dnsdist: Disable TLS renegotiation, release buffers for outgoing TLS

We already do that for incoming TLS connections, do it for outgoing
ones as well.

Merge pull request #10747 from Habbie/auth-4.6.0-alpha1-docs

auth 4.6.0 alpha1: changelog & secpoll

auth 4.6.0 alpha1: changelog & secpoll

Merge pull request #10791 from chbruyand/dnsdist-skip-options

dnsdist: allow skipping arbitrary EDNS options when computing packet hash

Merge pull request #10812 from chbruyand/dnsdist-advancedtests-cleanup

dnsdist tests: remove redundant tests

fuzz: update canHashPacket() calls accordingly

Merge pull request #10780 from Habbie/remove-attodot

auth: remove attodot feature; fixes #10254

remove DNSDistPacketCache::setCookieHashing and clarify documentation and code about skipped options

Merge pull request #10788 from mind04/pdns-getalldomains

auth: improve SOA parse exception handling

prevent unnecessary padding

dnsdist tests: remove redundant tests

pdnsutil check-zone: warn about @ in SOA RNAME

Co-authored-by: Kees Monshouwer <mind04@monshouwer.org>

auth: remove attodot feature; fixes #10254

too short title line

Merge pull request #10800 from omoerbeek/rec-fix-10799

rec: Fix compile error on Ubuntu 18

Fixes 10799:
test-rec-zonetocache.cc: In member function 'void rec_zonetocache::test_zonetocache::test_method()':
test-rec-zonetocache.cc:77:27: sorry, unimplemented: non-trivial designated initializers not supported
       .d_refreshPeriod = 0};
       ^
test-rec-zonetocache.cc:77:27: warning: missing initializer for member 'RecZoneToCache::Config::d_tt' [-Wmissing-field-initializers]

Merge pull request #10794 from omoerbeek/rec-zonetocache-followup

rec: Followup on ZoneToCache and fix #10246: document local root config

Apply suggestions from code review

Co-authored-by: Remi Gacogne <github@coredump.fr>

auth: fix the SOA check in pdnsutil

auth: ignore broken SOA content in getAllDomains(),
avoid unnecessary parsing of SOA content

Followup on ZoneToCache and fix #10246: document local root config (rfc8806)

Merge pull request #10505 from omoerbeek/rec-zonetocache

Add a periodic zones-to-cache function.

Add two comments based on code review

Small stuff from review comments

Basic zone to cache unit test plus scaffolding to make structured
logging work (test backend logs to the regular logging)

Don;t take refresh time from SOA, allow for single shot (refreshPeriod = 0) and
docs fixes.

Docs

Use structured logging, move loading to separate thread (a la RPZ)

setting verbosity should not reset the logger name

Current code doesn't care if dnssec is enabled or not; reorder struct Config

Scaffolding for config via Lua

Add a periodic zones-to-cache function.

No signatures are validated, that will happen on-demand if the
records are used.

Merge pull request #10562 from Habbie/auth-log-nsname

auth NOTIFY: log names of NSes we could not resolve

Merge pull request #10784 from Habbie/docs-remove-autoserial

auth docs: remove some leftover mentions of autoserial

Merge pull request #10787 from rgacogne/ddist-udp-cross-protocol-cache

dnsdist: Properly cache UDP queries passed to a TCP/DoT/DoH backend

Merge pull request #10789 from rgacogne/ddist-typo-healthchecks

dnsdist: Fix several typos in the health check code

Merge pull request #10783 from rgacogne/remove-BoundsCheckingPointer

Remove the unused BoundsCheckingPointer class

reduce back and forth type conversions; beter var naming

auth: update canHashPacket() calls accordingly

add a regression test

dnsdist: allow skipping arbitrary EDNS options when computing packets hash

dnsdist: Try to work around a TSAN false positive

tcpMaxConcurrentConnections is an indicative metric, we don't really
care if there is a small race here.

dnsdist: Fix several typos in the health check code

dnsdist: Properly cache UDP queries passed to a TCP/DoT/DoH backend

We use to tell the cache that the queries was received over TCP when
inserting the response into the packet cache, which is obviously not
true.

auth docs: remove some leftover mentions of autoserial

Remove the unused BoundsCheckingPointer class

auth NOTIFY: log names of NSes we could not resolve

Merge pull request #10772 from rgacogne/ddist-outgoing-doh-threads

dnsdist: Better handling of outgoing DoH workers

Merge pull request #10777 from aerique/feature/add-rec-46-to-repo-script

Add dnsdist-17 and rec-46 to repo test script.

Merge pull request #10779 from jsoref/decrypt

auth: fix copy+paste for decrypt

auth: fix copy+paste for decrypt

Add rec-46 to repo test script.

