Merged from parent (ssl-cert-validator 12330).

ACLFilledChecklist::fd() sets the client, not server connection descriptor.

Merged from parent (ssl-cert-validator 12329).

Fix ssl cert validator response codes

Cert validator should return:
 - "OK" in case none certificate error found
 - "ERR" in case one or more SSL certificate errors found
 - "BH" in case of internal helper error

run formatter

polish a little the code

- Rename CertValidateMessage-> CertValidationMsg, ValidateCertificateResponse->
  CertValidationResponse and ValidateCertificate -> CertValidationRequest
- fixes so that the "make check" and "make distcheck" works
- Document new classes and members

Polished code. No runtime changes expected.

Added files forgotten during initial import.

Latest changes:

 - Move the CertItem class from ValidateCertificateResponse class to
    CertValidateMessage class

  - Add the Ssl::CertValidateMessage::getCertByName method to search
    an for a certificate in a std::vector<CertItem> list

  - Implement the Ssl::ValidateCertificateResponse::getError to search in
    Ssl::ValidateCertificateResponse::errors list for a error

  - Improve the Ssl::CertValidateMessage::parseResponse method

  - Remove the ValidateCertificateResponse::ErrorItem::certId member. The
    user should always link with a certificate, not with an index to certificate.

  - The CertValidateMessage::parseResponse takes as argument the list of peer
    Certificates. It uses this list to fill the ValidateCertificateResponse
    object.

  - Return ERR_GATEWAY_FAILURE/HTTP_INTERNAL_SERVER_ERROR error if:
     * Failed to compose the  Ssl::CertValidateMessage message to sent to
       cert validator
     * The response from cert validator is wrong
     * The cert validator returns an error.

  - Implement the FwdState::sslCrtvdCheckForErrors method. This method
    checks if the errors returned from cert validator class can be
    ignored or an error to the user must returned.

  - Now if the Config.ssl_client.cert_error is not used, then the first
    error in the list returned from cert validator, is the error which
    considered as the error which causes the failure

- Implement the FwdState::sslCrtvdCheckForErrors method. This method
  checks if the errors returned from cert validator class can be
  ignored or an error to the user must returned.

- Now if the Config.ssl_client.cert_error is not used, then the first
  error in the list returned from cert validator, is the error which
  considered as the error which causes the failure

- Move the CertItem class from ValidateCertificateResponse class to
  CertValidateMessage class

- Add the Ssl::CertValidateMessage::getCertByName method to search
  an for a certificate in a std::vector<CertItem> list

- Implement the Ssl::ValidateCertificateResponse::getError to search in
  Ssl::ValidateCertificateResponse::errors list for a error

- Improve the Ssl::CertValidateMessage::parseResponse method

- Remove the ValidateCertificateResponse::ErrorItem::certId member. The
  user should always link with a certificate, not with an index to certificate.
- The CertValidateMessage::parseResponse takes as argument the list of peer
  Certificates. It uses this list to fill the ValidateCertificateResponse
  object.
- Return ERR_GATEWAY_FAILURE/HTTP_INTERNAL_SERVER_ERROR error if:
   * Failed to compose the  Ssl::CertValidateMessage message to sent to
     cert validator
   * The response from cert validator is wrong
   * The cert validator returns an error.

Added files forgotten during initial import.

Fixed typo in a comment.

Merged from parent (ssl-cert-validator r12322).

Added filed forgotten during initial import.

Initial server_ssl_cert_fingerprint ACL implementation.

Do not dereference nil Ssl::CertValidationHelper::GetInstance().

Initial SSL server certificate validator implementation
http://wiki.squid-cache.org/Features/SslServerCertValidator

Do not reuse persistent connections for PUTs to avoid ERR_ZERO_SIZE_OBJECT.

A compliant proxy may retry PUTs, but Squid lacks the [rather complicated]
code required to protect the PUT request body from being nibbled during the
first try or [also tricky] code to send 100-continue expectation requiredto
delay body sending. Thus, Squid cannot safely retry some PUTs today, and
FwdState::checkRetriable() must return false for all PUTs, to avoid
bogus ERR_ZERO_SIZE_OBJECT errors (especially for clients that did not
reuse a pconn and, hence, may not be ready to handle/retry an error response).

