Bump copyright

default.action.master: Update location of the development version

Sync with updated 'Cautious' template which enables the 'no-brotli-accepted' client-header filter

Enable 'no-brotli-accepted' client-header filter in all templates

Add 'no-brotli-accepted' filter which prevents the unsupported Brotli compression

Add yet another reason why +prevent-compression may cause problems

Rename struct certs_chain member from text_buf to info_buf

HTML-encode the certificate info shown in case of verification failures

We don't want to allow code injection through crafted certificates.

Sponsored by: Robert Klemme

Bump copyright

receive_and_send_encrypted_post_data(): Change two more log messages

... from LOG_LEVEL_HEADER to LOG_LEVEL_CONNECT.

Sponsored by: Robert Klemme

Fix typos

Fix typos

Fix comment typo

Fix typos

Fix typos

Fix typo

Fix typo

Fix typo

Fix typos

Fix typos

Fix typo

Fix typo

Fix typo

Fix typo

Fix typos

Fix typos

Fix typo

Fix typo

Fix typos

Fix typos

Fix comment typos

Fix comment typo

Fix comment typo

Fix comment typos

Fix comment typos

Fix typos

Extend is_ssl_pending()'s description

... to note that it only considers data that has
already been received locally.

Sponsored by: Robert Klemme

receive_and_send_encrypted_post_data(): Change return code to int to match reality

Sponsored by: Robert Klemme

receive_and_send_encrypted_post_data(): Change a log message from LOG_LEVEL_HEADER to LOG_LEVEL_CONNECT

Sponsored by: Robert Klemme

receive_and_send_encrypted_post_data(): Loop until no data is left

... if the content length is known.

Previously data that wasn't received yet was ignored
which could result in incomplete uploads.

Sponsored by: Robert Klemme

Add www.vpncompare.co.uk as Bronze sponsor

Spell out 'version' in the http_request struct

When https inspecting, log the request later on

... once we have gathered the path.

Include the protocol to differentiate the log messages from those
for plain http (which currently don't include the protocol).

Sponsored by: Robert Klemme

create_server_ssl_connection(): Free certificate chain when the handshake fails

Fixes a memory leak.

Sponsored by: Robert Klemme

send_crunch_response(): Log the whole URL for inspected https requests

Sponsored by: Robert Klemme

Log complete https request lines with LOG_LEVEL_CLF

... at the end of handle_established_connection().

Sponsored by: Robert Klemme

Improve ssl_send_certificate_error()'s description

Sponsored by: Robert Klemme

Simplify free_certificate_chain()

Sponsored by: Robert Klemme

Simplify code in handle_established_connection()

Sponsored by: Robert Klemme

ssl_verify_callback(): Log when mbedtls_pem_write_buffer() fails

Sponsored by: Robert Klemme

Remove #16 'Filter SSL encrypted content as well' which is mostly implemented

Add donor John Palkovic as contributor

Bump copyright

Allow to configure https-inspection and ignore-certificate-errors with the CGI editor

Sponsored by: Robert Klemme

sed_https(): Update the last https header after running sed()

This is necessary because addtional header may have been added.

Fixes a crash triggered by an assertion.

Reported by:  Nedžad Hrnjica
Sponsored by: Robert Klemme

Fix a comment typo in sed_https()

Update to upstream git ec5b42 and to Debian version 3.0.28-3.

Rebuild docs

Remove www.vpnranks.com/ from the sponsor list

Don't claim that contributors need ssh

It's only neede for committers.

Replace obsolete CVS instructions with Git instructions

Remove a reference to CVS, we use Git now

Remove an obsolete comment

Remove a reference to CVS, we use Git now

Add a missing call to close_client_ssl_connection()

... to fix a memory leak.

Sponsored by: Robert Klemme

process_encrypted_request(): Don't send an error response in case of unsupported protocols

client_protocol_is_unsupported() already takes care of that.

Sponsored by: Robert Klemme

client_protocol_is_unsupported(): Send encrypted error message when necessary

Sponsored by: Robert Klemme

process_encrypted_request(): Add more log messages in case of errors

Sponsored by: Robert Klemme

handle_established_connection(): Remove superfluous calls to close_client_and_server_ssl_connections()

... in the !client_use_ssl(csp) paths.

Sponsored by: Robert Klemme

handle_established_connection(): Adjust indentation after 054d756c1ca

No functional change.

Sponsored by: Robert Klemme

send_https_request(): Don't call close_client_and_server_ssl_connections()

... inconsistenly. The caller already does it.

