CURLOPT_HTTP_VERSION.3: CURL_HTTP_VERSION_2_0 added in 7.33.0

And modify the text to refer to HTTP 2 as it isn't called "2.0".

Reported-By: Michael Wallner

TODO: moved WinSSL/SChannel todo items into docs

CURLOPT_SEEKFUNCTION.3: also when server closes a connection

curl_sasl.c: Fixed compilation warning when cryptography is disabled

curl_sasl.c:1506: warning: unused variable 'chlg'

curl_sasl.c: Fixed compilation warning when verbose debug output disabled

curl_sasl.c:1317: warning: unused parameter 'conn'

ntlm_core: Use own odd parity function when crypto engine doesn't have one

ntlm_core: Prefer sizeof(key) rather than hard coded sizes

ntlm_core: Added consistent comments to DES functions

des: Added Curl_des_set_odd_parity()

Added Curl_des_set_odd_parity() for use when cryptography engines
don't include this functionality.

tests: Grouped SMTP SASL EXTERNAL tests with other SMTP tests

tests: Grouped POP3 SASL EXTERNAL tests with other POP3 tests

tests: Grouped IMAP SASL EXTERNAL tests with other IMAP tests

sasl: Minor code policing and grammar corrections

ldap: build with BoringSSL

security: avoid compiler warning

Possible access to uninitialised memory '&nread' at line 140 of
lib/security.c in function 'ftp_send_command'.

Reported-by: Rich Burridge

runtests: identify BoringSSL and libressl

docs: cite SASL external authentication.

sasl: remove XOAUTH2 from default enabled authentication mechanism.

test: add test cases for sasl external authentication (imap/pop3/smtp).

imap: remove automatic password setting: it breaks external sasl authentication

sasl: implement EXTERNAL authentication mechanism.
  Its use is only enabled by explicit requirement in URL (;AUTH=EXTERNAL) and
by not setting the password.

openssl: Fixed Curl_ossl_cert_status_request() not returning FALSE

Modified the Curl_ossl_cert_status_request() function to return FALSE
when built with BoringSSL or when OpenSSL is missing the necessary TLS
extensions.

openssl: Fixed compilation errors when OpenSSL built with 'no-tlsext'

Fixed the build of openssl.c when OpenSSL is built without the necessary
TLS extensions for OCSP stapling.

Reported-by: John E. Malmberg

curl_setup: Disable SMB/CIFS support when HTTP only

RELEASE-NOTES: Synced with 37824498a3

configure: remove detection of the old yassl emulation API

... as that is ancient history and not used.

OCSP stapling: disabled when build with BoringSSL

openssl: add support for the Certificate Status Request TLS extension

Also known as "status_request" or OCSP stapling, defined in RFC6066
section 8.

Thanks-to: Joe Mason
- for the work-around for the OpenSSL bug.

BoringSSL: fix build for non-configure builds

HAVE_BORINGSSL gets defined now by configure and should be defined by
other build systems in case a BoringSSL build is desired.

configure: fix BoringSSL detection and detect libresssl

curl_sasl: Reinstate the sasl_ prefix for locally scoped functions

Commit 7a8b2885e2 made some functions static and removed the public
Curl_ prefix. Unfortunately, it also removed the sasl_ prefix, which
is the naming convention we use in this source file.

curl_sasl: Minor code policing following recent commits

openvms: Handle openssl/0.8.9zb version parsing

packages/vms/gnv_link_curl.com was assuming only a single letter suffix
in the openssl version.  That assumption has been fixed for 7.40.

BoringSSL: detected by configure, switches off NTLM

BoringSSL: no PKCS12 support nor ERR_remove_state

BoringSSL: fix build

curl_sasl.c: chlglen is not used when cryptography is disabled

curl_sasl.c: Fixed compilation warning when cyptography is disabled

curl_sasl.c:1453: warning C4101: 'serverdata' : unreferenced local
                  variable

curl_sasl.c: Fixed compilation error when USE_WINDOWS_SSPI defined

curl_sasl.c:1221: error C2065: 'mechtable' : undeclared identifier

This error could also happen for non-SSPI builds when cryptography is
disabled (CURL_DISABLE_CRYPTO_AUTH is defined).

