OCSP stapling: properly check if there is ssl.ctx.

This fixes segfault if stapling was enabled in a server without a certificate
configured (and hence no ssl.ctx).

Variable $bytes_sent.

It replicates variable $bytes_sent as previously available in log module
only.

Patch by Benjamin Grössing (with minor changes).

Log: $apache_bytes_sent removed.

It was renamed to $body_bytes_sent in nginx 0.3.10 and the old name is
deprecated since then.

SSL: the "ssl_verify_client" directive parameter "optional_no_ca".

This parameter allows to don't require certificate to be signed by
a trusted CA, e.g. if CA certificate isn't known in advance, like in
WebID protocol.

Note that it doesn't add any security unless the certificate is actually
checked to be trusted by some external means (e.g. by a backend).

Patch by Mike Kazantsev, Eric O'Connor.

Version bump.

release-1.3.7 tag

nginx-1.3.7-RELEASE

OCSP stapling: build fixes.

With the "ssl_stapling_verify" commit build with old OpenSSL libraries
was broken due to incorrect prototype of the ngx_ssl_stapling() function.
One incorrect use of ngx_log_debug() instead of ngx_log_debug2() slipped in
and broke win32 build.

OCSP stapling: ssl_stapling_verify directive.

OCSP response verification is now switched off by default to simplify
configuration, and the ssl_stapling_verify allows to switch it on.

Note that for stapling OCSP response verification isn't something required
as it will be done by a client anyway.  But doing verification on a server
allows to mitigate some attack vectors, most notably stop an attacker from
presenting some specially crafted data to all site clients.

OCSP stapling: OCSP_basic_verify() OCSP_TRUSTOTHER flag now used.

This is expected to simplify configuration in a common case when OCSP
response is signed by a certificate already present in ssl_certificate
chain.  This case won't need any extra trusted certificates.

OCSP stapling: log error data in ngx_ssl_error().

It's hard to debug OCSP_basic_verify() failures without the actual error
string it records in the error data field.

OCSP stapling: check Content-Type.

This will result in better error message in case of incorrect response
from OCSP responder:

... OCSP responder sent invalid "Content-Type" header: "text/plain"
    while requesting certificate status, responder: ...

vs.

... d2i_OCSP_RESPONSE() failed (SSL:
    error:0D07209B:asn1 encoding routines:ASN1_get_object:too long
    error:0D068066:asn1 encoding routines:ASN1_CHECK_TLEN:bad object header
    error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error)
    while requesting certificate status, responder: ...

OCSP stapling: loading OCSP responses.

This includes the ssl_stapling_responder directive (defaults to OCSP
responder set in certificate's AIA extension).

OCSP response for a given certificate is requested once we get at least
one connection with certificate_status extension in ClientHello, and
certificate status won't be sent in the connection in question.  This due
to limitations in the OpenSSL API (certificate status callback is blocking).

Note: SSL_CTX_use_certificate_chain_file() was reimplemented as it doesn't
allow to access the certificate loaded via SSL_CTX.

OCSP stapling: the ngx_event_openssl_stapling.c file.

Missed in previous commit.

OCSP stapling: ssl_stapling_file support.

Very basic version without any OCSP responder query code, assuming valid
DER-encoded OCSP response is present in a ssl_stapling_file configured.

Such file might be produced with openssl like this:

openssl ocsp -issuer root.crt -cert domain.crt -respout domain.staple \
             -url http://ocsp.example.com

OCSP stapling: ssl_trusted_certificate directive.

The directive allows to specify additional trusted Certificate Authority
certificates to be used during certificate verification.  In contrast to
ssl_client_certificate DNs of these cerificates aren't sent to a client
during handshake.

Trusted certificates are loaded regardless of the fact whether client
certificates verification is enabled as the same certificates will be
used for OCSP stapling, during construction of an OCSP request and for
verification of an OCSP response.

The same applies to a CRL (which is now always loaded).

Resolver: cached addresses are returned with random rotation now.

This ensures balancing when working with dynamically resolved upstream
servers with multiple addresses.

Based on patch by Anton Jouline.

Correct plural form for "path" in the whole source base.

Made sure to initialize the entire ngx_file_t structure.

Found by Coverity.

SSL: added version checks for ssl compression workaround.

The SSL_COMP_get_compression_methods() is only available as an API
function in OpenSSL 0.9.8+, require it explicitly to unbreak build
with OpenSSL 0.9.7.

SSL: fixed compression workaround to remove all methods.

Previous code used sk_SSL_COMP_delete(ssl_comp_methods, i) while iterating
stack from 0 to n, resulting in removal of only even compression methods.

In real life this change is a nop, as there is only one compression method
which is enabled by default in OpenSSL.

