aws-lc: do not use large buffer

test_10_08, uploading larger files for a h2 proxy, sporadically fails
with a decrpytion error on received data in AWS-LC. The frequency can
be increased by simulated network receive blocks.

Not setting a 4 * TLS record sized buffer, leaving AWS-LC at its
default buffer size seems to mitigate this problem.

Closes #18434

autotools: make curl-config executable

This was already done when building using CMake:
https://github.com/curl/curl/blob/fa9151b41ad986e0514d99dd3fe149f26a7a57a3/CMakeLists.txt#L2391-L2394

Closes #18433

cw-out: add assert for data->conn

Instead of checking it runtime. CodeSonar pointed out that if it
actually CAN legitimately be NULL here, then we need to do more checks
for it...

Closes #18440

tool: move the error buffer to the per transfer struct

To avoid having to alloc or manage it separately.

Closes #18442

tool_filetime: accept setting negative filetime

This allows --remote-time to set dates before 1970.

Due to a minor omission in the API, it will still avoid setting the time
if it is indeed exactly epoch 0 (jan 1 1970).

Verified by test 762

Fixes #18424
Reported-by: Terence Eden
Closes #18443

test500: accept 81 allocations

In some configs they happen

Closes #18441

GHA/http3-linux: update dependency ngtcp2/ngtcp2 to v1.15.1

Closes #18439

GHA/windows: update msys2/setup-msys2 digest to fb197b7

https://github.com/msys2/setup-msys2/releases/tag/v2.29.0

Includes perl 5.40.3.

Ref: 5bb49a485c1d34a088e37c18035897364f961559 #18425

Closes #18438

urlglob: only accept 255 globs

- using {} with single entries makes little sense
- when using {} sets with two entry lists, there can only be 64 to reach
  maximum number of URLs

Verify the max check in test 761

curl_setup.h: include `stdint.h` earlier

To have it included by the time checking for `SIZE_MAX` and `SSIZE_MAX`.

Ref: 93f333c18fffc3c091b149f3e0ec2ca02b8dab40 #18426 #18406

Closes #18430

cw-out: handle error codes for 0len writes

Handle errors returned by the callback the same for 0-length writes as
for all the others.

Closes #18428

ngtcp2: handshake timeout should be equal to --connect-timeout

Default timeout is hardcoded (10 seconds) and doesn't respect
--connect-timeout parameter. In some cases 10 seconds can be not enough
or too long to "establish a connection". Moreover the non-working
--connect-timeout parameter for http3 is confusing. This change makes
the handshake timeout equal to --connect-timeout, if it's set.
Discussion is here https://github.com/curl/curl/discussions/18427

Closes #18431

GHA/windows: fix perl 5.40.3 bump fallout with custom-built modules

Perl got bumped from 5.38.4 to 5.40.3. The new version crashes when
loading the `Win32::Process*` modules built and cached in CI. The build
job uses Perl 5.38.4.

To avoid the crash, include the Perl version (hashed) in the cache key,
so that it's only loaded when the Perl version matches.

This solution is imperfect, because some of the jobs will not use the
Perl modules in transition periods, when different jobs use different
Perl versions. Anyway, can't think of a better one for now. Another
option is to drop the effort with these modules. After all they did not
help with crashes and hangs, nor with performance. While adding quite
a bit of CI complexity.

Also:
- test early if the modules load and log the result.

Follow-up to 52775a7fb4ba63d66d60067dea4a5293fb7c55a1 #18296

Closes #18425

curl_setup: use SIZE_MAX instead of SIZE_T_MAX

As SIZE_MAX exists in C99

Assisted-by: Stefan Eissing
Assisted-by: Jay Satiro
Ref: #18406
Closes #18426

clang-tidy: disable `clang-analyzer-security.ArrayBound`

It's causing false-positives with clang-tidy v21, in cases in system
headers (seen in `FD_ISSET()` with macOS SDK). In some cases in
tests/server, there was no distinct source line that was triggering it.

