If TLS peer authentication not required, the client does nonetheless, allow it to fail

Support different authentication schemes for PT-TLS

Request a TLS client certificate even if no peer identity is given

This allows a peer to perform client authentication if it wants, but skip
it if not.

Wrap tls_t.get_{server,peer}_id methods in tls_socket_t

Delegate tls_t.get_{peer,server}_id to handshake layer

This allows to get updated peer identities if the peer can't authenticate,
or does when it is optional.

Implement a SASL PLAIN mechanism using shared secrets

Implement SASL authentication in PT-TLS client

Implement SASL authentication in PT-TLS server

Define PT-TLS SASL result codes

Define an interface for SASL mechanisms and provide a static factory

Pass a client identity to pt_tls_client, usable for TLS or SASL authentication

Don't close underlying file descriptor before destroying a tls_socket

tls_socket cleanup usually sends a TLS close notify, for which it uses a valid
socket.

Use SIGUSR2 for SIG_CANCEL on Android

SIGRTMIN is defined as 32 while sigset_t is defined as
unsigned long (i.e. holds 32 signals).  Hence, the signal
could never be blocked.  Sending the signal still canceled
threads, but sometimes in situations where they shouldn't
have been canceled (e.g. while holding a lock).

Fixes #298.

Android.mk updated to latest Makefiles

Fixes #300.

Check kvm command existence in start-testing

openssl: Disable PKCS#7/CMS when building against OpenSSL < 0.9.8g

Fixes #292.

version bump to 5.0.3dr2

treat IF-M and IF-TNCCS remediation instructions/parameters in an equal way

Merge branch 'dnssec'

NEWS about ipseckey and unbound plugins added

Added ikev2/rw-dnssec scenario

Added ikev2/net2net-dnssec scenario

Configure winnetou as a DNSSEC enabled nameserver for the strongswan.org, org, and root zones

Build unbound and ipseckey plugins on KVM image

Streamlined log messages in ipseckey plugin

Encode RSA public keys in RFC 3110 DNSKEY format

Moved configuration from resolver manager to unbound plugin

Also streamlined log messages in unbound plugin.

ipseckey: Report IPSECKEYs with invalid DNSSEC security state

ipseckey: Added "enable" option for the IPSECKEY plugin to strongswan.conf

Added ipseckey plugin, which provides support for public keys in IPSECKEY RRs

Implemented the resolver test script "dnssec"

unbound: Implementation of query method of unbound_resolver_t

unbound: Implemented resolver_response_t as unbound_response_t

Implemented rr_set_t interface

unbound: Implemented rr_t as unbound_rr_t

Added unbound plugin implementing the resolver interface using libunbound

Added manager for DNS resolvers

Added interface for DNS resolvers

added missing return statement

Fix encoding of issuerAndSubject while handling SCEP pending state

reject PB-Experimental messages with NOSKIP flag set

added parameter descriptions

removed superfluous debug output

Add a timeout to clean up PDP RADIUS connections

Keep the PDP connections lock while accessing its objects

When we introduce connection timeouts, the state may disappear at any time.
This change prevents that, but is not very clear. We probably have to refactor
connection handling.

Add locking to TNC-PDP connections

Add IF-M message subtype getter to IMC/IMV messages

Use a generic constructor to create PA-TNC error attributes

Add a global return_success() method implementation

Add a convenience method to check pen_type_t for vendor and type

Add a comparison function for pen_type_t

Whitespace and comment cleanups in pen.[ch]

resolve dependency on libtls

Merge branch 'ike-dscp'

Check if recommendations is set before applying language preference

PT-TLS dispatcher TNCCS constructor takes peer identities to pass to factory

Merge branch 'pt-tls'

Remove leading zeros in SCEP certificate serialNumbers

Fix 'stroke loglevel any'

Before b46a5cd4 this worked if debug_t was unsigned.  In that case -1,
as returned by enum_from_name(), would result in a large positive number.
So any unknown debug group (including 'any') had the same effect that
was only intended for 'any'.

added ikev1/net2net-fragmentation scenario

treat EAP identities as user IDs

use EAP identity in tnc/tnccs-20-pdp scenario

make TNC client authentication type available to IMVs

determine underlying IF-T transport protocol

make AR identities available to IMVs via IF-IMV 1.4 draft

Make IKE/EAP IDs available to TNC server/client

Don't use a time_t variable with fscanf when parsing uptime

Because "%u" is used as format string in the fscanf call that parses the
uptime and because the length of time_t varies on different platforms
and architectures the value was not written properly if time_t was longer
than an unsigned int and depending on how the target variable was aligned
on the stack.  Since there is no conversion specifier to properly parse a
time_t value we use the appropriate integer type instead.

Allow more than one CERTREQ payload for IKEv2

There is no reason not to do so (RFC 5996 explicitly mentions multiple
CERTREQ payloads) and some implementations seem to use the same behavior
as had to be used with IKEv1 (i.e. each CA in its own CERTREQ payload).

Add a --httptimeout option to scepclient

Use CURL_TIMEOUT and not CURL_CONNECTTIMEOUT for FETCHER_TIMEOUT in curl

This allows us to use this timeout beyond DNS resolution. For the initial
connect, we use a hardcoded timeout of 10s for now.

Add ikedscp documentation to ipsec.conf.5

Add a ikedscp ipsec.conf option to set DSCP value on outgoing IKE packets

Set configured DSCP value while generating IKE packets

Add a DSCP configuration value to IKE configs

Set DSCP values when sending IP packets in socket-default

Don't send a packet in default socket if family is not IPv4 nor IPv6

Add a DSCP value with getter/setter on packet_t

Avoid extensive casting of sockaddr types in socket-default by using a union

Additionally fixes a strict-aliasing rule compiler warning with older gcc.

Set sockaddr family on ifreq instead of casted familiy specific sockaddr

Fixes a strict-aliasing rule compiler warning with older gcc.

Report enabled plugins at the end of configure

Streamlined comments in configure.in

dnl should only be used in rare cases (like escaping newlines)

Updated configure.in to newer autoconf

AC_TRY_COMPILE and AC_TRY_RUN are deprecated.  The new construct with
AC_*_IFELSE and AC_LANG_PROGRAM requires double quoting the source code
of these test programs.

Add a configure option to disable all default plugins

The --disable-defaults option disables all plugins that would be
enabled by default.  This allows to selectively enable specific plugins
without issues when new default options get added in future releases.

time is a time_t pointer

version bump to 5.0.3dr1

improved control when an attribute request is sent

print PEN value 0xfffffe as Unassigned

send an error attribute if vendor ID or type of received attribute is reserved

openssl: Properly honor OPENSSL_NO_* defines

Fix Doxygen comment for rdrand plugin

Typo in strongswan.conf(5) man page fixed

version bump to 5.0.2

Documented new options in strongswan.conf(5) man page

Don't use pointer to a union member in host_create_from_string_and_family()

Properly check MSB in openssl plugin's PKCS#7 implementation

Use proper buffer sizes for parse_smartcard()

Cast first argument for %.*s to int

Removed unused command name when printing usage info for lookip

Removed unused argument

Properly read data from stream in pki --pkcs7