Configure: additional test for ExtUtils::Embed perl module presence.

Now perl configure will correctly fail if ExtUtils::Embed perl module
is not present in the system (found on Amazon Linux AMI, as of
release 2012.03).

Configure: help updated to list upstream keepalive and least_conn.

Patch by Joshua Zhu.

Added clearing of cpu_affinity after process spawn.

This fixes unwanted/incorrect cpu_affinity use on dead worker processes
respawn.  While this is not ideal, it's expected to be better when previous
situation where multiple processes were spawn with identical CPU affinity
set.

Reported by Charles Chen.

Version bump.

release-1.3.6 tag

nginx-1.3.6-RELEASE

Updated zlib used for win32 builds.

Helper target "win32" to run configure for win32 builds.

Configure: fixed make macros to use parentheses instead of braces.

Parentheses are more portable, in particular they are understood by nmake
while braces aren't.

Improved 50x error page.

The feature set of the new page:

 - HTML5 compliant;
 - Looks similar to the new "Welcome page" (r4835);
 - Sysadmin hint with a link to the documentation of the "error_log" directive.

Configure: provide inflate() when building zlib on win32.

It is now needed for gunzip filter.

Gunzip: removed nginx.h leftover include.

Gunzip filter import.

Gzip static: "always" parameter in "gzip_static" directive.

With "always" gzip static returns gzipped content in all cases, without
checking if client supports it.  It is useful if there are no uncompressed
files on disk anyway.

Memcached: memcached_gzip_flag directive.

This directive allows to test desired flag as returned by memcached and
sets Content-Encoding to gzip if one found.

This is reimplementation of patch by Tomash Brechko as available on
http://openhack.ru/.  It should be a bit more correct though (at least
I think so).  In particular, it doesn't try to detect if we are able to
gunzip data, but instead just sets correct Content-Encoding.

Improved welcome page.

The feature set of the new page:

 - HTML5 compliant;
 - Description of why the user is seeing the page and what his next
   step should be;
 - Links to official community and commercial support websites.

Write filter: replaced unneeded loop with one to free chains.

Noted by Gabor Lekeny.

Limit req: fix of rbtree node insertion on hash collisions.

The rbtree used in ngx_http_limit_req_module has two level of keys, the top is
hash, and the next is the value string itself. However, when inserting a new
node, only hash has been set, while the value string has been left empty.

The bug was introduced in r4419 (1.1.14).

Found by Charles Chen.

Pass changes.xml thru xmllint when generating CHANGES and CHANGES.ru.

Converted DOS-style newlines.

Fixed overflow if ngx_slab_alloc() is called with very big "size" argument.

Fixed strict aliasing bugs when dealing with IPv4-mapped IPv6 addresses
(closes #201).

Fixed the "include" directive.

The "include" directive should be able to include multiple files if
given a filename mask.  Fixed this to work for "include" directives
inside the "map" or "types" blocks.  The "include" directive inside
the "geo" block is still not fixed.

Version bump.

release-1.3.5 tag

nginx-1.3.5-RELEASE

Radix tree preallocation fix.

The preallocation size was calculated incorrectly and was always 8 due to
sizeof(ngx_radix_tree_t) accidentally used instead of sizeof(ngx_radix_node_t).

Whitespace fix.

Mark logically dead code with corresponding comment.

Found by Coverity.

Mp4: removed restriction to avc1/mp4a formats (ticket #194).

Mail: fixed handling of AF_UNIX addresses in "listen".

This makes AF_UNIX addresses in mail officially supported.

Removed a stale "AF_INET only" comment.

IPv6 client connections in mail modules have been supported since r2856.

Mail: fixed sorting of listen addresses (ticket #187).

For http module this problem was already fixed in r4756.

Geo: fixed handling of ranges without default set.

The bug had appeared in 0.8.43 (r3653).  Patch by Weibin Yao.

Crypt: fixed handling of corrupted SSHA entries in password file.

Found by Coverity.

Map: fixed optimization of variables as values.

Previous code incorrectly used ctx->var_values as an array of pointers to
ngx_http_variable_value_t, but the array contains structures, not pointers.
Additionally, ctx->var_values inspection failed to properly set var on
match.

mail_core: don't let the well-known port in the "listen" directive to
override the already set "protocol".

Corrected the directive name in the ngx_mail_auth_http_module error message.

Added three missing checks for NULL after ngx_array_push() calls.

Found by Coverity.

Explicitly ignore returned value from close() in ngx_event_core_init_conf().

We don't have strong reason to inform about any errors
reported by close() call here, and there are no other things
to do with its return value.

Prodded by Coverity.

Explicitly ignore returned value from unlink() in ngx_open_tempfile().

