URL parser: reject non-numerical port numbers

Test 1281 added to verify

runtests: made Servers: output be more consistent by removing OFF

cyassl: fixed typo introduced in 4f8b1774

CURLOPT_CONNECT_TO: Skip non-matching "connect-to" entries properly

If a port number in a "connect-to" entry does not match, skip this
entry instead of connecting to port 0.

If a port number in a "connect-to" entry matches, use this entry
and look no further.

Reported-by: Jay Satiro
Assisted-by: Jay Satiro, Daniel Stenberg
Closes #1148

BUGS: describe bug handling process

RELEASE-NOTES: synced with 19613fb3

http2: check nghttp2_session_set_local_window_size exists

The function only exists since nghttp2 1.12.0.

Bug: https://github.com/curl/curl/commit/a4d8888#commitcomment-19985676
Reported-by: Michael Kaufmann

http2: Fix crashes when parent stream gets aborted

Closes #1125

cmdline-docs: more options converted and fixed

Now all options are in the new system.

gen: include footer in mainpage output

lib1536: checksrc compliance

cmdline-opts: more command line options documented

Moved over to the new format

curl: remove --proxy-ssl* options

There's mostly likely no need to allow setting SSLv2/3 version for HTTPS
proxy. Those protocols are insecure by design and deprecated.

CURLOPT_PROXY_*.3: polished some proxy option man pages

os400: support CURLOPT_PROXY_PINNEDPUBLICKEY

Also define it in ILE/RPG binding.

curl_version_info: add CURL_VERSION_HTTPS_PROXY

Closes #1142

tests: Add some testcases for recent new features.

Add missing tests for CURLINFO_SCHEME, CURLINFO_PROTOCOL, %{scheme},
and %{http_version}

closes #1143

curl_easy_reset: clear info for CULRINFO_PROTOCOL and CURLINFO_SCHEME

CURLOPT_PROXY_CAINFO.3: clarify proxy use

CURLOPT_PROXY_CRLFILE.3: clarify https proxy and availability

curl_easy_setopt.3: add CURLOPT_PROXY_PINNEDPUBLICKEY

Follow-up to 4f8b17743d7c55a

docs: include all opts man pages in dist

Sorted the lists too.

... and include the new ones in the PDF and HTML generation targets

HTTPS Proxy: Implement CURLOPT_PROXY_PINNEDPUBLICKEY

url: proxy: Use 443 as default port for https proxies

TODO: removed "HTTPS proxy"

winbuild: add config option ENABLE_NGHTTP2

Closes #1141

tool_urlglob: Improve sanity check in glob_range

Prior to this change we depended on errno if strtol could not perform a
conversion. POSIX says EINVAL *may* be set. Some implementations like
Microsoft's will not set it if there's no conversion.

Ref: https://github.com/curl/curl/commit/ee4f7660#commitcomment-19658189

tool_help: Change description for --retry-connrefused

Ref: https://github.com/curl/curl/pull/1064#issuecomment-260052409

os400: sync ILE/RPG binding

test1135: Fix curl_easy_duphandle prototype for code style

Follow-up to dbadaeb which changed the style.

x509asn1: Restore the parameter check in Curl_getASN1Element

- Restore the removed parts of the parameter check.

Follow-up to 945f60e which altered the parameter check.

RELEASE-NOTES: update option counters

add CURLINFO_SCHEME, CURLINFO_PROTOCOL, and %{scheme}

Adds access to the effectively used protocol/scheme to both libcurl and
curl, both in string and numeric (CURLPROTO_*) form.

Note that the string form will be uppercase, as it is just the internal
string.

As these strings are declared internally as const, and all other strings
returned by curl_easy_getinfo() are de-facto const as well, string
handling in getinfo.c got const-ified.

Closes #1137

RELEASE-NOTES: synced with 63198a4750aeb

curl.1: the new --proxy options ship in 7.52.0

checksrc: move open braces to comply with function declaration style

checksrc: detect wrongly placed open braces in func declarations

checksrc: white space edits to comply to stricter checksrc

checksrc: verify ASTERISKNOSPACE

Detects (char*) and 'char*foo' uses.

checksrc: code style: use 'char *name' style

checksrc: add ASTERISKSPACE

Verifies a 'char *name' style, with no space after the asterisk.

openssl: remove dead code

Coverity CID 1394666

HTTPS-proxy: fixed mbedtls and polishing

darwinssl: adopted to the HTTPS proxy changes

It builds and runs all test cases. No adaptations for actual HTTPS proxy
support has been made.

gtls: fix indent to silence compiler warning

vtls/gtls.c: In function ‘Curl_gtls_data_pending’:
vtls/gtls.c:1429:3: error: this ‘if’ clause does not guard... [-Werror=misleading-indentation]
   if(conn->proxy_ssl[connindex].session &&
      ^~
      vtls/gtls.c:1433:5: note: ...this statement, but the latter is misleadingly indented as if it is guarded by the ‘if’
           return res;

mbedtls: Fix compile errors

proxy: Support HTTPS proxy and SOCKS+HTTP(s)

* HTTPS proxies:

An HTTPS proxy receives all transactions over an SSL/TLS connection.
Once a secure connection with the proxy is established, the user agent
uses the proxy as usual, including sending CONNECT requests to instruct
the proxy to establish a [usually secure] TCP tunnel with an origin
server. HTTPS proxies protect nearly all aspects of user-proxy
communications as opposed to HTTP proxies that receive all requests
(including CONNECT requests) in vulnerable clear text.

