sleep one second more

use socket-default in scenario

added ikev1/xauth-id-rsa-hybrid scenario

added ikev1/xauth-id-rsa-aggressive scenario

added secret as valid authby argument

rsasig is not recognized as authentication method

enable potentially unsafe aggressive mode

change ikev1/xauth scenarios to modern notation

testing: List IPv6 routing table in IPv6 test cases.

NLM_F_DUMP includes NLM_F_ROOT.

Don't create roam jobs based on cached/cloned routes.

Don't compare ports when comparing cached routes.

At least src_ip has a port set sometimes.

starter: Fixed parsing of %defaultroute.

Adopt children as XAuth initiator (which is IKE responder)

Added 5.0 NEWS about IKEv1 in charon

Print the kind of *Swan during starter startup

Show what kind of *Swan we run in "ipsec status"

Require a scary option to respond to Aggressive Mode PSK requests

While Aggressive Mode PSK is widely used, it is known to be subject
to dictionary attacks by passive attackers. We don't complain as
initiator to be compatible with existing (insecure) setups, but
require a scary strongswan.conf option if someone wants to use it
as responder.

thanks to narrowing treat right|leftsubnetwithin as synonyms for right|leftsubnet

removed plutostart parameter

scepclient: Fixed Makefile after removing enable-smartcard configure option.

Use proper defines for IPV6_PKTINFO on Mac OS X Lion and newer.

Some updates to the INSTALL document.

Removed remaining pluto related configure options.

starter: Print additional help texts for selected deprecated keywords.

starter: Improved how deprecated keywords are handled.

We only throw a warning now instead of rejecting the config.

Revert "starter: Don't treat unsupported keywords as fatal errors just report them."

This reverts commit e55876a657ae9d4bbf14320e5a14f86cc5c31c7f.

NEWS about specifying trustchain HASH algorithm requirements

Add documentation for signature hash algorithm enforcing to man ipsec.conf

Added signature scheme options left/rightauth

Support multiple different public key strength types in constraints

Add signature schemes to auth_cfg during trustchain validation

certificate_t->issued_by takes an argument to receive signature scheme

Define auth_cfg rules for signature schemes

starter: Fixed parsing of left|right=%any.

deleted IKEv1 charon-pluto interoperability scenarios

starter: Fix comparison of connections.

starter: Removed all unsupported keywords.

starter: Don't treat unsupported keywords as fatal errors just report them.

Bye bye Pluto!

Charon will take over IKEv1 duties from here.  This also removes
libfreeswan and whack.

_copyright: Replicate copyright text here instead of calling libfreeswan.

starter: Remove all ties to pluto/libfreeswan.

Moved some types/constants in the process.

starter: Use custom type for SA specific options (flags).

starter: Parse left|rightprotoport directly in confread.c.

starter: No special handling for left|rightsubnet, just pass it on as string.

starter: Use host_t to parse left|rightsourceip.

Also for the yet unused natip option.

starter: Remove left|rightsubnetwithin option (charon narrows left|rightsubnet down accordingly).

starter: Don't resolve any addresses in starter.

Also removed remains of some unknown iface option.

starter: Removed pfs and pfsgroup options (handled via esp option).

starter: Store mode of the IPsec SA/policy in a separate member.

starter: Use custom type to mark seen keywords.

starter: Remove left|rightnexthop option.

Charon does this lookup dynamically.

Implement strdupnull() macro as static inline function.

This avoids compiler warnings if the argument is a const char*.

starter: Replaced all usages of clone_str() with strdupnull().

starter: Parse authby as string.

starter: Remove main parts of pluto support (invoke, whack).

starter: Drop support for %defaultroute.

starter: Migrated logging to libstrongswan.

starter: Remove unneeded starter_exec function.

scepclient: Option added to read PKCS#10 certificate request from a file.

scepclient: Option added to read self-signed certificate from a file.

scepclient: Generate uppercase transaction ID.

scepclient: Use HTTP 1.0 for all requests.

scepclient: Options added to specify digest/signature algorithms.

Also changed the defaults to DES/MD5 as that's what should be used
if GetCACaps is not used to learn the issuers capabilities.

Added function to convert integrity algorithms to hash algorithms (if based on one).

Properly encode 0 in ASN.1.

According to X.690 an INTEGER object always has at least one content
octet.

Don't use chunk_skip() in asn1_length().

chunk_skip() returns chunk_empty if the length of the chunk is equal to
the number of bytes to skip, this is problematic as asn1_length() modifies
the original chunk.  asn1_parser_t for instance uses the modified chunk to
later calculate the length of the resulting ASN.1 object which produces
incorrect results if it is based on chunk_empty.

Changed memory management and call logic in PKCS#7 parser/generator.

Changed memory management and attribute handling in PKCS#9 wrapper.

scepclient: Also number CA certificates in case there is more than one.

Also, only number them if there are multiple certificates.

scepclient: Store received RA certificates, using CA cert name as base.

scepclient: Use pkcs7_t and pkcs9_t, remove all dependencies to pluto/libfreeswan.

Added get_attributes() method to pkcs7_t.

scepclient: Local generation of file names.

scepclient: Replaced usages of datatot().

scepclient: Migrated logging to libstrongswan.

Log group added for applications other than daemons.

scepclient: Some code cleanup.

Updated PKCS#7 parser/generator in libstrongswan.

Added some functionality from pluto's version, updated usage of asn1
and crypto primitives. It does compile but is not really tested yet.

added missing parameter in get_my_addr() and get_other_addr() calls

version bump to 5.0.0rc1

added ikev1/dynamic scenarios using allow-any

removed whitespace

added ikev2/dynamic-two-peers scenario

added ikev2/dynamic-responder scenario

added ikev2/dynamic-initiator scenario

implemented the right|leftallowany feature

Enforce uniqueness policy in IKEv1 main and aggressive modes

starter: Go back to single threaded mode.

Mixing multiple threads and fork(2) wasn't a very good idea it seems.
At least in some environments this caused strange side-effects.

Disabled listening for kernel events in starter.

Try to rekey without KE exchange if peer returns INVALID_KE_PAYLOAD(NONE)

According to RFC5996, implementations should just ignore the KE payload
if they select a non-PFS proposals. Some implementations don't, but
return MODP_NONE in INVALID_KE_PAYLOAD, hence we accept that, too.

While checking for redundant quick modes, compare traffic selectors

If a configuration is instanced more than once using narrowing,
we should keep all unique quick modes up during rekeying.

Store shorter soft lifetime of in- and outbound SAs only

Initiate quick mode rekeying with narrowed traffic selectors

Use traffic selectors passed to quick mode constructor as initiator

Instead of rekeying, delete a quick mode if we have a fresher instance

If both peers initiate quick mode rekeying simultaneously, we end up
with duplicate SAs for a configuration. This can't be avoided, nor do
the standards provide an appropriate solution. Instead of closing one
SA immediately, we keep both. But once rekeying triggers, we don't
refresh the SA with the shorter soft lifetime, but delete it.

Properly handle empty RDN values in DN strings.

Properly install policies with ports in PF_KEY kernel interface.

As responder, enforce the same configuration while rekeying CHILD_SAs

starter: Only handle SIGCHLD asynchronously and the rest in pselect(2).