rustls: add CURLOPT_CAINFO_BLOB support

Add support for `CURLOPT_CAINFO_BLOB` `CURLOPT_PROXY_CAINFO_BLOB` to the
rustls TLS backend. Multiple certificates in a single PEM string are
supported just like OpenSSL does with this option.

This is compatible at least with rustls-ffi 0.8+ which is our new
minimum version anyway.

I was able to build and run this on Windows, pulling trusted certs from
the system and then add them to rustls by setting
`CURLOPT_CAINFO_BLOB`. Handy!

Closes #8255

scripts/copyright.pl: ignore missing files

RELEASE-NOTES: synced

data/DISABLED: disable test 313 for wolfssl builds

It was previously disabled only in the CI jobs yaml

Closes #8252

runtests: make 'wolfssl' a testable feature

Closes #8252

GHA: install stunnel in the medbtls + wolfssl CI jobs

Closes #8252

CI: move the rustls CI job to GHA from Zuul

Closes #8251

DISABLE: disable a dozen tests in the rustls build

Disables tests that don't yet work with the rustls backend.

Fixes #8004
Closes #8250

runtests: make 'rustls' a testable feature

remote-header-name.d: clarify

- it strips off the path from the server provided name
- it saves in current directory or --output-dir

Ref: https://curl.se/mail/archive-2022-01/0032.html
Closes #8249

url: given a user in the URL, find pwd for that user in netrc

Add test 380 and 381 to verify, edited test 133

Reported-by: Manfred Schwarb
Fixes #8241
Closes #8243

mbedtls: Fix ssl_init error with mbedTLS 3.1.0+

Since mbedTLS 3.1.0, mbedtls_ssl_setup() fails if the provided
config struct is not valid.

mbedtls_ssl_config_defaults() needs to be called before the config
struct is passed to mbedtls_ssl_setup().

Closes #8238

cmake: fix iOS CMake project generation error

Closes #8244

ngtcp2: fix declaration of ‘result’ shadows a previous local

Follow-up to 8fbd6feddfa587cfd3

Closes #8245

openssl.h: avoid including OpenSSL headers here

... by instead using the struct version of the typedef'ed pointer. To
fix build errors when both Schannel and OpenSSL are enabled.

Fixes #8240
Reported-by: Jan Ehrhardt
Closes #8246

curl_url_set.3: mention when CURLU_ALLOW_SPACE was added

tool_findfile: free mem properly

Follow-up to 764e4f066d5

Closes #8242

tool_findfile: check ~/.config/curlrc too

... after the initial checks for .curlrc and if XDG_CONFIG_HOME is not
set, use $HOME and $CURL_HOME to check if ~/.config/curlrc is present.

Add test 436 to verify

Reported-by: Sandro Jaeckel
Fixes #8208
Closes #8213

runtests: allow client/file to specify multiple directories

... and make sure to mkdir them all

scripts/copyright.pl: support many provided file names on the cmdline

tests/FILEFORMAT.md: fix typo

Add test373: multiple chunks with binary zeros

Add test372: binary zero in data element

tests/server/getpart.c: properly deal with binary data containing NUL bytes

runtests.pl: properly print the test if it contains binary zeros

mailmap: Xiaoke Wang

openssl: copyright year update

Follow-up to 30aea2b1ede

scripts/copyright.pl: hush unless -v (for verbose) is used

openssl: check the return value of BIO_new_mem_buf()

Closes #8233

examples/multi-app.c: call curl_multi_remove_handle as well

Fixes #8234
Reported-by: Melroy van den Berg
Closes #8236

COPYING: bump copyright year range

RELEASE-NOTES: synced

and bump curlver after release

docs: fix mandoc -T lint formatting complaints

Closes #8228

next.d. remove .fi/.nf as they are handled by gen.pl

Closes #8228

gen.pl: terminate "example" sections better

If the example (section that is prefixed with spaces) ends the
description gen.pl would previously miss to output the terminating .fi

Closes #8228

curl-functions.m4: fix LIBRARY_PATH adjustment to avoid eval

$$ usage in a m4 file introduces the PID in linux.
Instead, just duplicate previous working code with a case switch.