Example:
```
/Applications/Xcode_16.4.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX15.5.sdk/usr/include/sys/_types/_fd_def.h:83:10: error: Potential out of bound access to 'fds_read.fds_bits' with tainted index [clang-analyzer-security.ArrayBound,-warnings-as-errors]
   83 |                 return _p->fds_bits[(unsigned long)_fd / __DARWIN_NFDBITS] & ((__int32_t)(((unsigned long)1) << ((unsigned long)_fd % __DARWIN_NFDBITS)));
      |                        ^
[...]
/Users/runner/work/curl/curl/tests/server/socksd.c:679:5: note: Taking false branch
  679 |     if(rc < 0) {
      |     ^
```

Closes #18422

DEPRECATE.md: drop old OpenSSL versions

Closes #18413

cookie: simplifications

- add Curl_secure_context(), to have it determined in a single place.

- tweak the Curl_cookie_getlist() proto. Move some logic into the
  function - at is only called in a single place. Instead of forcing the
  caller to do it.

- make 'is_ip' a const

Closes #18419

requests: fix uninitialized var

init char whose address is passed for a 0-length buffer, clang does not
like it

Refs #18418
Closes #18420

websocket: improve handling of 0-len frames

Write out 9-length frames to client's WRITEFUNCTION
Read 0-length frames from READFUNCTION *if* the function
started a new frame via `curl_ws_start_frame()`.

Fixes #18286
Closes #18332
Reported-by: Andriy Druk

RELEASE-NOTES: synced

HTTP3.md: avoid `configure` issue for ngtcp2 1.14.0+ compatibility

Applied the same workaround to the build examples as used earlier in CI.
That is, drop `<path> from `--with-ngtcp2=<path>` and configure env
`PKG_CONFIG_PATH` instead.

Till the root cause is fixed.

Ref: 99500660af19f89069e71c2251c13963401b3806 #18028

Reported-by: Pavel Kropachev
Fixes #18188
Closes #18415

DEPRECATE.md: drop support for c-ares versions before 1.16.0

in March 2026

That month, c-ares 1.16.0 celebrates its sixth birthday.

Closes #18408

schannel: fix renegotiation

- Move the schannel_recv renegotiation code to function
  schannel_recv_renegotiate.

- Save the state of a pending renegotiation.

- Pre-empt schannel_recv and schannel_send to continue a pending
  renegotation.

- Partially block during renegotiation if necessary.

Prior to this change, since a1850ad7 (precedes 8.13.0), schannel_recv
did not properly complete renegotiation before attempting to decrypt
data. In some cases that could cause an error SEC_E_CONTEXT_EXPIRED.
Most of the time though DecryptMessage would succeed by chance and
return SEC_I_RENEGOTIATE which allowed the renegotiation to continue.

Reported-by: stephannn@users.noreply.github.com
Reported-by: Dustin L. Howett
Fixes https://github.com/curl/curl/issues/18029
Closes https://github.com/curl/curl/pull/18125

schannel: fix memory leak during handshake

Follow-up to b6a5f672 which improved the handshake procedure.

Ref: https://github.com/curl/curl/pull/18323

Closes https://github.com/curl/curl/pull/18410

tests: remove the QUIT filters

Once added in cd4aee156f64f44bb1f1 to work around connection shutdown
issues.

Closes #18405

wolfssl: simplify Curl_wssl_ctx_init

by splitting out functions for client certificate and setting min/max
TLS version

Closes #18402

GHA/linux: build `-O3` job with unity batches to save 10-15s

Before (build, test run):
https://github.com/curl/curl/actions/runs/16974205126/job/48118716664 25s, 12m56
https://github.com/curl/curl/actions/runs/16973102133/job/48114977897 24s, 12m51

After, with batch size 50 (build, test run):
https://github.com/curl/curl/actions/runs/17250901063/job/48952645881?pr=18293 16s, 12m51
https://github.com/curl/curl/actions/runs/17250901063/job/48953665204?pr=18293 17s, 12m42

Closes #18293

ftp: simplify

- Avoid checking what's always true. The ftpcode pointer is always
  passed in, so use it.
- Simplified an indent level somewhat
- Split out two functions from the state machine

Closes #18403

runtests: remove warning message

Every time we first run runtests with -j and then again *without* -j,
this message was shown:

  "Warning: $runnerid: cleardir(log) failed"

Not anymore.

