<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">
<title>
GitLab
</title>



<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">

<h3>
Timo Aaltonen pushed to branch upstream
at <a href="https://salsa.debian.org/freeipa-team/jss">FreeIPA packaging / jss</a>
</h3>
<h4>
Commits:
</h4>
<ul>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a03193298768ca5b5059389aab14af27792894b6">a0319329</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-05T09:38:44-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bump tomcatjss, pki-core conflicts due to lang3

This version of JSS requires apache-commons-lang3 and shouldn't be used
with older version of pki-core as a result.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/eb6086840f5c79ba2ff5b1ccac3fe78ad2482e06">eb608684</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-05T11:36:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Only check PKCS11Constants on beta builds

Recent errors with PKCS11Constants have shown that we shouldn't be
running these tests on release builds for backports: only for
pre-release content. Only run them when the beta bit is set.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d4a53a0cf362a1fb2fd90a933e07520a5fd149e7">d4a53a0c</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-17T13:54:41-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add distribution packages to README

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/145f3a731a6db786343f5a2ae242130223711573">145f3a73</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-19T11:58:24-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Throw better error messages from PK11Signature

Our rawhide sandboxed CI image is currently failing with the cryptic:

    Exception in thread "main" org.mozilla.jss.crypto.TokenException: Unable to create signing context
       at org.mozilla.jss.pkcs11.PK11Signature.initSigContext(Native Method)
       at org.mozilla.jss.pkcs11.PK11Signature.engineInitSign(PK11Signature.java:114)
       at org.mozilla.jss.crypto.Signature.initSign(Signature.java:55)
       at org.mozilla.jss.tests.SigTest.main(SigTest.java:88)

Switch JSS_throwMsg to JSS_throwMsgPrErr so we can get the underlying
error code from these calls.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/bd212d9b776e6da9ceddde0e2b0d683b730a4de9">bd212d9b</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-19T11:58:24-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable use of MD4/MD5 and SHA-1 algorithms

This only applies to the test suite currently. These algorithms are now
disabled by NSS as of version 3.59.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/03ed1f8c43be844465f4e4efe0a63ded5218323c">03ed1f8c</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-23T08:30:33-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace RSAPrivateKey with RSAKey

Per discussion with Andrew Hughes in #java, JCA takes RSAPrivateKey to
mean that the private exponent is extractable. Because the JCA is
careful to use Key most places, we might get away with making
PK11RSAPrivateKey not implement RSAPrivateKey and instead only
implement RSAKey -- signalling to other providers that the private
exponent isn't extractable.

This patch requires careful testing with SunJSSE and Dogtag PKI to
ensure we don't rely on PK11RSAPrivateKey implementing RSAPrivateKey
somewhere.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/822897c01fe47003d701fb173f1b401b7aaca09a">822897c0</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-11-23T08:30:33-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow JSSMacSpi to handle external keys

In JSSCipherSpi, if a key from another provider is passed in, we first
attempt to export it and then import it into NSS. Only when this fails
do we raise an exception. This fixes a failure in JDK8 272-b10 when
JSS is used in conjunction with SunJSSE:

    javax.net.ssl.SSLHandshakeException: Could not generate secret
            at sun.security.ssl.ECDHKeyExchange$ECDHEKAKeyDerivation.t13DeriveKey(ECDHKeyExchange.java:479)
            at sun.security.ssl.ECDHKeyExchange$ECDHEKAKeyDerivation.deriveKey(ECDHKeyExchange.java:419)
            at sun.security.ssl.ServerHello$T13ServerHelloProducer.produce(ServerHello.java:596)
            at sun.security.ssl.SSLHandshake.produce(SSLHandshake.java:421)
            at sun.security.ssl.ClientHello$T13ClientHelloConsumer.goServerHello(ClientHello.java:1152)
            at sun.security.ssl.ClientHello$T13ClientHelloConsumer.consume(ClientHello.java:1088)
            at sun.security.ssl.ClientHello$ClientHelloConsumer.onClientHello(ClientHello.java:725)
            at sun.security.ssl.ClientHello$ClientHelloConsumer.consume(ClientHello.java:693)
            at sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:377)
            at sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:444)
            at sun.security.ssl.SSLEngineImpl$DelegatedTask$DelegatedAction.run(SSLEngineImpl.java:968)
            at sun.security.ssl.SSLEngineImpl$DelegatedTask$DelegatedAction.run(SSLEngineImpl.java:955)
            at java.security.AccessController.doPrivileged(Native Method)
            at sun.security.ssl.SSLEngineImpl$DelegatedTask.run(SSLEngineImpl.java:902)
            at org.apache.tomcat.util.net.SecureNioChannel.tasks(SecureNioChannel.java:443)
            at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:507)
            at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:238)
            at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1575)
            at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
            at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
            at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
            at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
            at java.lang.Thread.run(Thread.java:748)
    Caused by: java.security.InvalidKeyException: Must use a key created by JSS! Try exporting the key data and importing it via SecretKeyFactory.
            at org.mozilla.jss.provider.javax.crypto.JSSMacSpi.engineInit(JSSMacSpi.java:58)
            at org.mozilla.jss.provider.javax.crypto.JSSMacSpi$HmacSHA384.engineInit(JSSMacSpi.java:116)
            at javax.crypto.Mac.init(Mac.java:413)
            at sun.security.ssl.HKDF.extract(HKDF.java:91)
            at sun.security.ssl.HKDF.extract(HKDF.java:119)
            at sun.security.ssl.ECDHKeyExchange$ECDHEKAKeyDerivation.t13DeriveKey(ECDHKeyExchange.java:469)

Because JDK recently introduced a new TLS stack for TLS-1.3 support in
JDK 8, most people will find value moving to JSS's SSLEngine instead of
continuing to use SunJSSE with JSS as the crypto provider.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3d913450d048ae48780a2a34ee92897d74dc58c9">3d913450</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add RSA/OAEP algorithm identifiers

