checksrc.bat: Check lib\vtls source

cyassl: Set minimum protocol version before CTX callback

This change is to allow the user's CTX callback to change the minimum
protocol version in the CTX without us later overriding it, as we did
prior to this change.

build-openssl.bat: Fix mixed line endings

Use LF not CRLF, throughout.  msysgit will only convert a file to CRLF
on checkout if it's not mixed.

cyassl: Fix certificate load check

SSL_CTX_load_verify_locations can return negative values on fail,
therefore to check for failure we check if load is != 1 (success)
instead of if load is == 0 (failure), the latter being incorrect given
that behavior.

http2: Fix missing nghttp2_session_send call in Curl_http2_switched

Previously in Curl_http2_switched, we called nghttp2_session_mem_recv to
parse incoming data which were already received while curl was handling
upgrade.  But we didn't call nghttp2_session_send, and it led to make
curl not send any response to the received frames.  Most likely, we
received SETTINGS from server at this point, so we missed opportunity to
send SETTINGS + ACK.  This commit adds missing nghttp2_session_send call
in Curl_http2_switched to fix this issue.

Bug: https://github.com/bagder/curl/issues/192
Reported-by: Stefan Eissing

cookie: handle spaces after the name in Set-Cookie

"name =value" is fine and the space should just be skipped.

Updated test 31 to also test for this.

Bug: https://github.com/bagder/curl/issues/195
Reported-by: cromestant
Help-by: Frank Gevaerts

cyassl: Fix library initialization return value

(Curl_cyassl_init)
- Return 1 on success, 0 in failure.

Prior to this change the fail path returned an incorrect value and the
evaluation to determine whether CyaSSL_Init had succeeded was incorrect.
Ironically that combined with the way curl_global_init tests SSL library
initialization (!Curl_ssl_init()) meant that CyaSSL having been
successfully initialized would be seen as that even though the code path
and return value in Curl_cyassl_init were wrong.

CURLOPT_HTTP200ALIASES.3: Mainly SHOUTcast servers use "ICY 200"

Icecast versions 1.3.0 through 1.3.12 would reply with "ICY 200"
under certain conditions:

    client_wants_icy_headers (connection_t *con)
    {
            const char *val;

            if (!con)
                    return 1;

            val = get_user_agent (con);
            if (!val || !val[0] || strcmp (val, "(null)") == 0)
                    return 1;

            if (con->food.client->use_icy)
                    return 1;
            if (strncasecmp (val, "winamp", 6) == 0)
                    return 1;
            if (strncasecmp (val, "Shoutcast", 9) == 0)
                    return 1;

            return 0;
    }

So mainly if there is no 'user agent' or it is '(null)' or contains
'winamp' or 'Shoutcast'.

No mainstream distribution carries Icecast 1.3.x anymore, after all
it was released in 2002 and superseded by Icecast 2.x.

axtls: add timeout within Curl_axtls_connect

This allows test 405 to pass on axTLS.

checksrc: Windows-specific input fixes

lib/config-win32ce.h
- Fix whitespace for checksrc compliance.

lib/checksrc.pl
- Remove trailing carriage returns from input.

projects/checksrc.bat
- Ignore tool_hugehelp.c.

configure: Use KRB5CONFIG for krb5-config

Allows the user to easier override its path.

Bug: http://curl.haxx.se/bug/view.cgi?id=1486

multi: remove_handle: move pending connections

If the handle removed from the multi handle happens to be the one
"owning" the pipeline other transfers will be waiting indefinitely. Now
we move such handles back to connect to have them race (again) for
getting the connection and thus avoid hanging.

Bug: http://curl.haxx.se/bug/view.cgi?id=1465
Reported-by: Jiri Dvorak

KNOWN_BUGS: 89 is bug #1411

Disabling pipelining on multi handle with in-progress pipelined requests
leads to heap corruption and crash

cyassl: CTX callback cosmetic changes and doc fix

- More descriptive fail message for NO_FILESYSTEM builds.
- Cosmetic changes.
- Change more of CURLOPT_SSL_CTX_* doc to not be OpenSSL specific.

RELEASE-NOTES: synced with d2feb71752f

tool_operate: only set SSL options if SSL is enabled

runtests.pl: detect WolfSSL as yassl

cyassl: add SSL context callback support for CyaSSL

Adds support for CURLOPT_SSL_CTX_FUNCTION when using CyaSSL, and better
handles CyaSSL instances using NO_FILESYSTEM.

cyassl: remove undefined reference to CyaSSL_no_filesystem_verify

CyaSSL_no_filesystem_verify is not (or no longer) defined by cURL or
CyaSSL. This reference causes build errors when compiling with
NO_FILESYSTEM.

build: Fix libcurl.sln erroneous mixed configurations

Prior to this change some Release configurations had an active
configuration assignment to their Debug counterpart.

vtls: Don't accept unknown CURLOPT_SSLVERSION values

url: Don't accept CURLOPT_SSLVERSION unless USE_SSL is defined

build: link curl to openssl libraries when openssl support is enabled

This fixes a build failure where openssl and libmetalink are used
together and the system linker does not do implicit linking (e.g.
Fedora 13 and later releases). The MD5 functions required for
metalink support must be pulled in from the openssl crypto library.

