CHANGES

   1
   2  OpenSSL CHANGES
   3  _______________
   4
   5
   6  Changes between 0.9.1c and 0.9.2
   7
   8   *) Add ASN1 and PEM code to support netscape certificate sequences.
   9      [Steve Henson]
  10
  11   *) Add several PKIX and private extended key usage OIDs.
  12      [Steve Henson]
  13
  14   *) Modify the 'ca' program to handle the new extension code. Modify
  15      openssl.cnf for new extension format, add comments.
  16      [Steve Henson]
  17
  18   *) More X509 V3 changes. Fix typo in v3_bitstr.c. Add support to 'req'
  19      and add a sample to openssl.cnf so req -x509 now adds appropriate
  20      CA extensions.
  21      [Steve Henson]
  22
  23   *) Continued X509 V3 changes. Add to other makefiles, integrate with the
  24      error code, add initial support to X509_print() and x509 application.
  25      [Steve Henson]
  26
  27   *) Takes a deep breath and start addding X509 V3 extension support code. Add
  28      files in crypto/x509v3. Move original stuff to crypto/x509v3/old. All this
  29      stuff is currently isolated and isn't even compiled yet.
  30      [Steve Henson]
  31
  32   *) Continuing patches for GeneralizedTime. Fix up certificate and CRL
  33      ASN1 to use ASN1_TIME and modify print routines to use ASN1_TIME_print.
  34      Removed the versions check from X509 routines when loading extensions:
  35      this allows certain broken certificates that don't set the version
  36      properly to be processed.
  37      [Steve Henson]
  38
  39   *) Deal with irritating shit to do with dependencies, in YAAHW (Yet Another
  40      Ad Hoc Way) - Makefile.ssls now all contain local dependencies, which
  41      can still be regenerated with "make depend".
  42      [Ben Laurie]
  43
  44   *) Spelling mistake in C version of CAST-128.
  45      [Ben Laurie, reported by Jeremy Hylton <jeremy@cnri.reston.va.us>]
  46
  47   *) Changes to the error generation code. The perl script err-code.pl
  48      now reads in the old error codes and retains the old numbers, only
  49      adding new ones if necessary. It also only changes the .err files if new
  50      codes are added. The makefiles have been modified to only insert errors
  51      when needed (to avoid needlessly modifying header files). This is done
  52      by only inserting errors if the .err file is newer than the auto generated
  53      C file. To rebuild all the error codes from scratch (the old behaviour)
  54      either modify crypto/Makefile.ssl to pass the -regen flag to err_code.pl
  55      or delete all the .err files.
  56      [Steve Henson]
  57
  58   *) CAST-128 was incorrectly implemented for short keys. The C version has
  59      been fixed, but is untested. The assembler versions are also fixed, but
  60      new assembler HAS NOT BEEN GENERATED FOR WIN32 - the Makefile needs fixing
  61      to regenerate it if needed.
  62      [Ben Laurie, reported (with fix for C version) by Jun-ichiro itojun
  63       Hagino <itojun@kame.net>]
  64
  65   *) File was opened incorrectly in randfile.c.
  66      [Ulf Möller <ulf@fitug.de>]
  67
  68   *) Beginning of support for GeneralizedTime. d2i, i2d, check and print
  69      functions. Also ASN1_TIME suite which is a CHOICE of UTCTime or
  70      GeneralizedTime. ASN1_TIME is the proper type used in certificates et
  71      al: it's just almost always a UTCTime. Note this patch adds new error
  72      codes so do a "make errors" if there are problems.
  73      [Steve Henson]
  74
  75   *) Correct Linux 1 recognition in config.
  76      [Ulf Möller <ulf@fitug.de>]
  77
  78   *) Remove pointless MD5 hash when using DSA keys in ca.
  79      [Anonymous <nobody@replay.com>]
  80
  81   *) Generate an error if given an empty string as a cert directory. Also
  82      generate an error if handed NULL (previously returned 0 to indicate an
  83      error, but didn't set one).
  84      [Ben Laurie, reported by Anonymous <nobody@replay.com>]
  85
  86   *) Add prototypes to SSL methods. Make SSL_write's buffer const, at last.
  87      [Ben Laurie]
  88
  89   *) Fix the dummy function BN_ref_mod_exp() in rsaref.c to have the correct
  90      parameters. This was causing a warning which killed off the Win32 compile.
  91      [Steve Henson]
  92
  93   *) Remove C++ style comments from crypto/bn/bn_local.h.