This adds RSA/OAEP to jss.crypto.Algorithm as a known algorithm and adds
stubs for indicating what type of key is required to use it.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/0b03f831dbd1b673f771bf715d8ba22eb03dc803">0b03f831</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Re-add KeyWrapping tests to build

These tests have been updated from using DES/DES3 to AES-256.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/567e792feb3cf43230304c7558e40fbef58d9e24">567e792f</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix FindNSS, FindNSPR to link with sandboxed libs

When using `-Wl,-rpath`, the final generated binaries will have a rpath
include to the sandboxed libraries. This is good as it enables binaries
to run from the built directory. However, at link time, we're still
using the system's NSS library. This doesn't work when NSS introduces a
change to its external (public) API; the system's NSS likely doesn't
have this change yet. Include the `-L` flag as well, to use the
sandboxed library at link time as well.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/14193bdc23657ad1cde2215b6afe0455d024cac3">14193bdc</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add hash algorithms to PK11Algorithm.java

While hash algorithms in JSS currently use the SEC_OID based interface
(rather than PKCS#11), include them in PK11Algorithm because they have
equivalent PKCS#11 constant definitions.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8c89a3e242fe91444cd9459a286f54b1f0cdb94b">8c89a3e2</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Implement RSA/OAEP key wrapping

This depends on support from NSS for two new function calls,
PK11_PubWrapSymKeyWithMechanism and PK11_PubUnwrapSymKeyWithMechanism.
These enable passing OAEP's mechanism parameters into NSS's high-level
PK11 key wrap/unwrap interface, allowing them to succeed. Otherwise,
previous versions of NSS silently converted OAEP to PKCS#1 v1.5,
allowing the trivial patchset to succeed without any mechanism
parameters.

Introduce a JSSOAEPParameterSpec which can consume a JCA-standard
OAEPParameterSpec instance but which also extends NativeEnclosure to
allow us to call into the JNI layer with a parameter instance.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/52f2f7becd923c1a6d5c77b3c2d50377972f09bf">52f2f7be</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support running on older versions of NSS

This allows us to detect whether or not NSS supports RSA-OAEP key
wrap/unwrap and if not, disable RSA-OAEP support, gracefully falling
back to the old method for other mechanisms.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3348034f9f69ceef16356b979a7a175f06dca356">3348034f</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-01T13:49:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add class documentation about JSSOAEPParameterSpec

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/70aa32b005bb5d74212c72acd4c4cf04e40cc54e">70aa32b0</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-11T09:00:03-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bump version number before next release

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/513006297a02c61cbc6872a09341682d44173428">51300629</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-16T08:59:56-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add support for CKM_AES_KEY_WRAP_KWP algorithm

This algorithm is the only mechanism supported by certain lines of
nCipher HSMs. Unlike other key-wrapping mechanisms, this one generates a
temporary AES key to encrypt the wrapped key with.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8ba13f5b6842aab9710d23639ac3dd7bb7a3713f">8ba13f5b</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-16T08:59:56-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix CentOS 8 Dockerfile

Apparently PowerTools moved to powertools; handle both in the Dockerfile
definition.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/4d1a8875912aac22b8406fd2524ac03233200eb8">4d1a8875</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-16T08:59:56-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Watch for bad return from getNetworkInterfaces()

When NetworkInterface.getNetworkInterfaces() returns a null
enumeration, return false instead of raising a NullPointerException.
Generally, this should only happen if the system has no network
interfaces (there should always be a loopback address). However, this
has been failing in GitHub Actions:

    java.lang.NullPointerException
            at org.mozilla.jss.ssl.SocketBase.supportsIPV6(SocketBase.java:474)
            at org.mozilla.jss.ssl.SSLServerSocket.<init>(SSLServerSocket.java:115)
            at org.mozilla.jss.tests.SSLClientAuth.run(SSLClientAuth.java:406)
            at java.lang.Thread.run(Thread.java:748)
    Server exiting
    client about to connect
    Exception in thread "main" java.lang.NullPointerException
            at org.mozilla.jss.ssl.SocketBase.supportsIPV6(SocketBase.java:474)
            at org.mozilla.jss.ssl.SSLSocket.<init>(SSLSocket.java:562)
            at org.mozilla.jss.ssl.SSLSocket.<init>(SSLSocket.java:550)
            at org.mozilla.jss.ssl.SSLSocket.<init>(SSLSocket.java:469)
            at org.mozilla.jss.ssl.SSLSocket.<init>(SSLSocket.java:422)
            at org.mozilla.jss.tests.SSLClientAuth.testConnection(SSLClientAuth.java:332)
            at org.mozilla.jss.tests.SSLClientAuth.doIt(SSLClientAuth.java:156)
            at org.mozilla.jss.tests.SSLClientAuth.main(SSLClientAuth.java:90)

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/912d1ef0a3d3de4ce5d7f682f8138a6515d612b3">912d1ef0</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-16T08:59:56-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Switch to JSS_throwMsgPrErr for unwrap errors

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/7ede803dce4b44d0a41006bf76448b0f092149e6">7ede803d</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-16T09:24:09-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update version number in jss.map

OAEP landed in what will be 4.8.1, not 4.8.0.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/1c12fa0f025e26439970a9434b396eee1cbb7139">1c12fa0f</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-17T16:07:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use allowed key sizes in KeyFactoryTest

Also remove tests for DSA keys and IBM JVM.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/aab10eee66f9846fe0dc66b3a85a7ed4b9ce3853">aab10eee</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-17T16:07:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow BadSSL to continue past unknown errors

When BadSSL is expecting _an_ error to occur, but we get an Unknown
Error instead of the actual error, treat it as alright. However, we
still fail later in the BadSSL test suite:

    Enabling leaf and chain policy...
    Dec 17, 2020 8:19:17 PM org.mozilla.jss.CryptoManager initialize
    INFO: JSS CryptoManager: successfully initialized from NSS database at /home/sandbox/jss/build/results/internet
    Testing connection to expired.badssl.com:443
            ...got expected error message.
    Testing connection to expired.badssl.com:443
    Dec 17, 2020 8:19:17 PM org.mozilla.jss.ssl.javax.JSSEngineReferenceImpl info
    INFO: JSSEngine.unwrap() - Got SSLException: javax.net.ssl.SSLHandshakeException: Error duing SSL.ForceHandshake() :: SEC_ERROR_EXPIRED_CERTIFICATE (-8181)
    Dec 17, 2020 8:19:17 PM org.mozilla.jss.ssl.javax.JSSEngineReferenceImpl info
    INFO: JSSEngine.unwrap() - Got SSLException: javax.net.ssl.SSLException: Unexpected return from PR.Read(): SSL_ERROR_HANDSHAKE_FAILED (-12116)
            ...got expected error message.
    Testing connection to wrong.host.badssl.com:443
            ...got unknown error; continuing anyways.
    Testing connection to wrong.host.badssl.com:443
    Dec 17, 2020 8:19:17 PM org.mozilla.jss.ssl.javax.JSSEngineReferenceImpl info
    INFO: JSSEngine.unwrap() - Got SSLException: javax.net.ssl.SSLHandshakeException: Error duing SSL.ForceHandshake() :: SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED (-8016)
    Dec 17, 2020 8:19:17 PM org.mozilla.jss.ssl.javax.JSSEngineReferenceImpl info
    INFO: JSSEngine.unwrap() - Got SSLException: javax.net.ssl.SSLException: Unexpected return from PR.Read(): SSL_ERROR_HANDSHAKE_FAILED (-12116)
            Unexpected error message: unable to unwrap data using sslengine: error duing ssl.forcehandshake() :: sec_error_cert_signature_algorithm_disabled (-8016)
    Exception in thread "main" java.io.IOException: Unable to unwrap data using SSLEngine: Error duing SSL.ForceHandshake() :: SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED (-8016)
            at org.mozilla.jss.ssl.javax.JSSSocketChannel.read(JSSSocketChannel.java:296)
            at java.base/java.nio.channels.SocketChannel.read(SocketChannel.java:486)
            at org.mozilla.jss.ssl.javax.JSSSocketChannel.read(JSSSocketChannel.java:235)
            at org.mozilla.jss.ssl.javax.JSSSocketChannel.finishConnect(JSSSocketChannel.java:146)
            at org.mozilla.jss.ssl.javax.JSSSocket.doHandshake(JSSSocket.java:297)
            at org.mozilla.jss.ssl.javax.JSSSocket.startHandshake(JSSSocket.java:445)
            at org.mozilla.jss.tests.BadSSL.testSiteJavaxSSLSocket(BadSSL.java:257)
            at org.mozilla.jss.tests.BadSSL.testHelperJavax(BadSSL.java:218)
            at org.mozilla.jss.tests.BadSSL.testHelper(BadSSL.java:188)
            at org.mozilla.jss.tests.BadSSL.testWrongHost(BadSSL.java:95)
            at org.mozilla.jss.tests.BadSSL.main(BadSSL.java:56)
    Caused by: javax.net.ssl.SSLHandshakeException: Error duing SSL.ForceHandshake() :: SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED (-8016)
            at org.mozilla.jss.ssl.javax.JSSEngineReferenceImpl.updateHandshakeState(JSSEngineReferenceImpl.java:1037)
            at org.mozilla.jss.ssl.javax.JSSEngineReferenceImpl.unwrap(JSSEngineReferenceImpl.java:1212)
            at org.mozilla.jss.ssl.javax.JSSSocketChannel.read(JSSSocketChannel.java:274)
            ... 10 more

In particular, the issue is caused by the following BZ:
https://bugzilla.redhat.com/show_bug.cgi?id=1861495

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/ab8f5a54401a2c193acde79588ecc89db3cdf98b">ab8f5a54</a></strong>
<div>
<span>by Christina Fu</span>
<i>at 2020-12-17T20:06:33-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bug1908541-jss broke SCEP - missing PasswordChallenge class

This patch, together with the fix for Bug1664435 Error instantiating class for challenge_password with SCEP request, addresses the issue where  the class PasswordChallenge cannot be loaded due to Class Loader differences.
      jss is installed in the common CL (/usr/share/pki/server/common/lib/jss4.jar)
      the servlet classes are in webapp CL (/usr/share/pki/server/webapps/pki/WEB-INF/lib/pki-cms.jar)

fixes https://bugzilla.redhat.com/show_bug.cgi?id=1664435
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/e45b5dccbfd5384aa843ef27493c394ae463876b">e45b5dcc</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-12-18T10:47:51-08:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Set CMake required version to 3.14 (#671)

This includes the LINK_OPTIONS flag to try_compile, allowing us to
detect features of NSS (such as OAEP).

Signed-off-by: Alexander Scheel <ascheel@redhat.com></pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/86e7763090832b2f1c3cffbff3e17bac04088b95">86e77630</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-02-10T18:47:43-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix exception handling in Cert.mapCertFromPKCS7()

The Cert.mapCertFromPKCS7() has been modified to chain
the original exception to help troubleshooting.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/ea44c69702d95b20ae5842779b09296fae4bbd7a">ea44c697</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-02-17T14:41:31-06:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix exception handling in PKCS7.encodeSignedData()
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/2900877ffa0da12a6a09ad23b6d911dfcb231c94">2900877f</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-02-17T14:41:31-06:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add CertificateChain converters

The CertificateChain class has been modified to support
importing/exporting certificates from/to a series of PEM
certificates or PKCS #7 data.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/08ee5f5346f422891905bd0bb5d28c49ad1e3eff">08ee5f53</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-02-24T19:58:37-06:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update PKCS11Constants based on NSS 3.60
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/f4673973b23f425ea445c7c1b4445f97acfa55a2">f4673973</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-03-03T09:07:19-06:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update version number to 4.8.2
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/f40375bfd1e3a7853002cc02d3cb121dcd0eea93">f40375bf</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-03-03T19:46:58-06:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update version number to 4.9.0-alpha1
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/0f5d2a2c37f486ba0105cf79ed130f73210cde65">0f5d2a2c</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-03-05T10:16:03-06:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable BETA flag

