sectransp: mark a 3DES cipher as weak

- Change TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA strength to weak.

All other 3DES ciphers are already marked as weak.

Closes https://github.com/curl/curl/pull/8479

bearssl: fix EXC_BAD_ACCESS on incomplete CA cert

- Do not create trust anchor object for a CA certificate until after it
  is processed.

Prior to this change the object was created at state BR_PEM_BEGIN_OBJ
(certificate processing begin state). An incomplete certificate (for
example missing a newline at the end) never reaches BR_PEM_END_OBJ
(certificate processing end state) and therefore the trust anchor data
was not set in those objects, which caused EXC_BAD_ACCESS.

Ref: https://github.com/curl/curl/pull/8106

Closes https://github.com/curl/curl/pull/8476

bearssl: fix connect error on expired cert and no verify

- When peer verification is disabled use the x509_decode engine instead
  of the x509_minimal engine to parse and extract the public key from
  the first cert of the chain.

Prior to this change in such a case no key was extracted and that caused
CURLE_SSL_CONNECT_ERROR. The x509_minimal engine will stop parsing if
any validity check fails but the x509_decode won't.

Ref: https://github.com/curl/curl/pull/8106

Closes https://github.com/curl/curl/pull/8475

bearssl: fix session resumption (session id)

Prior to this change br_ssl_client_reset was mistakenly called with
resume_session param set to 0, which disabled session resumption.

Ref: https://github.com/curl/curl/pull/8106

Closes https://github.com/curl/curl/pull/8474

openssl: fix build for version < 1.1.0

Closes #8470

schannel: move the algIds array out of schannel.h

This array is only used by the SCHANNEL_CRED struct in the
schannel_acquire_credential_handle function. It can therefore be kept as
a local variable. This is a minor update to
bbb71507b7bab52002f9b1e0880bed6a32834511.

This change also updates the NUM_CIPHERS value to accurately count the
number of ciphers options listed in schannel.c, which is 47 instead of
45. It is unlikely that anyone tries to set all 47 values, but if they
had tried, the last two would not have been set.

Closes #8469

configure.ac: use user-specified gssapi dir when using pkg-config

Using the system pkg-config path in the face of a user-specified
library path is asking to link the wrong library.

Reported-by: Michael Kaufmann
Fixes #8289
Closes #8456

os400: Add link to QADRT devkit to README.OS400

Closes #8455

os400: Add function wrapper for system command

The wrapper will exit if the system command failed instead of blindly
continuing on.

In addition, only copy docs which exist, since now the copy failure will
cause the build to stop.

Closes #8455

os400: Default build to target current release

V6R1M0 is not available as a target release since IBM i 7.2. To keep
from having to keep this up to date in git, default to the current
release. Users can configure this to whatever release they want to
actually build for.

Closes #8455

docs/INTERNALS.md: clean up, refer to the book

The explanatory parts are now in the everything curl book (which can
also use images etc). This document now refers to that resource and only
leaves listings of supported versions of libs, tools and operating
systems. See https://everything.curl.dev/internals

Closes #8467

des: fix compile break for OpenSSL without DES

When `USE_OPENSSL` was defined but OpenSSL had no DES support and a
different crypto library was used for that, `Curl_des_set_odd_parity`
was called but not defined. This could for example happen on Windows
and macOS when using OpenSSL v3 with deprecated features disabled.

Use the same condition for the function definition as used at the
caller side, but leaving out the OpenSSL part to avoid including
OpenSSL headers.

Closes https://github.com/curl/curl/pull/8459

RELEASE-NOTES: synced

docs/DEPRECATE: remove NPN support in August 2022

Closes #8458

ftp: provide error message for control bytes in path

Closes #8460

http: fix "unused parameter ‘conn’" warning

Follow-up from 7d600ad1c395

Spotted on appveyor

Closes #8465

sha256: Fix minimum OpenSSL version

- Change the minimum OpenSSL version for using their SHA256
  implementation from 0.9.7 to 0.9.8.

