version bump to strongswan-4.5.1rc1

added tnccs_dynamic plugin and tnccs_11 refactoring to NEWS

added comment to determine_tnccs_protocol() function

implemented dynamic detection of TNCCS protocol

Do not log potentially hundreds of cert requests for unknown CAs at level 1

Use wrapped threading functions in ha plugin

Load load-tester plugin before kernel interfaces, fixes fake_kernel option

Increase tls_writer buffer by at least 4 bytes

Fix potential use after free

Whitelist gnutls init function

Implemented an alternative HTTP fetcher based on libsoup

Added simple fetcher tool to test fetcher implementations

backtrace->contains_function takes multiple names, speeding up whitelist check drastically

Add some common glib non-leaks to whitelist

Add missing va_end to va_start in curl_fetcher

Do not pass an enum type to va_arg

Use newer Linux capability native API, if available

Do not install config files with user/group, as it might not exist on build machine

Compare ending address in ts->equals, fixes redundant traffic selector elimination

Revert "Send INITIAL_CONTACT even if we have a unique policy"

It makes sense to omit INITIAL_CONTACT if don't have a unique policy,
as a client might want to connect from different devices to the same
account.

This reverts commit 719c33b41a1f9fe9b2585df3e7aa804a760c361c.

Fixed memory cleanup if no DHCP transaction found for an OFFER

Force port update as responder when initiator switches to 4500 in IKE_AUTH

Avoid variable name overloading

terminate TNCCS 1.1 connection after sending recommendation

fixed XML syntax for TNCCS-Recommendation messages

implemented check_and_build_recommendation()

correct numbering of batches

initialize the reference count correctly

handle zero size Base64 conversions

communicate DELETE state to IMCs and IMVs

Send INITIAL_CONTACT even if we have a unique policy

implemented parsing of TNCCS 1.1 messages

send notifyConnectionChange() to IMCs

suiteb directory hasn't been moved to Master yet

generate TNCCS-Error messages

created process() method for TNCCS messages

Added NEWS for ipsec.conf certpolicy and key strength options

Added support for trustchain key strength checking to rightauth option

Added a left/rightcertpolicy keyword to specify certificatePolicy requirements

Fix nonce comparison in rekey collisions, lowest nonce loses

corrected naming of tnccs_reason_strings_msg_t object

do not forget to advance node

libcharon plugins depend on libtls and/or libsimaka

fixed cert_validator_t:validate interface

implemented TNCCS 1.1 without libtnc

compute memory requirement for PEM-encoding correctly

Added delta CRL NEWS

Added constraints plugin NEWS

Added conftest NEWS

Added NEWS about INITIAL_CONTACT support

Destroy existing IKE_SAs with same identities when receiving INITIAL_CONTACT

Send INITIAL_CONTACT for the first IKE_SA if it has a unique policy

Migrated ike_sa_manager_t to INIT/METHOD macros, some cleanups

Added option to use a different key when rebuilding AUTH

Do not print empty DN identities as invalid

Added support for empty subjects DNs to pki --issue

Added support for OCSP responder URIs to conftest

Added support for delta CRL checking to revocation plugin

Use incremented serial of base CRL when signing delta CRL

Show base CRL of delta CRLs in listcrls

Verify trustchain for each candidate certificate only once

Provide CRLs received in CERT payloads to trustchain verification

Added an AUTH_HELPER for revocation certificates

Added support for CDPs to conftest

Added CDP support to mem_cred

Check for issuer only if we actually got a CRL

Updated conftest README

Added support for custom file loggers, loglevel settings

Check inhibitAnyPolicy in constraints plugin

Slightly renamed different policyConstraints to distinguish them better

Added inhibitAnyPolicy constraint support to pki tool

Added support for inhibitAnyPolicy constraint to x509 plugin

Use a generic getter for all numerical X.509 constraints

Check inhibitPolicyMapping in constraints plugin

Check requireExplicitPolicy in constraints plugin

Include subject cert to temporary auth info before completing trustchain

Fail silently when trying to convert IPv6 address to v4 family host

Pass an additional anchor flag to validate() hook if we reach the root CA

Always pass auth info to validate(), use pathlen to check for user certificate

Merge test config into suite config, instead of having two distinct configs

Added support for delta CRLs to pki tool

Added support for delta CRLs to x509 plugin

Moved CRL distribution point building to an exportable function

Simplified format of x509 CRL URI parsing/enumerator

Fail on critical extensions in openssl CRLs

Respect enforce_critical setting in x509 plugin CRLs

Parse CRL extensions in a switch statement

Respect policy mappings in certificatePolicy validation

Added a cert_policy option to conftest configurations

Validate simple certificatePolicy inheritance

Added a certificate policy OID auth_cfg constraint

Added policyConstraints support to pki tool

Added support for policyConstraints to x509 plugin

Slightly renamed X509_NO_PATH_LEN_CONSTRAINT to use it for PolicyConstraints, too

Added policyMappings support to pki tool

Added policyMappings support to x509 plugin

Added policyMappings OID identifier

Added certificatePolicy options to pki tool

Added certificatePolicy support to x509 plugin

Added a null-safe strdup variant