other similar
-     ciphersuite (same bitmap) from *other* protocol versions (so that
-     "RC4-MD5" will still include both the SSL 2.0 ciphersuite and the
-     SSL 3.0/TLS 1.0 ciphersuite).  This is a backport combining
-     changes from 0.9.8b and 0.9.8d.
-     [Bodo Moeller]
-
- Changes between 0.9.7j and 0.9.7k  [05 Sep 2006]
-
-  *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
-     (CVE-2006-4339)  [Ben Laurie and Google Security Team]
-
-  *) Change the Unix randomness entropy gathering to use poll() when
-     possible instead of select(), since the latter has some
-     undesirable limitations.
-     [Darryl Miles via Richard Levitte and Bodo Moeller]
-
-  *) Disable rogue ciphersuites:
-
-      - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
-      - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
-      - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
-
-     The latter two were purportedly from
-     draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
-     appear there.
-
-     Also deactivate the remaining ciphersuites from
-     draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
-     unofficial, and the ID has long expired.
-     [Bodo Moeller]
-
-  *) Fix RSA blinding Heisenbug (problems sometimes occurred on
-     dual-core machines) and other potential thread-safety issues.
-     [Bodo Moeller]
-
- Changes between 0.9.7i and 0.9.7j  [04 May 2006]
-
-  *) Adapt fipsld and the build system to link against the validated FIPS
-     module in FIPS mode.
-     [Steve Henson]
-
-  *) Fixes for VC++ 2005 build under Windows.
-     [Steve Henson]
-
-  *) Add new Windows build target VC-32-GMAKE for VC++. This uses GNU make
-     from a Windows bash shell such as MSYS. It is autodetected from the
-     "config" script when run from a VC++ environment. Modify standard VC++
-     build to use fipscanister.o from the GNU make build.
-     [Steve Henson]
-
- Changes between 0.9.7h and 0.9.7i  [14 Oct 2005]
-
-  *) Wrapped the definition of EVP_MAX_MD_SIZE in a #ifdef OPENSSL_FIPS.
-     The value now differs depending on if you build for FIPS or not.
-     BEWARE!  A program linked with a shared FIPSed libcrypto can't be
-     safely run with a non-FIPSed libcrypto, as it may crash because of
-     the difference induced by this change.
-     [Andy Polyakov]
-
- Changes between 0.9.7g and 0.9.7h  [11 Oct 2005]
-
-  *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
-     (part of SSL_OP_ALL).  This option used to disable the
-     countermeasure against man-in-the-middle protocol-version
-     rollback in the SSL 2.0 server implementation, which is a bad
-     idea.  (CVE-2005-2969)
+   *Paul Yang*
 
-     [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
-     for Information Security, National Institute of Advanced Industrial
-     Science and Technology [AIST], Japan)]
-
-  *) Minimal support for X9.31 signatures and PSS padding modes. This is
-     mainly for FIPS compliance and not fully integrated at this stage.
-     [Steve Henson]
+ * Use SHA256 as the default digest for TS query in the ts app.
 
-  *) For DSA signing, unless DSA_FLAG_NO_EXP_CONSTTIME is set, perform
-     the exponentiation using a fixed-length exponent.  (Otherwise,
-     the information leaked through timing could expose the secret key
-     after many signatures; cf. Bleichenbacher's attack on DSA with
-     biased k.)
-     [Bodo Moeller]
+   *Tomas Mraz*
 
-  *) Make a new fixed-window mod_exp implementation the default for
-     RSA, DSA, and DH private-key operations so that the sequence of
-     squares and multiplies and the memory access pattern are
-     independent of the particular secret key.  This will mitigate
-     cache-timing and potential related attacks.
-
-     BN_mod_exp_mont_consttime() is the new exponentiation implementation,
-     and this is automatically used by BN_mod_exp_mont() if the new flag
-     BN_FLG_EXP_CONSTTIME is set for the exponent.  RSA, DSA, and DH
-     will use this BN flag for private exponents unless the flag
-     RSA_FLAG_NO_EXP_CONSTTIME, DSA_FLAG_NO_EXP_CONSTTIME, or
-     DH_FLAG_NO_EXP_CONSTTIME, respectively, is set.
-
-     [Matthew D Wood (Intel Corp), with some changes by Bodo Moeller]
-
-  *) Change the client implementation for SSLv23_method() and
-     SSLv23_client_method() so that is uses the SSL 3.0/TLS 1.0
-     Client Hello message format if the SSL_OP_NO_SSLv2 option is set.
-     (Previously, the SSL 2.0 backwards compatible Client Hello
-     message format would be used even with SSL_OP_NO_SSLv2.)
-     [Bodo Moeller]
-
-  *) Add support for smime-type MIME parameter in S/MIME messages which some
-     clients need.
-     [Steve Henson]
-
-  *) New function BN_MONT_CTX_set_locked() to set montgomery parameters in
-     a threadsafe manner. Modify rsa code to use new function and add calls
-     to dsa and dh code (which had race conditions before).
-     [Steve Henson]
-
-  *) Include the fixed error library code in the C error file definitions
-     instead of fixing them up at runtime. This keeps the error code
-     structures constant.
-     [Steve Henson]
-
- Changes between 0.9.7f and 0.9.7g  [11 Apr 2005]
-
-  [NB: OpenSSL 0.9.7h and later 0.9.7 patch levels were released after
-  OpenSSL 0.9.8.]
-
-  *) Fixes for newer kerberos headers. NB: the casts are needed because
-     the 'length' field is signed on one version and unsigned on another
-     with no (?) obvious way to tell the difference, without these VC++
-     complains. Also the "definition" of FAR (blank) is no longer included
-     nor is the error ENOMEM. KRB5_PRIVATE has to be set to 1 to pick up
-     some needed definitions.
-     [Steve Henson]
-
-  *) Undo Cygwin change.
-     [Ulf Möller]
-
-  *) Added support for proxy certificates according to RFC 3820.
-     Because they may be a security thread to unaware applications,
-     they must be explicitly allowed in run-time.  See
-     docs/HOWTO/proxy_certificates.txt for further information.
-     [Richard Levitte]
-
- Changes between 0.9.7e and 0.9.7f  [22 Mar 2005]
-
-  *) Use (SSL_RANDOM_VALUE - 4) bytes of pseudo random data when generating
-     server and client random values. Previously
-     (SSL_RANDOM_VALUE - sizeof(time_t)) would be used which would result in
-     less random data when sizeof(time_t) > 4 (some 64 bit platforms).
-
-     This change has negligible security impact because:
-
-     1. Server and client random values still have 24 bytes of pseudo random
-        data.
-
-     2. Server and client random values are sent in the clear in the initial
-        handshake.
-
-     3. The master secret is derived using the premaster secret (48 bytes in
-        size for static RSA ciphersuites) as well as client server and random
-        values.
-
-     The OpenSSL team would like to thank the UK NISCC for bringing this issue
-     to our attention.
-
-     [Stephen Henson, reported by UK NISCC]
-
-  *) Use Windows randomness collection on Cygwin.
