bump libknot dependency to 2.6.7

Merge branch 'systemd-updates' into 'master'

systemd: use kresd.target for service start

See merge request knot/knot-resolver!597

distro/rpm: update systemd scriptlets

distro/systemd: use kresd.target to start enabled instances

Starting multiple systemd units with a target is conceptually cleaner
than using globbing expression.

Related https://github.com/systemd/systemd/issues/9080

distro: move systemd unit files

distro: move kresd.systemd man page

distro: move tmpfiles

Merge branch 'upstream-packet-check' into 'master'

daemon/worker: upstream's answer integrity check

Closes #366

See merge request knot/knot-resolver!619

daemon/worker: upstream's answer integrity check

Merge branch 'ci-dockerfiles' into 'master'

ci: dockerfiles

See merge request knot/knot-resolver!621

ci: organize dockerfiles

ci: debian-unstable docker - install new respdiff

Merge branch 'NEWS' into 'master'

NEWS: preparation for 2.4 release

See merge request knot/knot-resolver!620

NEWS: preparation for 2.4 release

Merge branch 'dns64' into 'master'

modules/dns64: implement more properties from RFC

Closes #375

See merge request knot/knot-resolver!617

modules/dns64: implement more properties from RFC

- don't synthesize if +CD
- bound synthesized TTL by SOA's TTL
- set AD flag if synthesizing from secure NODATA and A.
- review the RFC for properties that the module is missing

Merge branch 'distro-tests-fix' into 'master'

distro/tests: configure correct OBS repo

See merge request knot/knot-resolver!618

distro/tests: configure correct OBS repo

Merge branch 'tls-tickets-old-gnutls-disable' into 'master'

TLS session resumption: disable on gnutls < 3.5

See merge request knot/knot-resolver!615

TLS session resumption: disable on gnutls < 3.5

Merge !614: ta_sentinel: remove limit for IN class

ta_sentinel: remove limit for IN class

Draft version -14 does not contain limitation to IN class.

References: knot/knot-resolver!596

Merge branch 'distro-tests' into 'master'

distro/tests: add new distros

See merge request knot/knot-resolver!616

distro/tests: add new distros

distro/tests: use identifiable VM names

Merge branch 'ci-make-check' into 'master'

ci: fix make check

See merge request knot/knot-resolver!612

ci: optimize check-integration

py.test now runs Deckard tests in parallel so it does not make sense to
run py.test instances in parallel (using make), it just clutters output.

tests unit: print commands executed by make

tests bench: print commands executed by make

tests: fix LD_PRELOAD tricks in Makefile to fix make check

fixup! 0118441e60ca2937790bd65526b2a07edd73b2c4 which broke
make check on systemd without libkres in library path.

gitignore: bench/bench_lru

distro/rpm: run make check during pkgbuild

ci: test that `make check` does not require installation

Merge branch '369_log_bogus' into 'master'

new module: bogus_log to log DNSSEC bogus queries

Closes #369

See merge request knot/knot-resolver!613

new module: bogus_log to log DNSSEC bogus queries

Merge branch 'lua-layer-doc' into 'master'

doc: behavior of layers on kres.FAIL in lua modules

See merge request knot/knot-resolver!611

doc: behavior of layers on kres.FAIL in lua modules

Merge !608: Protection from DNS rebinding attack

Closes #320 and #371.

protection from DNS rebinding attack

Closes: #320

lua: provide Lua tostring for sockaddr_t

CI: fail build if kres-gen.lua is not up-to-date

Closes: #371

gitignore: coverage.stats

Temporary directory generated by code coverage measurement.

fixup! daemon/lua: added basic bindings for LRU

Fix mess in daemon/lua/kres-gen.lua after
6e2ed9ec29be56e4ee08d8bae8bf3ba978bbbf86

fixup! check per-query flags instead of global options, getter for NS name

Remove stray kr_zonecut_find_nsname() which somehow appeared in
45e38b3df3e5aee9c93de0fe7a78b20811e65bae.

build: catch errors during kres-gen.lua regeneration

Merge branch 'kresd_special_tests' into 'master'

Special integration tests

See merge request knot/knot-resolver!610

serve_stale: merge integration test for serve_stale module

Closes: deckard!103

policy: merge integration test for REFUSE policy

Closes: deckard!114

Merge branch 'ta_sentinel-update' into 'master'

ta_sentinel: switch to version 14 of the RFC draft

Closes #358

See merge request knot/knot-resolver!596

ta_sentinel: switch to version 14 of the RFC draft

Also minor fixes and speed enhancement (not measured).

add kr_request::rank, and slightly refactor it

doc: warn about NTAs outside zone cuts

We just ran into that in the val_ta_sentinel_insecure.rpl test.

