dnsdist: docs for newThread&friends

Merge pull request #11266 from omoerbeek/rec-fix-zonemd-test

rec: Fix zone-to-cache test by properly initing trust anchors and dnssec mode

Merge pull request #11257 from omoerbeek/rec-fix-lwres-isnew

Rec: fix lwres isnew

Fix zone-to-cache test by properly initing trust anchors and dnssec mode

Merge pull request #11089 from pieterlexis/remote-dnssec-docs

Update remote docs based on experience

Merge pull request #11262 from Habbie/el8-builds

builder: migrate EL8 builds to oraclelinux, rename centos8 to el8 where possible

builder: add el-7 alias for centos-7

take centos 8-stream from quay

builder CI: switch oraclelinux-8 to el-8

cleanup

builder: archs for oraclelinux-8; el-8 symlinks

Merge pull request #11256 from rgacogne/rec-regression-test-returncode

rec: Fix the exit code when the recursor fails to start in our tests

Merge pull request #11225 from rgacogne/rec-soa-and-ns-in-ds-denial

rec: Reject non-apex NSEC(3)s that have both the NS and SOA bits set

Merge pull request #11245 from omoerbeek/rec-ds-cname-insecure

rec: a CNAME answer on DS query should abort DS retrieval

Merge pull request #11253 from rgacogne/ddist-outgoing-doh-check-timeout

dnsdist: Fix the health-check timeout for outgoing DoH connections

Merge pull request #11255 from rgacogne/ddist-config-check

dnsdist: Fix 'inConfigCheck()'

rec: Fix the exit code when the recursor fails to start in our tests

Initialize isNew before calling a exception throwing function

Fix indent

dnsdist: Fix 'inConfigCheck()'

dnsdist: Fix the health-check timeout for outgoing DoH connections

The health-check timeout is in milliseconds, contrary to the other
ones that are in seconds.

NSEC -> NSEC3

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

NSEC -> NSEC3

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Add a test for the case where an (Insecure) domain fails to get a DS
record because of a CNAME loop, avoiding a SERVFAIL.

If we get a CNAME when asking for a DS, we should give up and return vState::BogusUnableToGetDSs

Merge pull request #11189 from omoerbeek/zonemd-rec

rec: ZONEMD validation for Zone to Cache function

Merge pull request #11226 from omoerbeek/zonemd-tests

auth: pdnsutil zonemd-verify-file tests from github.com/verisign/zonemd-test-cases

Clarify docs as suggested by @Habbie

Fix the remaining test cases: our parser does not like a known type followed by a generic blob

Add pdnsutil script and do not ignore *.sh

No colors blasting to terminal; create logs dir

Mark as succeeding. pdnsutil does not validate RRSIGs

Mark as failing: we do not handle mixed TTLs

MArk as failing, unknown record type SIG

typo

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #11242 from Habbie/dnsdist-upgrade-docs-1.7.1-dockercaps

dnsdist upgrade guide: move docker note to 1.7.1

Merge pull request #11241 from Habbie/lmdb-uuid

auth lmdb: add a UUID to newly created databases

dnsdist upgrade guide: move docker note to 1.7.1

auth lmdb: add a UUID to newly created databases

If no supported algo was found, we still can have ZONEMD records
This fixes:
Jan 26 09:57:19 msg="No ZONEMD record, but NSEC(3) record does not deny it" subsystem="ztc" level=0 ts="1643187439.807" zone="."

auth docs: fix rendering

Merge pull request #11232 from Habbie/auth-4.6.0-docs-secpoll

auth-4.6.0: secpoll&docs

auth-4.6.0: secpoll&docs

Tweaks and typos

Apply suggestions from code review

Co-authored-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Merge pull request #11231 from Habbie/ci-socat

auth: install test deps during unit tests, so we get socat

auth: install test deps during unit tests, so we get socat

Init two bools, as they may be used uninitialized if parsing fails

Improved storage of nsec3 info and a few tweaks

Process review comments: check pointer conversions, unify record processing plus assorted small fixes

Process denial of ZONEMD in the NSEC3 case

Docs and small tweaks

If we do not find ZONEMD record(s) and the zone is DNSSEC validated, validate the denial of existence of ZONEMD

Rename config keywords to be more consistent and add ZONEMD to ZoneToCache unit tests

rec: The NSEC3 ancestor check must be done against the original owner name

rec: Reject non-apex NSEC(3)s that have both the NS and SOA bits set

Ancestor NSEC(3)s have the SOA bit clear (delegation), and the remaining
non-apex ones should not have the NS set.