The BETA flag in JSSConfig.cmake has been set to 1 to
enable some pre-release tests.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/4c1e208c5d943d6d00850ee22ffb4ba223268195">4c1e208c</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2021-03-12T17:41:51-08:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Encrypt & unwrap symmetric key in FIPS mode (#678)

NSS doesn't generally allow keys to be imported in FIPS mode. However,
for portability with other JCA providers, we sometimes need to import
keys from byte arrays. Do this in the JNI layer by executing a PKCS#11
encrypt and then unwrap using the same key. This lets us effectively
"import" a key into a token, if the token supports using the given
mechanism for both encryption and unwrapping operations. Some HSMs are
getting stricter about this and forbid using the same key for encrypt
and unwrap operations.

Resolves: #334

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
Signed-off-by: Alexander Scheel <alexander.m.scheel@gmail.com></pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a8c4cae2aec7536f9b906fd849f87f9164822ec3">a8c4cae2</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-04-13T18:05:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix build preference in tools/run_container.sh

Per cipherboy's suggestion the tools/run_container.sh has
been modified to use docker instead of buildah/podman if
available.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8bd6df440928ff35906026bfd4685c653a084fdf">8bd6df44</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-04-14T13:24:45-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Convert KeyPairGeneratorSpi.Usage into enumeration

The KeyPairGeneratorSpi.Usage class has been converted into
an enumeration that defines the same elements. These elements
store the values of the corresponding PKCS #11 constants.

The getVal() method has been deprecated, but it will continue
to work as before for backward compatibility.

The opFlags and opFlagsMask fields in PK11KeyPairGenerator
have been converted to long to match the PKCS #11 constants.
The values will be down-casted to int whenever needed.

The opFlagForUsage array in PK11KeyPairGenerator has become
redundant since the PKCS #11 constants can be obtained from
the enumeration elements, so it has been removed.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a966a84d2962b283d8b795bdce16105ea1d011e0">a966a84d</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-04-19T16:14:54-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Convert SymmetricKey.Usage into enumeration

The SymmetricKey.Usage class has been converted into an
enumeration that defines the same elements. These elements
store the corresponding PKCS #11 CKF_ and CKA_ values
although the CKA_ values are not actually used.

The getVal() and getPKCS11Constant() method have been
deprecated, but they will continue to work as before for
backward compatibility.

The opFlags field in PK11KeyGenerator has been converted
to long to match the PKCS #11 value. The value will be
downcasted to int whenever needed.

The opFlagForUsage array in PK11KeyGenerator has become
redundant since the PKCS #11 value can be obtained from
the enumeration elements, so it has been removed.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/93fdca04d44d396fad1cbbcb5e60ba1ecd3518b5">93fdca04</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-04-30T12:47:22-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix missing javax.xml.bind in Eclipse
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/f01a18be3074a49520209b5f8ff97bb9e40fdb7f">f01a18be</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-04-30T14:18:17-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable failing tests

The CentOS 7 and 8 tests have been disabled since they keep
failing due to a missing dependency.

The optional test workflow have been merged into the required
test workflow. All tests should now pass. This will make it
easier to determine if a commit has broken something.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/57b0dd2a324f3a8525a76655eb27b0c5a2d67ced">57b0dd2a</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-03T10:17:30-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop obsolete Fedora 31 test
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/83db1c24564cffd5512b5a8daeae142c914d96d8">83db1c24</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-03T10:48:16-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Split main and test code

The main code and test code have been moved into src/main/java
and src/test/java, respectively. All references to the source
code have been updated accordingly.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/cb73984fad8698632f068f295bd4cdad0b37214d">cb73984f</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-03T11:24:03-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clean up import statements
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8e5a5467627b768fc6013bc901abb7e24df0dd48">8e5a5467</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-03T13:21:40-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move pkcs11check into Fedora 33 test

Currently the PKCS #11 constants are only tested on Rawhide
and it's failing, but it's actually working fine on Fedora 33.
For now the test has been moved into the Fedora 33 test so the
CI will pass, but later the tests will need to be expanded to
include newer Fedora versions. That way the PKCS #11 constants
will be tested separately on each platform, so it will be
easier to isolate the problem.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a834db6f66df751cffc6d2ceb56aaa18a460d785">a834db6f</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-04T13:43:45-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add CA installation test

A Dockerfile has been added to define the builder image and test
runner image for JSS. The builder image is used to install the
build dependencies and then build JSS. The test runner image is
used to install JSS with its runtime dependencies then run tests.

A new test has been added to install DS and CA with the newly
built JSS packages.

Some scripts have been added to initialize the test runner, to
create and remove DS, and to save the test artifacts.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/4d78d5e36bccd0c5a59dbf9d642ffd7968bdbaf1">4d78d5e3</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-05T19:46:07-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add build.sh --without-test option
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/fce6bb5a2bbe4d9083140036ea2dbe2d29559702">fce6bb5a</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-10T17:44:57-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganize broken tests

The non-functional DirStrConverterTest and
GenericASN1ExtensionTest have been moved into
src/broken_test.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/774a63a78a4c189ff7d54948afba01b1065ad2e5">774a63a7</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2021-05-12T16:54:28-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix -sourcepath for java test compilation

man javac has the following to say about sourcepath:

> Specifies the source code path to search for class or interface
> definitions.

In particular, the way the CMake step is constructed, the test paths are
specified via file (hence @${JAVA_TEST_SOURCES_FILE} as an argument to
javac), but the compiling the tests still needs knowledge of the main
JSS source.

In this case, sourcepath (for test compilation) was incorrectly updated
to point back at the list of sources we already provided (or, the
directory containing the sources we already provided) instead of
pointing at the path of the main JSS code.

