Security policy: Our bug bounty program moved from HackerOne to YesWeHack

Merge pull request #12566 from jpmens/patch-13

replace address of primary

replace address of primary

I think the address `127.0.0.1` makes little sense when creating a secondary zone, and I hope this is a tad less confusing.

Merge pull request #12562 from romeroalx/workaround-fix-grub-error

Workaround for grub error raised after apt-get dist-upgrade

Update FIXME comment in build-scripts/gh-actions-setup-inv

Co-authored-by: Remi Gacogne <github@coredump.fr>

workaround for grub error raised after apt-get dist-upgrade

Merge pull request #12543 from rgacogne/ddist-build-lto

dnsdist: Enable Link-Time Optimization for our packages

Merge pull request #12553 from rgacogne/ddist-custom-metrics-prom-name

dnsdist: Add support for custom prometheus names in custom metrics

Merge pull request #12552 from rgacogne/ddist-check-response-cache-metrics

dnsdist: Add regression tests for responses, cache metrics

Merge pull request #12551 from rgacogne/ddist-fix-doh-conn-counter-race

dnsdist: Fix a use-after-free in the incoming DoH path

Merge pull request #12520 from rgacogne/ddist-protobuf-meta

dnsdist: Add support for metadata in protobuf messages

Merge pull request #12554 from aj-gh/doc-recursor-servestale

rec doc: serve-stale-extensions works on 30s so an hour should be 120x

rec: serve-stale-extensions works on 30s so an hour should be 120x.

dnsdist: Add support for custom prometheus names in custom metrics

dnsdist: Add regression tests for responses, cache metrics

dnsdist: Fix a use-after-free in the incoming DoH path

During the recent addition of the concurrent connection checks for
incoming DoH connections, I introduced a bug by using the connection
object just after it has been released.

Merge pull request #12548 from romeroalx/workaround-ci-unixodbc-misc

Apply odbc packages workaround to misc-dailies workflow

Merge pull request #12540 from fredmorcos/signers-cleanup

Signers cleanup

Apply odbc packages workaround to misc-dailies workflow

Merge pull request #12526 from romeroalx/gh-auth-odbc-tests

GH actions: added auth odbc{sqlitle3, mssql} tests. Removed from CircleCI

GH actions: added auth odbc{sqlitle3, mssql} tests. Removed from CircleCI

Introduce DNSCryptoKeyEngine::convertToPEMString

Introduce DNSCryptoKeyEngine::makeFromPEMString

Make the filename argument to createFromPEMFile optional

Merge pull request #12541 from rgacogne/ddist-10855-doc-doh-exactpath

dnsdist: Make it clearer that exactPathMatching was introduced in 1.6

Merge pull request #12534 from rgacogne/ddist-missing-prometheus-meta

dnsdist: Add prometheus type and help for 'cache_cleanup_count'

Merge pull request #12542 from rgacogne/ddist-cppcheck

dnsdist: Fix warnings from cppcheck

Merge pull request #12545 from rgacogne/dnsdist-ktls

dnsdist: Enable experimental kTLS support with OpenSSL on Linux

spell: Allow 'ktls'

dnsdist: Enable experimental kTLS support with OpenSSL on Linux

dnsdist: Use gcc-ar and gcc-ranlib when building EL packages

dnsdist: Enable Link-Time Optimization for our packages

dnsdist: Fix warnings from cppcheck

Most of these are 'performance' warnings in parts of code where performance
does not really matter, but there is no harm in being more consistent.
It also makes it easier to spot more meaningful warnings in the future.
The remaining changes are false-positives where cppcheck does not detect
that null-pointer dereferences cannot actually happen, so I edited
the code to make it clearer (removing redundant checks in some cases,
actually adding some in other cases).

dnsdist: Make it clearer that exactPathMatching was introduced in 1.6

dnsdist: Document help and type for cache_cleanup_count_total

dnsdist: Add prometheus type and help for 'cache_cleanup_count'

Also make sure that we test the caching metrics in our regression tests.

Merge pull request #12537 from rgacogne/ddist-faster-maxqpsiprule

dnsdist: Improve the scalability of MaxQPSIPRule()

dnsdist: Support exporting tags in the Protocol Buffer 'tags' field

dnsdist: No trailing ':' after the protobuf tag key when the value is empty

Merge pull request #12547 from rgacogne/ddist-flags-tests

dnsdist: Give the 'flags on timeout' test more headroom

dnsdist: Use repeated string values for MetaValue protobuf field

dnsdist: Fix the description of protobuf meta key-value pairs

As suggested by Charles-Henri Bruyand (thanks!).

dnsdist: Add support for metadata in protobuf messages

Documentation formatting and ordering for createFromPEMFile

Fix the argument ordering of createFromPEMFile

Fix the confusing argument ordering of makeFromPEMFile

Auto format test-signers.cc

test-signers.cc: Don't auto format test data

Rename (and cleanup) convertToPEM to convertToPEMFile

Cleanup

Auto format sodiumsigners.cc

dnsdist: Give the 'flags on timeout' test more headroom

It looks like it takes longer than expected for the timeout to be
recorded when running on GitHub Actions.