  94      [Neil Costigan <neil.costigan@celocom.com>]
  95
  96   *) The function OBJ_txt2nid was broken. It was supposed to return a nid
  97      based on a text string, looking up short and long names and finally
  98      "dot" format. The "dot" format stuff didn't work. Added new function
  99      OBJ_txt2obj to do the same but return an ASN1_OBJECT and rewrote
 100      OBJ_txt2nid to use it. OBJ_txt2obj can also return objects even if the
 101      OID is not part of the table.
 102      [Steve Henson]
 103
 104   *) Add prototypes to X509 lookup/verify methods, fixing a bug in
 105      X509_LOOKUP_by_alias().
 106      [Ben Laurie]
 107
 108   *) Sort openssl functions by name.
 109      [Ben Laurie]
 110
 111   *) Get the gendsa program working (hopefully) and add it to app list. Remove
 112      encryption from sample DSA keys (in case anyone is interested the password
 113      was "1234").
 114      [Steve Henson]
 115
 116   *) Make _all_ *_free functions accept a NULL pointer.
 117      [Frans Heymans <fheymans@isaserver.be>]
 118
 119   *) If a DH key is generated in s3_srvr.c, don't blow it by trying to use
 120      NULL pointers.
 121      [Anonymous <nobody@replay.com>]
 122
 123   *) s_server should send the CAfile as acceptable CAs, not its own cert.
 124      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
 125
 126   *) Don't blow it for numeric -newkey arguments to apps/req.
 127      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
 128
 129   *) Temp key "for export" tests were wrong in s3_srvr.c.
 130      [Anonymous <nobody@replay.com>]
 131
 132   *) Add prototype for temp key callback functions
 133      SSL_CTX_set_tmp_{rsa,dh}_callback().
 134      [Ben Laurie]
 135
 136   *) Make DH_free() tolerate being passed a NULL pointer (like RSA_free() and
 137      DSA_free()). Make X509_PUBKEY_set() check for errors in d2i_PublicKey().
 138      [Steve Henson]
 139
 140   *) X509_name_add_entry() freed the wrong thing after an error.
 141      [Arne Ansper <arne@ats.cyber.ee>]
 142
 143   *) rsa_eay.c would attempt to free a NULL context.
 144      [Arne Ansper <arne@ats.cyber.ee>]
 145
 146   *) BIO_s_socket() had a broken should_retry() on Windoze.
 147      [Arne Ansper <arne@ats.cyber.ee>]
 148
 149   *) BIO_f_buffer() didn't pass on BIO_CTRL_FLUSH.
 150      [Arne Ansper <arne@ats.cyber.ee>]
 151
 152   *) Make sure the already existing X509_STORE->depth variable is initialized
 153      in X509_STORE_new(), but document the fact that this variable is still
 154      unused in the certificate verification process.
 155      [Ralf S. Engelschall]
 156
 157   *) Fix the various library and apps files to free up pkeys obtained from
 158      X509_PUBKEY_get() et al. Also allow x509.c to handle netscape extensions.
 159      [Steve Henson]
 160
 161   *) Fix reference counting in X509_PUBKEY_get(). This makes
 162      demos/maurice/example2.c work, amongst others, probably.
 163      [Steve Henson and Ben Laurie]
 164
 165   *) First cut of a cleanup for apps/. First the `ssleay' program is now named
 166      `openssl' and second, the shortcut symlinks for the `openssl <command>'
 167      are no longer created. This way we have a single and consistent command
 168      line interface `openssl <command>', similar to `cvs <command>'.
 169      [Ralf S. Engelschall, Paul Sutton and Ben Laurie]
 170
 171   *) ca.c: move test for DSA keys inside #ifndef NO_DSA. Make pubkey
 172      BIT STRING wrapper always have zero unused bits.
 173      [Steve Henson]
 174
 175   *) Add CA.pl, perl version of CA.sh, add extended key usage OID.
 176      [Steve Henson]
 177
 178   *) Make the top-level INSTALL documentation easier to understand.
 179      [Paul Sutton]
 180
 181   *) Makefiles updated to exit if an error occurs in a sub-directory
 182      make (including if user presses ^C) [Paul Sutton]
 183
 184   *) Make Montgomery context stuff explicit in RSA data structure.
 185      [Ben Laurie]
 186
 187   *) Fix build order of pem and err to allow for generated pem.h.
 188      [Ben Laurie]
 189
 190   *) Fix renumbering bug in X509_NAME_delete_entry().
