nss: allow to specify TLS 1.3 ciphers if supported by NSS

Closes #3916

RELEASE-NOTES: synced

Revert all SASL authzid (new feature) commits

- Revert all commits related to the SASL authzid feature since the next
  release will be a patch release, 7.65.1.

Prior to this change CURLOPT_SASL_AUTHZID  / --sasl-authzid was destined
for the next release, assuming it would be a feature release 7.66.0.
However instead the next release will be a patch release, 7.65.1 and
will not contain any new features.

After the patch release after the reverted commits can be restored by
using cherry-pick:

git cherry-pick a14d72c a9499ff 8c1cc36 c2a8d52 0edf690

Details for all reverted commits:

Revert "os400: take care of CURLOPT_SASL_AUTHZID in curl_easy_setopt_ccsid()."

This reverts commit 0edf6907ae37e2020722e6f61229d8ec64095b0a.

Revert "tests: Fix the line endings for the SASL alt-auth tests"

This reverts commit c2a8d52a1356a722ff9f4aeb983cd4eaf80ef221.

Revert "examples: Added SASL PLAIN authorisation identity (authzid) examples"

This reverts commit 8c1cc369d0c7163c6dcc91fd38edfea1f509ae75.

Revert "curl: --sasl-authzid added to support CURLOPT_SASL_AUTHZID from the tool"

This reverts commit a9499ff136d89987af885e2d7dff0a066a3e5817.

Revert "sasl: Implement SASL authorisation identity via CURLOPT_SASL_AUTHZID"

This reverts commit a14d72ca2fec5d4eb5a043936e4f7ce08015c177.

FAQ: more minor updates and spelling fixes

Closes #3937

RELEASE-NOTES: synced

sectransp: handle errSSLPeerAuthCompleted from SSLRead()

Reported-by: smuellerDD on github
Fixes #3932
Closes #3933

Fix typo.

tool_setopt: for builds with disabled-proxy, skip all proxy setopts()

Reported-by: Marcel Raad
Fixes #3926
Closes #3929

winbuild: Use two space indentation

Closes #3930

tool_parse_cfg: Avoid 2 fopen() for WIN32

Using the memdebug.h mem-leak feature, I noticed 2 calls like:
  FILE tool_parsecfg.c:70 fopen("c:\Users\Gisle\AppData\Roaming\_curlrc","rt")
  FILE tool_parsecfg.c:114 fopen("c:\Users\Gisle\AppData\Roaming\_curlrc","rt")

No need for 'fopen(), 'fclose()' and a 'fopen()' yet again.

md4: include the mbedtls config.h to get the MD4 info

md4: build correctly with openssl without MD4

Reported-by: elsamuko at github
Fixes #3921
Closes #3922

os400: take care of CURLOPT_SASL_AUTHZID in curl_easy_setopt_ccsid().

.github/FUNDING: mention our opencollective "home" [ci skip]

config-win32: add support for if_nametoindex and getsockname

Closes https://github.com/curl/curl/pull/3923

tests: Fix the line endings for the SASL alt-auth tests

- Change data and protocol sections to CRLF line endings.

Prior to this change the tests would fail or hang, which is because
certain sections such as protocol require CRLF line endings.

Follow-up to a9499ff from today which added the tests.

Ref: https://github.com/curl/curl/pull/3790

url: fix bad #ifdef

Regression since e91e48161235272ff485.

Reported-by: Tom Greenslade
Fixes #3924
Closes #3925

Revert "progress: CURL_DISABLE_PROGRESS_METER"

This reverts commit 3b06e68b7734cb10a555f9d7e804dd5d808236a4.

Clearly this change wasn't good enough as it broke CURLOPT_LOW_SPEED_LIMIT +
CURLOPT_LOW_SPEED_TIME

Reported-by: Dave Reisner
Fixes #3927
Closes #3928

examples: Added SASL PLAIN authorisation identity (authzid) examples

curl: --sasl-authzid added to support CURLOPT_SASL_AUTHZID from the tool

sasl: Implement SASL authorisation identity via CURLOPT_SASL_AUTHZID

Added the ability for the calling program to specify the authorisation
identity (authzid), the identity to act as, in addition to the
authentication identity (authcid) and password when using SASL PLAIN
authentication.

Fixed #3653
Closes #3790

tests: add support to test against OpenSSH for Windows

Testing against OpenSSH for Windows requires v7.7.0.0 or newer
due to the use of AllowUsers and DenyUsers. For more info see:
https://github.com/PowerShell/Win32-OpenSSH/wiki/sshd_config

bump: start on the next release

examples: fix "clarify calculation precedence" warnings

Closes https://github.com/curl/curl/pull/3919

hiperfifo: remove unused variable

Closes https://github.com/curl/curl/pull/3919

examples: remove dead variable stores

Closes https://github.com/curl/curl/pull/3919

examples: reduce variable scopes

Closes https://github.com/curl/curl/pull/3919

http2-download: fix format specifier

Closes https://github.com/curl/curl/pull/3919

PolarSSL: deprecate support step 1. Removed from configure.

