Continuing adding X509 V3 support. This starts to integrate the code with
[openssl.git] / CHANGES
1
2  OpenSSL CHANGES
3  _______________
4
5
6  Changes between 0.9.1c and 0.9.2
7
8   *) Continued X509 V3 changes. Add to other makefiles, integrate with the
9      error code, add initial support to X509_print() and x509 application.
10
11   *) Takes a deep breath and start addding X509 V3 extension support code. Add
12      files in crypto/x509v3. Move original stuff to crypto/x509v3/old. All this
13      stuff is currently isolated and isn't even compiled yet.
14      [Steve Henson]
15
16   *) Continuing patches for GeneralizedTime. Fix up certificate and CRL
17      ASN1 to use ASN1_TIME and modify print routines to use ASN1_TIME_print.
18      Removed the versions check from X509 routines when loading extensions:
19      this allows certain broken certificates that don't set the version
20      properly to be processed.
21      [Steve Henson]
22
23   *) Deal with irritating shit to do with dependencies, in YAAHW (Yet Another
24      Ad Hoc Way) - Makefile.ssls now all contain local dependencies, which
25      can still be regenerated with "make depend".
26      [Ben Laurie]
27
28   *) Spelling mistake in C version of CAST-128.
29      [Ben Laurie, reported by Jeremy Hylton <jeremy@cnri.reston.va.us>]
30
31   *) Changes to the error generation code. The perl script err-code.pl 
32      now reads in the old error codes and retains the old numbers, only
33      adding new ones if necessary. It also only changes the .err files if new
34      codes are added. The makefiles have been modified to only insert errors
35      when needed (to avoid needlessly modifying header files). This is done
36      by only inserting errors if the .err file is newer than the auto generated
37      C file. To rebuild all the error codes from scratch (the old behaviour)
38      either modify crypto/Makefile.ssl to pass the -regen flag to err_code.pl
39      or delete all the .err files.
40      [Steve Henson]
41
42   *) CAST-128 was incorrectly implemented for short keys. The C version has
43      been fixed, but is untested. The assembler versions are also fixed, but
44      new assembler HAS NOT BEEN GENERATED FOR WIN32 - the Makefile needs fixing
45      to regenerate it if needed.
46      [Ben Laurie, reported (with fix for C version) by Jun-ichiro itojun
47       Hagino <itojun@kame.net>]
48
49   *) File was opened incorrectly in randfile.c.
50      [Ulf Möller <ulf@fitug.de>]
51
52   *) Beginning of support for GeneralizedTime. d2i, i2d, check and print
53      functions. Also ASN1_TIME suite which is a CHOICE of UTCTime or
54      GeneralizedTime. ASN1_TIME is the proper type used in certificates et
55      al: it's just almost always a UTCTime. Note this patch adds new error
56      codes so do a "make errors" if there are problems.
57      [Steve Henson]
58
59   *) Correct Linux 1 recognition in config.
60      [Ulf Möller <ulf@fitug.de>]
61
62   *) Remove pointless MD5 hash when using DSA keys in ca.
63      [Anonymous <nobody@replay.com>]
64
65   *) Generate an error if given an empty string as a cert directory. Also
66      generate an error if handed NULL (previously returned 0 to indicate an
67      error, but didn't set one).
68      [Ben Laurie, reported by Anonymous <nobody@replay.com>]
69
70   *) Add prototypes to SSL methods. Make SSL_write's buffer const, at last.
71      [Ben Laurie]
72
73   *) Fix the dummy function BN_ref_mod_exp() in rsaref.c to have the correct
74      parameters. This was causing a warning which killed off the Win32 compile.
75      [Steve Henson]
76
77   *) Remove C++ style comments from crypto/bn/bn_local.h.