This is similar to commit c6e7cbb94e669b85d3eb8e015ec51d0072112133,
which fixes the same sort of problem for NSS builds.

multi: on a request completion, check all CONNECT_PEND transfers

... even if they don't have an associated connection anymore. It could
leave the waiting transfers pending with no active one on the
connection.

Bug: http://curl.haxx.se/bug/view.cgi?id=1465
Reported-by: Jiri Dvorak

globbing: fix url number calculation when using range with step

In function glob_range, the number of urls was multiplied by (max - min
+ 1), regardless of step. The correct formula is (max - min) / step + 1

README.http2: refreshed and added TODO items

globbing: fix step parsing for character globbing ranges

The glob_range function used wrong offset (3 instead of 4) for parsing
integer step inside character range specification, which led to 'bad
range' error when using character ranges with explicitly specified step
(such as '[a-z:2]')

polarssl: called mbedTLS in 1.3.10 and later

polarssl: remove dead code

and simplify code by changing if-elses to a switch()

CID 1291706: Logically dead code. Execution cannot reach this statement

polarssl: remove superfluous for(;;) loop

"unreachable: Since the loop increment is unreachable, the loop body
will never execute more than once."

Coverity CID 1291707

Curl_ssl_md5sum: return CURLcode

... since the funciton can fail on OOM. Check this return code.

Coverity CID 1291705.

cyassl: default to highest possible TLS version

(cyassl_connect_step1)
- Use TLS 1.0-1.2 by default when available.

CyaSSL/wolfSSL >= v3.3.0 supports setting a minimum protocol downgrade
version.

cyassl/cyassl@322f79f

cyassl: Check for invalid length parameter in Curl_cyassl_random

cyassl: If wolfSSL then identify as such in version string

symbols-in-versions: added CURLOPT_PATH_AS_IS

testcurl.pl: add the --notes option to supply more info about a build

Support for notes has been in place for a while, but it required
being added to the setup file manually.

curl_memory: make curl_memory.h the second-last header file loaded

This header file must be included after all header files except
memdebug.h, as it does similar memory function redefinitions and can be
similarly affected by conflicting definitions in system or dependent
library headers.

openssl: do the OCSP work-around for libressl too

I tested with libressl git master now (v2.1.4-27-g34bf96c) and it seems to
still require the work-around for stapling to work.

openssl: verifystatus: only use the OCSP work-around <= 1.0.2a

URL: http://curl.haxx.se/mail/lib-2015-03/0205.html
Reported-by: Alessandro Ghedini

openssl: adapt to ASN1/X509 things gone opaque in 1.1

curl_easy_setopt.3: Fix misspelling in CURLOPT_PATH_AS_IS description

CURLOPT_HTTPHEADER.3: fix typo in recent commit

CURLOPT_PATH_AS_IS.3: add type 'long' to prototype

vtls: fix compile with --disable-crypto-auth but with SSL

This is a strange combination of options, but is allowed.

os400: define new options in ILE/RPG binding.

RELEASE-NOTES: synced with f6878609361

curl_easy_setopt.3: Add CURLOPT_PATH_AS_IS

CURLOPT_PATH_AS_IS: added

--path-as-is is the command line option

Added docs in curl.1 and CURLOPT_PATH_AS_IS.3

Added test in test 1241

curl_easy_recv/send: make them work with the multi interface

By making sure Curl_getconnectinfo() uses the correct connection cache
to find the last connection.

http2: move the init too for when its actually needed

... it would otherwise lead to memory leakage if we never actually do
the switch.

dict: rename byte to avoid compiler shadowed declaration warning

This conflicted with a WolfSSL typedef.

cyassl: include version.h to ensure the version macros are defined

test1513: eliminated race condition in test run

It seems that some systems (e.g. fairly consistently in some recent
Solaris autobuilds) would manage to get to the connect phase before the
progress callback was called, resulting in a CURLE_COULDNT_CONNECT
error. Reworked the test to point at a test server that never returns a
full result so the progress callback always gets a chance to be called
before the transfer can complete in some other way.

darwinsssl: add support for TLS False Start

TLS False Start support requires iOS 7.0 or later, or OS X 10.9 or later.

gtls: add check of return code

Coverity CID 1291167 pointed out that 'rc' was received but never used when
gnutls_credentials_set() was used. Added return code check now.

gtls: dereferencing NULL pointer

Coverity CID 1291165 pointed out 'chainp' could be dereferenced when
NULL if gnutls_certificate_get_peers() had previously failed.

gtls: avoid uninitialized variable.