With HTTPS proxies, it is possible to have two concurrent _nested_
SSL/TLS sessions: the "outer" one between the user agent and the proxy
and the "inner" one between the user agent and the origin server
(through the proxy). This change adds supports for such nested sessions
as well.

A secure connection with a proxy requires its own set of the usual SSL
options (their actual descriptions differ and need polishing, see TODO):

  --proxy-cacert FILE        CA certificate to verify peer against
  --proxy-capath DIR         CA directory to verify peer against
  --proxy-cert CERT[:PASSWD] Client certificate file and password
  --proxy-cert-type TYPE     Certificate file type (DER/PEM/ENG)
  --proxy-ciphers LIST       SSL ciphers to use
  --proxy-crlfile FILE       Get a CRL list in PEM format from the file
  --proxy-insecure           Allow connections to proxies with bad certs
  --proxy-key KEY            Private key file name
  --proxy-key-type TYPE      Private key file type (DER/PEM/ENG)
  --proxy-pass PASS          Pass phrase for the private key
  --proxy-ssl-allow-beast    Allow security flaw to improve interop
  --proxy-sslv2              Use SSLv2
  --proxy-sslv3              Use SSLv3
  --proxy-tlsv1              Use TLSv1
  --proxy-tlsuser USER       TLS username
  --proxy-tlspassword STRING TLS password
  --proxy-tlsauthtype STRING TLS authentication type (default SRP)

All --proxy-foo options are independent from their --foo counterparts,
except --proxy-crlfile which defaults to --crlfile and --proxy-capath
which defaults to --capath.

Curl now also supports %{proxy_ssl_verify_result} --write-out variable,
similar to the existing %{ssl_verify_result} variable.

Supported backends: OpenSSL, GnuTLS, and NSS.

* A SOCKS proxy + HTTP/HTTPS proxy combination:

If both --socks* and --proxy options are given, Curl first connects to
the SOCKS proxy and then connects (through SOCKS) to the HTTP or HTTPS
proxy.

TODO: Update documentation for the new APIs and --proxy-* options.
Look for "Added in 7.XXX" marks.

Declare endian read functions argument as a const pointer.
This is done for all functions of the form Curl_read[136][624]_[lb]e.

Limit ASN.1 structure sizes to 256K. Prevent some allocation size overflows.
See CRL-01-006.

url: Fix conn reuse for local ports and interfaces

- Fix connection reuse for when the proposed new conn 'needle' has a
specified local port but does not have a specified device interface.

Bug: https://curl.haxx.se/mail/lib-2016-11/0137.html
Reported-by: bjt3[at]hotmail.com

rand: pass in number of randoms as an unsigned argument

rand: Fix potentially uninitialized result warning

vtls: fix build warnings

Fix warnings about conversions from long to time_t in openssl.c and
schannel.c.

Follow-up to de4de4e3c7c

lib: fix compiler warnings after de4de4e3c7c

Visual C++ now complains about implicitly casting time_t (64-bit) to
long (32-bit). Fix this by changing some variables from long to time_t,
or explicitly casting to long where the public interface would be
affected.

Closes #1131

Don't mix unix domain sockets with regular ones

When reusing a connection, make sure the unix domain
socket option matches.

tests: Fix HTTP2-Settings header for huge window size

Follow-up to a4d8888. Changing the window size in that commit resulted
in a different HTTP2-Settings upgrade header, causing test 1800 to fail.

http2: Use huge HTTP/2 windows

- Improve performance by using a huge HTTP/2 window size.

Bug: https://github.com/curl/curl/issues/1102
Reported-by: afrind@users.noreply.github.com
Assisted-by: Tatsuhiro Tsujikawa

cmdline-docs: more conversion

gen: support 'protos'

and warn on unrecognized lines

gen: support 'single' to make an individual page man page

cmdline-docs: more options converted over

gen: support 'redirect'

... and warn for too long --help lines

cmdline/gen: replace options in texts better

http2: Fix address sanitizer memcpy warning

- In Curl_http2_switched don't call memcpy when src is NULL.

