For DH, use standard primes from RFCs
[exim.git] / doc / doc-txt / NewStuff
index 82eaeb73bd607fffa3641cd8391776b82f4fe02c..0c3fccb74319a5bac8b4c958b8c6f3230c304814 100644 (file)
@@ -6,7 +6,7 @@ Before a formal release, there may be quite a lot of detail so that people can
 test from the snapshots or the CVS before the documentation is updated. Once
 the documentation is updated, this file is reduced to a short list.
 
-Version 4.78
+Version 4.80
 ------------
 
  1. New authenticator driver, "gsasl".  Server-only (at present).
@@ -80,6 +80,9 @@ Version 4.78
 
     SNI support has been added to Exim's GnuTLS integration too.
 
+    For sufficiently recent GnuTLS libraries, ${randint:..} will now use
+    gnutls_rnd(), asking for GNUTLS_RND_NONCE level randomness.
+
 12. With OpenSSL, if built with EXPERIMENTAL_OCSP, a new option tls_ocsp_file
     is now available.  If the contents of the file are valid, then Exim will
     send that back in response to a TLS status request; this is OCSP Stapling.
@@ -91,6 +94,18 @@ Version 4.78
 13. ${lookup dnsdb{ }} supports now SPF record types. They are handled
     identically to TXT record lookups.
 
+14. New expansion variable $tod_epoch_l for higher-precision time.
+
+15. New global option tls_dh_max_bits, defaulting to current value of NSS
+    hard-coded limit of DH ephemeral bits, to fix interop problems caused by
+    GnuTLS 2.12 library recommending a bit count higher than NSS supports.
+
+16. tls_dhparam now used by both OpenSSL and GnuTLS, can be path or identifier.
+    Option can now be a path or an identifier for a standard prime.
+    If unset, we use the DH prime from section 2.2 of RFC 5114, "ike23".
+    Set to "historic" to get the old GnuTLS behaviour of auto-generated DH
+    primes.
+
 
 Version 4.77
 ------------