-     [Ulf Möller]
-
-  *) Fix hang in EGD/PRNGD query when communication socket is closed
-     prematurely by EGD/PRNGD.
-     [Darren Tucker <dtucker@zip.com.au> via Lutz Jänicke, resolves #1014]
-
-  *) Prompt for pass phrases when appropriate for PKCS12 input format.
-     [Steve Henson]
-
-  *) Back-port of selected performance improvements from development
-     branch, as well as improved support for PowerPC platforms.
-     [Andy Polyakov]
-
-  *) Add lots of checks for memory allocation failure, error codes to indicate
-     failure and freeing up memory if a failure occurs.
-     [Nauticus Networks SSL Team <openssl@nauticusnet.com>, Steve Henson]
-
-  *) Add new -passin argument to dgst.
-     [Steve Henson]
-
-  *) Perform some character comparisons of different types in X509_NAME_cmp:
-     this is needed for some certificates that re-encode DNs into UTF8Strings
-     (in violation of RFC3280) and can't or won't issue name rollover
-     certificates.
-     [Steve Henson]
-
-  *) Make an explicit check during certificate validation to see that
-     the CA setting in each certificate on the chain is correct.  As a
-     side effect always do the following basic checks on extensions,
-     not just when there's an associated purpose to the check:
-
-      - if there is an unhandled critical extension (unless the user
-        has chosen to ignore this fault)
-      - if the path length has been exceeded (if one is set at all)
-      - that certain extensions fit the associated purpose (if one has
-        been given)
-     [Richard Levitte]
-
- Changes between 0.9.7d and 0.9.7e  [25 Oct 2004]
-
-  *) Avoid a race condition when CRLs are checked in a multi threaded
-     environment. This would happen due to the reordering of the revoked
-     entries during signature checking and serial number lookup. Now the
-     encoding is cached and the serial number sort performed under a lock.
-     Add new STACK function sk_is_sorted().
-     [Steve Henson]
-
-  *) Add Delta CRL to the extension code.
-     [Steve Henson]
-
-  *) Various fixes to s3_pkt.c so alerts are sent properly.
-     [David Holmes <d.holmes@f5.com>]
-
-  *) Reduce the chances of duplicate issuer name and serial numbers (in
-     violation of RFC3280) using the OpenSSL certificate creation utilities.
-     This is done by creating a random 64 bit value for the initial serial
-     number when a serial number file is created or when a self signed
-     certificate is created using 'openssl req -x509'. The initial serial
-     number file is created using 'openssl x509 -next_serial' in CA.pl
-     rather than being initialized to 1.
-     [Steve Henson]
-
- Changes between 0.9.7c and 0.9.7d  [17 Mar 2004]
-
-  *) Fix null-pointer assignment in do_change_cipher_spec() revealed
-     by using the Codenomicon TLS Test Tool (CVE-2004-0079)
-     [Joe Orton, Steve Henson]
-
-  *) Fix flaw in SSL/TLS handshaking when using Kerberos ciphersuites
-     (CVE-2004-0112)
-     [Joe Orton, Steve Henson]
-
-  *) Make it possible to have multiple active certificates with the same
-     subject in the CA index file.  This is done only if the keyword
-     'unique_subject' is set to 'no' in the main CA section (default
-     if 'CA_default') of the configuration file.  The value is saved
-     with the database itself in a separate index attribute file,
-     named like the index file with '.attr' appended to the name.
-     [Richard Levitte]
-
-  *) X509 verify fixes. Disable broken certificate workarounds when
-     X509_V_FLAGS_X509_STRICT is set. Check CRL issuer has cRLSign set if
-     keyUsage extension present. Don't accept CRLs with unhandled critical
-     extensions: since verify currently doesn't process CRL extensions this
-     rejects a CRL with *any* critical extensions. Add new verify error codes
-     for these cases.
-     [Steve Henson]
-
-  *) When creating an OCSP nonce use an OCTET STRING inside the extnValue.
-     A clarification of RFC2560 will require the use of OCTET STRINGs and
-     some implementations cannot handle the current raw format. Since OpenSSL
-     copies and compares OCSP nonces as opaque blobs without any attempt at
-     parsing them this should not create any compatibility issues.
-     [Steve Henson]
-
-  *) New md flag EVP_MD_CTX_FLAG_REUSE this allows md_data to be reused when
-     calling EVP_MD_CTX_copy_ex() to avoid calling OPENSSL_malloc(). Without
-     this HMAC (and other) operations are several times slower than OpenSSL
-     < 0.9.7.
-     [Steve Henson]
-
-  *) Print out GeneralizedTime and UTCTime in ASN1_STRING_print_ex().
-     [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
-
-  *) Use the correct content when signing type "other".
-     [Steve Henson]
-
- Changes between 0.9.7b and 0.9.7c  [30 Sep 2003]
-
-  *) Fix various bugs revealed by running the NISCC test suite:
-
-     Stop out of bounds reads in the ASN1 code when presented with
-     invalid tags (CVE-2003-0543 and CVE-2003-0544).
-
-     Free up ASN1_TYPE correctly if ANY type is invalid (CVE-2003-0545).
-
-     If verify callback ignores invalid public key errors don't try to check
-     certificate signature with the NULL public key.
-
-     [Steve Henson]
-
-  *) New -ignore_err option in ocsp application to stop the server
-     exiting on the first error in a request.
-     [Steve Henson]
-
-  *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
-     if the server requested one: as stated in TLS 1.0 and SSL 3.0
-     specifications.
-     [Steve Henson]
-
-  *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
-     extra data after the compression methods not only for TLS 1.0
-     but also for SSL 3.0 (as required by the specification).
-     [Bodo Moeller; problem pointed out by Matthias Loepfe]
-
-  *) Change X509_certificate_type() to mark the key as exported/exportable
-     when it's 512 *bits* long, not 512 bytes.
-     [Richard Levitte]
-
-  *) Change AES_cbc_encrypt() so it outputs exact multiple of
-     blocks during encryption.
-     [Richard Levitte]
-
-  *) Various fixes to base64 BIO and non blocking I/O. On write
-     flushes were not handled properly if the BIO retried. On read
-     data was not being buffered properly and had various logic bugs.
-     This also affects blocking I/O when the data being decoded is a
-     certain size.
-     [Steve Henson]
-
-  *) Various S/MIME bugfixes and compatibility changes:
-     output correct application/pkcs7 MIME type if
-     PKCS7_NOOLDMIMETYPE is set. Tolerate some broken signatures.
-     Output CR+LF for EOL if PKCS7_CRLFEOL is set (this makes opening
-     of files as .eml work). Correctly handle very long lines in MIME
-     parser.
-     [Steve Henson]
-
- Changes between 0.9.7a and 0.9.7b  [10 Apr 2003]
-
-  *) Countermeasure against the Klima-Pokorny-Rosa extension of
-     Bleichbacher's attack on PKCS #1 v1.5 padding: treat
-     a protocol version number mismatch like a decryption error
-     in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
-     [Bodo Moeller]
-
-  *) Turn on RSA blinding by default in the default implementation
-     to avoid a timing attack. Applications that don't want it can call
-     RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
-     They would be ill-advised to do so in most cases.