Fixes #8229
Closes #8230

RELEASE-NOTES: synced

curl 7.81.0 release

THANKS: add names from 7.81.0 release

curl_multi_init.3: fix the copyright year range

test719-721: require "proxy" feature present to run

Bug: https://github.com/curl/curl/pull/8223#issuecomment-1005188696
Reported-by: Marc Hörsken
Closes #8226

test719: require ipv6 support to run

Follow-up to effd2bd7ba2a5fd244
Reported-by: Marc Hörsken
Bug: https://github.com/curl/curl/pull/8217#issuecomment-1004681145

Closes #8223

test719-721: verify SOCKS details

Using the new verify/socks details

runtests: add verify/socks check

If used, this data is compared with the data in log/socksd-request.log
which the socksd server logs.

Added to FILEFORMAT.md

server/socksd: log atyp + address in a separate log

To allow the test suite to verify that the right data arrived

socks5: use appropriate ATYP for numerical IP address host names

When not resolving the address locallly (known as socks5h).

Add test 719 and 720 to verify.

Reported-by: Peter Piekarski
Fixes #8216
Closes #8217

curl_multi_init.3: fix EXAMPLE formatting

RELEASE-NOTES: synced

libtest: avoid "assignment within conditional expression"

In lib530, lib540 and lib582

Closes #8218

ftp: disable warning 4706 in MSVC

Follow-up to 21248e052d

Disabling "assignment within conditional expression" for MSVC needs to
be done before the function starts, for it to take effect.

Closes #8218

tool_operate: warn if too many output arguments were found

More output instructions than URLs is likely a user error.

Add test case 371 to verify

Closes #8210

.github/workflows/mbedtls.yml: bump to mbedtls 3.1.0

Closes #8215

zuul: remove the mbedtls jobs

Now running as github workflows

Closes #8215

github/workflows: add mbedtls and mbedtls-clang

Closes #8215

mbedtls: fix private member designations for v3.1.0

"As a last resort, you can access the field foo of a structure bar by
writing bar.MBEDTLS_PRIVATE(foo). Note that you do so at your own risk,
since such code is likely to break in a future minor version of Mbed
TLS." -
https://github.com/ARMmbed/mbedtls/blob/f2d1199edc5834df4297f247f213e614f7782d1d/docs/3.0-migration-guide.md

That future minor version is v3.1.0. I set the >= to == for the version
checks because v3.1.0 is a release, and I am not sure when the private
designation was reverted after v3.0.0.

Closes #8214

cmake: prevent dev warning due to mismatched arg

-- curl version=[7.81.0-DEV]
CMake Warning (dev) at /usr/share/cmake-3.22.1/Modules/FindPackageHandleStandardArgs.cmake:438 (message):
  The package name passed to `find_package_handle_standard_args` (MBEDTLS)
  does not match the name of the calling package (MbedTLS).  This can lead to
  problems in calling code that expects `find_package` result variables
  (e.g., `_FOUND`) to follow a certain pattern.
Call Stack (most recent call first):
  deps/curl/CMake/FindMbedTLS.cmake:31 (find_package_handle_standard_args)
  deps/curl/CMakeLists.txt:473 (find_package)
This warning is for project developers.  Use -Wno-dev to suppress it.

Closes #8207

urlapi: if possible, shorten given numerical IPv6 addresses

Extended test 1560 to verify

Closes #8206

url: reduce ssl backend count for CURL_DISABLE_PROXY builds

Closes #8212

KNOWN_BUGS: "Trying local ports fails on Windows"

Reported-by: gclinch on github
Closes #8112

misc: update copyright year range

zuul: remove the wolfssl even more

Follow-up to 1914465cf180d32b3d

examples/multi-single.c: remove WAITMS()

As it isn't used.

Reported-by: Melroy van den Berg
Fixes #8200
Closes #8201

gtls: add gnutls include for the session type

Follow-up to 8fbd6feddfa5 to make it build more universally

m4/curl-compilers: tell clang -Wno-pointer-bool-conversion

To hush compiler warnings we don't care for: error: address of function
'X' will always evaluate to 'true'

Fixes #8197
Closes #8198

http_proxy: don't close the socket (too early)

... and double-check in the OpenSSL shutdown that the socket is actually
still there before it is used.

Fixes #8193
Closes #8195

Reported-by: Leszek Kubik

ngtcp2: verify the server certificate for the gnutls case

Closes #8178

ngtcp2: verify the server cert on connect (quictls)

Make ngtcp2+quictls correctly acknowledge `CURLOPT_SSL_VERIFYPEER` and
`CURLOPT_SSL_VERIFYHOST`.

