MD5: replace implementation

The previous one was "encumbered" by RSA Inc - to avoid the licensing
restrictions it has being replaced. This is the initial import,
inserting the md5.c and md5.h files from
http://openwall.info/wiki/people/solar/software/public-domain-source-code/md5

Code-by: Alexander Peslyak

MD4: fix compiler warnings and code style nits

MD4: replace implementation

The previous one was "encumbered" by RSA Inc - to avoid the licensing
restrictions it has being replaced. This is the initial import,
inserting the md4.c and md4.h files from
http://openwall.info/wiki/people/solar/software/public-domain-source-code/md4

Code-by: Alexander Peslyak

telnet: Prefer 'CURLcode result' for curl result codes

hostasyn: Prefer 'CURLcode result' for curl result codes

schannel: Prefer 'CURLcode result' for curl result codes

unit1601: MD5 unit tests

unit1600: unit test for Curl_ntlm_core_mk_nt_hash

unit1600: NTLM unit test

tests/README: add a new range, clean up some language

opts: CURLOPT_CAINFO availability depends on SSL engine

getpass: protect include with proper #ifdef

Reported-by: Tamir

getpass_r: read from stdin, not stdout!

The file number used was wrong. This bug was introduced over 10 years
ago, proving this function isn't used much...

Bug: http://curl.haxx.se/bug/view.cgi?id=1476
Reported-by: Tamir

test1135: verify the CURL_EXTERN order in header files

Makefile.am: fix 'make distcheck'

... by removing generated files from the *_DIST variable [*] and instead
generate them with a .dist suffix, since that is then handled and put
into the release archive by our generic dist-hook.

[*] = 'make distcheck' fails with non-existing files listed there

curl_sasl.c: More code policing

Better use of 80 character line limit, comment corrections and line
spacing preferences.

libcurl-symbols: first basic shot for autogenerated docs

FAQ: minor edit of 3.22

build: Added removal of Visual Studio project files

Added the removal of the locally generated project files so one
may revert to a clean repository.

build: Renamed top level Visual Studio solution files

In preparation for adding the test suite and examples projects renamed
the top level "all" solution files to better describe what they are.

This will also enable us to use "curl" rather than "curlsrc" for the
command line tool solution and project files, which will simplify some
of the configuration.

build: Enabled DEBUGBUILD in Visual Studio debug builds

Defined the DEBUGBUILD pre-processor variable to allow extra logging,
which is particularly useful in debug builds, as we use this and Visual
Studio typically uses _DEBUG.

We could define DEBUBBUILD, in curl_setup.h, when _MSC_VER and _DEBUG is
defined but that would also affect the makefile based builds which we
probably don't want to do.

build: Removed unused Visual Studio bscmake settings

CURLOPT_HTTP_VERSION.3: CURL_HTTP_VERSION_2_0 added in 7.33.0

And modify the text to refer to HTTP 2 as it isn't called "2.0".

Reported-By: Michael Wallner

TODO: moved WinSSL/SChannel todo items into docs

CURLOPT_SEEKFUNCTION.3: also when server closes a connection

curl_sasl.c: Fixed compilation warning when cryptography is disabled

curl_sasl.c:1506: warning: unused variable 'chlg'

curl_sasl.c: Fixed compilation warning when verbose debug output disabled

curl_sasl.c:1317: warning: unused parameter 'conn'

ntlm_core: Use own odd parity function when crypto engine doesn't have one

ntlm_core: Prefer sizeof(key) rather than hard coded sizes

ntlm_core: Added consistent comments to DES functions

des: Added Curl_des_set_odd_parity()

Added Curl_des_set_odd_parity() for use when cryptography engines
don't include this functionality.

tests: Grouped SMTP SASL EXTERNAL tests with other SMTP tests

tests: Grouped POP3 SASL EXTERNAL tests with other POP3 tests

tests: Grouped IMAP SASL EXTERNAL tests with other IMAP tests

sasl: Minor code policing and grammar corrections

ldap: build with BoringSSL

security: avoid compiler warning

Possible access to uninitialised memory '&nread' at line 140 of
lib/security.c in function 'ftp_send_command'.