SASL: make some procedures local-scoped

SASL: common state engine for imap/pop3/smtp

SASL: common URL option and auth capabilities decoders for all protocols

IMAP/POP3/SMTP: use a per-connection sub-structure for SASL parameters.

ipv6: enclose AF_INET6 uses with proper #ifdefs for ipv6

Reported-by: Chris Young

timeval: typecast for better type (on Amiga)

There is an issue with conflicting "struct timeval" definitions with
certain AmigaOS releases and C libraries, depending on what gets
included when.  It's a minor difference - the OS one is unsigned,
whereas the common structure has signed elements.  If the OS one ends up
getting defined, this causes a timing calculation error in curl.

It's easy enough to resolve this at the curl end, by casting the
potentially errorneous calculation to a signed long.

openssl: do public key pinning check independently

... of the other cert verification checks so that you can set verifyhost
and verifypeer to FALSE and still check the public key.

Bug: http://curl.haxx.se/bug/view.cgi?id=1471
Reported-by: Kyle J. McKay

OS400: CURLOPT_SSL_VERIFYSTATUS for ILE/RPG too.

ldap: Renamed the CURL_LDAP_WIN definition to USE_WIN32_LDAP

For consistency with other USE_WIN32_ defines as well as the
USE_OPENLDAP define.

http_negotiate: Use dynamic buffer for SPN generation

Use a dynamicly allocated buffer for the temporary SPN variable similar
to how the SASL GSS-API code does, rather than using a fixed buffer of
2048 characters.

sasl_gssapi: Make Curl_sasl_build_gssapi_spn() public

sasl_gssapi: Fixed memory leak with local SPN variable

http_negotiate.c: unused variable 'ret'

gskit.h: Code policing of function pointer arguments

vtls: Removed unimplemented overrides of curlssl_close_all()

Carrying on from commit 037cd0d991, removed the following unimplemented
instances of curlssl_close_all():

Curl_axtls_close_all()
Curl_darwinssl_close_all()
Curl_cyassl_close_all()
Curl_gskit_close_all()
Curl_gtls_close_all()
Curl_nss_close_all()
Curl_polarssl_close_all()

vtls: Separate the SSL backend definition from the API setup

Slight code cleanup as the SSL backend #define is mixed up with the API
function setup.

vtls: Fixed compilation errors when SSL not used

Fixed the following warning and error from commit 3af90a6e19 when SSL
is not being used:

url.c:2004: warning C4013: 'Curl_ssl_cert_status_request' undefined;
            assuming extern returning int

error LNK2019: unresolved external symbol Curl_ssl_cert_status_request
               referenced in function Curl_setopt

http_negotiate: Added empty decoded challenge message info text

http_negotiate: Return CURLcode in Curl_input_negotiate() instead of int

http_negotiate_sspi: Prefer use of 'attrs' for context attributes

Use the same variable name as other areas of SSPI code.

http_negotiate_sspi: Use correct return type for QuerySecurityPackageInfo()

Use the SECURITY_STATUS typedef rather than a unsigned long for the
QuerySecurityPackageInfo() return and rename the variable as per other
areas of SSPI code.

http_negotiate_sspi: Use 'CURLcode result' for CURL result code

curl_endian: Fixed build when 64-bit integers are not supported (Part 2)

Missed Curl_read64_be() in commit bb12d44471 :(

CURLOPT_SSL_VERIFYSTATUS.3: mention it is added in version 7.41.0

curlver.h: next release is 7.41.0 due to the changes

RELEASE-NOTES: mention the new OCSP stapling options, bump version

opts: add CURLOPT_SSL_VERIFYSTATUS* to docs/Makefile

help: add --cert-status to --help output

copyright years: after OCSP stapling changes

curl: add --cert-status option

This enables the CURLOPT_SSL_VERIFYSTATUS functionality.

nss: add support for the Certificate Status Request TLS extension

Also known as "status_request" or OCSP stapling, defined in RFC6066 section 8.

This requires NSS 3.15 or higher.

gtls: add support for the Certificate Status Request TLS extension

Also known as "status_request" or OCSP stapling, defined in RFC6066 section 8.