Curl_http2_switched can be called like:

Curl_http2_switched(conn, NULL, 0);

.. and prior to this change memcpy was then called like:

memcpy(dest, NULL, 0)

.. causing address sanitizer to warn:

http2.c:2057:3: runtime error: null pointer passed as argument 2, which
is declared to never be null

tool_help: Clarify --dump-header only writes received headers

curl.1: Clarify --dump-header only writes received headers

docs: Spelling fixes

docs: the next release will be 7.52.0

cmdline-opts: support generating the --help output

darwinssl: fix SSL client certificate not found on MacOS Sierra

Reviewed-by: Nick Zitzmann
Closes #1105

curl: add --fail-early to help output

Fixes test 1139 failures

Follow-up to f82bbe01c8835

glob: fix [a-c] globbing regression

Brought in ee4f76606cf

Added test case 1280 to verify

Reported-by: Dave Reisner
Bug: https://github.com/curl/curl/commit/ee4f76606cfa4ee068bf28edd37c8dae7e8db317#commitcomment-19823146

curl: add --fail-early

Exit with an error on the first transfer error instead of continuing to
do the rest of the URLs.

Discussion: https://curl.haxx.se/mail/archive-2016-11/0038.html

Curl_rand: fixed and moved to rand.c

Now Curl_rand() is made to fail if it cannot get the necessary random
level.

Changed the proto of Curl_rand() slightly to provide a number of ints at
once.

Moved out from vtls, since it isn't a TLS function and vtls provides
Curl_ssl_random() for this to use.

Discussion: https://curl.haxx.se/mail/lib-2016-11/0119.html

cmdline-opts: first test version of a new man page generator kit

See MANPAGE.md for the description of how this works. Each command line
option is now described in a separate .d file.

time_t fix: follow-up to de4de4e3c7c

Blah, I accidentally wrote size_t instead of time_t for two variables.

Reported-by: Dave Reisner

timeval: prefer time_t to hold seconds instead of long

... as long is still 32bit on modern 64bit windows machines, while
time_t is generally 64bit.

tests: fixed variable might be clobbered warning

This stops the compiler from potentially making invalid assumptions
about the immutability of sdp and sap across the longjmp boundary.

RELEASE-NOTES: synced with 346340808c

URL-parser: for file://[host]/ URLs, the [host] must be localhost

Previously, the [host] part was just ignored which made libcurl accept
strange URLs misleading users. like "file://etc/passwd" which might've
looked like it refers to "/etc/passwd" but is just "/passwd" since the
"etc" is an ignored host name.

Reported-by: Mike Crowe
Assisted-by: Kamil Dudka

test558: adapt to 0649433da

openssl: make sure to fail in the unlikely event that PRNG seeding fails

openssl: avoid unnecessary seeding if already done

1.1.0+ does more of this by itself so we can avoid extra processing this
way.

openssl: RAND_status always exists in OpenSSL >= 0.9.7

and remove RAND_screen from configure since nothing is using that
function

Curl_pgrsUpdate: use dedicated function for time passed

realloc: use Curl_saferealloc to avoid common mistakes

Discussed: https://curl.haxx.se/mail/lib-2016-11/0087.html

curl: Add --retry-connrefused

to consider ECONNREFUSED as a transient error.

Closes #1064

openssl: raise the max_version to 1.3 if asked for

Now I've managed to negotiate TLS 1.3 with https://enabled.tls13.com/ when
using boringssl.

vtls: Fail on unrecognized param for CURLOPT_SSLVERSION

- Fix GnuTLS code for CURL_SSLVERSION_TLSv1_2 that broke when the
TLS 1.3 support was added in 6ad3add.

- Homogenize across code for all backends the error message when TLS 1.3
is not available to "<backend>: TLS 1.3 is not yet supported".

- Return an error when a user-specified ssl version is unrecognized.

---

Prior to this change our code for some of the backends used the
'default' label in the switch statement (ie ver unrecognized) for
ssl.version and treated it the same as CURL_SSLVERSION_DEFAULT.

Bug: https://curl.haxx.se/mail/lib-2016-11/0048.html
Reported-by: Kamil Dudka

SPNEGO: Fix memory leak when authentication fails

If SPNEGO fails, cleanup the negotiate handle right away.

Fixes #1115

Signed-off-by: Isaac Boukris <iboukris@gmail.com>
Reported-by: ashman-p

CODE_STYLE.md: link to INTERNALS.md correctly

bump: next version will be 7.52.0

RELEASE-NOTES: synced with dfcdaaba371e9a3

examples/fileupload.c: fclose the file as well

printf: fix ".*f" handling

It would always use precision 1 instead of reading it from the argument
list as intended.

Reported-by: Ray Satiro
Bug: #1113

curl_formadd.3: *_FILECONTENT and *_FILE need the file to be kept

Reported-by: Frank Gevaerts

nss: silence warning 'SSL_NEXT_PROTO_EARLY_VALUE not handled in switch'

... with nss-3.26.0 and newer

Reported-by: Daniel Stenberg

openssl: initial TLS 1.3 adaptions

BoringSSL supports TLSv1.3 already, but these changes don't seem to be anough
to get it working.

ssh: check md5 fingerprints case insensitively (regression)

Revert the change from ce8d09483eea but use the new function

Reported-by: Kamil Dudka
Bug: https://github.com/curl/curl/commit/ce8d09483eea2fcb1b50e323e1a8ed1f3613b2e3#commitcomment-19666146

curl: introduce the --tlsv1.3 option to force TLS 1.3

Fully implemented with the NSS backend only for now.

Reviewed-by: Ray Satiro