EVP_sha256() does not appear in the OpenSSL source before 0.9.7h, and
does not get built by default until 0.9.8, so trying to use it for all
0.9.7 is wrong, and before 0.9.8 is unreliable.

Closes https://github.com/curl/curl/pull/8464

KNOWN_BUGS: remove "slow connect to localhost on Windows"

localhost is not resolved anymore since 1a0ebf6632f88

KNOWN_BUGS: remove "HTTP/3 download is 5x times slower than HTTP/2"

It's not actually a bug. More like room for improvement.

KNOWN_BUGS: remove "HTTP/3 download with quiche halts after a while"

Follow-up to 96f85a0fef694

KNOWN_BUGS: remove "pulseUI vpn" as a problem

We haven't heard about this for a long time and rumours have it they
might have fixed it.

urldata: remove conn->bits.user_passwd

The authentication status should be told by the transfer and not the
connection.

Reported-by: John H. Ayad
Fixes #8449
Closes #8451

gskit: Convert to using Curl_poll

As mentioned in 32766cb, gskit was the last user of Curl_select which is
now gone. Convert to using Curl_poll to allow build to work on IBM i.

Closes #8454

gskit: Fix initialization of Curl_ssl_gskit struct

In c30bf22, Curl_ssl_getsock was factored out in to a member of
struct Curl_ssl but the gskit initialization was not updated to reflect
this new member.

Closes #8454

gskit: Fix errors from Curl_strerror refactor

2f0bb864c1 replaced sterror with Curl_strerror, but the strerror buffer
shadows the set_buffer "buffer" parameter. To keep consistency with the
other functions that use Curl_strerror, rename the parameter.

In addition, strerror.h is needed for the definition of STRERROR_LEN.

Closes #8454

ntlm: remove unused feature defines

They're not used anymore and always supported.

Closes https://github.com/curl/curl/pull/8453

README.md: fix link and layout

replace <a></a> tags and <img></img> tags

Closes #8448

KNOWN_BUGS: fix typo "libpsl"

h2h3: fix compiler warning due to function prototype mismatch

- Add missing const qualifier in Curl_pseudo_headers declaration.

urlapi: handle "redirects" smarter

  - avoid one malloc when setting a new url via curl_url_set()
    and CURLUPART_URL.
  - extract common pattern into a new static function.

Closes #8450

cijobs: pick up circleci configure lines better

circleci: add a job using wolfSSH

Build only, no tests.

Closes #8445

scripts/ciconfig.pl: show used options not available

circleci: add a job using libssh

Closes #8444

runtests: set 'oldlibssh' for libssh versions before 0.9.6

... and make test 1459 check for the different return code then.

Closes #8444

Makefile.am: Generate VS 2022 projects

Follow-up to f13d4d0 which added VS 2022 project support.

Ref: https://github.com/curl/curl/pull/8438

projects: remove support for MSVC before VC10 (Visual Studio 2010)

- Remove Visual Studio project files for VC6, VC7, VC7.1, VC8 and VC9.

Those versions are too old to be maintained any longer.

Closes https://github.com/curl/curl/pull/8442

projects: add support for Visual Studio 17 (2022)

Closes https://github.com/curl/curl/pull/8438

RELEASE-NOTES: synced

connect: follow-up fix the copyright year

misc: remove unused data when IPv6 is not supported

Closes #8430

scripts/ciconfig: show CI job config info

Closes #8446

quiche: handle stream reset

A stream reset now causes a CURLE_PARTIAL_FILE error. I'm not convinced
this is the right action nor the right error code.

Reported-by: Lucas Pardue
Fixes #8437
Closes #8440

mime: use a define instead of the magic number 24

MIME_BOUNDARY_DASHES is now the number of leading dashes in the
generated boundary string.

Closes #8441

hostcheck: reduce strlen calls on chained certificates

Closes #8428

mime: some more strlen() call removals.