Merge pull request #12544 from romeroalx/workaround-ci-unixodbc-dev

gh actions: added manual removal/installation of odbc packages

Merge pull request #12522 from jsoref/schedule-on-var

Run scheduled workflows only if a var is set

gh actions: added manual removal/installation of odbc packages

Merge pull request #12538 from rgacogne/ddist-remove-boost-get_value_or

dnsdist: Stop using the deprecated `boost::optional::get_value_or`

Merge pull request #12535 from rgacogne/ddist-showserver-format

dnsdist: Fix the formatting of 'showServers'

Merge pull request #12531 from rgacogne/ddist-make-certs

dnsdist: Move the certs handling to a Makefile in the regression tests

Merge pull request #12532 from rgacogne/ddist-document-ipv6-link-local

dnsdist: Document that IPv6 link-local addresses require the interface

Merge pull request #12529 from rgacogne/dnsdist-flags-timeout

dnsdist: Properly record the incoming flags on a timeout

Merge pull request #12530 from rgacogne/ddist-output-version-earlier

dnsdist: List version number early

Merge pull request #12500 from rgacogne/ddist-cache-api-wording

dnsdist: Better wording for the 'no cache' case

Merge pull request #12539 from mnordhoff/patch-14

rec: Fix doc typo

rec: Fix doc typo

dnsdist: Stop using the deprecated `boost::optional::get_value_or`

dnsdist: Stop using the deprecated 'boost::optional::get_value_or'

dnsdist: Shard MaxQPSIPRule() for better scalability

Merge pull request #12527 from fredmorcos/checkkey-cleanup

Avoid the use of raw pointers in checkKey(s) routines

Merge pull request #12493 from omoerbeek/rec-aggr-min-nsec3-bin

Only store NSEC3 records in aggressive cache if we expect them to be effective.

dnsdist: Faster lookups in MaxQPSIPRule()

dnsdist: Prevent duplicated cleanup in MaxQPSIPRule()

dnsdist: Fix the formatting of 'showServers'

Long IPv6 addresses and huge weight and order values were not properly
handled.

Rename option and adapt docs to reflect that.

This remains complicated to docuemnt.

Use vector instead of C array

Take bound into account while computing common prefix

Setting, based on estimated number of names in a zone.

Zero means no NSEC3 entries in aggressive cache at all

A few unit tests

Only store NSEC3 records in aggressive cache if we expect them to be effective.

The aggressive cache is not very effective for large NSEC3 domains: each NSEC3 record only
covers a relatively small amount of random names.

We only want to put NSEC3 records in the aggresive cache if there is a decent
chance a hash will hit it. Hashes are random wrt the corresponding names.

So look at the bitwise common prefix of the owner and next, and do
not store the record if the common prefix is long.

We also might want to introduce a switch to completely forget the aggressive
cache for the NSEC3 case.

Avoid raw pointers in checkKey(s) routines

dnsdist: Fix a typo in the Makefile

dnsdist: Document that IPv6 link-local addresses require the interface

dnsdist: Move the certs handling to a Makefile in the regression tests

This makes my life easier during testing, and feels cleaner.

dnsdist: List version number early

This is very useful when investigating an issue that prevent dnsdist
from starting, for example.

dnsdist: Properly record the incoming flags on a timeout

Merge pull request #11777 from omoerbeek/rec-trace-to-file

 rec: rec_control trace-regex: trace to a file or stdout instead of the general log

Cleanup

Whitespace

Merge pull request #12524 from fredmorcos/openssl3-compat-fix

OpenSSL 3.0: Stay compatible with OpenSSL 1.0 to Fix CentOS7 builds

Merge pull request #12423 from fredmorcos/ddist-tls-provider

OpenSSL 3.0: Offer TLS providers as an alternative to TLS engines in DNSdist

OpenSSL 3.0: Add loadTLSProvider to replace loadTLSEngine

OpenSSL 3.0: Stay compatible with OpenSSL 1.0 to Fix CentOS7 builds

Typo

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Set trace fd to non-blocking and report errors writing

Conditional for SCHEDULED_MISC_DAILIES

Conditional for SCHEDULED_DOCKER

Conditional for SCHEDULED_CODEQL_ANALYSIS

Conditional for SCHEDULED_JOBS_BUILDER

Conditional for SCHEDULED_JOBS_BUILD_AND_TEST_ALL

Merge pull request #12518 from Y7n05h/master

remove duplicate code in xdp

Merge pull request #12488 from PowerDNS/dependabot/github_actions/actions/cache-3.2.4

build(deps): bump actions/cache from 3.0.11 to 3.2.4