-     [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
-
-  *) Change RSA blinding code so that it works when the PRNG is not
-     seeded (in this case, the secret RSA exponent is abused as
-     an unpredictable seed -- if it is not unpredictable, there
-     is no point in blinding anyway).  Make RSA blinding thread-safe
-     by remembering the creator's thread ID in rsa->blinding and
-     having all other threads use local one-time blinding factors
-     (this requires more computation than sharing rsa->blinding, but
-     avoids excessive locking; and if an RSA object is not shared
-     between threads, blinding will still be very fast).
-     [Bodo Moeller]
-
-  *) Fixed a typo bug that would cause ENGINE_set_default() to set an
-     ENGINE as defaults for all supported algorithms irrespective of
-     the 'flags' parameter. 'flags' is now honoured, so applications
-     should make sure they are passing it correctly.
-     [Geoff Thorpe]
-
-  *) Target "mingw" now allows native Windows code to be generated in
-     the Cygwin environment as well as with the MinGW compiler.
-     [Ulf Moeller]
-
- Changes between 0.9.7 and 0.9.7a  [19 Feb 2003]
-
-  *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
-     via timing by performing a MAC computation even if incorrect
-     block cipher padding has been found.  This is a countermeasure
-     against active attacks where the attacker has to distinguish
-     between bad padding and a MAC verification error. (CVE-2003-0078)
-
-     [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
-     Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
-     Martin Vuagnoux (EPFL, Ilion)]
-
-  *) Make the no-err option work as intended.  The intention with no-err
-     is not to have the whole error stack handling routines removed from
-     libcrypto, it's only intended to remove all the function name and
-     reason texts, thereby removing some of the footprint that may not
-     be interesting if those errors aren't displayed anyway.
-
-     NOTE: it's still possible for any application or module to have its
-     own set of error texts inserted.  The routines are there, just not
-     used by default when no-err is given.
-     [Richard Levitte]
-
-  *) Add support for FreeBSD on IA64.
-     [dirk.meyer@dinoex.sub.org via Richard Levitte, resolves #454]
-
-  *) Adjust DES_cbc_cksum() so it returns the same value as the MIT
-     Kerberos function mit_des_cbc_cksum().  Before this change,
-     the value returned by DES_cbc_cksum() was like the one from
-     mit_des_cbc_cksum(), except the bytes were swapped.
-     [Kevin Greaney <Kevin.Greaney@hp.com> and Richard Levitte]
-
-  *) Allow an application to disable the automatic SSL chain building.
-     Before this a rather primitive chain build was always performed in
-     ssl3_output_cert_chain(): an application had no way to send the
-     correct chain if the automatic operation produced an incorrect result.
-
-     Now the chain builder is disabled if either:
-
-     1. Extra certificates are added via SSL_CTX_add_extra_chain_cert().
-
-     2. The mode flag SSL_MODE_NO_AUTO_CHAIN is set.
-
-     The reasoning behind this is that an application would not want the
-     auto chain building to take place if extra chain certificates are
-     present and it might also want a means of sending no additional
-     certificates (for example the chain has two certificates and the
-     root is omitted).
-     [Steve Henson]
-
-  *) Add the possibility to build without the ENGINE framework.
-     [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
-
-  *) Under Win32 gmtime() can return NULL: check return value in
-     OPENSSL_gmtime(). Add error code for case where gmtime() fails.
-     [Steve Henson]
-
-  *) DSA routines: under certain error conditions uninitialized BN objects
-     could be freed. Solution: make sure initialization is performed early
-     enough. (Reported and fix supplied by Ivan D Nestlerode <nestler@MIT.EDU>,
-     Nils Larsch <nla@trustcenter.de> via PR#459)
-     [Lutz Jaenicke]
-
-  *) Another fix for SSLv2 session ID handling: the session ID was incorrectly
-     checked on reconnect on the client side, therefore session resumption
-     could still fail with a "ssl session id is different" error. This
-     behaviour is masked when SSL_OP_ALL is used due to
-     SSL_OP_MICROSOFT_SESS_ID_BUG being set.
-     Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
-     followup to PR #377.
-     [Lutz Jaenicke]
-
-  *) IA-32 assembler support enhancements: unified ELF targets, support
-     for SCO/Caldera platforms, fix for Cygwin shared build.
-     [Andy Polyakov]
-
-  *) Add support for FreeBSD on sparc64.  As a consequence, support for
-     FreeBSD on non-x86 processors is separate from x86 processors on
-     the config script, much like the NetBSD support.
-     [Richard Levitte & Kris Kennaway <kris@obsecurity.org>]
-
- Changes between 0.9.6h and 0.9.7  [31 Dec 2002]
-
-  [NB: OpenSSL 0.9.6i and later 0.9.6 patch levels were released after
-  OpenSSL 0.9.7.]
-
-  *) Fix session ID handling in SSLv2 client code: the SERVER FINISHED
-     code (06) was taken as the first octet of the session ID and the last
-     octet was ignored consequently. As a result SSLv2 client side session
-     caching could not have worked due to the session ID mismatch between
-     client and server.
-     Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
-     PR #377.
-     [Lutz Jaenicke]
-
-  *) Change the declaration of needed Kerberos libraries to use EX_LIBS
-     instead of the special (and badly supported) LIBKRB5.  LIBKRB5 is
-     removed entirely.
-     [Richard Levitte]
-
-  *) The hw_ncipher.c engine requires dynamic locks.  Unfortunately, it
-     seems that in spite of existing for more than a year, many application
-     author have done nothing to provide the necessary callbacks, which
-     means that this particular engine will not work properly anywhere.
-     This is a very unfortunate situation which forces us, in the name
-     of usability, to give the hw_ncipher.c a static lock, which is part
-     of libcrypto.
-     NOTE: This is for the 0.9.7 series ONLY.  This hack will never
-     appear in 0.9.8 or later.  We EXPECT application authors to have
-     dealt properly with this when 0.9.8 is released (unless we actually
-     make such changes in the libcrypto locking code that changes will
-     have to be made anyway).
-     [Richard Levitte]
-
-  *) In asn1_d2i_read_bio() repeatedly call BIO_read() until all content
-     octets have been read, EOF or an error occurs. Without this change
-     some truncated ASN1 structures will not produce an error.
-     [Steve Henson]
-
-  *) Disable Heimdal support, since it hasn't been fully implemented.
-     Still give the possibility to force the use of Heimdal, but with
-     warnings and a request that patches get sent to openssl-dev.
-     [Richard Levitte]
-
-  *) Add the VC-CE target, introduce the WINCE sysname, and add
-     INSTALL.WCE and appropriate conditionals to make it build.
-     [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
-
-  *) Change the DLL names for Cygwin to cygcrypto-x.y.z.dll and
-     cygssl-x.y.z.dll, where x, y and z are the major, minor and
-     edit numbers of the version.
-     [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
-
-  *) Introduce safe string copy and catenation functions
-     (BUF_strlcpy() and BUF_strlcat()).
-     [Ben Laurie (CHATS) and Richard Levitte]
-
-  *) Avoid using fixed-size buffers for one-line DNs.