Prior to this change, compilation depended on order steps were executed
and could fail with the following error (if tests were attempted to be
built prior to main sources finishing building):

    ...snip...
    /home/cipherboy/GitHub/cipherboy/jss/src/test/java/org/mozilla/jss/tests/IA5StringTest.java:7: error: package org.mozilla.jss.netscape.security.util does not exist
    import org.mozilla.jss.netscape.security.util.DerValue;
                                                 ^
    ...snip...
    Note: Some input files use or override a deprecated API.
    Note: Recompile with -Xlint:deprecation for details.
    Note: Some messages have been simplified; recompile with -Xdiags:verbose to get full output
    100 errors
    11 warnings

Signed-off-by: Alexander Scheel <alexander.m.scheel@gmail.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/fa61a128e33d399df078f1324a2750eb08e04b39">fa61a128</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-13T10:07:44-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add pom.xml and test for Maven
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/cb72cc427d601f749a4834f4875117d6da96cd75">cb72cc42</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-13T16:46:38+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make GitHub workflow use F34, drop EOL F32</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/9823e099e39172c93f21c31c31cb4b516b3966dd">9823e099</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-18T22:17:34+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable SonarCloud checking of new code

Create a new CI job called "build" which builds from source using Maven,
then runs the Sonar analysis job. The quality gate is set to be advisory
only so it never fails, to prevent error fatigue. The intended use is
"free robotic review" of code quality, rather than any enforcement.</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/94d0bc00d96f9287925d05afec050c5aa737c8e2">94d0bc00</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-18T22:46:06+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Rename Build job to Code Analysis to be more descriptive</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/502a9a4b1afd1d29b63fe0e50142aa7c5e40f959">502a9a4b</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-20T21:47:00+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace deprecated Integer constructors</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/69910f33ef6b8e8737f74e5ca3cb44c0ab561e20">69910f33</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-20T21:51:41+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Access static fields/methods statically, not via instances</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3ada0a1124ab99298c00e25ae8aaa05465c6d243">3ada0a11</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:39:44+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.tests</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/407b178de0627762eefcbcfa0c8773ed433c3db5">407b178d</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:40:14+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkix.cms</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/76e9efcde9ac87fd0b0c5205bdf6c57f0217fd19">76e9efcd</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:46:01+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.provider.javax.net</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/e9cb03cee9434b362e65422fd0c72cd4549c47fd">e9cb03ce</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:46:38+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.provider.java.security</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a4657c3354cbd8ef4eaa44d6e1e08237a82ab364">a4657c33</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:47:13+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkix.primitive</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3b224bfce3707a5ac9b074554e4e7f004fb5ca71">3b224bfc</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:47:33+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.provider.javax.crypto</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/6c752a31aa209d899ccfb27f4bc677f051b47f4e">6c752a31</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:48:54+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations for org.mozilla.jss.netscape.security.util</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/36909e052a86f020286b9d309e61c75802ee73a5">36909e05</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:49:29+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.SecretDecoderRing</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/c0830ae9ea942fc49f92514ac4e96978098ca524">c0830ae9</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:52:14+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkix.cmmf</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/012a71e83cd8a8e0f4e6b5e819f1ab50ef0fab67">012a71e8</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:53:13+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.netscape.security.pkcs</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8cae78fb78c4616d661d94f8ede1099120f4c500">8cae78fb</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T15:53:47+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.netscape.security.provider</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/5c96fb93360b11cdc7863c4f1a3b2eec34a168f1">5c96fb93</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T16:19:28+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkcs7</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/44b67c228e5ca4bfda356cf0e78e30b084f9583a">44b67c22</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T16:19:49+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkix.cmc</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/78f519ff2b9b685f18e1571d0666ba522c24b678">78f519ff</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T16:22:18+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkcs12</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/e3e9cea912d6478596b53b2afe284128efd0ddfa">e3e9cea9</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T16:24:57+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkix.crmf</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/7a0caf10a7e97312be8ec970d1beb7abf78e4465">7a0caf10</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T16:38:13+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.netscape.security.extensions</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/9b8f4cb95cdc7b46dbdfa8d84af3ef06f8d7c05b">9b8f4cb9</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T17:03:02+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.pkcs11.attrs</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/f7750374c43d6e0deef49cbb6ec94cee2657fb49">f7750374</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T17:08:34+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.pkcs10</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d3776922c99d6e682a1a11258e668c95f5ee4117">d3776922</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T17:09:03+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.pkix.cert</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/5e788d41090bbb2149150c3f5718d14bb8bd52ac">5e788d41</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T21:03:11+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.asn1</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/b16e8e42e225cf910a78dee191a3d61af447996d">b16e8e42</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T21:03:33+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.netscape.security.x509</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/93e1761e1c967c9f44eeb93c734728a853346cf7">93e1761e</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-21T21:49:52+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.nss</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3914f86ed332f7caae71414e04bc1713522a8a46">3914f86e</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2021-05-21T17:07:54-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing synchronized keywords to Sockets

Due to the new @Override method, Sonar has caught missing synchronized
keywords on several JSSSocket and JSSServerSocket methods.

> Make this method "synchronized" to match the parent class
> implementation.
>
> When @Overrides of synchronized methods are not themselves
> synchronized, the result can be improper synchronization as callers
> rely on the thread-safety promised by the parent class.

Signed-off-by: Alexander Scheel <alex.scheel@canonical.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/6fa0c116c8756d5b29fe351c860fd019549ad785">6fa0c116</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2021-05-21T17:08:11-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix return from finally in JSSSocketChannel

Sonar reports the following on the (now removed) return statement:

> Remove this return statement from this finally block.
>
> Using return, break, throw, and so on from a finally block suppresses
> the propagation of any unhandled Throwable which was thrown in the
> try or catch block.

Re-do the logic to fix this bug.