Closes #18404

socks_sspi: simplify, clean up Curl_SOCKS5_gssapi_negotiate

This function returned error on MANY places, each with its own cleanup
sequence and by the look of it almost all of them were incomplete,
making them leak resources on errors.

This take now gotos to the error label where it cleans everything up
before returning error. This also simplifies the function a lot.

Closes #18315

tool_getparam: let --trace-config override -v

If --trace-config is used to set a level before -v is used, don't reset
the state on first -v (to "-all") as it otherwise does. This way,
--trace-config can be used to set specific trace items before -v on the
command line and it still works.

Previously, the first -v use would otherwise reset and undo the earlier
--trace-config items.

Fixes #18346
Closes #18361

GHA/http3-linux: add AWS-LC and BoringSSL jobs

Closes #18391

GHA/curl-for-win: drop x86, fix zlib-classic, switch back to libssh

- switch x86 job to x64. x86 is not longer actively maintained in
  curl-for-win.
  Ref: https://github.com/curl/curl-for-win/discussions/68

- switch back from libssh2 to libssh.
  Reverts af8e1aa4b06e9dc78a559b485348e5464bd5cff5 #18257

- fix to really build with zlib-classic.
  Follow-up to 80768248700ae1e33fdedffd2e8bd78167b793aa #17357

Closes #18400

write-out.md: header_json is not included the json object

Fixes #18390
Reported-by: Sebastian Carlos
Closes #18399

tool_urlglob: add integer overflow protection

It is most likely impossible to actually overflow, but this makes it
certain.

Closes #18398

projects: generate from a single template

The three projects (VC10, VC11, VC12) are identical except 5 repeated
strings in them. They also require running `generate.bat` before use,
to populate source files. Reduce the 3 almost identical projects to
a single template project and populate the repeated strings also via
`generate.bat`. This reduces the maintenance burden to a single copy of
the project files. Also saving 10000 LOCs.

Closes #18396

RELEASE-NOTES: synced

docs: point two broken links to archive.org

Closes #18393

projects: drop unused logic from `generate.bat`

Follow-up to 5a0644fae8493bc50959f46b0891d661b31f66e2 #8442

Closes #18397

openssl: assume `OPENSSL_VERSION_NUMBER`

It's defined in all supported OpenSSL versions and forks.

Also formatting in `md4.c`.

Closes #18388

openssl: BoringSSL / AWS-LC tidy-ups

- schannel: apply BoringSSL workaround to AWS-LC too.
  Affects Schannel + AWS-LC MultiSSL builds. (not tested in CI)
  Ref: 274940d7438af7ef92ce3e11d75620db94675932 #2643 #2634

- curl_ntlm_core: deduplicate macro defines.

- curl_ntlm_core: document version thresholds for an AWS-LC-specific
  workaround.
  It was necessary between v1.2.0 2022-09-01 and v1.30.1 2024-06-21.
  No longer necessary since v1.31.0 2024-07-01:
  https://github.com/aws/aws-lc/commit/ba94617d99c18949711e8e405721ea85a2b38c3f
  Follow-up to 34ef4fab22d93cf7ef1d6c2954a0bad19f323ea9 #10320

- lib758: drop redundant OpenSSL version guards.
  `OPENSSL_VERSION_NUMBER > 3` automatically guards against LibreSSL,
  BoringSSL and AWS-LC.
  Ref: https://github.com/curl/curl/pull/18288/commits/6ddd8f2c0bbfcb0847b1ee7f257fb772fa47310c
  Follow-up to a5f0ab7995bbb6e269feb3a516f804a65c753705 #18288

- dllmain, curl_sha512_256: formatting.

Closes #18387

GHA/linux: add BoringSSL job, with runtests, pytests and cache

Ref: cff4c16b83b1cc57469b2f729d1d06c7828f9f0f #18385
Cherry-picked from #18384
Closes #18386

docs: fix link CONTRIBUTE.md link

Closes #18372

mdlinkcheck: handle links with a leading slash properly

Ref: #18372
Closes #18382

pytest: fix test_17_09_ssl_min_max for BoringSSL

Ref: https://github.com/curl/curl/actions/runs/17179514833/job/48740057095

Also fix indent.