-     [Ben Laurie (CHATS)]
-
-  *) Add BUF_MEM_grow_clean() to avoid information leakage when
-     resizing buffers containing secrets, and use where appropriate.
-     [Ben Laurie (CHATS)]
-
-  *) Avoid using fixed size buffers for configuration file location.
-     [Ben Laurie (CHATS)]
-
-  *) Avoid filename truncation for various CA files.
-     [Ben Laurie (CHATS)]
-
-  *) Use sizeof in preference to magic numbers.
-     [Ben Laurie (CHATS)]
-
-  *) Avoid filename truncation in cert requests.
-     [Ben Laurie (CHATS)]
-
-  *) Add assertions to check for (supposedly impossible) buffer
-     overflows.
-     [Ben Laurie (CHATS)]
-
-  *) Don't cache truncated DNS entries in the local cache (this could
-     potentially lead to a spoofing attack).
-     [Ben Laurie (CHATS)]
-
-  *) Fix various buffers to be large enough for hex/decimal
-     representations in a platform independent manner.
-     [Ben Laurie (CHATS)]
-
-  *) Add CRYPTO_realloc_clean() to avoid information leakage when
-     resizing buffers containing secrets, and use where appropriate.
-     [Ben Laurie (CHATS)]
-
-  *) Add BIO_indent() to avoid much slightly worrying code to do
-     indents.
-     [Ben Laurie (CHATS)]
-
-  *) Convert sprintf()/BIO_puts() to BIO_printf().
-     [Ben Laurie (CHATS)]
-
-  *) buffer_gets() could terminate with the buffer only half
-     full. Fixed.
-     [Ben Laurie (CHATS)]
-
-  *) Add assertions to prevent user-supplied crypto functions from
-     overflowing internal buffers by having large block sizes, etc.
-     [Ben Laurie (CHATS)]
-
-  *) New OPENSSL_assert() macro (similar to assert(), but enabled
-     unconditionally).
-     [Ben Laurie (CHATS)]
-
-  *) Eliminate unused copy of key in RC4.
-     [Ben Laurie (CHATS)]
-
-  *) Eliminate unused and incorrectly sized buffers for IV in pem.h.
-     [Ben Laurie (CHATS)]
-
-  *) Fix off-by-one error in EGD path.
-     [Ben Laurie (CHATS)]
-
-  *) If RANDFILE path is too long, ignore instead of truncating.
-     [Ben Laurie (CHATS)]
-
-  *) Eliminate unused and incorrectly sized X.509 structure
-     CBCParameter.
-     [Ben Laurie (CHATS)]
-
-  *) Eliminate unused and dangerous function knumber().
-     [Ben Laurie (CHATS)]
-
-  *) Eliminate unused and dangerous structure, KSSL_ERR.
-     [Ben Laurie (CHATS)]
-
-  *) Protect against overlong session ID context length in an encoded
-     session object. Since these are local, this does not appear to be
-     exploitable.
-     [Ben Laurie (CHATS)]
-
-  *) Change from security patch (see 0.9.6e below) that did not affect
-     the 0.9.6 release series:
-
-     Remote buffer overflow in SSL3 protocol - an attacker could
-     supply an oversized master key in Kerberos-enabled versions.
-     (CVE-2002-0657)
-     [Ben Laurie (CHATS)]
-
-  *) Change the SSL kerb5 codes to match RFC 2712.
-     [Richard Levitte]
-
-  *) Make -nameopt work fully for req and add -reqopt switch.
-     [Michael Bell <michael.bell@rz.hu-berlin.de>, Steve Henson]
-
-  *) The "block size" for block ciphers in CFB and OFB mode should be 1.
-     [Steve Henson, reported by Yngve Nysaeter Pettersen <yngve@opera.com>]
-
-  *) Make sure tests can be performed even if the corresponding algorithms
-     have been removed entirely.  This was also the last step to make
-     OpenSSL compilable with DJGPP under all reasonable conditions.
-     [Richard Levitte, Doug Kaufman <dkaufman@rahul.net>]
-
-  *) Add cipher selection rules COMPLEMENTOFALL and COMPLEMENTOFDEFAULT
-     to allow version independent disabling of normally unselected ciphers,
-     which may be activated as a side-effect of selecting a single cipher.
-
-     (E.g., cipher list string "RSA" enables ciphersuites that are left
-     out of "ALL" because they do not provide symmetric encryption.
-     "RSA:!COMPLEMEMENTOFALL" avoids these unsafe ciphersuites.)
-     [Lutz Jaenicke, Bodo Moeller]
-
-  *) Add appropriate support for separate platform-dependent build
-     directories.  The recommended way to make a platform-dependent
-     build directory is the following (tested on Linux), maybe with
-     some local tweaks:
-
-        # Place yourself outside of the OpenSSL source tree.  In
-        # this example, the environment variable OPENSSL_SOURCE
-        # is assumed to contain the absolute OpenSSL source directory.
-        mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
-        cd objtree/"`uname -s`-`uname -r`-`uname -m`"
-        (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
-                mkdir -p `dirname $F`
-                ln -s $OPENSSL_SOURCE/$F $F
-        done
-
-     To be absolutely sure not to disturb the source tree, a "make clean"
-     is a good thing.  If it isn't successful, don't worry about it,
-     it probably means the source directory is very clean.
-     [Richard Levitte]
-
-  *) Make sure any ENGINE control commands make local copies of string
-     pointers passed to them whenever necessary. Otherwise it is possible
-     the caller may have overwritten (or deallocated) the original string
-     data when a later ENGINE operation tries to use the stored values.
-     [Götz Babin-Ebell <babinebell@trustcenter.de>]
-
-  *) Improve diagnostics in file reading and command-line digests.
-     [Ben Laurie aided and abetted by Solar Designer <solar@openwall.com>]
-
-  *) Add AES modes CFB and OFB to the object database.  Correct an
-     error in AES-CFB decryption.
-     [Richard Levitte]
-
-  *) Remove most calls to EVP_CIPHER_CTX_cleanup() in evp_enc.c, this
-     allows existing EVP_CIPHER_CTX structures to be reused after
-     calling EVP_*Final(). This behaviour is used by encryption
-     BIOs and some applications. This has the side effect that
-     applications must explicitly clean up cipher contexts with
-     EVP_CIPHER_CTX_cleanup() or they will leak memory.
-     [Steve Henson]
-
-  *) Check the values of dna and dnb in bn_mul_recursive before calling
-     bn_mul_comba (a non zero value means the a or b arrays do not contain
-     n2 elements) and fallback to bn_mul_normal if either is not zero.
-     [Steve Henson]
-
-  *) Fix escaping of non-ASCII characters when using the -subj option
-     of the "openssl req" command line tool. (Robert Joop <joop@fokus.gmd.de>)
-     [Lutz Jaenicke]
-
-  *) Make object definitions compliant to LDAP (RFC2256): SN is the short
-     form for "surname", serialNumber has no short form.
-     Use "mail" as the short name for "rfc822Mailbox" according to RFC2798;
-     therefore remove "mail" short name for "internet 7".
-     The OID for unique identifiers in X509 certificates is
-     x500UniqueIdentifier, not uniqueIdentifier.