 191      [Ben Laurie]
 192
 193   *) Enhanced the err-ins.pl script so it makes the error library number
 194      global and can add a library name. This is needed for external ASN1 and
 195      other error libraries.
 196      [Steve Henson]
 197
 198   *) Fixed sk_insert which never worked properly.
 199      [Steve Henson]
 200
 201   *) Fix ASN1 macros so they can handle indefinite length construted
 202      EXPLICIT tags. Some non standard certificates use these: they can now
 203      be read in.
 204      [Steve Henson]
 205
 206   *) Merged the various old/obsolete SSLeay documentation files (doc/xxx.doc)
 207      into a single doc/ssleay.txt bundle. This way the information is still
 208      preserved but no longer messes up this directory. Now it's new room for
 209      the new set of documenation files.
 210      [Ralf S. Engelschall]
 211
 212   *) SETs were incorrectly DER encoded. This was a major pain, because they
 213      shared code with SEQUENCEs, which aren't coded the same. This means that
 214      almost everything to do with SETs or SEQUENCEs has either changed name or
 215      number of arguments.
 216      [Ben Laurie, based on a partial fix by GP Jayan <gp@nsj.co.jp>]
 217
 218   *) Fix test data to work with the above.
 219      [Ben Laurie]
 220
 221   *) Fix the RSA header declarations that hid a bug I fixed in 0.9.0b but
 222      was already fixed by Eric for 0.9.1 it seems.
 223      [Ben Laurie - pointed out by Ulf Möller <ulf@fitug.de>]
 224
 225   *) Autodetect FreeBSD3.
 226      [Ben Laurie]
 227
 228   *) Fix various bugs in Configure. This affects the following platforms:
 229      nextstep
 230      ncr-scde
 231      unixware-2.0
 232      unixware-2.0-pentium
 233      sco5-cc.
 234      [Ben Laurie]
 235
 236   *) Eliminate generated files from CVS. Reorder tests to regenerate files
 237      before they are needed.
 238      [Ben Laurie]
 239
 240   *) Generate Makefile.ssl from Makefile.org (to keep CVS happy).
 241      [Ben Laurie]
 242
 243  Changes between 0.9.1b and 0.9.1c
 244
 245   *) Added OPENSSL_VERSION_NUMBER to crypto/crypto.h and
 246      changed SSLeay to OpenSSL in version strings.
 247      [Ralf S. Engelschall]
 248
 249   *) Some fixups to the top-level documents.
 250      [Paul Sutton]
 251
 252   *) Fixed the nasty bug where rsaref.h was not found under compile-time
 253      because the symlink to include/ was missing.
 254      [Ralf S. Engelschall]
 255
 256   *) Incorporated the popular no-RSA/DSA-only patches
 257      which allow to compile a RSA-free SSLeay.
 258      [Andrew Cooke / Interrader Ldt., Ralf S. Engelschall]
 259
 260   *) Fixed nasty rehash problem under `make -f Makefile.ssl links'
 261      when "ssleay" is still not found.
 262      [Ralf S. Engelschall]
 263
 264   *) Added more platforms to Configure: Cray T3E, HPUX 11,
 265      [Ralf S. Engelschall, Beckmann <beckman@acl.lanl.gov>]
 266
 267   *) Updated the README file.
 268      [Ralf S. Engelschall]
 269
 270   *) Added various .cvsignore files in the CVS repository subdirs
 271      to make a "cvs update" really silent.
 272      [Ralf S. Engelschall]
 273
 274   *) Recompiled the error-definition header files and added
 275      missing symbols to the Win32 linker tables.
 276      [Ralf S. Engelschall]
 277
 278   *) Cleaned up the top-level documents;
 279      o new files: CHANGES and LICENSE
 280      o merged VERSION, HISTORY* and README* files a CHANGES.SSLeay
 281      o merged COPYRIGHT into LICENSE
 282      o removed obsolete TODO file
 283      o renamed MICROSOFT to INSTALL.W32
 284      [Ralf S. Engelschall]
 285
 286   *) Removed dummy files from the 0.9.1b source tree:
 287      crypto/asn1/x crypto/bio/cd crypto/bio/fg crypto/bio/grep crypto/bio/vi
 288      crypto/bn/asm/......add.c crypto/bn/asm/a.out crypto/dsa/f crypto/md5/f
 289      crypto/pem/gmon.out crypto/perlasm/f crypto/pkcs7/build crypto/rsa/f
 290      crypto/sha/asm/f crypto/threads/f ms/zzz ssl/f ssl/f.mak test/f
 291      util/f.mak util/pl/f util/pl/f.mak crypto/bf/bf_locl.old apps/f
 292      [Ralf S. Engelschall]
 293
 294   *) Added various platform portability fixes.
