From review feedback: only inc s_almost_expired_tasks_run after task has ended without exceptions
and check for nullptr function in task record.

Expose almost-expired metrics

Refactor stats queue, introducing a pointor to a function that does the work
(pointing to a resolve function) and almost-expired specific stats.

Merge pull request #10546 from omoerbeek/rec-dns64-metrics

rec: Add dns64 metrics

Merge pull request #10602 from omoerbeek/rec-drop-after-preresolve

rec: Process policy and potential Drop action after Lua hooks

Merge pull request #10647 from rgacogne/decaf-polymorphic-exception

Fix a warning about catching a polymorphic exception type by value

Fix a warning about catching a polymorphic exception type by value

```
decafsigners.cc: In member function ‘virtual bool DecafED25519DNSCryptoKeyEngine::verify(const string&, const string&) const’:
decafsigners.cc:140:11: warning: catching polymorphic type ‘class decaf::CryptoException’ by value [-Wcatch-value=]
  140 |   } catch(CryptoException) {
      |           ^~~~~~~~~~~~~~~
decafsigners.cc: In member function ‘virtual bool DecafED448DNSCryptoKeyEngine::verify(const string&, const string&) const’:
decafsigners.cc:276:11: warning: catching polymorphic type ‘class decaf::CryptoException’ by value [-Wcatch-value=]
  276 |   } catch(CryptoException) {
      |           ^~~~~~~~~~~~~~~
```

Merge pull request #10640 from Habbie/dnsdist-docs-grepq

dnsdist docs: clarify grepq num parameter

Merge pull request #10642 from Habbie/checkkey-null-error

checkKey: handle NULL error string from OpenSSL more gracefully

checkKey: handle NULL error string from OpenSSL more gracefully

fixes #10641

Merge pull request #10639 from omoerbeek/rec-tfo-update

rec: Google is working to fix their TFO issues on their DNS servers

dnsdist docs: clarify grepq num parameter

Google is working to fix their TFO issues on their DNS servers

Merge pull request #10627 from omoerbeek/rec-policy-rm-race

rec: Check in more places if the policy has been updated before using or modifying it.

Handle policy hit after nodata nxdomain Lua hooks and add
regression test for those two and the preresolve case.

Merge pull request #10634 from omoerbeek/rec-macos-kqueue-and-fixes

Move MacOS to kqueue and assorted compile fixes

Move MacOS to kqueue and assorted compile fixes

Merge pull request #10626 from aj-gh/doc-dnsdist-setecsoverride

dnsdist: Document that setECSOverride has its drawbacks

Merge pull request #10623 from omoerbeek/rec-tcp-states

Rec: make all PacketIDs shared_ptr

Add test case and comments

dnsdist: Document that setECSOverride has drawbacks under certain conditions.

Merge pull request #10601 from steffann/master

Document setTag(Response)Action behaviour

Check in more places if the config policy has been updated before
using or modifying it.

Use explicit PacketIDCompare

When using equal_range with a different compare function than the one used by the index, it
should be consistent with the way the index is ordered.

In particular PacketIDBirthdayCompare did not agree with operator< for PacketIDs

Move to a shared PacketID

There is an issue with equal_range() in asendto() that I fixed with an extra
test for the moment.

Add FD to TCPLOG lines

Merge pull request #10525 from rgacogne/ddist-lmdb-range

dnsdist: Add support for range-based lookups into a Key-Value store

Merge pull request #10616 from omoerbeek/rec-prep-4.4.5-and-4.5.5

rec: Prep for rec-4.4.5 and rec-4.5.5

Merge pull request #10572 from pieterlexis/dockerignore

docker: ignore compiled files

Merge pull request #10607 from peterthomassen/patch-3

Document RFC 6742 types

Merge pull request #10610 from Habbie/auth-4.5-eol-update

auth: EOL update after 4.5 release

Merge pull request #10613 from Habbie/responsestats-type65535

auth: correct upper bounds on d_qtypecounters

Merge pull request #10595 from Habbie/auth45-upgradenotes-zonecache

auth 4.5 upgrade notes and settings: more words on the zone cache

Prep for rec-4.4.5 and rec-4.5.5

Including a few 2->3 upgrades for known vulnerability status for auth

Merge pull request #10587 from rgacogne/rec-aggressive-nsec3-ancestor

rec: Ancestor NSEC3s can only deny the existence of a DS

Merge pull request #10570 from rgacogne/rec-hunt-cuts-on-bogus

rec: Make really sure we did not miss a cut on validation failure

Merge pull request #10565 from Habbie/rec-non-apex-dnskey

rec: do not use DNSKEYs found below an apex for validation

auth 4.5.1 changelog: fix PR number

correct upper bounds on d_qtypecounters

Merge pull request #10612 from Habbie/auth-sec-2021-01

auth-4.5.1: advisory, changelog, secpoll

auth-4.5.1: advisory, changelog, secpoll

auth: EOL update after 4.5 release

auth 4.5 upgrade notes and settings: more words on the zone cache

Document RFC 6742 types

Process potential Drop action after preresolve Lua hook.

 Document setTag(Array) behaviour

Explicitly document that setTag and setTagArray do not overwrite existing tag values.

Document setTag(Response)Action behaviour

Explicitly document that setTagAction and setTagResponseAction do not overwrite existing tag values.

dnsdist: Document that range-based lookups expect addresses in network byte order

Also document that tags are always created on a lookup, even when the
key does not exist. It's a bit weird but we should probably not change
that right now.

dnsdist: Add support for range-based lookups into a Key-Value store

This feature allows doing a range-based lookup (mostly useful for IP addresses), assuming that:
- there is a key for the last element of the range (2001:0db8:ffff:ffff:ffff:ffff:ffff:ffff for 2001:db8::/32)
which contains the first element of the range (2001:0db8:0000:0000:0000:0000:0000:0000) followed by any data in the value
- AND there is no overlapping ranges in the database !!