-     Some more OID additions. (Michael Bell <michael.bell@rz.hu-berlin.de>)
-     [Lutz Jaenicke]
-
-  *) Add an "init" command to the ENGINE config module and auto initialize
-     ENGINEs. Without any "init" command the ENGINE will be initialized
-     after all ctrl commands have been executed on it. If init=1 the
-     ENGINE is initialized at that point (ctrls before that point are run
-     on the uninitialized ENGINE and after on the initialized one). If
-     init=0 then the ENGINE will not be initialized at all.
-     [Steve Henson]
-
-  *) Fix the 'app_verify_callback' interface so that the user-defined
-     argument is actually passed to the callback: In the
-     SSL_CTX_set_cert_verify_callback() prototype, the callback
-     declaration has been changed from
-          int (*cb)()
-     into
-          int (*cb)(X509_STORE_CTX *,void *);
-     in ssl_verify_cert_chain (ssl/ssl_cert.c), the call
-          i=s->ctx->app_verify_callback(&ctx)
-     has been changed into
-          i=s->ctx->app_verify_callback(&ctx, s->ctx->app_verify_arg).
-
-     To update applications using SSL_CTX_set_cert_verify_callback(),
-     a dummy argument can be added to their callback functions.
-     [D. K. Smetters <smetters@parc.xerox.com>]
-
-  *) Added the '4758cca' ENGINE to support IBM 4758 cards.
-     [Maurice Gittens <maurice@gittens.nl>, touchups by Geoff Thorpe]
-
-  *) Add and OPENSSL_LOAD_CONF define which will cause
-     OpenSSL_add_all_algorithms() to load the openssl.cnf config file.
-     This allows older applications to transparently support certain
-     OpenSSL features: such as crypto acceleration and dynamic ENGINE loading.
-     Two new functions OPENSSL_add_all_algorithms_noconf() which will never
-     load the config file and OPENSSL_add_all_algorithms_conf() which will
-     always load it have also been added.
-     [Steve Henson]
-
-  *) Add the OFB, CFB and CTR (all with 128 bit feedback) to AES.
-     Adjust NIDs and EVP layer.
-     [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
-
-  *) Config modules support in openssl utility.
-
-     Most commands now load modules from the config file,
-     though in a few (such as version) this isn't done
-     because it couldn't be used for anything.
-
-     In the case of ca and req the config file used is
-     the same as the utility itself: that is the -config
-     command line option can be used to specify an
-     alternative file.
-     [Steve Henson]
-
-  *) Move default behaviour from OPENSSL_config(). If appname is NULL
-     use "openssl_conf" if filename is NULL use default openssl config file.
-     [Steve Henson]
-
-  *) Add an argument to OPENSSL_config() to allow the use of an alternative
-     config section name. Add a new flag to tolerate a missing config file
-     and move code to CONF_modules_load_file().
-     [Steve Henson]
-
-  *) Support for crypto accelerator cards from Accelerated Encryption
-     Processing, www.aep.ie.  (Use engine 'aep')
-     The support was copied from 0.9.6c [engine] and adapted/corrected
-     to work with the new engine framework.
-     [AEP Inc. and Richard Levitte]
-
-  *) Support for SureWare crypto accelerator cards from Baltimore
-     Technologies.  (Use engine 'sureware')
-     The support was copied from 0.9.6c [engine] and adapted
-     to work with the new engine framework.
-     [Richard Levitte]
-
-  *) Have the CHIL engine fork-safe (as defined by nCipher) and actually
-     make the newer ENGINE framework commands for the CHIL engine work.
-     [Toomas Kiisk <vix@cyber.ee> and Richard Levitte]
-
-  *) Make it possible to produce shared libraries on ReliantUNIX.
-     [Robert Dahlem <Robert.Dahlem@ffm2.siemens.de> via Richard Levitte]
-
-  *) Add the configuration target debug-linux-ppro.
-     Make 'openssl rsa' use the general key loading routines
-     implemented in apps.c, and make those routines able to
-     handle the key format FORMAT_NETSCAPE and the variant
-     FORMAT_IISSGC.
-     [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
-
- *) Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
-     [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
-
-  *) Add -keyform to rsautl, and document -engine.
-     [Richard Levitte, inspired by Toomas Kiisk <vix@cyber.ee>]
-
-  *) Change BIO_new_file (crypto/bio/bss_file.c) to use new
-     BIO_R_NO_SUCH_FILE error code rather than the generic
-     ERR_R_SYS_LIB error code if fopen() fails with ENOENT.
-     [Ben Laurie]
-
-  *) Add new functions
-          ERR_peek_last_error
-          ERR_peek_last_error_line
-          ERR_peek_last_error_line_data.
-     These are similar to
-          ERR_peek_error
-          ERR_peek_error_line
-          ERR_peek_error_line_data,
-     but report on the latest error recorded rather than the first one
-     still in the error queue.
-     [Ben Laurie, Bodo Moeller]
-
-  *) default_algorithms option in ENGINE config module. This allows things
-     like:
-     default_algorithms = ALL
-     default_algorithms = RSA, DSA, RAND, CIPHERS, DIGESTS
-     [Steve Henson]
-
-  *) Preliminary ENGINE config module.
-     [Steve Henson]
-
-  *) New experimental application configuration code.
-     [Steve Henson]
-
-  *) Change the AES code to follow the same name structure as all other
-     symmetric ciphers, and behave the same way.  Move everything to
-     the directory crypto/aes, thereby obsoleting crypto/rijndael.
-     [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
-
-  *) SECURITY: remove unsafe setjmp/signal interaction from ui_openssl.c.
-     [Ben Laurie and Theo de Raadt]
-
-  *) Add option to output public keys in req command.
-     [Massimiliano Pala madwolf@openca.org]
-
-  *) Use wNAFs in EC_POINTs_mul() for improved efficiency
-     (up to about 10% better than before for P-192 and P-224).
-     [Bodo Moeller]
-
-  *) New functions/macros
-
-          SSL_CTX_set_msg_callback(ctx, cb)
-          SSL_CTX_set_msg_callback_arg(ctx, arg)
-          SSL_set_msg_callback(ssl, cb)
-          SSL_set_msg_callback_arg(ssl, arg)
-
-     to request calling a callback function
-
-          void cb(int write_p, int version, int content_type,
-                  const void *buf, size_t len, SSL *ssl, void *arg)
-
-     whenever a protocol message has been completely received
-     (write_p == 0) or sent (write_p == 1).  Here 'version' is the
-     protocol version  according to which the SSL library interprets
-     the current protocol message (SSL2_VERSION, SSL3_VERSION, or
-     TLS1_VERSION).  'content_type' is 0 in the case of SSL 2.0, or
-     the content type as defined in the SSL 3.0/TLS 1.0 protocol
-     specification (change_cipher_spec(20), alert(21), handshake(22)).
-     'buf' and 'len' point to the actual message, 'ssl' to the
-     SSL object, and 'arg' is the application-defined value set by
-     SSL[_CTX]_set_msg_callback_arg().
-
-     'openssl s_client' and 'openssl s_server' have new '-msg' options
-     to enable a callback that displays all protocol messages.