Merge branch 'explicit-ds-rrsig-disable' into 'master'

layer/validate: disable explicit RRSIG query if RRSIG for DS is missed

See merge request knot/knot-resolver!603

layer/validate: disable explicit RRSIG query if RRSIG for DS is missed

Merge branch 'zone-transition' into 'master'

iterate: some special cases of transition to insecure zone

Closes #376

See merge request knot/knot-resolver!607

iterate: some special cases of transition to insecure zone

Merge branch 'deckard-update' into 'master'

CI: support kresd-specific integration tests

See merge request knot/knot-resolver!541

CI: workaround mangled timestamps in test jobs

Git sets file timestamp to the moment of checkout
while Gitlab copies gcda and gcno files in artefacts with timestamps
set to time of compilation in previous job. This leads to gcov/lcov
complaints about source timestamps being newer than profiling
timestampts etc.

tests: support kresd-specific integration tests

CI: clean up gitlab-ci.yml variables

Preparation for new integration tests.

tests: integrate new Deckard test interface

tests: split integration test to separate Makefile

This is preparation for more generic integration test framework.

Merge !600: NSEC3 aggressive caching

Merge branch 'master' into cache-NSEC3

Merge !606: fix validation of explicit wildcard queries

nsec: correct wildcard proof check with queried for literal wildcard

The validation fails in current implementation when queried directly
for the wildcard. In that case the count of the common labels with the
NSEC record is the same, and not shorter by 1 (to accomodate wildcard
expansion).

Merge branch 'http-allow-reuseport' into 'master'

http: allow all forks to process HTTP requests

See merge request knot/knot-resolver!406

modules/http: allow passing server options to http configuration

This allows HTTP server to start with reuseport, reuseaddr or v6only.
The reuseport allows running HTTP module on all forks, not just the main one.

Merge !561: minor pack_t and nsrep refactoring

lib/generic/pack: switch to NULL on empty pack iterator

It's probably slightly safer to use NULL than end-array pointer,
so let's use it in this case.  Significantly adapted by Vlada
from original Marek's change, after master fixed the corruption.

lib/nsrep: refactored copypasta

cache: tiny nitpicks

NEWS: add aggressive NSEC3

Merge branch 'master' into cache-NSEC3

reduce verbose logging - cases not really useful

Also tweak order of information when logging cache stash,
as it was rather unnatural.

cache: more checks, comment cleanup

cache: review stashing NSEC* parameters

Merge branch 'ci-docker' into 'master'

ci/Dockerfile.debian: use new respdiff git repo

See merge request knot/knot-resolver!602

ci/Dockerfile.debian: use new respdiff git repo

cache: avoid potential out-of-bounds with NSEC3 params

It's possible the parser wouldn't let such RR through,
and it's most likely validator shouldn't let them through.
Even so, I feel better to check anyway.

Merge branch 'tls-session-resumption' into 'master'

daemon/tls: session resumption with tickets (client & server side)

See merge request knot/knot-resolver!585

cache find_leq_NSEC3: precise check for NSEC3 params

cache: shorten repetitive `qry->flags` blocks

cache entry_list_parse: squash a simple FIXME

daemon/tls: disable session resumption with shared secret for now

There is no GnuTLS version which would make this safe.
See https://gitlab.com/gnutls/gnutls/issues/477

opt-out nitpicks, eradicate kr_rank_test_noassert

daemon/tls: add basic config tests

daemon/tls: document limitations of the session key synchronization

daemon/tls: work on server-side session tickets

daemon/bindings: import tls session ticket key salt from file

daemon/tls: session resumption with tickets (client & server side)

separate most of code for retrieval from cache

api.c was growing too long.
Also a few other minor changes.

WIP: minor code cleanups

kr_rank_test*: avoid code duplication

Merge branch 'master' into cache-NSEC3

Merge branch 'tls-ciphers' into 'master'

restrict TLS ciphers

See merge request knot/knot-resolver!601

daemon/tls: make gnutls_priority stricter

Otherwise CentOS 7 enables those two "ciphers" by default.
Noticed in #355.

daemon/tls: don't segfault if gnutls_priority_* fails

Merge remote-tracking branch 'o/master' into cache-NSEC3

Merge branch 'policy_clear_ad' into 'master'

modules.policy: REFUSE, TC - clear AD flag in answers

See merge request knot/knot-resolver!599