conf: implemented certificate hostname validation

tls: avoid passing NULL to strlen() when generating a certificate

ctl: add 'parser failed,' prefix to zone-(un)set error messages

Merge branch 'pkg_rpm_python' into 'master'

distro/rpm: use modern %pyproject_* macros

See merge request knot/knot-dns!1784

distro/rpm: use modern %pyproject_* macros

Support new %pyproject_* macros where they're supported, otherwise use
older %py3_* macros which work everywhere.

Introduce new %{PYPROJECT} var which is only set on distros supporting
new macros - Fedora >= 40 and EL >= 9.

distro/rpm: add knot-exporter and python3-libknot RPM subpackages

zonefile: add libgen.h for basename(), cleanup

Merge branch 'pkt-trailing' into 'master'

pkt: fix our check for trailing rdata when parsing

See merge request knot/knot-dns!1783

pkt: fix our check for trailing rdata when parsing

- in case the \0 terminator got "compressed", we would get
  a spurious KNOT_EMALF
- if real compression happened, we could miss the fact
  that there are trailing data

Merge branch 'zonemd_dbus' into 'master'

zonemd: emit 'dnssec-invalid' dbus event when validation fails

See merge request knot/knot-dns!1782

Merge branch 'temp-cert-sanonly' into 'master'

self-signed cert SANonly

See merge request knot/knot-dns!1778

kdig: support certificates missing Subject field

knotd: self-signed cert with SAN instead of Subject: CN

ctl: don't log zone-(un)set parser failed, send details to the client instead

quic-handler: add check for empty conn to prevent assert

zonefile: fix possible memory leak (Coverity)

zonemd: emit 'dnssec-invalid' dbus event when validation fails

kzonecheck: consider zone file name with origin auto-detection

Partially revert 38f65806dd9b7af15ecd17ae3f2e71d2569a1dee

dnskey-sync: use deterministic jitter always if keytag-modulo is configured

Merge branch 'ngtcp2-update' into 'master'

libngtcp2 update

See merge request knot/knot-dns!1780

libngtcp2: update to v1.13.0

scripts: more robust update_ngtcp2.sh script

Merge branch 'cat_tpl_check' into 'master'

conf: call zone checks for catalog-templates

See merge request knot/knot-dns!1772

conf: call zone checks for catalog-templates

Note that these checks cannot be called for normal templates as templates
can be combined with zone-specific options (i.e. a template itself can be
invalid)!

conf: move checks to more context-logical places

Merge branch 'dnskey_sync_keytag' into 'master'

DNSKEY sync keytag

See merge request knot/knot-dns!1777

dnskey-sync: add jitter to scheduled event to minimize race condition

logging: alg/ksk roll: inform about pre-scheduled retirement after DS TTL

dnskey sync: skip rrs with different keytag modulo

benevolent IXFR: bugfix: when ignoring rem/add, dont skip whole rrset

utils: mute Coverity (invalid type)

distro: adapt authoritative-server test for kzonecheck to autodetection

python3-libknot: improve README example

knot-exporter: remove return within a finally block

fixes #957

CI: add fedora-42 and alma-10

Merge branch 'tests_fix_startup' into 'master'

fix tests-extra server startup routines

See merge request knot/knot-dns!1774

Merge branch 'notify-delay' into 'master'

Notify delay

See merge request knot/knot-dns!1776

conf: implement notify-delay option

tests-extra: allow lower number of server start retries for recoverable start failures

tests-extra: when ports are busy, really allow a retry with a different configuration

tests-extra: if a servers doesn't start during test startup, restart the startup process

In the past, knotd server continued running even after binding of some ports failed.
This is no longer true for some time. The tests didn't reflect it.

tests-extra: fix the repeated server startup

A workaround of already fixed flaw doesn't apply anymore.