-     [Bodo Moeller]
-
-  *) Change the shared library support so shared libraries are built as
-     soon as the corresponding static library is finished, and thereby get
-     openssl and the test programs linked against the shared library.
-     This still only happens when the keyword "shard" has been given to
-     the configuration scripts.
-
-     NOTE: shared library support is still an experimental thing, and
-     backward binary compatibility is still not guaranteed.
-     ["Maciej W. Rozycki" <macro@ds2.pg.gda.pl> and Richard Levitte]
-
-  *) Add support for Subject Information Access extension.
-     [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
-
-  *) Make BUF_MEM_grow() behaviour more consistent: Initialise to zero
-     additional bytes when new memory had to be allocated, not just
-     when reusing an existing buffer.
-     [Bodo Moeller]
-
-  *) New command line and configuration option 'utf8' for the req command.
-     This allows field values to be specified as UTF8 strings.
-     [Steve Henson]
-
-  *) Add -multi and -mr options to "openssl speed" - giving multiple parallel
-     runs for the former and machine-readable output for the latter.
-     [Ben Laurie]
-
-  *) Add '-noemailDN' option to 'openssl ca'.  This prevents inclusion
-     of the e-mail address in the DN (i.e., it will go into a certificate
-     extension only).  The new configuration file option 'email_in_dn = no'
-     has the same effect.
-     [Massimiliano Pala madwolf@openca.org]
-
-  *) Change all functions with names starting with des_ to be starting
-     with DES_ instead.  Add wrappers that are compatible with libdes,
-     but are named _ossl_old_des_*.  Finally, add macros that map the
-     des_* symbols to the corresponding _ossl_old_des_* if libdes
-     compatibility is desired.  If OpenSSL 0.9.6c compatibility is
-     desired, the des_* symbols will be mapped to DES_*, with one
-     exception.
-
-     Since we provide two compatibility mappings, the user needs to
-     define the macro OPENSSL_DES_LIBDES_COMPATIBILITY if libdes
-     compatibility is desired.  The default (i.e., when that macro
-     isn't defined) is OpenSSL 0.9.6c compatibility.
-
-     There are also macros that enable and disable the support of old
-     des functions altogether.  Those are OPENSSL_ENABLE_OLD_DES_SUPPORT
-     and OPENSSL_DISABLE_OLD_DES_SUPPORT.  If none or both of those
-     are defined, the default will apply: to support the old des routines.
-
-     In either case, one must include openssl/des.h to get the correct
-     definitions.  Do not try to just include openssl/des_old.h, that
-     won't work.
-
-     NOTE: This is a major break of an old API into a new one.  Software
-     authors are encouraged to switch to the DES_ style functions.  Some
-     time in the future, des_old.h and the libdes compatibility functions
-     will be disable (i.e. OPENSSL_DISABLE_OLD_DES_SUPPORT will be the
-     default), and then completely removed.
-     [Richard Levitte]
-
-  *) Test for certificates which contain unsupported critical extensions.
-     If such a certificate is found during a verify operation it is
-     rejected by default: this behaviour can be overridden by either
-     handling the new error X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION or
-     by setting the verify flag X509_V_FLAG_IGNORE_CRITICAL. A new function
-     X509_supported_extension() has also been added which returns 1 if a
-     particular extension is supported.
-     [Steve Henson]
-
-  *) Modify the behaviour of EVP cipher functions in similar way to digests
-     to retain compatibility with existing code.
-     [Steve Henson]
-
-  *) Modify the behaviour of EVP_DigestInit() and EVP_DigestFinal() to retain
-     compatibility with existing code. In particular the 'ctx' parameter does
-     not have to be to be initialized before the call to EVP_DigestInit() and
-     it is tidied up after a call to EVP_DigestFinal(). New function
-     EVP_DigestFinal_ex() which does not tidy up the ctx. Similarly function
-     EVP_MD_CTX_copy() changed to not require the destination to be
-     initialized valid and new function EVP_MD_CTX_copy_ex() added which
-     requires the destination to be valid.
-
-     Modify all the OpenSSL digest calls to use EVP_DigestInit_ex(),
-     EVP_DigestFinal_ex() and EVP_MD_CTX_copy_ex().
-     [Steve Henson]
-
-  *) Change ssl3_get_message (ssl/s3_both.c) and the functions using it
-     so that complete 'Handshake' protocol structures are kept in memory
-     instead of overwriting 'msg_type' and 'length' with 'body' data.
-     [Bodo Moeller]
-
-  *) Add an implementation of SSL_add_dir_cert_subjects_to_stack for Win32.
-     [Massimo Santin via Richard Levitte]
-
-  *) Major restructuring to the underlying ENGINE code. This includes
-     reduction of linker bloat, separation of pure "ENGINE" manipulation
-     (initialisation, etc) from functionality dealing with implementations
-     of specific crypto interfaces. This change also introduces integrated
-     support for symmetric ciphers and digest implementations - so ENGINEs
-     can now accelerate these by providing EVP_CIPHER and EVP_MD
-     implementations of their own. This is detailed in crypto/engine/README
-     as it couldn't be adequately described here. However, there are a few
-     API changes worth noting - some RSA, DSA, DH, and RAND functions that
-     were changed in the original introduction of ENGINE code have now
-     reverted back - the hooking from this code to ENGINE is now a good
-     deal more passive and at run-time, operations deal directly with
-     RSA_METHODs, DSA_METHODs (etc) as they did before, rather than
-     dereferencing through an ENGINE pointer any more. Also, the ENGINE
-     functions dealing with BN_MOD_EXP[_CRT] handlers have been removed -
-     they were not being used by the framework as there is no concept of a
-     BIGNUM_METHOD and they could not be generalised to the new
-     'ENGINE_TABLE' mechanism that underlies the new code. Similarly,
-     ENGINE_cpy() has been removed as it cannot be consistently defined in
-     the new code.
-     [Geoff Thorpe]
-
-  *) Change ASN1_GENERALIZEDTIME_check() to allow fractional seconds.
-     [Steve Henson]
-
-  *) Change mkdef.pl to sort symbols that get the same entry number,
-     and make sure the automatically generated functions ERR_load_*
-     become part of libeay.num as well.
-     [Richard Levitte]
-
-  *) New function SSL_renegotiate_pending().  This returns true once
-     renegotiation has been requested (either SSL_renegotiate() call
-     or HelloRequest/ClientHello received from the peer) and becomes
-     false once a handshake has been completed.
-     (For servers, SSL_renegotiate() followed by SSL_do_handshake()
-     sends a HelloRequest, but does not ensure that a handshake takes
-     place.  SSL_renegotiate_pending() is useful for checking if the
-     client has followed the request.)
-     [Bodo Moeller]
-
-  *) New SSL option SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
-     By default, clients may request session resumption even during
-     renegotiation (if session ID contexts permit); with this option,
-     session resumption is possible only in the first handshake.
-
-     SSL_OP_ALL is now 0x00000FFFL instead of 0x000FFFFFL.  This makes
-     more bits available for options that should not be part of
-     SSL_OP_ALL (such as SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION).