Cherry-picked from #18384
Closes #18385

openssl: sync an AWS-LC guard with BoringSSL

BoringSSL always used the same type:
https://boringssl.googlesource.com/boringssl/+/103ed08549a74af9f03363c633028faf9a475066
https://github.com/google/boringssl/commit/103ed08549a74af9f03363c633028faf9a475066

But, this codepath isn't built with BoringSSL, because it defines
`OPENSSL_NO_OCSP` via `opensslconf.h`.

Also drop an out-of-place `#endif` comment.

Ref: 20f4e94eebbdcfe590ae99cb8a3f2ca1b8f970a0 #11568

Closes #18384

openssl: drop single-use interim macro `USE_OPENSSL_SRP`

Closes #18383

asyn-thrdd: more simplifications

- use wakeup sockets non-locked.
- send wakeup notify only in normal control flow (not cancel). close
  wakeup sockets in unlink only.
- remove 5ms thread lifetime wait crutch before pthread_cancel().

Closes #18380

GHA/http3-linux: build ngtcp2 for LibreSSL too, add LibreSSL jobs

Also: Build LibreSSL with cmake. It's 3x faster (90s -> 30s).

Follow-up to e724259bcbb5cf8b3b12e0ff0fd90d2aa47f8f46 #18379
Follow-up to 31e6798544bf8aafbd8aef61b08623b92312aa42 #18377
Cherry-picked from #18377
Closes #18381

build: support LibreSSL native crypto lib with ngtcp2 1.15.0+

In ngtcp2 1.15.0 the LibreSSL crypto interface library got its own name:
`libngtcp2_crypto_libressl`. In previous versions it used
`libngtcp2_crypto_quictls`, shared with quictls itself (but not
compatible with).

Adapt autotools and cmake scripts to look for the new name first, and
fall back to the old one if not found.

Fallback to quictls tested OK in CI with both autotools and cmake:
https://github.com/curl/curl/actions/runs/17174994908?pr=18377

Ref: https://github.com/ngtcp2/ngtcp2/releases/tag/v1.15.0
Ref: https://github.com/ngtcp2/ngtcp2/pull/1716

Closes #18377

GHA: update ngtcp2/ngtcp2 to v1.15.0

Closes #18379

tool_operate: bail out better on no URL

To avoid NULL derferences with many outputs and --next.

Follow-up to 034612cd515f249453a435f3d94b

Add test 760 to verify

Reported-by: BobodevMm on github
Fixes #18375
Closes #18376

configure: tidy up internal names in ngtcp2 ossl detection logic

Replace "quictls" with "ossl".

Follow-up to 5eefdd71a394d135c0ffb56fb8ec117c87dbe4f0 #17027
Cherry-picked from #18377
Closes #18378

tidy-up: formatting

Closes #18373

asyn-thrdd: fix no `HAVE_GETADDRINFO` builds

mingw32ce, CM 4.4.0-arm schannel:
```
lib/asyn-thrdd.c: In function 'gethostbyname_thread':
lib/asyn-thrdd.c:349: error: too many arguments to function 'async_thrd_cleanup'
```
Ref: https://github.com/curl/curl/actions/runs/17158865566/job/48682687295?pr=18039#step:9:21

Follow-up to 88fc6c491f043ed184ea2cf1a17b651427fbbbf5 #18263
Closes #18371

cmake: `CURL_CA_FALLBACK` only works with OpenSSL

Ref: 2f6524ce3c3a8231c62d1e0c8af509fe5b0228a0 #18364
Ref: #18362

Closes #18365

TODO: remove the expand ~ idea

As we can expand evironment variables now, HOME can easily be used
instead.

Ref: #18240
Closes #18363

acinclude: --with-ca-fallback only works with OpenSSL

Make it error if another TLS backend is used. Also tweaked the
documentation for it to make it more clear it is only for OpenSSL.

