rec: Add a test for 'denial of the DS comes from the child zone' loop

rec: Detect a loop when the denial of the DS comes from the child zone

Merge pull request #10616 from omoerbeek/rec-prep-4.4.5-and-4.5.5

rec: Prep for rec-4.4.5 and rec-4.5.5

Merge pull request #10572 from pieterlexis/dockerignore

docker: ignore compiled files

Merge pull request #10607 from peterthomassen/patch-3

Document RFC 6742 types

Merge pull request #10610 from Habbie/auth-4.5-eol-update

auth: EOL update after 4.5 release

Merge pull request #10613 from Habbie/responsestats-type65535

auth: correct upper bounds on d_qtypecounters

Merge pull request #10595 from Habbie/auth45-upgradenotes-zonecache

auth 4.5 upgrade notes and settings: more words on the zone cache

Prep for rec-4.4.5 and rec-4.5.5

Including a few 2->3 upgrades for known vulnerability status for auth

Merge pull request #10587 from rgacogne/rec-aggressive-nsec3-ancestor

rec: Ancestor NSEC3s can only deny the existence of a DS

Merge pull request #10570 from rgacogne/rec-hunt-cuts-on-bogus

rec: Make really sure we did not miss a cut on validation failure

Merge pull request #10565 from Habbie/rec-non-apex-dnskey

rec: do not use DNSKEYs found below an apex for validation

auth 4.5.1 changelog: fix PR number

correct upper bounds on d_qtypecounters

Merge pull request #10612 from Habbie/auth-sec-2021-01

auth-4.5.1: advisory, changelog, secpoll

auth-4.5.1: advisory, changelog, secpoll

auth: EOL update after 4.5 release

auth 4.5 upgrade notes and settings: more words on the zone cache

Document RFC 6742 types

Merge pull request #10520 from rgacogne/ddist-kvs-lmdb-dbi

dnsdist: Don't look up the LMDB dbi by name for every query

Merge pull request #10501 from rgacogne/ddist-per-thread-lua-ffi

dnsdist: Add support for Lua per-thread FFI rules and actions

rec: Fix wrong comments in the Aggressive NSEC cache unit tests

Merge pull request #10571 from Habbie/rec-warnings

rec: fix some compiler warnings

Merge branch 'master' into rec-warnings

rec: Fix formatting in test-aggressive_nsec_cc.cc

Merge pull request #10588 from jsoref/master-spelling-0.0.19

Upgrade check-spelling to v0.0.19

rec: The root denies its own DS with a NSEC(3)s from the child zone

rec: Check that NSEC(3)s from the child zone are not used to deny the DS

rec: Fix the NSEC3 ancestor check for DS in the aggressive cache

rec: Ancestor NSEC3s can only deny the existence of a DS

Before that commit, the aggressive NSEC(3) cache could have
mistakenly used NSEC3s from the parent zone to prove that a given
name in the child zone did not exist, which is incorrect.
It happened because we did not properly detect that the NSEC3 for
the closest encloser was an ancestor NSEC3 indicating a delegation,
and then in the unlikely but possible case that we found a NSEC3
from the parent zone whose hashes covered the next closer we wrongly
concluded that the name did not exist, returning a NXDomain with an
invalid proof of denial.

Merge pull request #10581 from Habbie/auth-4.5.0-secpoll-docs

auth-4.5.0: secpoll and docs

Upgrade check-spelling to v0.0.19

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

Merge pull request #10583 from Habbie/mibs-local-range

SNMP: allocate local-use ranges for traps and trapObjects

SNMP: allocate local-use ranges for traps and trapObjects

auth-4.5.0: secpoll and docs

Merge pull request #10487 from Habbie/docs-texlive

build docs using the texlive image

Merge pull request #10568 from Habbie/auth-bind-no-sqlite3

auth: allow building bindbackend without sqlite3

Merge pull request #10578 from natesales/natesales/fix-dnsdist-docs

fix: dnsdist docs quickstart typo

fix: dnsdist docs quickstart typo

Merge pull request #10576 from omoerbeek/log-qtype-tostring

Zap a few redundant toString() method call for logging qtype names

Zap a few redundant toString() method call for logging qtype names

Merge pull request #10496 from tacerus/master

Reference pdnsutil in "Running and Operating"

Merge pull request #10557 from rgacogne/ddist-doc-ebpf

dnsdist: Documentation fixes (typo, eBPF capabilities)

dnsdist: Document what is available from per-thread Lua FFI contexts

dnsdist: Constify some members for Lua FFI rule

dnsdist: Constify some members for Lua FFI action and rule

Merge pull request #10527 from rgacogne/ddist-log-reload

dnsdist: Implement 'reload()' to rotate Log(Response)Action's log file

Merge pull request #10537 from rgacogne/ddist-exact-protocol-in-dq

dnsdist: Carry the exact incoming protocol (Do53, DNSCrypt, DoT, DoH) in DQ

Merge pull request #10550 from rgacogne/ddist-doh-load-new-certs-keys

dnsdist: Add the missing DOHFronted::loadNewCertificatesAndKeys()