In theory, requests with safe or idempotent methods other than PUT might have
bodies so we apply the same logic to them as well.

This reopens Squid bug #3398, undoing trunk r11859 commit which attempted
to close that bug.

Do not chunk responses carrying a Content-Range header.

When Squid forwards a response with a Content-Range header,
ClientSocketContext::socketState() detects the end of the response range(s)
and returns STREAM_*COMPLETE to ClientSocketContext::writeComplete().
The latter thinks that the writing of the response to the client must be
over and calls keepaliveNextRequest() instead of writing the last-chunk
(if any). If the to-client response was chunked, the client gets stuck
waiting for that missing last-chunk.

The multipart Range request case was already excluded from chunking (or it
would probably suffer from the same problem). With this change, no
Content-Range responses will be chunked.

N.B. Some servers send Content-Range responses to basic GET requests
without a Range header, so the problem affects more than just Range requests.

TODO: A proper fix would be to rewrite ClientSocketContext::writeComplete()
and other code so that it does not mix internal ClientStream completion with
[possibly chunk-encoded] writing completion. This should probably be done
along with fixing ClientSocketContext::socketState() and other state-checking
code to ignore to-client persistence (flags.proxy_keepalive), which is not
related to the internal ClientStream state.

Bug fix: TLS/SSL Options does not apply to the dynamically generated certificates

The TLS/SSL options configured with http_port configuration parameter does not
used to generate SSL_CTX context objects used to establish SSL connections.
This is means that certificate based authentication, or SSL version selection
and other SSL/TLS http_port options does not work for ssl-bumped connection.
This patch fixes this problem.

This is a Measurement Factory project

Release Notes: document ECN vs TOS issue clearer for 3.1

SourceFormat Enforcement

Bug 3615: configure check for default max number of FDs is broken

Fix maximum_single_addr_tries upgrade

Fix documentatino on loop detection

Bug 3622: peerClearRRStart scheduling multiple events

Bug 3626: Forwarding loops on intercepted traffic

Changes to interception handling in 3.2 series (namely the preference
for using ORIGINAL_DST) have increased the chances that misconfigured
network systems involving Squid will hit forwarding loops.

Two instances are currently known:
 * passing forward-proxy traffic to a interception port.
 * NAT performed on a separate box.

This enacts an old TODO by removing the loop detection bypass for
intercepted traffic and accelerated traffic. Now we always check for
loops regardless of how the request was received.

NOTE: accel mode was only included due to the TODO.
      If problems are found there it can be re-instated.

Make CpuAffinitySet::applied() method non-const.

According to CPU_SET(3) and, apparently, on some systems (e.g.,
OpenSuSE 10.3) CPU_COUNT macro expects a non-const argument.  The
patch fixes build error on these systems.

Retrieve client connection information for ACL checks from the related HttpRequest object

This patch enable SSL client certificate ACL checks (user_cert and ca_cert)
in all cases the client connection information can retrieved from the related
HttpRequest object, eg when making peering decisions (peer_cache_access ACL).

Discussed under the "Supply client connection and IDENT information to
peer_cache_access ACL check" thread on squid-dev.

This is a Measurement Factory project

Fix 'error: continue statement not within a loop'

Bug 3609: several RADIUS helper improvements

Regression: login=PASS send no credentials when none available.

login=PASS should act like PASSTHRU, sending no credentials header, when
no client supplied OR external ACL credentials are available.
3.2 has been found wrongly adding the username "PASS" in this case.

SourceFormat Enforcement

protos.h refactoring, part one.

Refactor many function prototypes from protos.h to more specific header files.
Change linkage for moved prototypes to c++.

Cleanup: duplicate include of squid.h

SourceFormat Enforcement

Enable source-formatting tools to collapse multiple whitelines in the source to one.

SourceFormat Enforcement

Bug 3613: relax standard-compliance strctness on clang to enable build

When clang is invoked with the -std=c++0x option, it won't make available some system functions
defined in c99. For some reason configure fails to detect this, and so the built-in implementation is
not invoked. This change prevents enabling the -std=c++0x option for clang.