Also removed mentions from most docs.

Discussed: https://curl.haxx.se/mail/lib-2019-05/0045.html

Closes #3888

configure/cmake: check for if_nametoindex()

- adds the check to cmake

- fixes the configure check to work for cross-compiled windows builds

Closes #3917

parse_proxy: use the IPv6 zone id if given

If the proxy string is given as an IPv6 numerical address with a zone
id, make sure to use that for the connect to the proxy.

Reported-by: Edmond Yu
Fixes #3482
Closes #3918

RELEASE-NOTES: 7.65.0 release

THANKS: from the 7.65.0 release-notes

url: convert the zone id from a IPv6 URL to correct scope id

Reported-by: GitYuanQu on github
Fixes #3902
Closes #3914

configure: detect getsockname and getpeername on windows too

Made detection macros for these two functions in the same style as other
functions possibly in winsock in the hope this will work better to
detect these functions when cross-compiling for Windows.

Follow-up to e91e4816123

Fixes #3913
Closes #3915

examples: remove unused variables

Fixes Codacy/CppCheck warnings.

Closes

udpateconninfo: mark variable unused

When compiling without getpeername() or getsockname(), the sockfd
paramter to Curl_udpateconninfo() became unused after commit e91e481612
added ifdef guards.

Closes #3910
Fixes https://curl.haxx.se/dev/log.cgi?id=20190520172441-32196
Reviewed-by: Marcel Raad, Daniel Stenberg

ftp: move ftp_ccc in under featureflag

Commit e91e48161235272ff485ff32bd048c53af731f43 moved ftp_ccc in under
the FTP featureflag in the UserDefined struct, but vtls callsites were
still using it unprotected.

Closes #3912
Fixes: https://curl.haxx.se/dev/log.cgi?id=20190520044705-29865
Reviewed-by: Daniel Stenberg, Marcel Raad

curl: report error for "--no-" on non-boolean options

Reported-by: Olen Andoni
Fixes #3906
Closes #3907

mbedtls: enable use of EC keys

Closes #3892

lib1560: add tests for parsing URL with too long scheme

Ref: #3905

urlapi: increase supported scheme length to 40 bytes

The longest currently registered URI scheme at IANA is 36 bytes long.

Closes #3905
Closes #3900

lib: reduce variable scopes

Fixes Codacy/CppCheck warnings.

Closes https://github.com/curl/curl/pull/3872

tool_formparse: remove redundant assignment

Just initialize word_begin with the correct value.

Closes https://github.com/curl/curl/pull/3873

ssh: move variable declaration to where it's used

This way, we need only one call to free.

Closes https://github.com/curl/curl/pull/3873

ssh-libssh: remove unused variable

sock was only used to be assigned to fd_read.

Closes https://github.com/curl/curl/pull/3873

test332: verify the blksize fix

tftp: use the current blksize for recvfrom()

bug: https://curl.haxx.se/docs/CVE-2019-5436.html
Reported-by: l00p3r on hackerone
CVE-2019-5436

version: make ssl_version buffer match for multi_ssl

When running a multi TLS backend build the version string needs more
buffer space. Make the internal ssl_buffer stack buffer match the one
in Curl_multissl_version() to allow for the longer string. For single
TLS backend builds there is no use in extended to buffer. This is a
fallout from #3863 which fixes up the multi_ssl string generation to
avoid a buffer overflow when the buffer is too small.

Closes #3875
Reviewed-by: Daniel Stenberg <daniel@haxx.se>

http_ntlm_wb: Handle auth for only a single request

Currently when the server responds with 401 on NTLM authenticated
connection (re-used) we consider it to have failed.  However this is
legitimate and may happen when for example IIS is set configured to
'authPersistSingleRequest' or when the request goes thru a proxy (with
'via' header).

Implemented by imploying an additional state once a connection is
re-used to indicate that if we receive 401 we need to restart
authentication.

Missed in fe6049f0.

http_ntlm_wb: Cleanup handshake after clean NTLM failure

Missed in 50b87c4e.

http_ntlm_wb: Return the correct error on receiving an empty auth message

Missed in fe20826b as it wasn't implemented in http.c in b4d6db83.

Closes #3894

curl: make code work with protocol-disabled libcurl

Closes #3844

libcurl: #ifdef away more code for disabled features/protocols

progress: CURL_DISABLE_PROGRESS_METER

hostip: CURL_DISABLE_SHUFFLE_DNS

netrc: CURL_DISABLE_NETRC

docs: Markdown and misc improvements [ci skip]

Approved-by: Daniel Stenberg
Closes #3896

docs/RELEASE-PROCEDURE: link to live iCalendar [ci skip]

Ref: https://github.com/curl/curl/commit/0af41b40b2c7bd379b2251cbe7cd618e21fa0ea1#commitcomment-33563135
Approved-by: Daniel Stenberg
Closes #3895

travis: add an osx http-only build

Closes #3887

cleanup: remove FIXME and TODO comments

They serve very little purpose and mostly just add noise. Most of them
have been around for a very long time. I read them all before removing
or rephrasing them.