78      [Neil Costigan <neil.costigan@celocom.com>]
79
80   *) The function OBJ_txt2nid was broken. It was supposed to return a nid
81      based on a text string, looking up short and long names and finally
82      "dot" format. The "dot" format stuff didn't work. Added new function
83      OBJ_txt2obj to do the same but return an ASN1_OBJECT and rewrote 
84      OBJ_txt2nid to use it. OBJ_txt2obj can also return objects even if the
85      OID is not part of the table.
86      [Steve Henson]
87
88   *) Add prototypes to X509 lookup/verify methods, fixing a bug in
89      X509_LOOKUP_by_alias().
90      [Ben Laurie]
91
92   *) Sort openssl functions by name.
93      [Ben Laurie]
94
95   *) Get the gendsa program working (hopefully) and add it to app list. Remove
96      encryption from sample DSA keys (in case anyone is interested the password
97      was "1234").
98      [Steve Henson]
99
100   *) Make _all_ *_free functions accept a NULL pointer.
101      [Frans Heymans <fheymans@isaserver.be>]
102
103   *) If a DH key is generated in s3_srvr.c, don't blow it by trying to use
104      NULL pointers.
105      [Anonymous <nobody@replay.com>]
106
107   *) s_server should send the CAfile as acceptable CAs, not its own cert.
108      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
109
110   *) Don't blow it for numeric -newkey arguments to apps/req.
111      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
112
113   *) Temp key "for export" tests were wrong in s3_srvr.c.
114      [Anonymous <nobody@replay.com>]
115
116   *) Add prototype for temp key callback functions
117      SSL_CTX_set_tmp_{rsa,dh}_callback().
118      [Ben Laurie]
119
120   *) Make DH_free() tolerate being passed a NULL pointer (like RSA_free() and
121      DSA_free()). Make X509_PUBKEY_set() check for errors in d2i_PublicKey().
122      [Steve Henson]
123
124   *) X509_name_add_entry() freed the wrong thing after an error.
125      [Arne Ansper <arne@ats.cyber.ee>]
126
127   *) rsa_eay.c would attempt to free a NULL context.
128      [Arne Ansper <arne@ats.cyber.ee>]
129
130   *) BIO_s_socket() had a broken should_retry() on Windoze.
131      [Arne Ansper <arne@ats.cyber.ee>]
132
133   *) BIO_f_buffer() didn't pass on BIO_CTRL_FLUSH.
134      [Arne Ansper <arne@ats.cyber.ee>]
135
136   *) Make sure the already existing X509_STORE->depth variable is initialized
137      in X509_STORE_new(), but document the fact that this variable is still
138      unused in the certificate verification process.
139      [Ralf S. Engelschall]
140
141   *) Fix the various library and apps files to free up pkeys obtained from
142      X509_PUBKEY_get() et al. Also allow x509.c to handle netscape extensions.
143      [Steve Henson]
144
145   *) Fix reference counting in X509_PUBKEY_get(). This makes
146      demos/maurice/example2.c work, amongst others, probably.
147      [Steve Henson and Ben Laurie]
148
149   *) First cut of a cleanup for apps/. First the `ssleay' program is now named
150      `openssl' and second, the shortcut symlinks for the `openssl <command>'
151      are no longer created. This way we have a single and consistent command
152      line interface `openssl <command>', similar to `cvs <command>'.
153      [Ralf S. Engelschall, Paul Sutton and Ben Laurie]
154
155   *) ca.c: move test for DSA keys inside #ifndef NO_DSA. Make pubkey
156      BIT STRING wrapper always have zero unused bits.
157      [Steve Henson]
158
159   *) Add CA.pl, perl version of CA.sh, add extended key usage OID.
160      [Steve Henson]
161
162   *) Make the top-level INSTALL documentation easier to understand.
163      [Paul Sutton]
164
165   *) Makefiles updated to exit if an error occurs in a sub-directory
166      make (including if user presses ^C) [Paul Sutton]
167
168   *) Make Montgomery context stuff explicit in RSA data structure.
169      [Ben Laurie]
170
171   *) Fix build order of pem and err to allow for generated pem.h.
172      [Ben Laurie]
173
174   *) Fix renumbering bug in X509_NAME_delete_entry().
175      [Ben Laurie]
176
177   *) Enhanced the err-ins.pl script so it makes the error library number 
178      global and can add a library name. This is needed for external ASN1 and
179      other error libraries.