The name check now uses a function from lib/vtls/openssl.c which will
need attention for when TLS is not done by OpenSSL or is disabled while
QUIC is enabled.

Possibly the servercert() function in openssl.c should be adjusted to be
able to use for both regular TLS and QUIC.

Ref: #8173
Closes #8178

zuul: remove the wolfssl build

github workflow: add wolfssl

Closes #8196

zuul: fix quiche build pointing to wrong Cargo

Fixes #8184
Closes #8189

checksrc: detect more kinds of NULL comparisons we avoid

Co-authored-by: Jay Satiro
Closes #8180

RELEASE-NOTES: synced

mesalink: remove the BACKEND define kludge

Closes #8183

schannel: remove the BACKEND define kludge

Closes #8182

gtls: check return code for gnutls_alpn_set_protocols

Closes #8181

README: label the link to the support document

Closes #8185

docs/HTTP3: describe how to setup a h3 reverse-proxy for testing

Assisted-by: Matt Holt
Closes #8177

libcurl-multi.3: "SOCKS proxy handshakes" are not blocking

Since 4a4b63daaa0

tests: Add test for CURLOPT_HTTP200ALIASES

http: Fix CURLOPT_HTTP200ALIASES

The httpcode < 100 check was also triggered when none of the fields were
parsed, thus making the if(!nc) block unreachable.

Closes #8171

RELEASE-NOTES: synced

language: "email"

Missed three occurrences.

Follow-up to 7a92f86

nss:set_cipher don't clobber the cipher list

The string is set by the user and needs to remain intact for proper
connection reuse etc.

Reported-by: Eric Musser
Fixes #8160
Closes #8161

misc: s/e-mail/email

Consistency is king. Following the lead in everything curl.

Closes #8159

docs: fix typo in OpenSSL 3 build instructions

Closes #8162

linkcheck.yml: add CI job that checks markdown links

Closes #8158

RELEASE-PROCEDURE.md: remove ICAL link and old release dates

BINDINGS.md: "markdown-link-check-disable"

It feels a bit unfortunate to litter an ugly tag for this functionality,
but if we get link scans of all markdown files, this might be worth the
price.

docs: fix dead links, remove ECH.md

openssl: define HAVE_OPENSSL_VERSION for OpenSSL 1.1.0+

Prior to this change OpenSSL_version was only detected in configure
builds. For other builds the old version parsing code was used which
would result in incorrect versioning for OpenSSL 3:

Before:

curl 7.80.0 (i386-pc-win32) libcurl/7.80.0 OpenSSL/3.0.0a zlib/1.2.11
WinIDN libssh2/1.9.0

After:

curl 7.80.0 (i386-pc-win32) libcurl/7.80.0 OpenSSL/3.0.1 zlib/1.2.11
WinIDN libssh2/1.9.0

Reported-by: lllaffer@users.noreply.github.com
Fixes https://github.com/curl/curl/issues/8154
Closes https://github.com/curl/curl/pull/8155

docs: add known bugs list to HTTP3.md

Closes #8156

BINDINGS: add one from Everything curl and update a link

libcurl-security.3: mention address and URL mitigations

The new CURLOPT_PREREQFUNCTION callback is another way to sanitize
addresses.
Using the curl_url API is a way to mitigate against attacks relying on
URL parsing differences.

RELEASE-NOTES: synced

x509asn1: return early on errors

Overhaul to make sure functions that detect errors bail out early with
error rather than trying to continue and risk hiding the problem.

Closes #8147

openldap: several minor improvements

- Early check proper LDAP URL syntax. Reject URLs with a userinfo part.
- Use dynamic memory for ldap_init_fd() URL rather than a
  stack-allocated buffer.
- Never chase referrals: supporting it would require additional parallel
  connections and alternate authentication credentials.
- Do not wait 1 microsecond while polling/reading query response data.
- Store last received server code for retrieval with CURLINFO_RESPONSE_CODE.

Closes #8140

misc: remove unused doh flags when CURL_DISABLE_DOH is defined

Closes #8148

mbedtls: fix CURLOPT_SSLCERT_BLOB

The memory passed to mbedTLS for this needs to be null terminated.

Reported-by: Florian Van Heghe
Closes #8146

asyn-ares: ares_getaddrinfo needs no happy eyeballs timer

Closes #8142

mailmap: add Yongkang Huang

From #8141

check ssl_config when re-use proxy connection