Import of https://github.com/verisign/zonemd-test-cases

Proper ZTC state maintainance on Lua config change

Rework config to be better understandable: two separate config values for zonemd and zonemdDNSSEC validation,
both having values: "ignore", "process", "required"

Move ZoneToCache from a separate thread to the handler, so that we can resolve e.g. DS records.

Config and logic of ZoneMD wrt DNSSEC is too complex, needs more thought.

Add Lua config and do DNSSEC validation of ZONEMD record

Missing:
 - TA/NTA/DS processing (we assume it's in the record cache for the moment)
 - Valdition of of absense of ZONEMD records by proof of non-existence
 - Details of processing of DNSSEC validation result (depending on config)

Solving the first part likely involes running the zone-to-cache tasks in a recursorThread
context.

Add ZONEMD config processing in Lua config

Factor out ZONEMD procesing of single DNSRecord, saves having to save a vector of them

Also add ZONEMD processing for url and file method

Implement ZONEMD when processing zone-to-cache via AXFR

ZONEMD: Refactor reading of records out of verification of records

Merge pull request #11213 from Habbie/auth-4.5.3-secpoll-docs

auth-4.5.3: changelog and secpoll

Merge pull request #11197 from rgacogne/remove-binary_function

Stop using the now deprecated and useless std::binary_function

Merge pull request #11219 from mind04/pdns-cds

auth: fix multiple CDS records in an AXFR

auth-4.5.3: changelog and secpoll

Merge pull request #11217 from rgacogne/rec-doc-typo-policy-event-filter

rec: Fix a typo in the 'semantics' section of the hooks documentation

auth: test CDS multi digest  and removal

auth: test CDS with multiple keys

auth: fix multiple CDS records in an AXFR

rec: Fix a typo in the 'semantics' section of the hooks documentation

Merge pull request #11212 from omoerbeek/fix-zonemd-test-files

Add missing dir in the zonemd test file paths

Add missing dir in the zonemd test file paths

Merge pull request #11207 from omoerbeek/rec-kill-no-prev-decl-warning

rec: Kill a "no previous declaration" warning

Merge pull request #11208 from Habbie/dnspython-2.1.0

CI: dnspython 2.2.0 breaks auth and ixfrdist testing, pin to 2.1.0

Merge pull request #11183 from Habbie/auth-2022

bump ws-auth.cc copyright year

CI: dnspython 2.2.0 breaks auth and ixfrdist testing, pin to 2.1.0

Merge pull request #11199 from Habbie/ubuntu-jammy

builder: add Ubuntu jammy target

Kill a "no previous declaration" warning

test ubuntu jammy build target

Merge pull request #11203 from omoerbeek/rec-fix-logging-include

rec: Fix #include "logging.hh", it should not be conditional

Merge pull request #11200 from omoerbeek/zonemd-build-issues

Zonemd and sha.hh build issues

Fix #include "logging.hh", it should not be conditional

Merge pull request #11202 from Habbie/swagger-ci

CI: add forgotten collect target

CI: add forgotten collect target

whitespace

Co-authored-by: Remi Gacogne <github@coredump.fr>

evp_md_ctx_new/free was called evp_md_ctx_create/destroy in OpenSSL < 1.1

Merge pull request #11196 from rgacogne/ddist-openssl3

auth, dnsdist, rec: Fix build with OpenSSL 3.0.0

Add ZONEMD test files to distr

add ubuntu jammy build target

Merge pull request #11194 from Habbie/swagger-syntax

auth swagger: add a syntax test and fix a few things

auth CI: do swagger syntax check

Stop using the now deprecated and useless std::binary_function

It is no longer needed since the types can now be automatically
deduced, has been deprecated in C++11 and removed in C++17.

dnsdist: Fix build with OpenSSL 3.0.0

auth swagger: fix some texts in the autoprimary bits

auth swagger: fix autoprimary format

Merge pull request #11188 from rgacogne/ddist-170-changelog-secpoll

dnsdist: ChangeLog and secpoll update for 1.7.0