distro/tests: add Rocky support

.gitlabci: add some doc comments for distotest job

distro/tests: use rocky8 instead of centos8

Merge !1266: Coverity Scan false positives clarifications

Coverity Scan false positives clarifications

Merge branch 'cache-nit-ttl' into 'master'

cache nit: reduce cache.max_ttl limit a bit

See merge request knot/knot-resolver!1265

cache nit: reduce cache.max_ttl limit a bit

The new limit is over 68 years, so still completely meaningless.

Merge !1264: Fix defects detected by Coverity Scan

Fix defects detected by Coverity Scan

Targeted CIDs: 155456, 155962, 346121, 346123, 346124, 346125,
  346126, 346127, 346130, 346131, 346132, 346134, 346135, 346138,
  346140, 346145, 346146, 346149, 346152, 346154, 346156, 346157

lib/dnssec/nsec3.c change:
  apparently cleaning fallout from my (= vcunat's) commit b5cf61325ae

Merge !1256: modules/dnstap: improve UX for common errors

modules/dnstap: improve UX for common errors

The main thing is the "failed to open socket" message.
But let's also elevate other fatal one-off logs to ERROR level.

modules/dnstap: don't do anything on loading the module

Usually in configuration the module is loaded in a separate command
from passing configuration to it.  For dnstap this loading would
immediately lead to opening the default socket path, even if the
configuration actually specifies (a different) path later.

Users can still force using the default by passing an empty table:
`dnstap.config({})` or `modules = { dnstap = {}}`
(though I doubt the utility of the default /tmp/dnstap.sock anyway)

Merge !1257: lib/resolve, modules: NO_ANSWER for not responding to clients

Implements #432

lib/resolve, modules: NO_ANSWER for not responding to clients

Merge !1238: Support for PROXYv2 protocol

daemon, lib: document API changes made due to PROXYv2

daemon: add PROXYv2 SSL TLV handling + minor refactoring

daemon: correct PROXYv2 handling for TCP sessions

daemon/bindings doc: PROXYv2 clarifications

daemon: use flags from proxy header + refactor comm data

daemon: allow setting zero netmasks for net.proxy_allowed()

tests/config: net.proxy_allowed() support

daemon/proxyv2.test: deckard test for PROXYv2

daemon/bindings: add net.proxy_allowed() + docs

daemon: PROXYv2 header processing

Merge !1259: .gitlab-ci: Coverity scan

Implements #450

.gitlab-ci: Coverity scan

Merge branch 'fix-tls-client-resumption' into 'master'

daemon/tls: fix TLS client resumption

Closes #542

See merge request knot/knot-resolver!1261

daemon/tls: fix TLS client resumption

Merge !1254: lib/resolve: EDNS padding for outgoing TLS queries

Fixes #303

lib/resolve: EDNS padding for outgoing TLS queries

Merge !1251: lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

We're a bit late with this ad-hoc rule; I think it was most useful
when SHA256 support in DS algorithms wasn't wide-spread yet.
(Note that DNSKEY algos have standardized no similar rule.)

Usage of SHA1 as DS algorithm is highly discouraged, but even at this
point it does *not* seem unsafe, in the sense of anyone publishing an
attack that would come anywhere close to breaking *this* usage of SHA1.

Merge !1226: daemon/worker: add task timeouts for upstream TCP connections

daemon/worker: add task timeouts for upstream TCP connections

Merge !1253: daemon/bindings/net: add interface name to link-local IPv6 addresses

Fixes #80

daemon/bindings/net: add interface name to link-local IPv6 addresses

Merge branch 'update-tests' into 'master'

ci: various test updates

See merge request knot/knot-resolver!1243

tests/README: merge with docs

pytests: migrate to LXC runner

Due to missing support on some of the regular runners, let's migrate
these tests to our special LXC runners. This should hopefully make the
results more reliable and stable.

The downside is that we have to keep an additional image (and recipe)
for LXC, since it' slightly different. However, it's probably worth it,
since we'll likely migrate some other tests there in the future (for
better stability).

ci: omit extra dependencies for arm

gitignore: pytests junit xml files

ci/images: automate build&push of images

meson: update dependencies for deckard

tests: bring README up to date

meson: minor cleanup

Merge branch 'docs-forwarding-filters' into 'master'

policy docs: warn about filters and forwarding

See merge request knot/knot-resolver!1241

policy docs: warn about filters and forwarding

We've been notified about possibility of "cache poisoning" this way,
so let's document this drawback to make the expectations clearer.

Merge branch 'docs-hints-shadowed' into 'master'

hints docs: better explain shadowing by policies

See merge request knot/knot-resolver!1244

hints docs: better explain shadowing by policies

Merge branch 'doc-links-mailing-lists' into 'master'

doc: fix links to our mailing lists

See merge request knot/knot-resolver!1247

doc: fix links to our mailing lists

Their implementation was changed.
Fortunately I was able to find the message in Google's cache
and thus discover easily which one it is in the new archive.

Merge branch 'doh-cors' into 'master'

doh2: fix CORS by adding `access-control-allow-origin: *`

See merge request knot/knot-resolver!1246

doh2 tests: check CORS headers

I didn't feel like adding it to every test, so I picked a mix.
I confirmed this would fail before the parent commit.

doh2: fix CORS by adding `access-control-allow-origin: *`

For old doh we added this in commit a34aa1ee743;
with the new implementation we somehow forgot.