Merge pull request #10764 from omoerbeek/rec-prep-4.6.0-alpha1

rec: Upgrade guide and changelog for rec-4.6.0-alpha1

Merge pull request #10774 from omoerbeek/dnsdist-centos7-undef-cert

undef CERT from libssl, as it conflicts with the one from qtype.hh

undef cert from libssl, as it conflicts with the one from qtype.hh

Merge pull request #10748 from mind04/pdns-bind-reload

auth: try to reload rejected zones in bind-backend

Merge pull request #10773 from omoerbeek/dnsdist-regress-log

dnsdist: Print summary after a failed dnsdist regress run and disable secpoll

Merge pull request #10231 from pieterlexis/DNAME-YXDOMAIN

auth: send YXDOMAIN for too long DNAME synth

Merge pull request #10770 from rgacogne/auth-udp-handle-uncaught-exceptions

auth: Gracefully handle uncaught exceptions in the UDP path

Print summary after a failed dnsdist regress run and disable secpoll

Merge pull request #10768 from rgacogne/rec-rpz-stats-name

rec: Use the correct RPZ policy name when loading via XFR

dnsdist: Better handling of outgoing DoH workers

This commit raises the number of DoH workers to be at least 1, always, unless
told otherwise via setOutgoingDoHWorkerThreads(0).
In that last case it raises an exception if the console is used to declare
a new DoH backend later on.

auth: Gracefully handle uncaught exceptions in the UDP path

These exceptions should never bubble up to this point, but if it
does it makes no sense to terminate the whole process because of it.
This commit logs a message at error level and moves on to the next
query, like we do in the TCP path.

missed 10157

Merge pull request #10760 from omoerbeek/libssl-file-mode

Don't create file with wide permissions

Merge pull request #10767 from chbruyand/dnsdist-settag

dnsdist: Update existing tags when calling setTagAction and setTagResponseAction

rec: Use the correct RPZ policy name when loading via XFR

This commit fixes two issues:
- if the existing zone name is not empty we should use it, instead of
  the zone domain
- if the zone domain has to be used, it should not include a final dot

Merge pull request #10765 from omoerbeek/rec-lwres-without-dnstap

rec: Fix compile for !HAVE_FSTRM

add O_APPEND

Co-authored-by: Remi Gacogne <github@coredump.fr>

Merge pull request #10766 from omoerbeek/dnsdist-clarify-addMasks

dnsdist: Improve NetmaskGroup:addMasks docs

Less strong words on deprecated setting names.

Merge pull request #10757 from rgacogne/rec-rpz-file-stats

rec: Update the stats (serial, number of records, timestamp) for RPZ files

dnsdist: make sure setting tags will overwrite any existing value

Improve NetmaskGroup:addMasks docs

Merge pull request #10763 from omoerbeek/clang12-for-gh-actions

Move to clang12 for github actions, at least tsan seems to work better

Fix compile for !HAVE_FSTRM, spotted by mind04

Upgrade guide and changelog for rec-4.6.0

Move to clang12 for github actions, at least tsan seems to work better

Merge pull request #10755 from rgacogne/speedtest-user-and-system-time

speedtest: Count the system time as well as the user time

Merge pull request #10761 from omoerbeek/rec-fix-suseconds

rec: work around clang on MacOS being pedantic

Better error messages

On MacOS:
pdns_recursor.cc:5069:67: error: non-constant-expression cannot be narrowed from type 'long long' to '__darwin_suseconds_t' (aka 'int') in initializer list [-Wc++11-narrowing]
  TCPOutConnectionManager::s_maxIdleTime = timeval{millis / 1000, (millis % 1000) * 1000 };

Don't create file with wide permissions as noted by CodeQL

Merge pull request #10669 from omoerbeek/rec-tcp-connection-pooling2

Rec: tcp/dot connection pooling

Fixes in docs and metrics help texts

Review comments: Count queries before desciding to cleanup; a missing std::move

Process review comments, most importantly a simplification of the retry logic

Refactor the tcp case of lwres.

Not as far as rgacogne suggested, but it's more readable right now.

Add comment: we do not do SNI (and the idle connections pooling does not work for that case atm)

Refactor out the tcp connect code

Process comments from review:

- Pass current time as arg where appropiate;
- Use rvalue ref for Connection in store().

openssl/ssl2.h #defines CERT, #undef it. While there move an include not needed in the .hh
file to the .cc file and add an error message in dnsparser.hh

Typo in filename

Doc header fixes

Formatting

Spello's, better names for settings

Only clean on store if over a limit

Cleanup and docs

TCP/DoT connection pooling

Merge pull request #10753 from omoerbeek/speedtest-random

Add our various random implementations to speedtest