Reported-by: Rich Burridge

runtests: identify BoringSSL and libressl

docs: cite SASL external authentication.

sasl: remove XOAUTH2 from default enabled authentication mechanism.

test: add test cases for sasl external authentication (imap/pop3/smtp).

imap: remove automatic password setting: it breaks external sasl authentication

sasl: implement EXTERNAL authentication mechanism.
  Its use is only enabled by explicit requirement in URL (;AUTH=EXTERNAL) and
by not setting the password.

openssl: Fixed Curl_ossl_cert_status_request() not returning FALSE

Modified the Curl_ossl_cert_status_request() function to return FALSE
when built with BoringSSL or when OpenSSL is missing the necessary TLS
extensions.

openssl: Fixed compilation errors when OpenSSL built with 'no-tlsext'

Fixed the build of openssl.c when OpenSSL is built without the necessary
TLS extensions for OCSP stapling.

Reported-by: John E. Malmberg

curl_setup: Disable SMB/CIFS support when HTTP only

RELEASE-NOTES: Synced with 37824498a3

configure: remove detection of the old yassl emulation API

... as that is ancient history and not used.

OCSP stapling: disabled when build with BoringSSL

openssl: add support for the Certificate Status Request TLS extension

Also known as "status_request" or OCSP stapling, defined in RFC6066
section 8.

Thanks-to: Joe Mason
- for the work-around for the OpenSSL bug.

BoringSSL: fix build for non-configure builds

HAVE_BORINGSSL gets defined now by configure and should be defined by
other build systems in case a BoringSSL build is desired.

configure: fix BoringSSL detection and detect libresssl

curl_sasl: Reinstate the sasl_ prefix for locally scoped functions

Commit 7a8b2885e2 made some functions static and removed the public
Curl_ prefix. Unfortunately, it also removed the sasl_ prefix, which
is the naming convention we use in this source file.

curl_sasl: Minor code policing following recent commits

openvms: Handle openssl/0.8.9zb version parsing

packages/vms/gnv_link_curl.com was assuming only a single letter suffix
in the openssl version.  That assumption has been fixed for 7.40.

BoringSSL: detected by configure, switches off NTLM

BoringSSL: no PKCS12 support nor ERR_remove_state

BoringSSL: fix build

curl_sasl.c: chlglen is not used when cryptography is disabled

curl_sasl.c: Fixed compilation warning when cyptography is disabled

curl_sasl.c:1453: warning C4101: 'serverdata' : unreferenced local
                  variable

curl_sasl.c: Fixed compilation error when USE_WINDOWS_SSPI defined

curl_sasl.c:1221: error C2065: 'mechtable' : undeclared identifier

This error could also happen for non-SSPI builds when cryptography is
disabled (CURL_DISABLE_CRYPTO_AUTH is defined).

SASL: make some procedures local-scoped

SASL: common state engine for imap/pop3/smtp

SASL: common URL option and auth capabilities decoders for all protocols

IMAP/POP3/SMTP: use a per-connection sub-structure for SASL parameters.

ipv6: enclose AF_INET6 uses with proper #ifdefs for ipv6

Reported-by: Chris Young

timeval: typecast for better type (on Amiga)

There is an issue with conflicting "struct timeval" definitions with
certain AmigaOS releases and C libraries, depending on what gets
included when.  It's a minor difference - the OS one is unsigned,
whereas the common structure has signed elements.  If the OS one ends up
getting defined, this causes a timing calculation error in curl.

It's easy enough to resolve this at the curl end, by casting the
potentially errorneous calculation to a signed long.

openssl: do public key pinning check independently

... of the other cert verification checks so that you can set verifyhost
and verifypeer to FALSE and still check the public key.