Follow-up to 9cf47593542c6f

Reported-by: Michael Osipov
Fixes #18362
Closes #18364

openssl: merge two `#if` blocks

Cherry-picked from #18330
Closes #18370

openssl: use `RSA_flags()` again with BoringSSL

Supported since 2017-12-18:
https://github.com/google/boringssl/commit/a0c87adbf0bc23810895ebd7f131790f137d2f6d

Follow-up to cd276c3cca4db23384f3272486468ce41b0a338b #2117

Closes #18369

openssl: enable `HAVE_KEYLOG_CALLBACK` for AWS-LC

Supported by all AWS-LC versions:
https://github.com/aws/aws-lc/commit/6e3f5cc7e16b8ab1b0a924c60f14332cb1697217

Closes #18368

openssl: drop redundant `HAVE_OPENSSL_VERSION` macro

It served as an extra guard over `OPENSSL_VERSION_STRING`.

Also, document that `OPENSSL_VERSION_STRING` is supported by OpenSSL 3+.

Closes #18367

openssl: add and use `HAVE_BORINGSSL_LIKE` internal macro

To cover the common case of guarding for both BoringSSL and AWS-LC.

Cherry-picked from #18330
Closes #18358

openssl: add and use `HAVE_OPENSSL3` internal macro

Cherry-picked from #18330
Closes #18360

openssl: drop more legacy cruft

- drop `ALLOW_RENEG` undocumented (insecure) build-time option.
- drop unnecessary check for `OPENSSL_VERSION_NUMBER`.
  It's present in all supported OpenSSL versions and forks.

Follow-up to 80c10c5d5dda78c471924b251e9db59d653aba1e #18351
Follow-up to 59311bd3df5da6342312b5dc9b6c91fc2be77d4f #3293 #3283

Closes #18359

tool_operate: use stricter curl_multi_setopt() arguments

To please the curl_multi_setopt() typechecker

- set multi callback protypes to match exactylu
- set CURLMOPT_MAX_HOST_CONNECTIONS as a long

Closes #18357

typecheck-gcc: add type checks for curl_multi_setopt()

Test 745 verifies that all options are tested.

Closes #18357

runtests: show still running tests when nothing has happened for a while

... even if there are tests still pending. To help visualize tests that
might be hanging.

Attempts to set the limit at 10 seconds of silence.

Closes #18349

asyn-thrdd: manage DEFERRED and locks better

- cancel thread waits until thread start is at least 5ms in the past
  to give it some time to get its cancellation setup in place
- cancel thread without holding the mutex. It's supposed to be an
  async operation, but better be safe
- set DEFERRED cancel state explicitly, should be default in a pthread,
  but better be safe

Closes #18350

top-complexity: maximum accepted set to 72

Down from 80. Show all functions above 60.

Closes #18354

tool_urlglob: handle a zero length glob piece

Follow-up to 034612cd515f249453a435f3d94b

Add test 759 to verify

Reported-by: Stanislav Osipov
Fixes #18352
Closes #18353

openssl: remove legacy cruft, document macro guards

- assume:
  - `BIO_CTRL_EOF`
  - `SSL_CTRL_SET_MSG_CALLBACK`
  - `SSL_CTRL_SET_MSG_CALLBACK`
  - `SSL_CTRL_SET_TLSEXT_HOSTNAME`
  - `SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER`
  - `SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS`
  - `SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG`
  - `SSL_OP_NO_COMPRESSION`
  - `SSL_OP_NO_TICKET`
  - `X509_V_FLAG_PARTIAL_CHAIN`
  - `X509_V_FLAG_TRUSTED_FIRST`
  They are present in all supported OpenSSL (and fork) versions.

- replace `SSL_ERROR_WANT_EARLY` with `SSL_ERROR_WANT_CLIENT_HELLO_CB`.
  The former appeared in OpenSSL 1.1.1-dev, but renamed before
  the stable release.

