Bump github/codeql-action from 2 to 3 (#1021)

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 2 to 3.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/v2...v3)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

remove ALPN debugging prints

NotImplementError -> NotImplementedError

Fix setting source for sync/trio quic queries.

The sync code called connect() before bind(), which meant that any
attempt to specify a source resulted in an exception.  This switches the
order.

The trio code called a nonexistent method in the wrong place, so didn't
work at all.  This fixes the call and puts it in the right place.

The asyncio code worked, so no changes were needed.

Bump actions/setup-python from 4 to 5 (#1020)

Bumps [actions/setup-python](https://github.com/actions/setup-python) from 4 to 5.
- [Release notes](https://github.com/actions/setup-python/releases)
- [Commits](https://github.com/actions/setup-python/compare/v4...v5)

---
updated-dependencies:
- dependency-name: actions/setup-python
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Update RFC doco with HTTPS/SVCB RFC

Allow Zones with different map types. (#1015)

* Allow Zones with different map types.

* Backwards compatibility for python 3.8.

Fix the ignored bootstrap_address for DoHNameserver in async query (#1018)

update sphinx and sphinx_rtd_theme

fix doco typo in to_wire()

Add RFC 8499 to the RFC list.

The documentation for txn delete methods erroneously said a class was needed.

Fix coverage breakage by hatch branch merge.

Hatch support and general build cleanups. (#1014)

* Hatch support and general build cleanups.

Canonicalize IPV4 and IPv6 address text form in rdata. (#1013)

move example to the right place

add example how to send NOTIFY message (#1007)

Fix a type issue with dns.zone.from_file() that mypy misses but
Cython notices.  [#998]

Add support for RFC 4471 predecessor() and successor() methods. (#1002)

Update trio requirement from >=0.14,<0.23 to >=0.14,<0.24 (#1003)

Updates the requirements on [trio](https://github.com/python-trio/trio) to permit the latest version.
- [Release notes](https://github.com/python-trio/trio/releases)
- [Commits](https://github.com/python-trio/trio/compare/v0.14.0...v0.23.0)

---
updated-dependencies:
- dependency-name: trio
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Add prepend_length to Message.to_wire(). (#1001)

If a caller passes prepend_length=True, the wire format will include the
2 byte encoded message length before the message itself.  This is useful
for callers planning to send the message over TCP, DoT, and DoQ.

When scanning interfaces with WMI, include networks without a domain. (#999)

* When scanning interfaces with WMI, include networks without a domain.

* Ignore networks found via wmi that have no nameservers

---------

Co-authored-by: Me <me@shiranpuri.com>

Add QUIC TLS session ticket support.

Fix a race condition in trio quic shutdown.

It was possible to have a "lost wakeup" situation where we had stuff to
send but the trio worker was blocked indefinitely in the receive.

There is no test for this as the race is very race-y and I can't reproduce it
reliably in the test suite, though I was able to do reliable replication a different
way when debugging.

I also reordered event processing to happen after timer handling but before sending
in the trio and sync quic code.  The async code already worked this way due to its
different struture and needed no changes.

The asyncio quic code did not close politely in clean exit cases.

The "address" passed to QUIC receive_datagram() should be a low-level tuple.

Previously we sent just the address part, i.e. lltuple[0], but the
aioquic code intends for the value to be the whole tuple.  This did
not break anything for dnspython as we were consistently wrong and
aioquic is flexible enough with its notion of NetworkAddress for our
purposes that dnspython's mistake had no effect.

Fix two QUIC issues:

  1) We treated stream reset like connection terminated, which
     is just wrong.  We should send EOF to the stream but leave
     the connection alone.

  2) When we got an unexpected EOF on a stream, we raised the
     exception in the wrong place, killing the QUIC connection
     but leaving the stream blocked.  Now we deliver the exception
     to the stream and don't kill the connection.

Check that a relative name plus the zone's origin is not too long. (#997)

Previously it was possible to add very long relative names to a
relative zone which could never be rendered due to being too long for
wire format.  Now we check this as part of _validate_name().

This code also removes duplicated name validation code from Zone and
Version, consolidating it into one helper function.

Finally, we fix a few comments in get methods that have cut-and-paste
typos from the find variant indicating they can raise KeyError when
they cannot.

add example reading TCP-like stream of wire formats from a file (#995)

give up on codecov v4 action

Fix enum inversion.