Closes #8423

scripts/cijobs.pl: detect zuul cmake jobs better

url: exclude zonefrom_url when no ipv6 is available

Closes #8439

if2ip: make Curl_ipv6_scope a blank macro when IPv6-disabled

Closes #8439

mprintf: remove strlen calls on empty strings in dprintf_formatf

Turns out that in dprintf_formatf we did a strlen on empty strings, a
bit strange is how common this actually is, 24 alone when doing a simple
GET from https://curl.se

Closes #8427

wolfssl: return CURLE_AGAIN for the SSL_ERROR_NONE case

Closes #8431

wolfssl: when SSL_read() returns zero, check the error

Returning zero indicates end of connection, so if there's no data read
but the connection is alive, it needs to return -1 with CURLE_AGAIN.

Closes #8431

quiche: after leaving h3_recving state, poll again

This could otherwise easily leave libcurl "hanging" after the entire
transfer is done but without noticing the end-of-transfer signal.

Assisted-by: Lucas Pardue
Closes #8436

quiche: when *recv_body() returns data, drain it before polling again

Assisted-by: Lucas Pardue
Closes #8429

configure: fix '--enable-code-coverage' typo

Fixes #8425
Closes #8426

lib/h2h3: #ifdef on ENABLE_QUIC, not the wrong define

Otherwise the build fails when H3 is enabled but the build doesn't
include nghttp2.

Closes #8424

hostcheck: pass in pattern length too, to avoid a strlen call

Removes one strlen() call per SAN name in a cert-check.

Closes #8418

misc: remove strlen for Curl_checkheaders + Curl_checkProxyheaders

Closes #8409

configure: requires --with-nss-deprecated to build with NSS

Add deprecation plans to docs/DEPRECATE.md

Closes #8395

mqtt: free 'sendleftovers' in disconnect

Fix a memory-leak

Bug: https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=43646
Closes #8415

openldap: pass string length arguments to client_write()

This uses the new STRCONST() macro and saves 2 strlen() calls on short
string constants per LDIF output line.

Closes #8404

misc: reduce strlen() calls with Curl_dyn_add()

Use STRCONST() to switch from Curl_dyn_add() to Curl_dyn_addn() for
string literals.

Closes #8398

http2: fix the array copy to nghttp2_nv

Bug: https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=44517
Follow-up to 9f985a11e794
Closes #8414

RELEASE-NOTES: synced

scripts/cijobs.pl: output data about all currect CI jobs

This script parses the config files for all the CI services currently in
use and output the information in a uniform way. The idea is that the
output from this script should be possible to massage into informational
tables or graphs to help us visualize what they are all testing and NOT
testing.

Closes #8408

maketgz: return error if 'make dist' fails

To better detect this problem in CI jobs

Reported-by: Marcel Raad
Bug: https://curl.se/mail/lib-2022-02/0070.html
Closes #8402

h2h3: pass correct argument types to infof()

Detected by Coverity. CID 1497993

Closes #8401

lib/Makefile: remove config-tpf.h from the dist

Follow-up from da15443dddea2bfb. Missed before because the 'distcheck'
CI job was not working as intended.

Reported-by: Marcel Raad
Bug: https://curl.se/mail/lib-2022-02/0070.html
Closes #8403

configure: remove support for "embedded ares"

In March 2010 (commit 4259d2df7dd) we removed the embedded 'ares'
directory from the curl source tree but we have since supported
especially detecting and using that build directory. The time has come
to remove that kludge and ask users to specify the c-ares dir correctly
with --enable-ares.

Closes #8397

github/workflows/mbedtls: fix indent & remove unnecessary line breaks

Closes #8399

CI: move the NSS job from zuul to GHA

Closes #8396

tests/unit/Makefile.am: add NSS_LIBS to build with NSS fine

Closes #8396

curl-openssl: fix SRP check for OpenSSL 3.0

When OpenSSL 3.0 is built with `--api=3.0` and `no-deprecated`, the SRP
functions exist in the library, but are disabled for user code. Check
if they are actually usable instead of only if they exist. Also, check
for the functions actually required for TLS-SRP.