- document support for macros:
  - `ENGINE_CTRL_GET_CMD_FROM_NAME`
  - `SSL_ERROR_WANT_ASYNC_JOB`
  - `SSL_ERROR_WANT_ASYNC`
  - `SSL2_VERSION_MAJOR`
  - `TLS1_3_VERSION`

- drop legacy fallback for `CONF_MFLAGS_DEFAULT_SECTION`.
  It was there for OpenSSL 0.9.8 support.

- fix `SSL_CTRL_SET_MSG_CALLBACK` accidentally serving as a guard for
  OpenSSL (and forks) as a whole.

Tested OK with OpenSSL 1.0.2 and 1.1.0 in CI.

Closes #18351

spelling: file system

Closes #18348

examples: make `CURLPIPE_MULTIPLEX` fallback `long`

Closes #18356

test1557: pass `long` type to `multi_setopt()`

A wrong type here has seen to manifest in CI failures with gcc-12 macOS.

Ref: https://github.com/curl/curl/pull/18348#issuecomment-3213881790
Ref: https://github.com/curl/curl/actions/runs/17153761944/job/48665734013?pr=18349

Follow-up to b63cce7fee30648e29a0453202f7ba05a01de79c #18339
Follow-up to 88fc6c491f043ed184ea2cf1a17b651427fbbbf5 #18263

Closes #18355

asyn-thrdd: fix --disable-socketpair builds

Regression from #18339

Reported-by: Marcel Raad
Closes #18347

ares: use `ares_strerror()` to retrieve error messages

Add optional detail to `Curl_resolver_error()` to add to failure message
where available. This makes, for c-ares, the reason for a failed
resource available to the user without extra trace config.

When "dns" tracing enabled, print the c-ares server config at the start
of a resolve.

Closes #18251

asyn-thrdd: remove condition variable

Add a flag `thrd_don` to assess if the resolving thread has finished and
only destroy the context when *both* ref_count reaches 0 and thrd_done
is true.

Closes #18345

Revert "asyn-thrdd: use condition var more carefully"

This reverts commit bd4622bfaf0929141e6b81653c88ea06e47afe9e.

Not intended for merge!

asyn-thrdd: use condition var more carefully

When the thread started is too fast, the signal will come before the
wait. Add an additional check before the wait to catch the thread
having started or already ended.

Closes #18344

schannel: improve handshake procedure

- During handshake, do not require reading more data if unprocessed
  encrypted data that may be a complete TLS record is already available.

- During handshake, check that the socket is writeable before processing
  encrypted data that may require an immediate reply to the server.

These two fixes are for issues that were found during renegotiation
testing but could affect any handshake.

Prior to this change it was possible in some abnormal network conditions
for the Schannel TLS handshake procedure to erroneously wait or error.

Ref: https://github.com/curl/curl/pull/18125

Closes https://github.com/curl/curl/pull/18323

appveyor: drop testing with OpenSSL 1.1.0

Replace with 1.1.1.

Follow-up to 12a10ca77cedec4bf6f3cebe5c3a883387ccb0d2 #18337
Cherry-picked from #18330
Closes #18341

gnutls: fix building with older supported GnuTLS versions

Also:
- GHA/linux-old: switch jobs from OpenSSL 1.0.2 to GnuTLS 3.5.8.

Ref: https://gitlab.com/gnutls/gnutls/blob/master/NEWS
Follow-up to fa0ccd9f1fbbbd77bf50b26e3ba231ea6c729474 #15774
Follow-up to 68bd759c2bfe74799c3355ad29265b795a7e6c62 #15667
Cherry-picked from #18330
Closes #18335

appveyor: drop testing with OpenSSL 1.0.2

Cherry-picked from #18330
Closes #18337

asyn-thrdd: addressing stalls in ci

Disable pthread_cancel in pushed cleanup function. Close wakeup socket
when shutting down resolving, since we no longer want wakeups.

Closes #18339

GHA/non-native: drop MS-DOS jobs, requires OpenSSL 1.0.2

Cherry-picked from #18330
Closes #18338

appveyor: test openssl with clang-cl

Cherry-picked from #18330
Closes #18334

openssl: drop redundant version check

It had a typo, but it wasn't causing an issue, because `TLS1_3_VERSION`
is enough to detect this feature and the version check remained unused.