Coverity CID 1291166 pointed out that we could read this variable
uninitialized.

tests/certs: rebuild certificates with modified key usage bits

The certificates were missing the digitalSignature and keyAgreement
usage types, of which at least digitalSignature was checked by CyaSSL.
This caused the test server in test 310 (among others) to fail the
startup verification and therefore run (see
http://curl.haxx.se/mail/lib-2014-07/0303.html).

tests/certs: added make target to rebuild certificates

The certificate generation scripts were also updated to better match the
format of the certificates currently checked in.

x509asn1: add /* fallthrough */ in switch() case

x509asn1: minor edit to unconfuse Coverity

CID 1202732 warns on the previous use, although I cannot fine any
problems with it. I'm doing this change only to make the code use a more
familiar approach to accomplish the same thing.

testcurl: Allow '=' in values given on command line

nss: error: unused variable 'connssl'

test938: added missing closing tags

cyassl: use new library version macro when available

curl: add --false-start option

nss: add support for TLS False Start

url: add CURLOPT_SSL_FALSESTART option

This option can be used to enable/disable TLS False Start defined in the RFC
draft-bmoeller-tls-falsestart.

gtls: implement CURLOPT_CERTINFO

openssl: try to avoid accessing OCSP structs when possible

CURLOPT_URL.3: spelling!

Reported-by: Frank Gevaerts

CURLOPT_URL.3: Added "SECURITY CONCERNS"

CURLOPT_HTTPHEADER.3: add a "SECURITY CONCERNS" section

cyassl: detect the library as renamed wolfssl

This change was made in CyaSSL/WolfSSL ver. 3.4.0

HTTP: don't switch to HTTP/2 from 1.1 until we get the 101

We prematurely changed protocol handler to HTTP/2 which made things very
slow (and wrong).

Reported-by: Stefan Eissing
Bug: https://github.com/bagder/curl/issues/169

axtls: version 1.5.2 now requires that config.h be manually included

metalink: fix resource leak in OOM

Coverity CID 1288826

docs/libcurl: clean up libcurl-symbols.3

docs/libcurl: check that all options with man pages are referenced

If a man page exists in the opts/ directory, it must also be referenced
either in curl_easy_setopt.3 or curl_multi_setopt.3

curl_easy_setopt.3: added a few missing options

nss: explicitly tell NSS to disable NPN/ALPN

... if disabled at libcurl level.  Otherwise, we would allow to
negotiate NPN despite curl was invoked with the --no-npn option.

mkhelp: Remove trailing carriage return from every line of input

- Get rid of this flood of warnings in Windows mingw build:
warning: missing terminating " character

The warning is due to the carriage return. When msysgit checks out files
from the repo by default it converts the line endings to CRLF. Prior to
this change when mkhelp.pl processed the MANUAL and curl.1 in CRLF
format the trailing carriage returns caused unnecessary CR in the
output.

RELEASE-NOTES: synced with e539f01567

docs/libcurl: make portability fix

Using $< in a non-suffix rule context is a GNU make idiom.  This bug was
introduced in 7.41.0.

checksrc: Fix whitelist on out-of-tree builds

Curl_sh_entry: remove unused 'timestamp'

HTTP: don't use Expect: headers when on HTTP/2

Reported-by: Stefan Eissing
Bug: https://github.com/bagder/curl/issues/169

checksrc: detect and remove space before trailing semicolons

checksrc: introduce a whitelisting concept

checksrc: use space after comma

checksrc: use space before paren in "return (expr);"

CONTRIBUTE: refer to git log instead of deprecated CHANGES file

CURLOPT_*.3: more examples and edits

CURLOPT_*.3: added lots of small example sections

CURLOPT_PRIVATE.3: provide an example

CURLOPT_*TIMEOUT.3: provide examples

CURLOPT_USERAGENT.3: added an example

CURLOPT_STDERR.3: added an example

curl_easy_perform.3: remove superfluous close brace from example

free: instead of Curl_safefree()

Since we just started make use of free(NULL) in order to simplify code,
this change takes it a step further and:

- converts lots of Curl_safefree() calls to good old free()
- makes Curl_safefree() not check the pointer before free()

The (new) rule of thumb is: if you really want a function call that
frees a pointer and then assigns it to NULL, then use Curl_safefree().
But we will prefer just using free() from now on.