This requires that the underlying store supports ordered keys, which is true for LMDB but not for CDB, for example.

Merge pull request #10520 from rgacogne/ddist-kvs-lmdb-dbi

dnsdist: Don't look up the LMDB dbi by name for every query

Merge pull request #10501 from rgacogne/ddist-per-thread-lua-ffi

dnsdist: Add support for Lua per-thread FFI rules and actions

rec: Fix wrong comments in the Aggressive NSEC cache unit tests

Merge pull request #10571 from Habbie/rec-warnings

rec: fix some compiler warnings

Merge branch 'master' into rec-warnings

rec: Fix formatting in test-aggressive_nsec_cc.cc

Merge pull request #10588 from jsoref/master-spelling-0.0.19

Upgrade check-spelling to v0.0.19

rec: The root denies its own DS with a NSEC(3)s from the child zone

rec: Check that NSEC(3)s from the child zone are not used to deny the DS

rec: Fix the NSEC3 ancestor check for DS in the aggressive cache

rec: Ancestor NSEC3s can only deny the existence of a DS

Before that commit, the aggressive NSEC(3) cache could have
mistakenly used NSEC3s from the parent zone to prove that a given
name in the child zone did not exist, which is incorrect.
It happened because we did not properly detect that the NSEC3 for
the closest encloser was an ancestor NSEC3 indicating a delegation,
and then in the unlikely but possible case that we found a NSEC3
from the parent zone whose hashes covered the next closer we wrongly
concluded that the name did not exist, returning a NXDomain with an
invalid proof of denial.

Merge pull request #10581 from Habbie/auth-4.5.0-secpoll-docs

auth-4.5.0: secpoll and docs

Upgrade check-spelling to v0.0.19

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

Merge pull request #10583 from Habbie/mibs-local-range

SNMP: allocate local-use ranges for traps and trapObjects

SNMP: allocate local-use ranges for traps and trapObjects

auth-4.5.0: secpoll and docs

Merge pull request #10487 from Habbie/docs-texlive

build docs using the texlive image

Merge pull request #10568 from Habbie/auth-bind-no-sqlite3

auth: allow building bindbackend without sqlite3

Merge pull request #10578 from natesales/natesales/fix-dnsdist-docs

fix: dnsdist docs quickstart typo

fix: dnsdist docs quickstart typo

Merge pull request #10576 from omoerbeek/log-qtype-tostring

Zap a few redundant toString() method call for logging qtype names

Zap a few redundant toString() method call for logging qtype names

Merge pull request #10496 from tacerus/master

Reference pdnsutil in "Running and Operating"

Merge pull request #10557 from rgacogne/ddist-doc-ebpf

dnsdist: Documentation fixes (typo, eBPF capabilities)

dnsdist: Document what is available from per-thread Lua FFI contexts

dnsdist: Constify some members for Lua FFI rule

dnsdist: Constify some members for Lua FFI action and rule

Merge pull request #10527 from rgacogne/ddist-log-reload

dnsdist: Implement 'reload()' to rotate Log(Response)Action's log file

Merge pull request #10537 from rgacogne/ddist-exact-protocol-in-dq

dnsdist: Carry the exact incoming protocol (Do53, DNSCrypt, DoT, DoH) in DQ

Merge pull request #10550 from rgacogne/ddist-doh-load-new-certs-keys

dnsdist: Add the missing DOHFronted::loadNewCertificatesAndKeys()

Merge pull request #10560 from rgacogne/ddist-pool-metrics

dnsdist: Implement a web endpoint to get metrics for only one pool

dnsdist: Document how raising LimitMEMLOCK might be needed for eBPF

rec: Add a 'checking for missed cuts' loop unit test

rec: Avoid a loop when checking if we missed a cut

We just went Bogus because of the signer, not because of
the name currently being checked, so we only need to check
the status of zones above the signer. Moreover, if we went
Bogus because of the DS of the signer, we should even skip
the zone of the signer but check for a missed cut above that.

rec: do not use DNSKEYs found below an apex for validation, also from cache

docker: ignore compiled files

rec: move  ifdef-dependent vars to inside the ifdef

rec: Add unit tests for signed, broken but insecure zones

rec: Make really sure we did not miss a cut on validation failure

rec: silence spurious compiler warning about possibly uninited var

auth: allow building bindbackend without sqlite3

I broke this in #10549

reported by Ralf van der Enden

Merge pull request #10563 from Habbie/auth-4.5.0-rc2-secpoll-docs

auth-4.5.0-rc2: docs and secpoll

rec: Fix NSEC3 next owner in SyncRes unit tests

rec: do not use DNSKEYs found below an apex for validation

Merge pull request #10555 from rgacogne/rec-unscrew-missing-aa

rec: Work around clueless servers sending AA=0 answers

Merge pull request #10556 from pieterlexis/10548-tls-in-rec-pkgs

Rec: Enable DoT in packages

auth-4.5.0-rc2: docs and secpoll

Merge pull request #10491 from chbruyand/key-values-metadata

rec: Add bindings to set arbitrary key-value metadata in logged messages

Merge pull request #10545 from Habbie/nsec3-debugging

rec, nsec3dig: NSEC(3) debugging improvements

dnsdist: Implement a web endpoint to get metrics for only one pool