A change in Python 3.11's enum module caused IntEnum inversion to only
invert the bits associated with the (inferred) range of the flag,
meaning that ~dns.flags.DO only inverted 16 bits.  This meant that
calling want_dnssec(False) on a message would unconditionally set the
EDNS version field to 0.

update pylint

Bump codecov/codecov-action from 3 to 4 (#990)

Bumps [codecov/codecov-action](https://github.com/codecov/codecov-action) from 3 to 4.
- [Release notes](https://github.com/codecov/codecov-action/releases)
- [Changelog](https://github.com/codecov/codecov-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/codecov/codecov-action/compare/v3...v4)

---
updated-dependencies:
- dependency-name: codecov/codecov-action
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Test latest 3.12 release and add classifiers (#989)

* Test latest 3.12 release

* Update classifiers

Bump actions/checkout from 3 to 4 (#988)

Bumps [actions/checkout](https://github.com/actions/checkout) from 3 to 4.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/v3...v4)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

try to fix broken docs

drop cryptography limit (#984)

build on 3.12.0rc1 (#979)

Add helpers to reduce seeking boilerplate when rendering. (#980)

add 2.4.2 changes to whatsnew

Ensure async https() requests are bounded in total time
according to the timeout [#978].

Unfortunately we do not currently have a good way to
make this guarantee for sync https() calls.

test inception, expiration, and lifetime when signing

DNSSEC rrsig_expiration calculation (#977)

The 'rrsig_expiration' calculation did not take into account inception date when using 'lifetime' in the '_sign()' function

Fix unintended "wait forever" behavior with zero timeouts [#976].

In a few places we did "if timeout:" or "if expiration:" when we
really meant "if timeout is not None:".  This meant that in the zero
timeout case we fell into the "wait forever" path instead of
immediately timing out.  In the case of UDP queries, we'd be waiting
on recvfrom() and if a packet was lost, then the code would never wake
up.

Use HTTP2 when possible in https() [#973].

This fixes a regression in 2.4.x where we would only
use HTTP/1.1.

revert dependabot sphinx change as it is too recent for RTD

Bump sphinx from 4.3.2 to 7.1.0 (#967)

Bumps [sphinx](https://github.com/sphinx-doc/sphinx) from 4.3.2 to 7.1.0.
- [Release notes](https://github.com/sphinx-doc/sphinx/releases)
- [Changelog](https://github.com/sphinx-doc/sphinx/blob/master/CHANGES)
- [Commits](https://github.com/sphinx-doc/sphinx/compare/v4.3.2...v7.1.0)

---
updated-dependencies:
- dependency-name: sphinx
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

prepare 2.4.1 whatsnew

Ensure candidate DNSKEYs have protocol 3 and the ZONE flag set [#966].

Update wheel requirement from ^0.40.0 to ^0.41.0 (#965)

Updates the requirements on [wheel](https://github.com/pypa/wheel) to permit the latest version.
- [Changelog](https://github.com/pypa/wheel/blob/main/docs/news.rst)
- [Commits](https://github.com/pypa/wheel/compare/0.40.0...0.41.0)

---
updated-dependencies:
- dependency-name: wheel
  dependency-type: direct:development
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Dependency cleanups [#963].

work around windows port binding issues

Fix more issues with asyncio and timeouts [#962].

Use `Sequence` instead of `List` for nameservers, as List is invariant (#961)

without this, resolver.nameservers = string.split() produces mypy error, see
https://mypy.readthedocs.io/en/stable/common_issues.html#invariance-vs-covariance

whatsnew update for 2.5.0

simplify event set

Fix DoQ for asyncio IPv6 [#958].

Make importing dns.dnssecalgs work if cryptography is not installed
[#957].

disable test failing due to expired certificate

2.5.0 development versioning.

Do all httpx imports before setting _have_httpx.

This gives us the expected test skipping when httpx isn't available
or is too old, vs. the test failures that were happening before
this change.

asyncio close could wait forever [#956].

add some missing DNSSEC RFCs (#955)

Fix a number of timeout bugs with QUIC [#954].

Clarify skip test message in test_doq.py (#952)

While the current message is technically correct, nanoquic isn't actually what's missing, so it would be clearer to point to the fact that aioquic isn't found, since that's the issue someone can actually do something about.

lint

Test passing ssl_context to tls query functions.