Signed-off-by: Alexander Scheel <alex.scheel@canonical.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/2eb7d69da1eec4cce1104b558c815bb73cb150e6">2eb7d69d</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-24T20:06:00+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Deprecate constants in NativeErrcodes

A comment here declares Fortezza deprecated, but the Javadoc deprecation
only applies to the first constant, so deprecate the rest too.</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a6e2ddfde2f3a915543b1eb9c603726a09ad0df6">a6e2ddfd</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-24T20:24:51+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.crypto</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/40187feb323bab262b95c55886ea706428f25592">40187feb</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-24T20:24:51+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Run Eclipse autoformatting on some files</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/1027b03a178fe03579f87f3267095e774429312f">1027b03a</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-25T09:35:01+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.ssl</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d8f2b3a33046efa95cab7edcb13ead919a864789">d8f2b3a3</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-25T09:35:01+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Eclipse auto-formatting of some files

Largely to fix indentation/mixing tabs and space</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/cd62b4160c31caf632b35de88f4a2de218d5590e">cd62b416</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-05-25T10:49:18-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove obsolete Fedora tests
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/58508d8f6921310c35c2ce4d99d7d2206acd3e88">58508d8f</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-25T21:11:36+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bump ubuntu_jdk8 -> 11 in github CI workflows</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/b37ae6201195cf0ab846658223cae9e2d32321c6">b37ae620</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-25T21:16:46+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.util</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/289e43d74531aec165439f422850d0b2984df7f5">289e43d7</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-05-25T21:16:46+01:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Run Eclipse autoformatting against some files

Principally to get rid of some tabs/spaces mixing</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/6f70b9254f03dcb7346ca91b359c57e592abbf4d">6f70b925</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/ae7963f513e9f2f26af4359dd5a48512f6fc9c9a">ae7963f5</a></strong>
<div>
<span>by emaldona</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Capabilities (#704)

Co-authored-by: Alexander Scheel <alexander.m.scheel@gmail.com></pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/526832522fdc83be04499361810fd884e64598ca">52683252</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add logger for build_pkcs11_constants.py

The build_pkcs11_constants.py has been modified to
send log messages to the screen instead of storing
them in the output file. This way the output file
will remain constant regardless how the tool was
executed, and the log messages can be viewed without
having to open the output file which will make it
easier to troubleshoot issues.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/2a74dd63472717f3c42d07167faff55f4da074ad">2a74dd63</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add PKCS11Constants test for Fedora 34

The CI test for Fedora 34 has been modified to
execute the PKCS11Constants test.

The check_output() has been modified to define
NSS_PKCS11_2_0_COMPAT due to NSS changes:
https://fedoraproject.org/wiki/Changes/NssGCMParams
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/413f3ebef37f4c22ab1980432d91dd48c725e1df">413f3ebe</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactor SSLCLient.cmp() to not check for string equivalence twice

The object refences where being checked, as well as the object reference
values. The latter is what we actually care about, we don't care if the
objects are identical only that he values are. Also, this code is only
ever called through isInvalid whch checks for null, so we don't require
the null check so we can simplify even further.</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d6c664423976867b9ddf6d8176e4aabadd9a2ed9">d6c66442</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clean up Sonar-discovered issues in various files</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d932dc03d52ed19d7aebb1e257c9a03b1ea7ed62">d932dc03</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Simplify equals() impl in Password class

Instanceof checks for null, so no need to explicitly do so.</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/06c7ae8e94774e7314261dffe231ac0ec70ebc98">06c7ae8e</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T13:43:13-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Implement hashCode() in Password class

Password overrides equals(), so it should override hashCode() too</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3f78c49dba770d512418de6727e8fae124fa2d11">3f78c49d</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations to org.mozilla.jss.ssl.javax</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/df196d26b07c011fca877bc47d1096c1f4054724">df196d26</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove deprecated Integer constructor from IPAddressName</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/1cc93e78344b1806153f801e44063fffc7351a33">1cc93e78</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganize examples

The examples have been converted to become
a sample Maven project that depends on JSS.

The Maven group ID for JSS has been changed
such that it doesn't include the artifact
ID itself.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/33948b785b7effd84a0aa338e182a94043e6b255">33948b78</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop git dependency

The jss.spec has been modified to drop git dependency so
it's no longer required for building the official binaries,
but git is still needed during development to call build.sh
--with-commit-id.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/b53693b71bc0fca4e87a2b80f0db493f991bf58a">b53693b7</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing annotations in org.mozilla.jss.pkcs11</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8a80a67984861b83103c59f8504b9dd65ff3af12">8a80a679</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix F33 and F34 tests
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/adc2311151e8ab39dd05d4cfb3b90c6389a03bf8">adc23111</a></strong>
<div>
<span>by Chris Kelley</span>
<i>at 2021-06-11T14:44:12-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Autoformat .java and .c files in org.mozilla.jss.asn1</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d2bb8a4e32b942f8c0039877eec08638eed948b2">d2bb8a4e</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:36-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update Java dependency

The spec file has been modified to use Java 1.8.0 for
Fedora 32 and RHEL 8, and Java 11 for other platforms.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a2f680cc5a51b3389aa2938b019433c8f3833c10">a2f680cc</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update contact information
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/1ebd67ae7ac304a703c193f74578252447326841">1ebd67ae</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Convert RPM install script into CMake script
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/107e47d2bd9ed9488aca2bc8d1a2fbf1cb331601">107e47d2</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update build.sh --without-test option

The build.sh --without-test option has been modified
to convert the %bcond_without into %bcond_with such
that the condition can be checked using %{with test}.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/2d9b305bc600e9253b8323a7651401505a5ff262">2d9b305b</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add jss.jar and libjss.so symlinks
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/16f8cd161f526dc0fc6938236ec5a084f5424aa3">16f8cd16</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clean up jss.spec
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/ea93b1bf5aa84a244548f8bd59becd17670596df">ea93b1bf</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-11T23:41:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update version number to 4.9.0-alpha2
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a3805f7481d96e09bf0e09a52001492678cb642a">a3805f74</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-18T20:38:06-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add configurable test matrix

