Cleanup of server reading code, preparation, for dynamic reading from files.

--rev-server option. Syntactic sugar for PTR queries.

Log BOGUS validation result when upstream sends SERVFAIL.

TYpo.

No CD in forwarded queries unless dnssec-debug for TCP too.

Don't mess with the TTL of DNSSEC RRs.

Add RFC-6605 ECDSA DNSSEC verification.

Use DS records as trust anchors, not DNSKEYs.

This allows us to query for the root zone DNSKEY RRset and validate
it, thus automatically handling KSK rollover.

Further tidying of AD and DO bit handling.

Handle validation when more one key is needed.

Fix Byte-order botch: broke DNSSEC on big-endian platforms.

Fix DNSSEC caching problems: incomplete RRSIG RRsets.

AD bit in queries handled as RFC6840 p5.7

Add trust-anchors file to Debian package.

Fix stack-smashing crash in DNSSEC. Thanks to Henk Jan Agteresch.

DNSSEC config in example file.

Protect against malicious DNS replies with very large RRsets.

Make RR work when returning A/AAAA records and an RRSIG.

Updated version of contrib/try-all-ns

Linking stuff. Latest Debian/Ubuntu don't automatically link gmp.

Make DNSEC default, add build-depends for same, bump version.

CHANGLEOG for DNSSEC.

Format tweak.

Log NXDOMAIN correctly.

Return configured DNSKEYs even though we don't have RRSIGS for them.

Nasty cache failure and memory leak with DNSSEC.

Validate Ooops.

Blockdata fixes and tuning.

Blockdata leak.

copy-n-paste error.

Anounce DNSSEC at startup.

Init ->dependent field in frec allocation.

Compiler warning.

Add a file containing current root trust anchors, for convenience.

Crash in cache code when compiled with HAVE_DNSSEC.

Allow use of COPTS in Debian rules invokation for nefarious purposes.

Debian package with DNSSEC now possible.

DNSSEC will eventually become opt-out and when that happens
I'll add libnettle build-depends. For now, build with

fakeroot debian/rules DEB_BUILD_OPTIONS=usednssec

to get DNSSEC support.

Man page entries for DNSSEC flags.

Trivial format fix.

Code tidy.

Don't mark answers as DNSEC validated if DNS-doctored.

Exclude CRC code in DNSSEC build - replaced with SHA1.

Remove --dnssec-permissive, pointless if we don't set CD upstream.

Fix to last commit.

Replace CRC32 with SHA1 for spoof detection in DNSSEC builds.

Get AA flag right in DNSSEC answers from cache.

RRSIG answer logging.

Class specifier in --dnskey, instead of hardwiring C_IN.

--dnssec-debug

More DNSSEC caching logic, and avoid repeated validation of DS/DNSKEY

RRSIGS for PTR records from cache.

Tweak.

RRSIGs in DS and DNSKEY cached answers.

More DNSSEC cache readout.

Compiler warning.

Compiler warning.

remove redundant headerage

Cache RRSIGS.

Caching of DNSSEC records.

Tweak definition of a permanent IPv6 address on Linux.

The linux kernel treats all addresses with a limited lifetime as being
non permanent, but when taking over the prefix livetimes from
upstream assigned prefixes through DHCP, addresses will always have a limited
lifetime.

Still reject temporary addresses, as they indicate autoconfigured
interfaces.

Contributed by T-Labs, Deutsche Telekom Innovation Laboratories

Signed-off-by: Jonas Gorski<jogo@openwrt.org>

Handle time_t wraparound more sanely.

Fix loop in RR sort.

bug fix, avoids infinite loop in forwarding code.

Fix to hostname_cmp, and update to canonicalisation table. RFC 4034 LIES.

Rationalise hostname_cmp()

Provide for static library linking.

NSEC proof-of-non-existence.

Better handling of truncated DNSSEC replies.

Don't validate error returns.

Trivial format fix

UDP retries for DNSSEC

Fix SEGV and failure to validate on x86_64.

Merge branch 'master' of ssh://central/var/cache/git/dnsmasq

protocol handling for DNSSEC

Add ip6addr.h to Makefile list.

Swap crypto library from openSSL to nettle.

Merge branch 'master' of ssh://central/var/cache/git/dnsmasq

[fd00::} and [fe80::] special addresses in DHCPv6 options.

Fix missing RA RDNS option with --dhcp-option=option6:23,[::]

Set AD bit for address replies from /etc/hosts &c

Furthet tweak to RRset sort.

RFC 4035 5.3.2 wildcard label rules.

DNSSEC consolidation.

Tweak blockdata accounting.

Handle digest lengths greater than 1 block.

AD into cache fixes.

AD bit handling when doing validation.

Memory stats for DNSSEC.

Move blockdata to it's own file.

Update copyright for 2014.

New source port for DNSSEC-originated queries.

DNSSEC for TCP queries.

Ensure cache is big enough to do DNSSEC.

Rationalise DNS packet-buffer size calculations.

Handle truncated replies in DNSSEC validation.

Tweak libraries and make DNSSEC compile optional.

First functional DNSSEC - highly alpha.

backup

Send correct O and M bits when advertising only deprecated prefixes.

Merge branch 'master' into dnssec