Avoid mypy checking woes by always using new enough httpcore.

In async TLS do not ignore a ssl_context given as an argument [#951].

The async TLS code would always fail if given an ssl_context instead
of making one, as it set the passed paramter to None and then called
into the async socket backend, which would make a regular TCP socket
(i.e. no TLS), which would be rejected by the server as it wasn't
using TLS.

Cope with recent versions of httpcore.

Add shebang for ecs.py (#950)

I know this is trivial, but the Debian QA tools get slightly grumpy when there's no shebang for an executable script, so it would make things slightly easier for me if you would add this.

Thanks,

Scott K

Add EDE RFC to list.

cope with missing httpcore type info

Update to Sphinx 7.

Fix build from source in README.md [#948].

update CI

try to fix workflow typo

add workflow_dispatch for manual start option

run CI on 2.4 branch

2.4 prep: new dirs and python 3.7 is EOL

use isort

Deal with pylint being confused.

Add dnssecalgs.

DNSSEC Algorithm Refactor (#944)

* Split DNSSEC algorithms into separate classes with a registration mechanism.
* Add DNSSEC private algorithm support.

Fix three problems with DNSSEC: (#946)

* Fix three problems with DNSSEC:

1) Signing a relative zone didn't quite work.
2) The signer generated the wrong RRSIG labels length for a wild name.
3) The validator failed to detect 2).

* fix issues detected by mypy

Fix setup race condition in nanoquic.

Bump sphinx-rtd-theme from 1.2.1 to 1.2.2 (#941)

Bumps [sphinx-rtd-theme](https://github.com/readthedocs/sphinx_rtd_theme) from 1.2.1 to 1.2.2.
- [Changelog](https://github.com/readthedocs/sphinx_rtd_theme/blob/master/docs/changelog.rst)
- [Commits](https://github.com/readthedocs/sphinx_rtd_theme/compare/1.2.1...1.2.2)

---
updated-dependencies:
- dependency-name: sphinx-rtd-theme
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Support <class> <ttl> <type> in zonefiles [#942].

pass policy to rrset_signer (#932)

Update cryptography requirement from >=2.6,<41.0 to >=2.6,<42.0 (#937)

Updates the requirements on [cryptography](https://github.com/pyca/cryptography) to permit the latest version.
- [Changelog](https://github.com/pyca/cryptography/blob/main/CHANGELOG.rst)
- [Commits](https://github.com/pyca/cryptography/compare/2.6...41.0.0)

---
updated-dependencies:
- dependency-name: cryptography
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Bump sphinx-rtd-theme from 1.2.0 to 1.2.1 (#933)

Bumps [sphinx-rtd-theme](https://github.com/readthedocs/sphinx_rtd_theme) from 1.2.0 to 1.2.1.
- [Changelog](https://github.com/readthedocs/sphinx_rtd_theme/blob/master/docs/changelog.rst)
- [Commits](https://github.com/readthedocs/sphinx_rtd_theme/compare/1.2.0...1.2.1)

---
updated-dependencies:
- dependency-name: sphinx-rtd-theme
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Httpx now has a socket_options parameter in its NetworkBackends.

We accept this parameter if it is given, but do not actually do
anything with it.  In theory this shouldn't be a problem as we're
never passing it either in the cases where we use our backends.

try again to make doco builds work again by upgrading the build image

try to make doco builds work again by upgrading the build image

more requests cleanup

Deal with "in" changes for enums in python 3.12

In python 3.12, "in" for enums tests values as well, so something
like "12345 in dns.rdatatype.RdataType" will now return True.  This
broke some logic guarding against registering a known-but-unimplmemented
type code point with a class that didn't have the right name.  We now
just give up on this test as it will never be a real problem.  We change
a few related tests to be more sensible.

Add support for ruff linter.

Fix NSEC3 base32 processing. (#929)

The NSEC3 next name field is defined as base32 with no padding, but the
code was doing base32 decoding with padding.  This wouldn't have any
effect in the normal case, since the only defined NSEC3 hashing
algorithm is SHA1, and that generates a 160 bit hash that doesn't
require padding when encoded in base32.

This change removes generated padding after encode, rejects padded input
on decode, and adds necessary padding for decode.

resolve_at() type fixes

Add make_resolver_at() and resolve_at(). (#926)