The test workflow have been modified to load the test
matrix from MATRIX secret variable. If the secret is
not defined, it will use the latest Fedora version
and the previous version.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d72b8afe4b4b0ab66d29927b99812827d0c32522">d72b8afe</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-18T20:45:43-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clean up Dockerfile
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/d05364fb16e29e9748cb9e2cced32a69a9b48e31">d05364fb</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-06-18T22:00:26-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update COPR repository
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/8317de4b320a2e8c60b99855dd1f3cfab1682e38">8317de4b</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-07-02T12:21:06-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix HAMCREST_JAR for Rawhide
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a377d917f8f2b0737b0905066c0824dd9f2c1aed">a377d917</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-07-16T17:26:10-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add GitLab synchronization job

The .gitlab-ci.yml has been added to define a job to
synchronize a branch from an upstream repository to a
GitLab repository.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/eb45036927435b973f7d973b8f30e98c8864b2ac">eb450369</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-07-20T13:38:11-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update PKCS11Constants

The PKCS11Constants class has been updated to include
the new constants introduced in NSS 3.66. The NSPR
dependency has been dropped since it's already required
by NSS.

https://bugzilla.mozilla.org/show_bug.cgi?id=1710773
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/b1346ee6d6935c14f8a53883db51c370059d4ea0">b1346ee6</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-07-20T13:38:11-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update version number to 4.9.0
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/72d23bafbdc70cf733ad5e0d6c1e2efa37c3bf13">72d23baf</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-07-26T21:40:47-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix minimum NSS version
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/6a0ef5df4db73b5c9e13895a13bcaa0d43b75ec5">6a0ef5df</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-07-27T16:15:17-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Rename build.yml to code-analysis.yml
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/a2e36714f0d68f138b7e5df996450e95486a0bbf">a2e36714</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-08-11T12:32:09-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix warnings in JSSEngine.queryEnabledCipherSuites()

The JSSEngine.queryEnabledCipherSuites() has been modified
to check whether a cipher is supported by NSS before getting
its default preference.

The SSLCipher constructor has been modified to always call
checkSupportedStatus() to determine whether the cipher is
supported by NSS.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/51d16477ac7e0677fdedfbf95e97730eaecefdab">51d16477</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-08-23T10:14:37-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Deprecate RevocationReasonAdapter
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/70ad393574baa3eb1ce2f2153995cc560bdc695b">70ad3935</a></strong>
<div>
<span>by Jack Magne</span>
<i>at 2021-08-25T18:59:31-07:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix: Bug 1964176 - KRA PKCS12 support for nCipher sw v12.60+.

Note much of this work is based on original work by Alex Scheel.
aka, cipherboy : alexander.m.scheel@gmail.com

This bug has it's jss portion reflected here. The gist of this fix
is to register 3 new secoids into nss in a dynamic fashion. The 3
new algs are 128, 192, and 256 bit variants of the machanism,
CKM_AES_KEY_WRAP_KWP.

We have to provide support for these algs because we need a common algorithm
that works the same in the nss software db as well as in the hsm.

The key jss method that is failing is one that is reponsible for creating the
so called EncryptedPrivateKeyInfo blob, which is packaged in the final p12 file.

In order to accomplish we have had to create our own version of the nss routine,
PK11_ExportEncryptedPrivateKeyInfo, which is able to use one of the 3 new encryptiion
algs to wrap the private key in the final blob. Jss is also implemting a new version of the
routine in nss which is reponsible for performing a key exchange of a session key between
the softeare db and the hsm. This code will use the oaep wrapping alg on the hsm to do the
heavy lifting, while creating a temp private key on the hsm to unwrap the session key from
the nss software db to the hsm. As a final step the p12 code will encode one of the 3 new oids
to indicate that one of the 3 new algorithms have been used.

Here are the declarations of the 3 new algs:

 public static final EncryptionAlgorithm
   AES_128_KEY_WRAP_KWP = new EncryptionAlgorithm(SEC_OID_AES_128_KEY_WRAP_KWP,
        Alg.AES,Mode.NONE,
        Padding.PKCS5, IVParameterSpecClasses, 16,
        AES_ROOT_OID.subBranch(8), 128,"AES/None/PKCS5Padding/Kwp/128");

  public static final EncryptionAlgorithm
   AES_192_KEY_WRAP_KWP = new EncryptionAlgorithm(SEC_OID_AES_192_KEY_WRAP_KWP,
        Alg.AES,Mode.NONE,
        Padding.PKCS5, IVParameterSpecClasses, 16,
        AES_ROOT_OID.subBranch(28), 192,"AES/None/PKCSPadding/Kwp/192");

  public static final EncryptionAlgorithm
   AES_256_KEY_WRAP_KWP = new EncryptionAlgorithm(SEC_OID_AES_256_KEY_WRAP_KWP,
        Alg.AES,Mode.NONE,
        Padding.PKCS5, IVParameterSpecClasses, 16,
        AES_ROOT_OID.subBranch(48), 256,"AES/None/PKCS5Padding/Kwp/256");

Note that we have to provide kind of a custom name for each of these algs, to differentiate
between the 3 variants. When actually referring to these algs from jss, we can use that name
to look up the proper alg. Also note the 3 new SEC_OID values. Since these are not yet in nss,
we have dynamically added these 3 sec oids into jss for use.

The rest of this code is devoted to the support for adding dynmic oids into nss on behalf of jss.