-     [Bodo Moeller]
-
-  *) Add some demos for certificate and certificate request creation.
-     [Steve Henson]
-
-  *) Make maximum certificate chain size accepted from the peer application
-     settable (SSL*_get/set_max_cert_list()), as proposed by
-     "Douglas E. Engert" <deengert@anl.gov>.
-     [Lutz Jaenicke]
-
-  *) Add support for shared libraries for Unixware-7
-     (Boyd Lynn Gerber <gerberb@zenez.com>).
-     [Lutz Jaenicke]
-
-  *) Add a "destroy" handler to ENGINEs that allows structural cleanup to
-     be done prior to destruction. Use this to unload error strings from
-     ENGINEs that load their own error strings. NB: This adds two new API
-     functions to "get" and "set" this destroy handler in an ENGINE.
-     [Geoff Thorpe]
-
-  *) Alter all existing ENGINE implementations (except "openssl" and
-     "openbsd") to dynamically instantiate their own error strings. This
-     makes them more flexible to be built both as statically-linked ENGINEs
-     and self-contained shared-libraries loadable via the "dynamic" ENGINE.
-     Also, add stub code to each that makes building them as self-contained
-     shared-libraries easier (see README.ENGINE).
-     [Geoff Thorpe]
-
-  *) Add a "dynamic" ENGINE that provides a mechanism for binding ENGINE
-     implementations into applications that are completely implemented in
-     self-contained shared-libraries. The "dynamic" ENGINE exposes control
-     commands that can be used to configure what shared-library to load and
-     to control aspects of the way it is handled. Also, made an update to
-     the README.ENGINE file that brings its information up-to-date and
-     provides some information and instructions on the "dynamic" ENGINE
-     (ie. how to use it, how to build "dynamic"-loadable ENGINEs, etc).
-     [Geoff Thorpe]
-
-  *) Make it possible to unload ranges of ERR strings with a new
-     "ERR_unload_strings" function.
-     [Geoff Thorpe]
-
-  *) Add a copy() function to EVP_MD.
-     [Ben Laurie]
-
-  *) Make EVP_MD routines take a context pointer instead of just the
-     md_data void pointer.
-     [Ben Laurie]
-
-  *) Add flags to EVP_MD and EVP_MD_CTX. EVP_MD_FLAG_ONESHOT indicates
-     that the digest can only process a single chunk of data
-     (typically because it is provided by a piece of
-     hardware). EVP_MD_CTX_FLAG_ONESHOT indicates that the application
-     is only going to provide a single chunk of data, and hence the
-     framework needn't accumulate the data for oneshot drivers.
-     [Ben Laurie]
-
-  *) As with "ERR", make it possible to replace the underlying "ex_data"
-     functions. This change also alters the storage and management of global
-     ex_data state - it's now all inside ex_data.c and all "class" code (eg.
-     RSA, BIO, SSL_CTX, etc) no longer stores its own STACKS and per-class
-     index counters. The API functions that use this state have been changed
-     to take a "class_index" rather than pointers to the class's local STACK
-     and counter, and there is now an API function to dynamically create new
-     classes. This centralisation allows us to (a) plug a lot of the
-     thread-safety problems that existed, and (b) makes it possible to clean
-     up all allocated state using "CRYPTO_cleanup_all_ex_data()". W.r.t. (b)
-     such data would previously have always leaked in application code and
-     workarounds were in place to make the memory debugging turn a blind eye
-     to it. Application code that doesn't use this new function will still
-     leak as before, but their memory debugging output will announce it now
-     rather than letting it slide.
-
-     Besides the addition of CRYPTO_cleanup_all_ex_data(), another API change
-     induced by the "ex_data" overhaul is that X509_STORE_CTX_init() now
-     has a return value to indicate success or failure.
-     [Geoff Thorpe]
-
-  *) Make it possible to replace the underlying "ERR" functions such that the
-     global state (2 LHASH tables and 2 locks) is only used by the "default"
-     implementation. This change also adds two functions to "get" and "set"
-     the implementation prior to it being automatically set the first time
-     any other ERR function takes place. Ie. an application can call "get",
-     pass the return value to a module it has just loaded, and that module
-     can call its own "set" function using that value. This means the
-     module's "ERR" operations will use (and modify) the error state in the
-     application and not in its own statically linked copy of OpenSSL code.
-     [Geoff Thorpe]
-
-  *) Give DH, DSA, and RSA types their own "**_up_ref()" function to increment
-     reference counts. This performs normal REF_PRINT/REF_CHECK macros on
-     the operation, and provides a more encapsulated way for external code
-     (crypto/evp/ and ssl/) to do this. Also changed the evp and ssl code
-     to use these functions rather than manually incrementing the counts.
-
-     Also rename "DSO_up()" function to more descriptive "DSO_up_ref()".
-     [Geoff Thorpe]
-
-  *) Add EVP test program.
-     [Ben Laurie]
-
-  *) Add symmetric cipher support to ENGINE. Expect the API to change!
-     [Ben Laurie]
-
-  *) New CRL functions: X509_CRL_set_version(), X509_CRL_set_issuer_name()
-     X509_CRL_set_lastUpdate(), X509_CRL_set_nextUpdate(), X509_CRL_sort(),
-     X509_REVOKED_set_serialNumber(), and X509_REVOKED_set_revocationDate().
-     These allow a CRL to be built without having to access X509_CRL fields
-     directly. Modify 'ca' application to use new functions.
-     [Steve Henson]
-
-  *) Move SSL_OP_TLS_ROLLBACK_BUG out of the SSL_OP_ALL list of recommended
-     bug workarounds. Rollback attack detection is a security feature.
-     The problem will only arise on OpenSSL servers when TLSv1 is not
-     available (sslv3_server_method() or SSL_OP_NO_TLSv1).
-     Software authors not wanting to support TLSv1 will have special reasons
-     for their choice and can explicitly enable this option.
-     [Bodo Moeller, Lutz Jaenicke]
-
-  *) Rationalise EVP so it can be extended: don't include a union of
-     cipher/digest structures, add init/cleanup functions for EVP_MD_CTX
-     (similar to those existing for EVP_CIPHER_CTX).
-     Usage example:
-
-         EVP_MD_CTX md;
-
-         EVP_MD_CTX_init(&md);             /* new function call */
-         EVP_DigestInit(&md, EVP_sha1());
-         EVP_DigestUpdate(&md, in, len);
-         EVP_DigestFinal(&md, out, NULL);
-         EVP_MD_CTX_cleanup(&md);          /* new function call */
-
-     [Ben Laurie]
-
-  *) Make DES key schedule conform to the usual scheme, as well as
-     correcting its structure. This means that calls to DES functions
-     now have to pass a pointer to a des_key_schedule instead of a
-     plain des_key_schedule (which was actually always a pointer
-     anyway): E.g.,
-
-         des_key_schedule ks;
-
-         des_set_key_checked(..., &ks);
-         des_ncbc_encrypt(..., &ks, ...);
-
-     (Note that a later change renames 'des_...' into 'DES_...'.)