TLS-SRP support is still enabled if OpenSSL is configured with just
`--api=3.0` or with `--api=1.1.1 no-deprecated`.

Closes https://github.com/curl/curl/pull/8394

http: make Curl_compareheader() take string length arguments too

Also add STRCONST, a macro that returns a string literal and it's length
for functions that take "string,len"

Removes unnecesary calls to strlen().

Closes #8391

vquic/vquic.h: removed the unused H3 psuedo defines

ngtcp2: use Curl_pseudo_headers

quiche: use Curl_pseudo_headers

http2: use Curl_pseudo_headers

h2h3: added Curl_pseudo_headers()

For use with both http2 and http3 requests.

ngtcp2/quiche: make :scheme possible to set

http2: allow CURLOPT_HTTPHEADER change ":scheme"

The only h2 psuedo header that wasn't previously possible to change by a
user. This change also makes it impossible to send a HTTP/1 header that
starts with a colon, which I don't think anyone does anyway.

The other pseudo headers are possible to change indirectly by doing the
rightly crafted request.

Reported-by: siddharthchhabrap on github
Fixes #8381
Closes #8393

h2/h3: provide and refer to pseudo headers as defines

... and do sizeof() on the defines to use constants better.

Closes #8389

smb: passing a socket for writing and reading data instead of FIRSTSOCKET

Closes #8383

x509asn1: toggle off functions not needed for diff tls backends

... and clean the header file from private defines/structs (move to C
file) and unused function prototypes.

Closes #8386

lib: move hostcheck and x509sn1 sources to vtls/

... since they are used strictly by TLS code.

Closes #8386

version_win32: fix warning for `CURL_WINDOWS_APP`

The build version is not supported by the UWP code.

Closes https://github.com/curl/curl/pull/8385

tests/disable-scan.pl: properly detect multiple symbols per line

Test 1165 would fail on some systems because it didn't detect
CURL_DISABLE_* symbols that were used to the right of another one on the
same line! The script would only detect and extract the first one.

Reported-by: Marcel Raad
Fixes #8384
Closes #8388

config.d: Clarify _curlrc filename is still valid on Windows

Recent changes added support for filename .curlrc on Windows, and
when it's not found curl falls back on the original Windows filename
_curlrc. _curlrc was removed from the doc, however it is still valid.

Closes https://github.com/curl/curl/pull/8382

lib: remove support for CURL_DOES_CONVERSIONS

TPF was the only user and support for that was dropped.

Closes #8378

TPF: drop support

There has been no TPF related changes done since September 2010 (commit
7e1a45e224e57) and since this is a platform that is relatively different
than many others (== needs attention), I draw the conclusion that this
build is broken since a long time.

Closes #8378

scripts/delta: check the file delta for current branch

... also polish the output style a little bit

runtests.pl: tolerate test directories without Makefile.inc

Silences the following warnings when using a Makefile.inc-free
TESTDIR using the "-o" argument:

   readline() on closed filehandle D at ./runtests.pl line 592.
   Use of uninitialized value $disttests in pattern match (m//) at
   ./runtests.pl line 3602.

Closes https://github.com/curl/curl/pull/8379

setopt: do bounds-check before strdup

Curl_setstropt() allocated memory for the string before checking if the
string was within bounds. The bounds check should be done first.

Closes #8377

mbedtls: enable use of mbedtls without filesystem functions support

Closes #8376

configure: support specification of a nghttp2 library path

This enables using --with-nghttp2=<dir> on systems without pkg-config.

Closes #8375

scripts/release-notes.pl: remove leftover debug output

RELEASE-NOTES: synced

scripts/release-notes.pl: fix number extraction for full URLs

scripts/completion.pl: improve zsh completion

- Detect all spellings of <file>, <file name> etc as well as <path>.
- Only complete directories for <dir>.
- Complete URLs for <URL>.
- Complete --request and --ftp-method.

Closes #8363

configure: use correct CFLAGS for threaded resolver with xlC on AIX

Fixes #8276
Closes #8374