Markup fix

Merge pull request #8511 from omoerbeek/rec-8020-dnssec

Rec: do RFC 8020 only if cache entry is dnssec validated

Zap unsued code in test

Doc tweaks

Test case for 8020 with dnssec enabled

Merge pull request #8510 from omoerbeek/rec-rootnszones-mthread-safe

rec: Avoid mthread race when using the set of rootNSZones.

Avoid mthread race when using the set of rootNSZones.

Merge pull request #8509 from zeha/typos

Fix typo: settting to setting

Fix typo: settting to setting

Found by Debians lintian.

Even for HardenNXD::Yes we don't want to believe Bogus NXDOMAINs.

Updated docs for nothing-below-nxdomain

Less aggressive 8020: by default only cut at NXDOMAIN if the entry is Secure.
We might want to explicitly validate Inderminate records if needed.
That code is not written yet.

Merge pull request #8289 from Habbie/pdnsutil-increase-serial-inception-epoch

 pdnsutil increase-serial: under SOA-EDIT=INCEPTION-EPOCH, bump as if it is EPOCH

Merge pull request #8235 from Habbie/dyn-dup-ptr

rfc2136, pdnsutil: somewhat improve duplicate record handling

Merge pull request #8492 from rgacogne/max-generate-steps

Add a parameter to limit the number of '$GENERATE' steps

rec: Disable '$GENERATE' when loading trust anchors files

rec: Enforce max-generate-steps when loading RPZ files

auth: Disable '$GENERATE' in comfun, ixfrdist, ixplore

auth: Fix compilation of comfun (ambiguous make_unique call)

Allow disabling '$GENERATE' in ZoneParserTNG

Add a parameter to limit the number of '$GENERATE' steps

casemix test: ignore SOA content because it changes every day

Merge pull request #8457 from mind04/pdns-api

auth: api: avoid a large number of new database connections

Merge pull request #8418 from pieterlexis/deb-load-keys-from-disk

Deb: Load DNSSEC Keys from disk by default

improve code readability

document INCEPTION-EPOCH exception

Merge pull request #8488 from rgacogne/ddist-140-rc5-changelog-secpoll

dnsdist: Update secpoll zone and ChangeLog for 1.4.0-rc5

pdnsutil increase-serial: under SOA-EDIT=INCEPTION-EPOCH, bump as if it is EPOCH, fixes #8218

add clarifying comment

Merge pull request #8482 from rgacogne/rec-dnstap-clean

rec: Add generated dnstap.pb.{cc,h} to the 'clean' target

Merge pull request #8472 from rgacogne/remote-deprecated-floating_point_comparison

Remove deprecated floating_point_comparison.hpp header

Merge pull request #8489 from Habbie/circleci-small

circleci: use small resource class where possible

circleci: use small resource class where possible

dnsdist: Update secpoll zone and ChangeLog for 1.4.0-rc5

Merge pull request #8483 from omoerbeek/regress-tests-pip-no-progressbar

Pipe the output of pip to cat, so it produces no progress bar

Merge pull request #8481 from omoerbeek/rec-4.3.0-alpha2-prep

rec: 4.3.0 alpha3 prep

Pipe the output of pip to cat, so it produces no procress bar which
looks very ugly and just fills the logs in CircleCI.

Minor corrections as suggested by rgacogne

Merge pull request #8480 from omoerbeek/rec-do-not-wipe-root

rec: Do not wipe . NS records from cache

rec: Add generated dnstap.pb.{cc,h} to the 'clean' target

And alpha3 in secpoll

Move to alpha3, since alpha2 contains a last-mintue introduced error.

It is better to make sure . entries are not added to the set.

Do not wipe . NS; this can happen with custom hint files that are
used by regression tests.

Prep for rec-4.3.0-alpha2

Merge pull request #8470 from omoerbeek/rec-prime-root-servers-ns

rec: prime NS records of root-servers.net parent (.net)

Merge pull request #8476 from rgacogne/rec-doc-max-concurrent-requests-per-tcp-connection

rec: Fix max-concurrent-requests-per-tcp-connection's underline

rec: Fix max-concurrent-requests-per-tcp-connection's underline

Merge pull request #8473 from omoerbeek/rec-ooo-test-fix

rec: Fix OOO tests on CircleCI and enable DNSSEC for them as well.

Wipe entry form cache before getting a new one to make sure we
actually get fresh records.

Fix OOO tests on CircleCI and enable DNSSEC for them as well.

CircleCI is running a recursor on 127.0.0.11 and redirects packets to it,
eating the packets that were targeted for the test auth on 127.0.0.11.