Sponsored by: Robert Klemme

Add a missing call to close_client_and_server_ssl_connections()

Not calling it caused memory leaks.

Sponsored by: Robert Klemme

decompress_iob(): Free the temporary buffer when the buffer limit is reached

... instead of leaking it.

Sponsored by: Robert Klemme

free_csp_resources(): Destroy csp->client_tags

Fixes a memory leak when client tags are active.

Sponsored by: Robert Klemme

unload_configfile(): Use unload_forward_spec() instead of doing the work itself

... poorly. Previously the socks user name and password were leaked.

Sponsored by: Robert Klemme

unload_configfile(): free config->cors_allowed_origin

Fixes a small memory leak when reloading the config.

Sponsored by: Robert Klemme

free_csp_resources(): Destroy csp->https_headers

Fixes a memory leak.

Sponsored by: Robert Klemme

handle_established_connection(): Don't mess with csp->ssl_with_(server|client)_is_opened

This was a mismerge in 2111876638. The original code did
it in chat() were it doesn't hurt. Actually we don't need
to do it at all, as the variables are initialized to 0.

Zeroing the variables in handle_established_connection()
caused memory leaks as close_server_ssl_connection() and
close_client_ssl_connection() returned early,

Sponsored by: Robert Klemme

handle_established_connection(): Remove pointless code

Sponsored by: Robert Klemme

load_config(): Plug memory leaks

Sponsored by: Robert Klemme

Set the "Subject Alt Name" extension to when generating certificates

This is apparently required for the certificates to
be accepted by Chromium-based browsers.

Based on a patch by Nedžad Hrnjica.

Sponsored by: Robert Klemme

finish_http_response(): Plug memory leak with CORS enabled

Introduced in 9fd58c0d, not in any release.

Fixes CID 267166 "Resource leaks".

get_certificate_serial(): Remove dead code

Fixes CID 267164 "Logically dead code".

Sponsored by: Robert Klemme

handle_established_connection(): Remove pointless increments of n

Fixes CID267170 "Uninitialized scalar variable".

Sponsored by: Robert Klemme

Only execute the dumb CONNECT method test when FEATURE_HTTPS_INSPECTION is unavailable

With FEATURE_HTTPS_INSPECTION the test is aborted with
a timeout because Privoxy is waiting for an encrypted
request which doesn't come.

Sponsored by: Robert Klemme

Unblock 'ada*.'

If the amount of encrypted POST data left is known, don't read more than this

Sponsored by: Robert Klemme

generate_webpage_certificate(): Include the time in the serial number

... to make sure the serial number changes when the certificate
is regenerated.

Sponsored by: Robert Klemme

generate_webpage_certificate(): Return earlier if a valid certificate already exists

If the certificate is no longer valid, clear the key file, too.

Sponsored by: Robert Klemme

Generate the "valid from" and "valid to" date of certificates based on the current time

Previously certificates were always valid until 2040 which
seems a tad long.

Now the certificates are valid for 90 days.

Sponsored by: Robert Klemme

Detect invalid certificates and create new ones

Currently certificates are considered valid if they can
be parsed and have a "valid to" date in the future.

Sponsored by: Robert Klemme

Bump copyright

sed_https(): Clear the existing tags before calling sed()

This makes sure tagging based on the encrypted client
headers works even if a tag has already been set based
on the unencrypted ones.

Sponsored by: Robert Klemme

sed_https(): Unset CSP_FLAG_CLIENT_HEADER_PARSING_DONE

... to make sure we're applying client header taggers and filters.

Sponsored by: Robert Klemme

ssl_send_certificate_error(): Don't sleep

Supposedly some clients once apon a time needed
the delay but it's unclear which. Let's see if
any show up.

Sponsored by: Robert Klemme

ssl_send_certificate_error(): Be more precise

An invalid certificate is only one of the reasons
why the certificate verification may fail.

Sponsored by: Robert Klemme

When logging that the certificate verifcation failed, mention the host

Sponsored by: Robert Klemme

Only use certificate_mutex and rng_mutex when needed

Previously they were defined and initialized unconditionally.

Sponsored by: Robert Klemme

Use a single mutex for the certificate generation

It is fast enough so there is no need to complicate
things with up to 65536 different mutexes.

Sponsored by: Robert Klemme

Turn lack of md5 support in mbedTLS into a compile error

Previously the TLS code simply wouldn't work properly.

Sponsored by: Robert Klemme