180      [Steve Henson]
181
182   *) Fixed sk_insert which never worked properly.
183      [Steve Henson]
184
185   *) Fix ASN1 macros so they can handle indefinite length construted 
186      EXPLICIT tags. Some non standard certificates use these: they can now
187      be read in.
188      [Steve Henson]
189
190   *) Merged the various old/obsolete SSLeay documentation files (doc/xxx.doc)
191      into a single doc/ssleay.txt bundle. This way the information is still
192      preserved but no longer messes up this directory. Now it's new room for
193      the new set of documenation files.
194      [Ralf S. Engelschall]
195
196   *) SETs were incorrectly DER encoded. This was a major pain, because they
197      shared code with SEQUENCEs, which aren't coded the same. This means that
198      almost everything to do with SETs or SEQUENCEs has either changed name or
199      number of arguments.
200      [Ben Laurie, based on a partial fix by GP Jayan <gp@nsj.co.jp>]
201
202   *) Fix test data to work with the above.
203      [Ben Laurie]
204
205   *) Fix the RSA header declarations that hid a bug I fixed in 0.9.0b but
206      was already fixed by Eric for 0.9.1 it seems.
207      [Ben Laurie - pointed out by Ulf Möller <ulf@fitug.de>]
208
209   *) Autodetect FreeBSD3.
210      [Ben Laurie]
211
212   *) Fix various bugs in Configure. This affects the following platforms:
213      nextstep
214      ncr-scde
215      unixware-2.0
216      unixware-2.0-pentium
217      sco5-cc.
218      [Ben Laurie]
219
220   *) Eliminate generated files from CVS. Reorder tests to regenerate files
221      before they are needed.
222      [Ben Laurie]
223
224   *) Generate Makefile.ssl from Makefile.org (to keep CVS happy).
225      [Ben Laurie]
226
227  Changes between 0.9.1b and 0.9.1c
228
229   *) Added OPENSSL_VERSION_NUMBER to crypto/crypto.h and 
230      changed SSLeay to OpenSSL in version strings.
231      [Ralf S. Engelschall]
232   
233   *) Some fixups to the top-level documents.
234      [Paul Sutton]
235
236   *) Fixed the nasty bug where rsaref.h was not found under compile-time
237      because the symlink to include/ was missing.
238      [Ralf S. Engelschall]
239
240   *) Incorporated the popular no-RSA/DSA-only patches 
241      which allow to compile a RSA-free SSLeay.
242      [Andrew Cooke / Interrader Ldt., Ralf S. Engelschall]
243
244   *) Fixed nasty rehash problem under `make -f Makefile.ssl links'
245      when "ssleay" is still not found.
246      [Ralf S. Engelschall]
247
248   *) Added more platforms to Configure: Cray T3E, HPUX 11, 
249      [Ralf S. Engelschall, Beckmann <beckman@acl.lanl.gov>]
250
251   *) Updated the README file.
252      [Ralf S. Engelschall]
253
254   *) Added various .cvsignore files in the CVS repository subdirs
255      to make a "cvs update" really silent.
256      [Ralf S. Engelschall]
257
258   *) Recompiled the error-definition header files and added
259      missing symbols to the Win32 linker tables.
260      [Ralf S. Engelschall]
261
262   *) Cleaned up the top-level documents;
263      o new files: CHANGES and LICENSE
264      o merged VERSION, HISTORY* and README* files a CHANGES.SSLeay 
265      o merged COPYRIGHT into LICENSE
266      o removed obsolete TODO file
267      o renamed MICROSOFT to INSTALL.W32
268      [Ralf S. Engelschall]
269
270   *) Removed dummy files from the 0.9.1b source tree: 
271      crypto/asn1/x crypto/bio/cd crypto/bio/fg crypto/bio/grep crypto/bio/vi
272      crypto/bn/asm/......add.c crypto/bn/asm/a.out crypto/dsa/f crypto/md5/f
273      crypto/pem/gmon.out crypto/perlasm/f crypto/pkcs7/build crypto/rsa/f
274      crypto/sha/asm/f crypto/threads/f ms/zzz ssl/f ssl/f.mak test/f
275      util/f.mak util/pl/f util/pl/f.mak crypto/bf/bf_locl.old apps/f
276      [Ralf S. Engelschall]
277
278   *) Added various platform portability fixes.