Merge pull request #8439 from cmouse/geoip-netmask

geoipbackend: Use Netmask instead of string

Merge pull request #8469 from omoerbeek/auth-illegal-to-invalid

Illegal -> Invalid

Merge pull request #8466 from rgacogne/ddist-add-prometheus-test

dnsdist: Add regression tests for our prometheus export

Merge pull request #8465 from rgacogne/ddist-prometheus-rename-frontend

dnsdist: Rename the 'address' label to 'frontend' for DoH metrics

Merge pull request #8471 from rgacogne/ddist-du-refcount-ids

dnsdist: Increment the DOHUnit ref count when it's set in the IDState

dnsdist: Fix a race condition in the DOHUnit reference counter

It was based on the reference counter used for the DOHAcceptContext
where thread safety was never an issue because those objects are
not shared between threads, but DOHUnit are.

dnsdist: Increment the DOHUnit ref count when it's set in the IDState

We need to increment the reference counter even before sending the
query to the backend, as soon as we copy a reference into the IDState.
Because:
- that makes sense anyway, we are storing a new copy ;
- otherwise, in the unlikely event where we reuse the IDState before
  the query has been sent to the backend we might free the DOHUnit
  before the reference counter has been incremented and cause a
  double-free.

Remove deprecated floating_point_comparison.hpp header

Add a comment explaining things.

Illegal -> Invalid

Merge pull request #8460 from rgacogne/ddist-140-rc4-changelog-secpoll

dnsdist: Add ChangeLog and secpoll update for 1.4.0-rc4

Merge pull request #8468 from PowerDNS/omoerbeek-patch-1-1

Disable the other OOO test as well while investigating CircleCI speci…

Disable the other OOO test as well while investigating CircleCI specific failures

dnsdist: Add regression tests for our prometheus export

dnsdist: Rename the 'address' label to 'frontend' for DoH metrics

geoipbackend: Use Netmask instead of string

Deb: Load DNSSEC Keys from disk by default

This also automatically reloads them each 24 hours by default.

Merge pull request #8352 from mnordhoff/chmod-chown-pdns.conf

auth: Ensure that pdns can read pdns.conf when upgrading from an older package

Merge pull request #8424 from Habbie/ixfrdist-fixes

Ixfrdist: handle reading of empty files gracefully

Merge pull request #8461 from rgacogne/changelog-from-pr-update

Small improvements to changelog-from-pr

Merge pull request #8463 from phonedph1/patch-17

rec: Update CentOS 6 init script

rec: Update CentOS 6 init script

dnsdist: Add missing ChangeLog entry for #8442

Merge pull request #8426 from Habbie/openssl-eddsa-bits

openssl eddsa signers: report correct key size

Merge pull request #8444 from Habbie/sdig-class

sdig: make query class selectable

changelog-from-pr: Add Otto to the list of team members

changelog-from-pr: Capitalize the first letter without lowercasing the rest

changelog-from-pr: Display the GH login if the user has not set a name

dnsdist: Add ChangeLog and secpoll update for 1.4.0-rc4

Merge pull request #8458 from rgacogne/ddist-cppcheck-clang-analyzer

dnsdist: Small changes suggested by cppcheck and clang's static analyzer

dnsdist: Check that the ClientState pointer is not nullptr

That makes clang's static analyzer happy.

dnsdist: Use qualified calls to virtual functions in the ctor

Otherwise cppcheck warns that virtual functions should not be called
from the constructor because dynamic binding is not used, and objects
may not have been fully constructed yet. In that case that's fine
because there is no derived classes, but let's make it explicit.

dnsdist: Initialize HTTPHeaderRule members in the ctor init list

LMDB: Initialize values in the init list to make cppcheck happy

auth: api: avoid a large number of new database connections

Merge pull request #8442 from rgacogne/ddist-ssl-key-log-file

dnsdist: Add support dumping TLS keys via keyLogFile

sdig: make query class selectable

Merge pull request #8455 from omoerbeek/rec-disable-ooo-test

Disable one OOO test that mysteriously fails on CircleCI so others

Disable one OOO test that mysteriously fails on CircleCI so others
aren't bothered with it and I can debug this in a private branch.

use named constant instead of magic number

Also call primeRootNSZones() from syncres (after primeHints())

prime tld of root name server names

dnsdist: Add support dumping TLS keys via keyLogFile

This is similar to what various programs do when the SSLKEYLOGFILE
environment variable is set, and uses the format described in:

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Key_Log_Format

dnsdist: Move the DoH ticket keys logic into the DOHAcceptContext

Merge pull request #8416 from rgacogne/ddist-dohunit-refcount

dnsdist: Implement ref counting for the DOHUnit object

Merge pull request #8447 from rgacogne/ddist-tls-error-counters

dnsdist: Add metrics about TLS handshake failures for DoH and DoT

Merge pull request #8451 from omoerbeek/auth-zonfile-generate

Basic validation of $GENERATE parameters

Merge pull request #8391 from omoerbeek/rec-out-of-order

rec: Allow multiple simultaneous incoming TCP queries over a connection

Basic validation of $GENERATE parameters