Merge pull request #10560 from rgacogne/ddist-pool-metrics

dnsdist: Implement a web endpoint to get metrics for only one pool

dnsdist: Document how raising LimitMEMLOCK might be needed for eBPF

rec: Add a 'checking for missed cuts' loop unit test

rec: Avoid a loop when checking if we missed a cut

We just went Bogus because of the signer, not because of
the name currently being checked, so we only need to check
the status of zones above the signer. Moreover, if we went
Bogus because of the DS of the signer, we should even skip
the zone of the signer but check for a missed cut above that.

rec: do not use DNSKEYs found below an apex for validation, also from cache

docker: ignore compiled files

rec: move  ifdef-dependent vars to inside the ifdef

rec: Add unit tests for signed, broken but insecure zones

rec: Make really sure we did not miss a cut on validation failure

rec: silence spurious compiler warning about possibly uninited var

auth: allow building bindbackend without sqlite3

I broke this in #10549

reported by Ralf van der Enden

Merge pull request #10563 from Habbie/auth-4.5.0-rc2-secpoll-docs

auth-4.5.0-rc2: docs and secpoll

rec: Fix NSEC3 next owner in SyncRes unit tests

rec: do not use DNSKEYs found below an apex for validation

Merge pull request #10555 from rgacogne/rec-unscrew-missing-aa

rec: Work around clueless servers sending AA=0 answers

Merge pull request #10556 from pieterlexis/10548-tls-in-rec-pkgs

Rec: Enable DoT in packages

auth-4.5.0-rc2: docs and secpoll

Merge pull request #10491 from chbruyand/key-values-metadata

rec: Add bindings to set arbitrary key-value metadata in logged messages

Merge pull request #10545 from Habbie/nsec3-debugging

rec, nsec3dig: NSEC(3) debugging improvements

dnsdist: Implement a web endpoint to get metrics for only one pool

dnsdist: Fix a typo in the out-of-order documentation

dnsdist: Fix the documentation for setDropEmptyQueries()

dnsdist: Document that some capabilities are needed for eBPF

dnsdist: Add a UDP vs TCP packet cache unit test

dnsdist: Make the protocol const, simplify the TCP/UDP check

Fix versionadded in documentation

Merge pull request #10553 from Habbie/rec-dot-nits

rec: assorted improvements

rec: Add a unit test checking that DNSSEC validation is done for AA=0 answers

rec: Work around clueless servers sending AA=0 answers

Merge pull request #10539 from omoerbeek/rec-prep-4.5.3

rec: Prep rec-4.5.4

rec docs: fix warnings

remove DNS_OVER_TLS guard around applying the dot-to-port-853 setting

before this commit: pointing a forward at port 853, without DoT support, causes Recursor to attempt to do UDP over port 853 to the upstream. This rarely works.

after this commit: much swifter failure with an error log message saying `45.55.10.200:853 requested but not available`

emit error when dot-to-auth-names is set without DoT support

toTimestampStringMilli is only called from inside this file, make it static

Merge pull request #10549 from Habbie/bind-cache-nsec3param

auth bindbackend: NSEC(3) setting consistency, reload improvements

bindbackend: purge caches on zone reload

pdnsutil: add reload notes for bindbackend

auth bindbackend: store nsec3 settings at zone load

This keeps, inside the bindbackend, the nsec(3) settings consistent
with the 'rectification' applied on zone load. This avoids crashes
when nsec3 is enabled or disabled without reloading the zone in the
bindbackend.

reported by Matt Nordhoff

Merge pull request #10535 from RobinGeuze/fixUeberBackendAddCacheBug

auth: make UeberBackend::addCache pick the correct ttl

Merge pull request #10530 from ZaphodB/ZaphodB-patch-1

docs: query-local-address6 has been removed in #10251 as well

dnsdist: Add the missing DOHFronted::loadNewCertificatesAndKeys()

dnsdist: Warn if we could not re-open the LogResponseAction file

dnsdist: Warn if we could not re-open the LogAction file

Merge pull request #10544 from rgacogne/ddist-carbon-tests-slow

dnsdist: Add some leeway for the carbon data to reach the test receiver

Merge pull request #10547 from rgacogne/ddist-test-nostale-ttl

dnsdist: Use a 2s TTL in testCacheNoStale to prevent failures

Rec: Enable DoT in packages

Closes #10548

dnsdist: Use a 2s TTL in testCacheNoStale to prevent failures

With the previous 1s TTL, the entry was only valid for the current
second, but we might have been very near the end of that second
already when inserting. With a 2s TTL (which was apparently intended
anyway) we have a full second before the entry expires.

dnsdist: Make the Lua FFI per-thread counters atomic

We should not actually need that since the rules and actions are
either created sequentially at configuration time or via the console
at runtime, which requires holding the global Lua lock.
Still we don't care about performance when creating these objects
so let's just use an atomic counter instead.

dnsdist: Only try to execute a faulty Lua FFI per-thread code once

document the two new ffi functions

remove redundant condition