Note that in the routine JSS_KeyExchange, we explain that the isPerm param is not currently observed
since the nss unwrap function we need has no permanent variant and defaults to false or temporary.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3e1a908051f461f6d73f99609e7941ac951d6650">3e1a9080</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-08-26T11:18:11-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update version number to 4.9.1
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/jss/-/commit/3807b29576fb382e262108057988bf883e939451">3807b295</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2021-08-26T14:32:19-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove since/forRemoval from @Deprecation

The attributes are not available in Java 1.8.
</pre>
</li>
</ul>
<h4>30 changed files:</h4>
<ul>
<li class="file-stats">
<a href="#354079a72b91a4280407c16a36f47d1986fd85a5">
.classpath
</a>
</li>
<li class="file-stats">
<a href="#0efd20854b65fbb9dc77808a85eb8ef282eea6d4">
<span class="new-file">
+
.github/workflows/code-analysis.yml
</span>
</a>
</li>
<li class="file-stats">
<a href="#44356dd2310ea6fe5e58162bcb7a8d14874a1fcf">
.github/workflows/informational.yml
</a>
</li>
<li class="file-stats">
<a href="#2a52775c0cbe82545bb91771dd7c60332ed9368f">
<span class="new-file">
+
.github/workflows/maven-tests.yml
</span>
</a>
</li>
<li class="file-stats">
<a href="#441184c80664659e692970e9e1012922ff92a4f2">
<span class="deleted-file">

.github/workflows/optional.yml
</span>
</a>
</li>
<li class="file-stats">
<a href="#b942be00021967a6d08f5effdd1123159d59ba73">
<span class="new-file">
+
.github/workflows/pki-tests.yml
</span>
</a>
</li>
<li class="file-stats">
<a href="#5a8c90f0f1247e55f28895fb8ea7046d8987974f">
.github/workflows/required.yml
</a>
</li>
<li class="file-stats">
<a href="#a5cc2925ca8258af241be7e5b0381edf30266302">
.gitignore
</a>
</li>
<li class="file-stats">
<a href="#587d266bb27a4dc3022bbed44dfa19849df3044c">
<span class="new-file">
+
.gitlab-ci.yml
</span>
</a>
</li>
<li class="file-stats">
<a href="#9a2aa4db38d3115ed60da621e012c0efc0172aae">
CMakeLists.txt
</a>
</li>
<li class="file-stats">
<a href="#6651ddff6eb82c840ced7c1dddee15c6e1913dd4">
<span class="new-file">
+
Dockerfile
</span>
</a>
</li>
<li class="file-stats">
<a href="#8ec9a00bfd09b3190ac6b22251dbb1aa95a0579d">
README.md
</a>
</li>
<li class="file-stats">
<a href="#59f81c123b3abbcb97274545796dd18706c3e106">
build.sh
</a>
</li>
<li class="file-stats">
<a href="#d9c2ae891e9a1cacd3bfdc368c69eea156594f57">
cmake/FindNSPR.cmake
</a>
</li>
<li class="file-stats">
<a href="#b07946cb644f5424341533ff2c313d215ed06f44">
cmake/FindNSS.cmake
</a>
</li>
<li class="file-stats">
<a href="#9476b08a5c3527067a65d63cb640555273d0ea4a">
cmake/JSSCommon.cmake
</a>
</li>
<li class="file-stats">
<a href="#9f3af9fef0e3976107ab469d0eb1c9684c9aa796">
cmake/JSSConfig.cmake
</a>
</li>
<li class="file-stats">
<a href="#a8a567af8ceb46f449dc0e7aaaf4ce0465d01d9e">
cmake/JSSTests.cmake
</a>
</li>
<li class="file-stats">
<a href="#b8ca4d66985895229e642bd40f4bb44a7ddc90c5">
<span class="new-file">
+
docs/changes/v4.9.1/API-Changes.adoc
</span>
</a>
</li>
<li class="file-stats">
<a href="#169bd8d967f61642ae102ae69d7070bcb2d86740">
docs/contributing.md
</a>
</li>
<li class="file-stats">
<a href="#5a03a9d2102336424c99c8fe6da0554332d615a3">
<span class="new-file">
+
docs/development/Synchronizing-GitLab-Branch.adoc
</span>
</a>
</li>
<li class="file-stats">
<a href="#534a175eb51ff4d12ea7fd87bec027933f949d4e">
<span class="new-file">
+
docs/usage/capabilities_list.md
</span>
</a>
</li>
<li class="file-stats">
<a href="#bac46e0d87bb770cd56c1f1a1d29e36b9a3ca3ef">
<span class="new-file">
+
examples/README.adoc
</span>
</a>
</li>
<li class="file-stats">
<a href="#54910b10227c5169852c980ec6d5694e0d2eb9c6">
<span class="new-file">
+
examples/pom.xml
</span>
</a>
</li>
<li class="file-stats">
<a href="#28c4f586a74f676c2652aaeb3c06e956eaf53664">
samples/PQGGen.java

examples/src/main/java/examples/PQGGen.java
</a>
</li>
<li class="file-stats">
<a href="#d4773c28ed498f678c8e710e470200043c88a5dc">
samples/pkcs12.java

examples/src/main/java/examples/pkcs12.java
</a>
</li>
<li class="file-stats">
<a href="#86146008286e3c60aac2196a254411230f7cdab5">
samples/inputfile.pfx

examples/src/main/resources/inputfile.pfx
</a>
</li>
<li class="file-stats">
<a href="#063bf4b6263fbc45f86d361246396c742b514a97">
jss.spec
</a>
</li>
<li class="file-stats">
<a href="#b12d4bb39e2227abf2936f0537fc380e566dcdc9">
lib/jss.map
</a>
</li>
<li class="file-stats">
<a href="#0f5ef0e6da8b288f2532220c0158cc822bc79bc8">
<span class="deleted-file">

org/mozilla/jss/asn1/CHOICE.java
</span>
</a>
</li>
</ul>
<h5>The diff was not included because it is too large.</h5>

</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #666;">

<br>
<a href="https://salsa.debian.org/freeipa-team/jss/-/compare/9502efb6a8f97f3dc5c4b9830c30b95f0ca760d6...3807b29576fb382e262108057988bf883e939451">View it on GitLab</a>.
<br>
You're receiving this email because of your account on salsa.debian.org.
If you'd like to receive fewer emails, you can
adjust your notification settings.



</p>
</div>
</body>
</html>