Ref: #3876
Closes #3883

curl: don't set FTP options for FTP-disabled builds

... since libcurl has started to be totally unaware of options for
disabled protocols they now return error.

Bug: https://github.com/curl/curl/commit/c9c5304dd4747cbe75d2f24be85920d572fcb5b8#commitcomment-33533937

Reported-by: Marcel Raad
Closes #3886

http_ntlm_wb: Move the type-2 message processing into a dedicated function

This brings the code inline with the other HTTP authentication mechanisms.

Closes #3890

RELEASE-NOTES: synced

docs/RELEASE-PROCEDURE: updated coming releases dates [ci skip]

CURLOPT_READFUNCTION.3: see also CURLOPT_UPLOAD_BUFFERSIZE [ci skip]

Reported-by: Roy Bellingan
Bug: #3885

parse_proxy: use the URL parser API

As we treat a given proxy as a URL we should use the unified URL parser
to extract the parts out of it.

Closes #3878

http_negotiate: Move the Negotiate state out of the negotiatedata structure

Given that this member variable is not used by the SASL based protocols
there is no need to have it here.

Closes #3882

http_ntlm: Move the NTLM state out of the ntlmdata structure

Given that this member variable is not used by the SASL based protocols
there is no need to have it here.

url: Move the negotiate state type into a dedicated enum

url: Remove duplicate clean up of the winbind variables in conn_shutdown()

Given that Curl_disconnect() calls Curl_http_auth_cleanup_ntlm() prior
to calling conn_shutdown() and it in turn performs this, there is no
need to perform the same action in conn_shutdown().

Closes #3881

urlapi: require a non-zero host name length when parsing URL

Updated test 1560 to verify.

Closes #3880

configure: error out if OpenSSL wasn't detected when asked for

If --with-ssl is used and configure still couldn't enable SSL this
creates an error instead of just silently ignoring the fact.

Suggested-by: Isaiah Norton
Fixes #3824
Closes #3830

imap: Fix typo in comment

url: Remove unnecessary initialisation from allocate_conn()

No need to set variables to zero as calloc() does this for us.

Closes #3879

CURLOPT_CAINFO.3: with Schannel, you want Windows 8 or later [ci skip]

Clues-provided-by: Jay Satiro
Clues-provided-by: Jeroen Ooms
Fixes #3711
Closes #3874

vtls: fix potential ssl_buffer stack overflow

In Curl_multissl_version() it was possible to overflow the passed in
buffer if the generated version string exceeded the size of the buffer.
Fix by inverting the logic, and also make sure to not exceed the local
buffer during the string generation.

Closes #3863
Reported-by: nevv on HackerOne/curl
Reviewed-by: Jay Satiro
Reviewed-by: Daniel Stenberg

RELEASE-NOTES: synced

appveyor: also build "/ci" branches like travis

pingpong: disable more when no pingpong enabled

proxy: acknowledge DISABLE_PROXY more

parsedate: CURL_DISABLE_PARSEDATE

sasl: only enable if there's a protocol enabled using it

mime: acknowledge CURL_DISABLE_MIME

wildcard: disable from build when FTP isn't present

http: CURL_DISABLE_HTTP_AUTH

base64: build conditionally if there are users

doh: CURL_DISABLE_DOH

auth: Rename the various authentication clean up functions

For consistency and to a avoid confusion.

Closes #3869

docs/INSTALL: fix broken link [ci skip]

Reported-by: Joombalaya on github
Fixes #3818

easy: fix another "clarify calculation precedence" warning

I missed this one in commit 6b3dde7fe62ea5a557fd1fd323fac2bcd0c2e9be.

build: fix "clarify calculation precedence" warnings

Codacy/CppCheck warns about this. Consistently use parentheses as we
already do in some places to silence the warning.

Closes https://github.com/curl/curl/pull/3866

cmake: restore C89 compatibility of CurlTests.c

I broke it in d1b5cf830bfe169745721b21245d2217d2c2453e and
97de97daefc2ed084c91eff34af2426f2e55e134.

Reported-by: Viktor Szakats
Ref: https://github.com/curl/curl/commit/97de97daefc2ed084c91eff34af2426f2e55e134#commitcomment-33499044
Closes https://github.com/curl/curl/pull/3868

http_ntlm: Corrected the name of the include guard

Missed in f0bdd72c.

Closes #3867

http_digest: Don't expose functions when HTTP and Crypto Auth are disabled

Closes #3861

http_negotiate: Don't expose functions when HTTP is disabled

SECURITY-PROCESS: fix links [ci skip]

CMake: suppress unused variable warnings

I missed these in commit d1b5cf830bfe169745721b21245d2217d2c2453e.

doh: disable DOH for the cases it doesn't work

Due to limitations in Curl_resolver_wait_resolv(), it doesn't work for
DOH resolves. This fix disables DOH for those.

Limitation added to KNOWN_BUGS.

Fixes #3850
Closes #3857

checksrc.bat: Ignore snprintf warnings in docs/examples

.. because we allow snprintf use in docs/examples.

Closes https://github.com/curl/curl/pull/3862