Bug: http://curl.haxx.se/bug/view.cgi?id=1471
Reported-by: Kyle J. McKay

OS400: CURLOPT_SSL_VERIFYSTATUS for ILE/RPG too.

ldap: Renamed the CURL_LDAP_WIN definition to USE_WIN32_LDAP

For consistency with other USE_WIN32_ defines as well as the
USE_OPENLDAP define.

http_negotiate: Use dynamic buffer for SPN generation

Use a dynamicly allocated buffer for the temporary SPN variable similar
to how the SASL GSS-API code does, rather than using a fixed buffer of
2048 characters.

sasl_gssapi: Make Curl_sasl_build_gssapi_spn() public

sasl_gssapi: Fixed memory leak with local SPN variable

http_negotiate.c: unused variable 'ret'

gskit.h: Code policing of function pointer arguments

vtls: Removed unimplemented overrides of curlssl_close_all()

Carrying on from commit 037cd0d991, removed the following unimplemented
instances of curlssl_close_all():

Curl_axtls_close_all()
Curl_darwinssl_close_all()
Curl_cyassl_close_all()
Curl_gskit_close_all()
Curl_gtls_close_all()
Curl_nss_close_all()
Curl_polarssl_close_all()

vtls: Separate the SSL backend definition from the API setup

Slight code cleanup as the SSL backend #define is mixed up with the API
function setup.

vtls: Fixed compilation errors when SSL not used

Fixed the following warning and error from commit 3af90a6e19 when SSL
is not being used:

url.c:2004: warning C4013: 'Curl_ssl_cert_status_request' undefined;
            assuming extern returning int

error LNK2019: unresolved external symbol Curl_ssl_cert_status_request
               referenced in function Curl_setopt

http_negotiate: Added empty decoded challenge message info text

http_negotiate: Return CURLcode in Curl_input_negotiate() instead of int

http_negotiate_sspi: Prefer use of 'attrs' for context attributes

Use the same variable name as other areas of SSPI code.

http_negotiate_sspi: Use correct return type for QuerySecurityPackageInfo()

Use the SECURITY_STATUS typedef rather than a unsigned long for the
QuerySecurityPackageInfo() return and rename the variable as per other
areas of SSPI code.

http_negotiate_sspi: Use 'CURLcode result' for CURL result code

curl_endian: Fixed build when 64-bit integers are not supported (Part 2)

Missed Curl_read64_be() in commit bb12d44471 :(

CURLOPT_SSL_VERIFYSTATUS.3: mention it is added in version 7.41.0

curlver.h: next release is 7.41.0 due to the changes

RELEASE-NOTES: mention the new OCSP stapling options, bump version

opts: add CURLOPT_SSL_VERIFYSTATUS* to docs/Makefile

help: add --cert-status to --help output

copyright years: after OCSP stapling changes

curl: add --cert-status option

This enables the CURLOPT_SSL_VERIFYSTATUS functionality.

nss: add support for the Certificate Status Request TLS extension

Also known as "status_request" or OCSP stapling, defined in RFC6066 section 8.

This requires NSS 3.15 or higher.

gtls: add support for the Certificate Status Request TLS extension

Also known as "status_request" or OCSP stapling, defined in RFC6066 section 8.

This requires GnuTLS 3.1.3 or higher to build, however it's recommended to use
at least GnuTLS 3.3.11 since previous versions had a bug that caused the OCSP
response verfication to fail even on valid responses.

url: add CURLOPT_SSL_VERIFYSTATUS option

This option can be used to enable/disable certificate status verification using
the "Certificate Status Request" TLS extension defined in RFC6066 section 8.

This also adds the CURLE_SSL_INVALIDCERTSTATUS error, to be used when the
certificate status verification fails, and the Curl_ssl_cert_status_request()
function, used to check whether the SSL backend supports the status_request
extension.

TheArtOfHttpScripting: skip the date at the top, we have git

TheArtOfHttpScripting: phrase it TLS lib agnostic

TODO: Added some SMB ideas

RELEASE-NOTES: Synced with 5f09947d28

build-openssl.bat: Added check for Perl installation

checksrc.bat: Better detection of Perl installation