Merge branch 'release-5-4-4' into 'master'

release 5.4.4

Closes #692

See merge request knot/knot-resolver!1245

Merge branch 'master' into 'release-5-4-4'

# Conflicts:
#   NEWS

release 5.4.4

Merge !1225: prefill module: add ZONEMD support

daemon/zimport: better failure logging

The typical DNSSEC problems should happen already when trying to
validate the DNSKEY set, so it's better to be more verbose there.

In the end I gave up on deduplicating with log_bogus_rrsig() code,
as it's different logging group, logging level, no kr_query, etc.

daemon/zimport: add unit tests for ZONEMD computation

modules/prefill nit: explicit conversion isn't needed here

modules/prefill nit: unify log tag to `[prefil]`

lib/log: remove the unused log groups

We can always easily add groups when needed.

daemon/zimport: rewrite, support ZONEMD

The approach of the code was rather hacky, simulating some packets
arriving from upstream and making the module stack CONSUME that.
Instead we take a direct approach now: use the simplified validator API
and then insert into cache directly.

One effect is improved performance, and consequently roughly halving
the lag which happens when prefill module invokes this.
(With root zone the lag goes down to 0.1 s from over 0.2 s,
 on my relatively fast CPU.  Fortunately it's just once a day.)

Merge !1239: policy: log selected actions, add .IPTRACE

Closes #689

policy: add policy.IPTRACE logging action

doc: add mention about policy debug logging near RPZ

doc: fix link to log groups

policy: log selected actions

The following actions will now be logged in debug level (or request
tracing): ANSWER, DENY, DENY_MSG, DROP, REFUSE, TC

This can be useful for RPZ and other policy debugging.

Purposefully ommitted actions:
PASS - since it's the same as normal processing
REROUTE - the action itself comes from renumber module
STUB,FORWARD,TLS_FORWARD - this could be more confusing than useful
  (e.g. when response comes from cache)

Merge branch 'extended-errors' into 'master'

extended DNS errors support

See merge request knot/knot-resolver!1234

ede: add pytest coverage

ede: mark every error with a unique tag

To allow for easier debugging, each origin of an extended DNS error has
a unique 4-byte identifier that is included in the extra_text message.

The identifiers are random 4-letter base32 strings, generated with:
base32 /dev/random | head -c 4

lua: set_extended_error() func for kr_request

Add a utility function for simpler lua API when setting extended errors.

libknot: bump dependency version to 3.0.2

Version 2.9 isn't supported anymore anyway, but 3.0.2 is needed for
extended error constants.

policy: add extended errors

modules/dns64: EDE - mark as forged

lua: extended_error const table

kluautil: kr_string2c function

ede: handle not authoritative

ede: handle stale answers

ede: add KNOT_EDNS_EDE_NREACH_AUTH

logging: remove QVERBOSE in favor of kr_log_q

modules/extended_error: package module

validate: additional EDE DNSSEC errors

validate: refactor - remove check for impossible return values

kr_dnskeys_trusted() only returns EINVAL, ENOENT or EOK.

validate: add extended DNS errors

modules/extended_error: OPT section modification

lib/log: add LOG_GRP_EDE

lib/resolve: kr_extended_error_t and related func

Merge !1242: ci nix: avoid the failure

ci nix: tweak details around using "unstable" nix CLI

We don't need this on the versions before nix 2.4,
but let's switch now already.

ci nix: temporarily(?) avoid issues

Merge !1240: lib/utils: rename union inaddr to union kr_sockaddr

lib/utils: rename union inaddr to union kr_sockaddr

Merge branch 'fix-aws-console' into 'master'

iterate: fix bad zone_cut update in a rare case

See merge request knot/knot-resolver!1237

iterate nit: don't log a space at the end of a line

iterate: fix bad zone_cut update in a rare case

https://forum.turris.cz/t/kresd-name-unresolution/16275

Example problematic query during QNAME minimization:
```
[resolv][43578.24]   => id: '08532' querying: 'ns-921.amazon.com.'@'34.196.62.143#00053' zone cut: 'aws.amazon.com.' qname: 'coNsOlE.aWs.AmAzON.Com.' qtype: 'NS' proto: 'udp'
[iterat][43578.24]   <= answer received:
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 8532
;; Flags: qr aa  QUERY: 1; ANSWER: 4; AUTHORITY: 1; ADDITIONAL: 0

;; QUESTION SECTION
console.aws.amazon.com.         NS

;; ANSWER SECTION
console.aws.amazon.com. 600     NS      ns-921.amazon.com.
console.aws.amazon.com. 60      CNAME   us-east-1.console.aws.amazon.com.
us-east-1.console.aws.amazon.com. 600   NS      ns-921.amazon.com.
us-east-1.console.aws.amazon.com. 60    CNAME   gr.console-geo.us-east-1.amazonaws.com.

;; AUTHORITY SECTION
us-east-1.amazonaws.com.        60      SOA     ns-921.amazon.com. root.amazon.com. 1638962488 3600 900 7776000 60

[iterat][43578.24]   <= rcode: NXDOMAIN
```

Here the zone_cut would get updated to us-east-1.console.aws.amazon.com.
breaking further resolution towards    eu-west-3.console.aws.amazon.com.

Merge branch 'release-5-4-3' into 'master'

release 5.4.3

See merge request knot/knot-resolver!1236

release 5.4.3