Prep work for automatic sorting of include directives.

Automatic sorting of include files reveals some indirect inclusions, which would break the build.
scripts/sort-includes.pl is the tool to do the automatic header include order sorting.
The other changes in this set fix the issues which that be introduced by running the sorting.

Bug 3605: memory leak in Negotiate authentication

Added missing includes in adaptation/esi

Added missing include in ssl helper

Fix ip/Intercept header ordering and documentation

netfilter_ipv4.h requires including limits.h first. Added.

Added missing include in mem_hdr_test

Add missing includes

Make mk-globals-c.awk more permissive on the input it accepts

Release notes: fix wrong link to Translations

SourceFormat Enforcement

Prep for 3.2.1

Docs: update configure libcap messages to say 2.09+ required

Remove --enable-ntlm-fail-open

This feature has been half missing for quite some time (10 years).
The SMB helper sends the LD code back to Squid when the directive is
compiled in, but there is no Squid code handling such responses, back as far
as squid-2.

Removed squid-old.h

Bug 3610: peername_regex ACL

SourceFormat Enforcement

Bug 3605: memory leak in peer selection

Portability: squid provides strtoll()

Fix bashisms in bootstrap.sh

FreeBSD 7: fix compile warnings in unit tests

MacOS: fix AddrInfo default flags

shuffel MEMPROXY macros for better CacheMgr reporting names

SourceFormat Enforcement

allow for _SQUID_EXTERNNEW_ predefine

SourceLayout: introduce Fs::Ufs namespace, split ufscommon, store_dir_ufs and store_io_ufs

Release Notes: updates after STRICT_ORIGINAL_DST changes

Bug 3478: workaround: better default handling without -DSTRICT_ORIGINAL_DST

This extends the -DSTRICT_ORIGINAL_DST compile-time flag to include the
logics listing ORIGINAL_DST as first preferred destination.

Which makes ORIGINAL_DST a swap-in replacement for DIRECT and enables
never_direct, always_direct, prefer_direct configuration to apply.

MacOS: warning: 'gnu_inline' attribute directive ignored

MacOS: detect glibtool and glibtoolize when bootstrapping

SourceFormat Enforcement

Convert all yet-unconverted stub files to the STUB API.

Merged from trunk

Fix missing include for leakcheck.h

Portability: shuffle out the last useful macros from squid-old.h

SourceFormat Enforcement

implemented STUB_RETVAL_NOP
Converted stub_tools to stup API.

converted stub_StatHist.cc stub_main_cc.cc stub_mem.cc stub_store_rebuild.cc to stub API

Portability: CMSG_*() macro API substitute

Windows: MinGW provides truncate()/ftruncate()

Fixed formatting of stub_libcomm.cc

Windows: fix winsock detection capabilities

Moved to STUB API stubs for DelayId.cc, HelperChildconfig.cc, debug.cc

Windows: provide POSIX ABI wrapper for mkdir()

Merged from trunk

Removed dead code from stub_cache_cf.cc and stub_client_side_request.cc

Moved CBDATA_CLASS declarations to the end of classes as per coding guidelines.

Changed all level-0 debugs messages to use the DBG_CRITICAL definition.

Changed all level-1 debugs messages to use DBG_IMPORTANT definition.

Improve support for clang compilers

clang++ doesn't support c++ variable arrays for non-pod types.
Change variable arrays to dynamically-allocated arrays, Ipc::QueueReaders, Ipc::StoreMap and Ipc::Mem::PageStack

Release notes: use SPONSORS (no file type) as the published file name

SPONSORS.txt is the website published filename, but it seems some distros
were using the source code file name.

Use SPONSORS.ist for the coded listings instead.

Release Notes: NCSA helper algorithm limits

Prep for 3.2.0.19

SourceFormat Enforcement

Stub updates after bump-server-first changes

More GCC 4.2 dependency fixes

Release notes: build SPONSORS.txt in bootstrap instead of automake

Revert r12231 - seems to break SMP cache