 295      [Mark J. Cox]
 296
 297   *) The Genesis of the OpenSSL rpject:
 298      We start with the latest (unreleased) SSLeay version 0.9.1b which Eric A.
 299      Young and Tim J. Hudson created while they were working for C2Net until
 300      summer 1998.
 301      [The OpenSSL Project]
 302
 303  Changes between 0.9.0b and 0.9.1b
 304
 305   *) Updated a few CA certificates under certs/
 306      [Eric A. Young]
 307
 308   *) Changed some BIGNUM api stuff.
 309      [Eric A. Young]
 310
 311   *) Various platform ports: OpenBSD, Ultrix, IRIX 64bit, NetBSD,
 312      DGUX x86, Linux Alpha, etc.
 313      [Eric A. Young]
 314
 315   *) New COMP library [crypto/comp/] for SSL Record Layer Compression:
 316      RLE (dummy implemented) and ZLIB (really implemented when ZLIB is
 317      available).
 318      [Eric A. Young]
 319
 320   *) Add -strparse option to asn1pars program which parses nested
 321      binary structures
 322      [Dr Stephen Henson <shenson@bigfoot.com>]
 323
 324   *) Added "oid_file" to ssleay.cnf for "ca" and "req" programs.
 325      [Eric A. Young]
 326
 327   *) DSA fix for "ca" program.
 328      [Eric A. Young]
 329
 330   *) Added "-genkey" option to "dsaparam" program.
 331      [Eric A. Young]
 332
 333   *) Added RIPE MD160 (rmd160) message digest.
 334      [Eric A. Young]
 335
 336   *) Added -a (all) option to "ssleay version" command.
 337      [Eric A. Young]
 338
 339   *) Added PLATFORM define which is the id given to Configure.
 340      [Eric A. Young]
 341
 342   *) Added MemCheck_XXXX functions to crypto/mem.c for memory checking.
 343      [Eric A. Young]
 344
 345   *) Extended the ASN.1 parser routines.
 346      [Eric A. Young]
 347
 348   *) Extended BIO routines to support REUSEADDR, seek, tell, etc.
 349      [Eric A. Young]
 350
 351   *) Added a BN_CTX to the BN library.
 352      [Eric A. Young]
 353
 354   *) Fixed the weak key values in DES library
 355      [Eric A. Young]
 356
 357   *) Changed API in EVP library for cipher aliases.
 358      [Eric A. Young]
 359
 360   *) Added support for RC2/64bit cipher.
 361      [Eric A. Young]
 362
 363   *) Converted the lhash library to the crypto/mem.c functions.
 364      [Eric A. Young]
 365
 366   *) Added more recognized ASN.1 object ids.
 367      [Eric A. Young]
 368
 369   *) Added more RSA padding checks for SSL/TLS.
 370      [Eric A. Young]
 371
 372   *) Added BIO proxy/filter functionality.
 373      [Eric A. Young]
 374
 375   *) Added extra_certs to SSL_CTX which can be used
 376      send extra CA certificates to the client in the CA cert chain sending
 377      process. It can be configured with SSL_CTX_add_extra_chain_cert().
 378      [Eric A. Young]
 379
 380   *) Now Fortezza is denied in the authentication phase because
 381      this is key exchange mechanism is not supported by SSLeay at all.
 382      [Eric A. Young]
 383
 384   *) Additional PKCS1 checks.
 385      [Eric A. Young]
 386
 387   *) Support the string "TLSv1" for all TLS v1 ciphers.
 388      [Eric A. Young]
 389
 390   *) Added function SSL_get_ex_data_X509_STORE_CTX_idx() which gives the
 391      ex_data index of the SSL context in the X509_STORE_CTX ex_data.
 392      [Eric A. Young]
 393
 394   *) Fixed a few memory leaks.
 395      [Eric A. Young]
 396
 397   *) Fixed various code and comment typos.
 398      [Eric A. Young]
 399
 400   *) A minor bug in ssl/s3_clnt.c where there would always be 4 0
 401      bytes sent in the client random.
 402      [Edward Bishop <ebishop@spyglass.com>]
 403