279      [Mark J. Cox]
280
281   *) The Genesis of the OpenSSL rpject:
282      We start with the latest (unreleased) SSLeay version 0.9.1b which Eric A.
283      Young and Tim J. Hudson created while they were working for C2Net until
284      summer 1998.
285      [The OpenSSL Project]
286  
287  Changes between 0.9.0b and 0.9.1b
288
289   *) Updated a few CA certificates under certs/
290      [Eric A. Young]
291
292   *) Changed some BIGNUM api stuff.
293      [Eric A. Young]
294
295   *) Various platform ports: OpenBSD, Ultrix, IRIX 64bit, NetBSD, 
296      DGUX x86, Linux Alpha, etc.
297      [Eric A. Young]
298
299   *) New COMP library [crypto/comp/] for SSL Record Layer Compression: 
300      RLE (dummy implemented) and ZLIB (really implemented when ZLIB is
301      available).
302      [Eric A. Young]
303
304   *) Add -strparse option to asn1pars program which parses nested 
305      binary structures 
306      [Dr Stephen Henson <shenson@bigfoot.com>]
307
308   *) Added "oid_file" to ssleay.cnf for "ca" and "req" programs.
309      [Eric A. Young]
310
311   *) DSA fix for "ca" program.
312      [Eric A. Young]
313
314   *) Added "-genkey" option to "dsaparam" program.
315      [Eric A. Young]
316
317   *) Added RIPE MD160 (rmd160) message digest.
318      [Eric A. Young]
319
320   *) Added -a (all) option to "ssleay version" command.
321      [Eric A. Young]
322
323   *) Added PLATFORM define which is the id given to Configure.
324      [Eric A. Young]
325
326   *) Added MemCheck_XXXX functions to crypto/mem.c for memory checking.
327      [Eric A. Young]
328
329   *) Extended the ASN.1 parser routines.
330      [Eric A. Young]
331
332   *) Extended BIO routines to support REUSEADDR, seek, tell, etc.
333      [Eric A. Young]
334
335   *) Added a BN_CTX to the BN library.
336      [Eric A. Young]
337
338   *) Fixed the weak key values in DES library
339      [Eric A. Young]
340
341   *) Changed API in EVP library for cipher aliases.
342      [Eric A. Young]
343
344   *) Added support for RC2/64bit cipher.
345      [Eric A. Young]
346
347   *) Converted the lhash library to the crypto/mem.c functions.
348      [Eric A. Young]
349
350   *) Added more recognized ASN.1 object ids.
351      [Eric A. Young]
352
353   *) Added more RSA padding checks for SSL/TLS.
354      [Eric A. Young]
355
356   *) Added BIO proxy/filter functionality.
357      [Eric A. Young]
358
359   *) Added extra_certs to SSL_CTX which can be used
360      send extra CA certificates to the client in the CA cert chain sending
361      process. It can be configured with SSL_CTX_add_extra_chain_cert().
362      [Eric A. Young]
363
364   *) Now Fortezza is denied in the authentication phase because
365      this is key exchange mechanism is not supported by SSLeay at all.
366      [Eric A. Young]
367
368   *) Additional PKCS1 checks.
369      [Eric A. Young]
370
371   *) Support the string "TLSv1" for all TLS v1 ciphers.
372      [Eric A. Young]
373
374   *) Added function SSL_get_ex_data_X509_STORE_CTX_idx() which gives the
375      ex_data index of the SSL context in the X509_STORE_CTX ex_data.
376      [Eric A. Young]
377
378   *) Fixed a few memory leaks.
379      [Eric A. Young]
380
381   *) Fixed various code and comment typos.
382      [Eric A. Young]
383
384   *) A minor bug in ssl/s3_clnt.c where there would always be 4 0 
385      bytes sent in the client random.
386      [Edward Bishop <ebishop@spyglass.com>]
387