Follow-up to 0d3b5937b38817b6fbd2d60cc178c1df4bd59d0d #16477
Cherry-picked from #18330
Closes #18333

runtests: replace `--ci` with `--buidinfo`, show OS/Perl version again

I figure OS/Perl version may be useful to see in local runs,
and also in CI runs where `--ci` was not set:
https://curl.se/dev/log.cgi?id=20250820041228-707387#prob1

Also, only show a message if the `diff` tool is missing.

Follow-up to 985f39c0ce78b546e832c250588c14023123edfb #18147
Closes #18329

tests: drop unused `BLANK` envs, unset `CURL_NOT_SET`

Closes #18328

test: add `cygwin` feature and use it (test 1056, 1517)

To replace custom checks with the same effect.

Closes #18327

GHA/http3-linux: test non-unity, and more cmake

Reshuffle HTTP/3 jobs to:
- test all backends with cmake too. Adding 4 jobs.
- build all backends in non-unity mode too.
  Either with autotools or cmake.
- run tests once for each backend
  Either with autotools or cmake, with a preference for cmake to finish
  faster.
- drop building examples. There is nothing HTTP/3-specific in examples,
  and they are already built in GHA/linux.
- de-dupe some shared settings.

Ref: https://github.com/curl/curl/issues/17857#issuecomment-3047999309
Ref: 8cef6b5e6e40a7e91709c8a552b5987c76ec6909 #18321 #18320
Ref: d79269166eae62a87dd7385bc47c5fb770d1cd95 #18211 #18212
Ref: 454395ba1ecc5be74d982bb4778dc4123bbe0554 #17857 #17864
Ref: b270fec68dc66c7a3d37a283cc147ba3c6fa7297 #17857 #17858

Closes #18325

websocket example: cast print values to unsigned int

To have not compiler warnings on format checks.

Reported By: Gisle Vanem
Closes #18326

threaded-resolver: fix shutdown

Changed strategy to start up and terminate resolver thread.

When starting up:

Start the thread with mutex acquired, wait for signal from thread that
it started and has incremented the ref counter. Thread set
pthread_cancel() to disabled before that and only enables cancelling
during resolving itself. This assure that the ref counter is correct and
the unlinking of the resolve context always happens.

When shutting down resolving:

If ref counting shows thread has finished, join it, free everything. If
thread has not finished, try pthread_cancel() (non Windows), but keep
the thread handle around.

When destroying resolving:

Shutdown first, then, if the thread is still there and 'quick_exit' is
not set, join it and free everything. This might occur a delay if
getaddrinfo() hangs and cannot be interrupted by pthread_cancel().

Destroying resolving happens when another resolve is started on an
easy handle or when the easy handle is closed.

Add test795 to check that connect timeout triggers correctly
when resolving is delayed. Add debug env var `CURL_DNS_DELAY_MS`
to simulate delays in resolving.

Fix test1557 to set `quick_exit` and use `xxx.invalid` as domain
instead of `nothing` that was leading to hangers in CI.

Closes #18263

RELEASE-NOTES: synced

easy: add 'poll_fds' function to reduce size of 'wait_or_timeout'

Closes #18313

tests: delete unused commands

`runtests.pl` defaults to `-` if a command is not set, since
c43ad0f97283a7e25d61a81b9f9f238432ec494b.

Also:
- drop a stray `</file>`.
- replace a `nothing` with a guaranteed invalid hostname.
  Ref: https://github.com/curl/curl/pull/18263/commits/4334033b43acca9b01ba43e08e611c8654feb84d
- replace unused URLs with `-`.

Closes #18319

vquic: add header for native-QUIC OpenSSL, non-unity builds

Follow-up to 7dafe10db2f0b104317e6640670b4cd973a4e3da #18196
Fixes #18320
Closes #18321

vquic: change some curl_ prefixes

curl_ and Curl_ are reserved prefixes with special meaning so avoid
using them for file private symbols.

Follow-up to 7dafe10
Closes #18324

bufq: removed "Useless Assignment"

Pointed out by CodeSonar. Made a comment instead.

Closes #18322