-     [Ben Laurie]
-
-  *) Initial reduction of linker bloat: the use of some functions, such as
-     PEM causes large amounts of unused functions to be linked in due to
-     poor organisation. For example pem_all.c contains every PEM function
-     which has a knock on effect of linking in large amounts of (unused)
-     ASN1 code. Grouping together similar functions and splitting unrelated
-     functions prevents this.
-     [Steve Henson]
-
-  *) Cleanup of EVP macros.
-     [Ben Laurie]
-
-  *) Change historical references to {NID,SN,LN}_des_ede and ede3 to add the
-     correct _ecb suffix.
-     [Ben Laurie]
-
-  *) Add initial OCSP responder support to ocsp application. The
-     revocation information is handled using the text based index
-     use by the ca application. The responder can either handle
-     requests generated internally, supplied in files (for example
-     via a CGI script) or using an internal minimal server.
-     [Steve Henson]
-
-  *) Add configuration choices to get zlib compression for TLS.
-     [Richard Levitte]
-
-  *) Changes to Kerberos SSL for RFC 2712 compliance:
-     1.  Implemented real KerberosWrapper, instead of just using
-         KRB5 AP_REQ message.  [Thanks to Simon Wilkinson <sxw@sxw.org.uk>]
-     2.  Implemented optional authenticator field of KerberosWrapper.
-
-     Added openssl-style ASN.1 macros for Kerberos ticket, ap_req,
-     and authenticator structs; see crypto/krb5/.
-
-     Generalized Kerberos calls to support multiple Kerberos libraries.
-     [Vern Staats <staatsvr@asc.hpc.mil>,
-      Jeffrey Altman <jaltman@columbia.edu>
-      via Richard Levitte]
-
-  *) Cause 'openssl speed' to use fully hard-coded DSA keys as it
-     already does with RSA. testdsa.h now has 'priv_key/pub_key'
-     values for each of the key sizes rather than having just
-     parameters (and 'speed' generating keys each time).
-     [Geoff Thorpe]
-
-  *) Speed up EVP routines.
-     Before:
-encrypt
-type              8 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
-des-cbc           4408.85k     5560.51k     5778.46k     5862.20k     5825.16k
-des-cbc           4389.55k     5571.17k     5792.23k     5846.91k     5832.11k
-des-cbc           4394.32k     5575.92k     5807.44k     5848.37k     5841.30k
-decrypt
-des-cbc           3482.66k     5069.49k     5496.39k     5614.16k     5639.28k
-des-cbc           3480.74k     5068.76k     5510.34k     5609.87k     5635.52k
-des-cbc           3483.72k     5067.62k     5504.60k     5708.01k     5724.80k
-     After:
-encrypt
-des-cbc           4660.16k     5650.19k     5807.19k     5827.13k     5783.32k
-decrypt
-des-cbc           3624.96k     5258.21k     5530.91k     5624.30k     5628.26k
-     [Ben Laurie]
-
-  *) Added the OS2-EMX target.
-     ["Brian Havard" <brianh@kheldar.apana.org.au> and Richard Levitte]
-
-  *) Rewrite apps to use NCONF routines instead of the old CONF. New functions
-     to support NCONF routines in extension code. New function CONF_set_nconf()
-     to allow functions which take an NCONF to also handle the old LHASH
-     structure: this means that the old CONF compatible routines can be
-     retained (in particular wrt extensions) without having to duplicate the
-     code. New function X509V3_add_ext_nconf_sk to add extensions to a stack.
-     [Steve Henson]
-
-  *) Enhance the general user interface with mechanisms for inner control
-     and with possibilities to have yes/no kind of prompts.
-     [Richard Levitte]
-
-  *) Change all calls to low level digest routines in the library and
-     applications to use EVP. Add missing calls to HMAC_cleanup() and
-     don't assume HMAC_CTX can be copied using memcpy().
-     [Verdon Walker <VWalker@novell.com>, Steve Henson]
-
-  *) Add the possibility to control engines through control names but with
-     arbitrary arguments instead of just a string.
-     Change the key loaders to take a UI_METHOD instead of a callback
-     function pointer.  NOTE: this breaks binary compatibility with earlier
-     versions of OpenSSL [engine].
-     Adapt the nCipher code for these new conditions and add a card insertion
-     callback.
-     [Richard Levitte]
-
-  *) Enhance the general user interface with mechanisms to better support
-     dialog box interfaces, application-defined prompts, the possibility
-     to use defaults (for example default passwords from somewhere else)
-     and interrupts/cancellations.
-     [Richard Levitte]
-
-  *) Tidy up PKCS#12 attribute handling. Add support for the CSP name
-     attribute in PKCS#12 files, add new -CSP option to pkcs12 utility.
-     [Steve Henson]
-
-  *) Fix a memory leak in 'sk_dup()' in the case reallocation fails. (Also
-     tidy up some unnecessarily weird code in 'sk_new()').
-     [Geoff, reported by Diego Tartara <dtartara@novamens.com>]
-
-  *) Change the key loading routines for ENGINEs to use the same kind
-     callback (pem_password_cb) as all other routines that need this
-     kind of callback.
-     [Richard Levitte]
-
-  *) Increase ENTROPY_NEEDED to 32 bytes, as Rijndael can operate with
-     256 bit (=32 byte) keys. Of course seeding with more entropy bytes
-     than this minimum value is recommended.
-     [Lutz Jaenicke]
-
-  *) New random seeder for OpenVMS, using the system process statistics
-     that are easily reachable.
-     [Richard Levitte]
-
-  *) Windows apparently can't transparently handle global
-     variables defined in DLLs. Initialisations such as:
-
-        const ASN1_ITEM *it = &ASN1_INTEGER_it;
-
-     won't compile. This is used by the any applications that need to
-     declare their own ASN1 modules. This was fixed by adding the option
-     EXPORT_VAR_AS_FN to all Win32 platforms, although this isn't strictly
-     needed for static libraries under Win32.
-     [Steve Henson]
-
-  *) New functions X509_PURPOSE_set() and X509_TRUST_set() to handle
-     setting of purpose and trust fields. New X509_STORE trust and
-     purpose functions and tidy up setting in other SSL functions.
-     [Steve Henson]
-
-  *) Add copies of X509_STORE_CTX fields and callbacks to X509_STORE
-     structure. These are inherited by X509_STORE_CTX when it is
-     initialised. This allows various defaults to be set in the
-     X509_STORE structure (such as flags for CRL checking and custom
-     purpose or trust settings) for functions which only use X509_STORE_CTX
-     internally such as S/MIME.
-
-     Modify X509_STORE_CTX_purpose_inherit() so it only sets purposes and
-     trust settings if they are not set in X509_STORE. This allows X509_STORE
-     purposes and trust (in S/MIME for example) to override any set by default.
-
-     Add command line options for CRL checking to smime, s_client and s_server
-     applications.
-     [Steve Henson]
-
-  *) Initial CRL based revocation checking. If the CRL checking flag(s)
-     are set then the CRL is looked up in the X509_STORE structure and
-     its validity and signature checked, then if the certificate is found
-     in the CRL the verify fails with a revoked error.
-
-     Various new CRL related callbacks added to X509_STORE_CTX structure.