rec: Skip the aggressive NSEC cache for internal and forward zones

rec: Fix handling of the DNAME bit in parent NSEC(3)s

rec: Enable the aggressive NSEC cache by default, if DNSSEC is enabled

rec: Add regression tests for the aggressive NSEC cache

rec: Clean up the wildcard denial validation code

rec: Fix the generation of positive answer from a NSEC+wildcard

rec: Cleaner way of getting the closest encloser from a NSEC

rec: Convert the warning about storing in raw form to a comment

rec: Test if the aggressive NSEC cache is enabled first

Making it easier to understand what the test is about.
Also remove a comment about moving the aggressive NSEC cache lookup
after the DNSSEC zone cut computation since it's going away.

rec: Remove empty zones from the aggressive NSEC cache

Fix signed vs unsigned warnings on OpenBSD/clang

rec: Don't increase the number of aggressive cache entries when replacing

rec: Don't delete aggressive cache entries while they are locked

rec: Check that the salt and iterations count match for NSEC3 entries

Otherwise we could end up using a hash computed with the wrong parameters,
and thus not proving what we expected.

rec: Unbreak aggressive NSEC unit tests on older boost versions

rec: Add comment about moving the aggressive NSEC cache check

rec: Fix invalid DS denial for a NXDomain name

rec: Don't wait on the aggressive cache's locks

rec: Fix and add unit tests for Aggressive NSEC cache cleaning, dump, wiping

rec: Cache cleaning, make the aggressive nsec cache size configurable

rec: Add warning about trying to get the lock instead of waiting

rec: Ponder doing the aggressive cache check later

rec: Add support for wiping the aggressive cache

rec: Document the aggressive NSEC caching setting

rec: Add metrics for Aggressive NSEC caching

rec: Exclude minimally covering NSEC{,3} from the aggressive cache

rec: Synthesize wildcard answers from the aggressive NSEC cache

rec: First unit tests for aggressive NSEC

rec: Small cleanup of DNSSEC denial validation

rec: More wildcard denial tests, check DNAME

rec: Better aggressive NSEC/NSEC3. Needs tests, refactoring, perhaps wildcard synth

rec: Aggressive NSEC3 caching as well!

rec: Fix DNSSEC validation, exact ancestor NSEC is usable for the DS

rec: Use a separate cache for aggressive NSEC to keep things simple

rec: Fix wrong NSEC generation (zone cut) in a unit test

Merge pull request #9964 from zeha/debian-update

authoritative: update debian packaging

Merge pull request #10096 from omoerbeek/rec-non-resolving-ns

Rec: remember non resolving ns

Consistency in spelling non-resolving

Merge pull request #10056 from mind04/pdns-api-backend

Auth: test the api with more backends

remove unused import

auth api tests: accept some reordered results

fix is_auth_lmdb()

Merge pull request #10101 from jsoref/spelling-branch

check-spelling: Try checking out merge/head appropriately

Re-enable PKCS11 build

Remove Debian-specific NEWS files

Drop Debian-specific README.source

autopkgtest supported-algos test: add ED448

Remove outdated comment about make test

No package version override for upstream

Do not build with --enable-reproducible for upstream

pdns-backend-odbc: remove duplicate schema file

Undo accidental name change

Keep security-poll-suffix for upstream

authoritative: update debian packaging

Import from Debian bullseye, with the following changes:
- keep PowerDNS Maintainer:
- drop debhelper compat to 10 (for bionic and stretch)
- ignore changelog, patches
- build with luajit on amd64, arm64

API+LMDB testing: do not try SQL on an LMDB database

test API+LMDB in CircleCI

skip tests that do not apply to LMDB

show webserver logs during API testing

simplify and fix postgres user handling

Before this, a few spots were missing (and one had a typo).
With all of that taken out, we can simply set PGUSER and libpq will do the right thing for us.

CircleCI: use libluajit-5.1-2 everywhere

auth: 'fix' gpgsql 'Change the key by PUTing it' api test.  Maybe some day all distributions meet the minimal version requirement to fix this for real.

auth: fix gpgsql 'test_search_rr_case_insensitive' api test

auth: add gmysql, gpgsql and lmdb (partial) backend to the api tests

Merge pull request #10067 from james-crowley/debian-control

Added Support for Architecture aware Dockerfiles

Try checking out merge/head appropriately

spelling: remove some fixed misspellings from expect.txt

Merge pull request #10013 from mind04/pdns-lmdb-upgrade

auth: run lmdb init and upgrade code only once

Merge pull request #10066 from jsoref/spell-check-0.0.17a

Spell check 0.0.17a

Merge pull request #10098 from stroeder/master

LDAP backend docs: Added missing spaces after OpenLDAP index directives

Merge pull request #10097 from omoerbeek/rec-bulk-enable-validate

rec: Enable DNSSEC validation in bulk tests

Merge pull request #10081 from pieterlexis/issue-7203-pdnsutil-load-zone

pdnsutil load-zone: reject zones with broken rrs

Merge pull request #10083 from omoerbeek/rec-doc-trace-fail

rec: Document trace=fail better and warn against its shortcomings.

Merge pull request #10087 from pieterlexis/check-MX-to-CNAME

pdnsutil: Warn on CNAME targets for NS, MX and SRV

Merge pull request #10094 from Habbie/speedtest-nsec3

speedtest: add NSEC3 hashing test

added missing spaces after OpenLDAP index directive

nonresolving is not a word -> non-resolving

Merge pull request #10095 from rgacogne/ddist-fix-crash-dbpf-console

dnsdist: Prevent a crash with DynBPF objects in client mode

Enable DNSSEC validation in bulk tests

Merge pull request #10092 from omoerbeek/docs-server-proxy

docs: Avoid some confusion about server objects

Docs and help texts

fix Makefile _SOURCES order

speedtest: fix compiler warnings

speedtest: add NSEC3 hashing test

dnsdist: Prevent a crash with DynBPF objects in client mode

Remember if an ns name did not resolve for a while and skip those.

Quoting

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

spelling

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Avoid some confusion about server objects

Merge pull request #10088 from rgacogne/ddist-start-tcp-workers-before-acceptors

dnsdist: Create TCP worker threads before acceptors ones

Merge pull request #10053 from aerique/feature/python-repo-script

Replace shell-based repo test script with a Python version

Merge pull request #9468 from omoerbeek/rec-control-pass-fd

rec: Rec control pass fd

Wrap the fd so it will be closed automatically

Python version of repo test script.

This replaces the Bourne shell version.

pdnsutil: Warn on CNAME targets for NS, MX and SRV

Fixes #10085

dnsdist: Create TCP worker threads before acceptors ones

Otherwise we might crash when the first TCP query arrives because
we are dividing by zero when trying to select a worker.

Merge pull request #10075 from omoerbeek/rec-setting-ecs-never-cache

rec: Introduce settings to never cache EDNS Client (v4/v6) Subnet carrying replies

Apply suggestions from code review

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>

Actually define the two new args

Introduce settings to never cache EDNS Client (v4/v6) Subnet carrying replies.

While there, add a few entries to the upgrade guide.

Merge pull request #10086 from jsoref/pip-wheel

Add wheel to pip