The only thing we could potentially do here in case of error
returned is to complain to error log, but we don't have log
structure available here due to interface limitations.

Prodded by Coverity.

Resolver: fixed possible memory leak in ngx_resolver_create().

Found by Coverity.

Fixed the -p parameter handling.

Ensure that the path supplied always ends with a `/' except when empty.
An empty value now corresponds to the current directory instead of `/'.

Fixed possible use of old cached times if runtime went backwards.

If ngx_time_sigsafe_update() updated only ngx_cached_err_log_time, and
then clock was adjusted backwards, the cached_time[slot].sec might
accidentally match current seconds on next ngx_time_update() call,
resulting in various cached times not being updated.

Fix is to clear the cached_time[slot].sec to explicitly mark cached times
are stale and need updating.

Added "const" to ngx_memcpy() with NGX_MEMCPY_LIMIT defined.

This fixes warning produced during compilation of the ngx_http_geoip_module
due to const qualifier being discarded.

Whitespace fix.

Removed the need in Perl to generate ZIP archive of nginx/Windows.

Win32: fixed build with Visual Studio 2005 Express.

It is available via winetricks which makes it still usable, and has
an old crtdefs.h which uses _CRT_SECURE_NO_DEPRECATE instead of
_CRT_SECURE_NO_WARNINGS to suppress warnings.

Reported by HAYASHI Kentaro,
http://mailman.nginx.org/pipermail/nginx-devel/2012-August/002542.html

Reorder checks in ngx_shared_memory_add() for more consistent error messages.

Simplified makefile that builds CHANGES.

Version bump.

Updated PCRE used for win32 builds.

release-1.3.4 tag

nginx-1.3.4-RELEASE

Core: ipv6only is now on by default.

There is a general consensus that this change results in better
consistency between different operating systems and differently
tuned operating systems.

Note: this changes the width and meaning of the ipv6only field
of the ngx_listening_t structure.  3rd party modules that create
their own listening sockets might need fixing.

ngx_http_find_virtual_server() should return NGX_DECLINED if virtual server not
found.

Upstream: hide_headers/pass_headers inheritance fix.

Hide headers and pass headers arrays might not be inherited correctly
into a nested location, e.g. in configuration like

    server {
        proxy_hide_header X-Foo;
        location / {
            location /nested/ {
                proxy_pass_header X-Pad;
            }
        }
    }

the X-Foo header wasn't hidden in the location /nested/.

Reported by Konstantin Svist,
http://mailman.nginx.org/pipermail/nginx-ru/2012-July/047555.html

Improved diagnostics when a directive is specified in the wrong context.

Removed extraneous GCC warning flags.

Slight optimization in ngx_http_upstream_add(): replaced an expression
known to be constant with the constant value.

ngx_http_upstream_add() should return NULL if an error occurs.

Reduced the number of preprocessor directives.

When "debug_connection" is configured with a domain name, only the first
resolved address was used.  Now all addresses will be used.

Added the Clang compiler support.

The -Werror is commented out to not break builds on Linux.

Made sure to run configure in a "C" locale.

Otherwise, we may fail to properly detect a version of compiler.

Added a commented out -Wmissing-prototypes to CFLAGS.

It is commented out to not break builds with 3rd party modules.

Fixed compilation with -Wmissing-prototypes.

Replaced a number of "else if" with "elif".

Win32: fixed cpu hog after process startup failure.

If ngx_spawn_process() failed while starting a process, the process
handle was closed but left non-NULL in the ngx_processes[] array.
The handle later was used in WaitForMultipleObjects() (if there
were multiple worker processes configured and at least one worker
process was started successfully), resulting in infinite loop.

Reported by Ricardo V G:
http://mailman.nginx.org/pipermail/nginx-devel/2012-July/002494.html

Fixed debugging messages to account that limit_zone was renamed to limit_conn.

Fixed sorting of listen addresses so that wildcard address is always at
the end (closes #187).  Failure to do so could result in several listen
sockets to be created instead of only one listening on wildcard address.

Reported by Roman Odaisky.

Version bump.

Synchronized the license text with the FreeBSD's bsd-style-copyright.

release-1.3.3 tag

nginx-1.3.3-RELEASE

Entity tags: empty etags handling in If-Range.

Entity tag may be of length 2 as per RFC 2616, i.e. double quotes only.
Pointed out by Ruslan Ermilov.

Entity tags: the "etag" directive.

It allows to disable generation of nginx's own entity tags, while
still handling ETags in cache properly.  This may be useful e.g.
if one want to serve static files from servers with different ETag
generation algorithms.

Entity tags: set for static respones.

Entity tags: handling in add_header.

Notably this allows to clear ETag if one want to for some reason.