This requires GnuTLS 3.1.3 or higher to build, however it's recommended to use
at least GnuTLS 3.3.11 since previous versions had a bug that caused the OCSP
response verfication to fail even on valid responses.

url: add CURLOPT_SSL_VERIFYSTATUS option

This option can be used to enable/disable certificate status verification using
the "Certificate Status Request" TLS extension defined in RFC6066 section 8.

This also adds the CURLE_SSL_INVALIDCERTSTATUS error, to be used when the
certificate status verification fails, and the Curl_ssl_cert_status_request()
function, used to check whether the SSL backend supports the status_request
extension.

TheArtOfHttpScripting: skip the date at the top, we have git

TheArtOfHttpScripting: phrase it TLS lib agnostic

TODO: Added some SMB ideas

RELEASE-NOTES: Synced with 5f09947d28

build-openssl.bat: Added check for Perl installation

checksrc.bat: Better detection of Perl installation

curl_endian: Fixed build when 64-bit integers are not supported

Bug: http://curl.haxx.se/mail/lib-2015-01/0094.html
Reported-by: John E. Malmberg

curl.h: remove extra space

Curl_pretransfer: reset expected transfer sizes

Reported-by: Mohammad AlSaleh
Bug: http://curl.haxx.se/mail/lib-2015-01/0065.html

curl_schannel.c: mark session as removed from cache if not freed

If the session is still used by active SSL/TLS connections, it
cannot be closed yet. Thus we mark the session as not being cached
any longer so that the reference counting mechanism in
Curl_schannel_shutdown is used to close and free the session.

Reported-by: Jean-Francois Durand

RELEASE-NOTES: Synced with d21b66835f

Merge pull request #134 from vszakats/mingw-m64

add -m64 CFLAGS when targeting mingw64, add -m32/-m64 to LDFLAGS

Merge pull request #136 from vszakats/mingw-allow-custom-cflags

mingw build: allow to pass custom CFLAGS

NSS: fix compiler error when built http2-enabled

gssapi: Remove need for duplicated GSS_C_NT_HOSTBASED_SERVICE definitions

Better code reuse and consistency in calls to gss_import_name().

mingw build: allow to pass custom CFLAGS

FTP: if EPSV fails on IPV6 connections, bail out

... instead of trying PASV, since PASV can't work with IPv6.

Reported-by: Vojtěch Král

FTP: fix IPv6 host using link-local address

... and make sure we can connect the data connection to a host name that
is longer than 48 bytes.

Also simplifies the code somewhat by re-using the original host name
more, as it is likely still in the DNS cache.

Original-Patch-by: Vojtěch Král
Bug: http://curl.haxx.se/bug/view.cgi?id=1468

winbuild: Added option to build with c-ares

Added support for a WITH_CARES option to be used when invoking nmake
via Makefile.vc. This option enables linking against both the DLL and
static versions of the c-ares libraries, as well as the debug and
release varients, depending on the value of DEBUG. The USE_ARES
preprocessor symbol is also defined.

NetWare build: added TLS-SRP enabled build.

sasl_gssapi: Fixed build on NetBSD with built-in GSS-API

Bug: http://curl.haxx.se/bug/view.cgi?id=1469
Reported-by: Thomas Klausner

add -m64 clags when targeting mingw64, add -m32/-m64 to LDFLAGS

bump: start working towards 7.40.1

THANKS: 14 new contributors from the 7.40.0 release notes

RELEASE-NOTES: version 7.40.0

darwinssl: fix session ID keys to only reuse identical sessions

...to avoid a session ID getting cached without certificate checking and
then after a subsequent _enabling_ of the check libcurl could still
re-use the session done without cert checks.

Bug: http://curl.haxx.se/docs/adv_20150108A.html
Reported-by: Marc Hesse

tests: make sure CRLFs can't be used in URLs passed to proxy

Bug: http://curl.haxx.se/docs/adv_20150108B.html

url-parsing: reject CRLFs within URLs

Bug: http://curl.haxx.se/docs/adv_20150108B.html
Reported-by: Andrey Labunets