Merge branch 'slavesign_serial_indep' into 'master'

xfr/slave-sign: independent SOA serial series on slave-side

See merge request knot/knot-dns!1775

xfr/slave-sign: independent SOA serial series on slave-side

Merge branch 'catalog_check' into 'master'

Check if member zone configured with non-generated catalog

See merge request knot/knot-dns!1771

tls: DEBUG: print Subject Alternative Name

Based on https://github.com/CZ-NIC/knot/pull/31

libzscanner: use _public_ from libknot/attribute.h

libknot: extend TLS API to be used for non-DNS communication

catalog: check if member zone configured with non-generated catalog

Fix zs_init() callings with empty origin which newly enables autodetection

Merge branch 'kzonecheck_soa' into 'master'

kzonecheck: use SOA owner from zone file as origin if not specified

See merge request knot/knot-dns!1770

kzonecheck: use SOA owner from zone file as origin if not specified

Merge branch 'module_reload_solid' into 'master'

Allow zone-reload/reload to fail due to module configuration errors

See merge request knot/knot-dns!1769

modules: allow zone-reload/reload to fail due to module configuration errors

Based on https://github.com/CZ-NIC/knot/pull/34

kru: don't compile optimized version on macOS

This fixes compilation and CPU detection issues. The optimized version requires
x86 SIMD anyway.

Merge branch 'log_eagain_reverse' into 'master'

Log eagain reverse

See merge request knot/knot-dns!1768

doc: zone/reverse: some more description

libknot/errors: refactoring -- reordering error codes

refactoring/errors: two more specific codes instead of most KNOT_EAGAIN

errors: less misleading message

reverse/load: bump level of explaining log when referenced zone not loaded

Merge branch 'tls_compat_epel8' into 'master'

Improve TLS compatibility

See merge request knot/knot-dns!1767

kdig: print warning if TLS 1.2 is used

libknot/tls: don't use %DISABLE_TLS13_COMPAT_MODE with old GnuTLS versions...

and allow TLS 1.2 in kdig.

kzonecheck: support specified job count

sem-checks: add new DNSSEC algorithms 5 and 6 - RFC-9558, RFC-9563

semantic-check: allow missing glue if NS is at other delegation...

...not only below

knot_exporter: add maximum libknot dependency version to ensure library consistency

fixes #956

Merge branch 'xfr_lock_nonrcu' into 'master'

nameserver/XFRout: multi-msg locked by rwlock instead RCU...

See merge request knot/knot-dns!1765

nameserver/XFRout: multi-msg locked by rwlock instead RCU...

...prevents locking updates to unrelated zones as well

Dockerfile: use some t64 libraries to build on armhf

Dockerfile: switch to Debian Trixie

Merge branch 'typo-fix' into 'master'

tests: fix a typo

See merge request knot/knot-dns!1766

tests: fix a typo

ci: install awk to Fedora Docker image

docker: add knotd restart to the example

libngtcp2: update embedded library to v1.12

tls/quic: revert %DISABLE_TLS13_COMPAT_MODE removal

The compatibility doesn't make sense with QUIC. With TLS it doesn't seem
to be necessary any more.

fixes #954

tests-extra: fix arguments of ctl_sock_rnd() in zone_wait()

knotd: fix default ctl socket init

Merge branch 'ctl_sockets_multi' into 'master'

implemented multi-socket CTL...

See merge request knot/knot-dns!1742

confio: report an error when trying to abort from a wrong thread

ctl: hide unused API

implemented multi-socket CTL...

...with each socket handled by a thread

ctl: move socket handling to separate thread (not main thread)

confio: additional check of same thread for whole confio txn

refactoring: move ctlsocket-related and signal-related code from knotd/main.c

Merge branch 'kdig_msgdelay' into 'master'

kdig: implemented message read delay...

See merge request knot/knot-dns!1764

kdig: implemented message read delay...

...in order to debug slow XFRs and their interferences

Merge branch 'ctl_canon' into 'master'

ctl: add missing rdata canonicalization to zone-(un)set

See merge request knot/knot-dns!1763

ctl: add missing rdata canonicalization to zone-(un)set

doc/knot.conf: cert-key doesnt rule out TLS

knotc: avoid logging knot configuration warnings upon tab-completion events

knotc: decrease log level in most contexts

doc/kdig: mark options enabled by default with (*) only

Merge branch 'fix_zscanner_pipe' into 'master'

Fix zscanner pipe

See merge request knot/knot-dns!1762

scripts: enable calling update_parser from anywhere

zscanner: bugfix: buffering from pipe

Merge branch 'fix_tls_0rtt' into 'master'

fix tls 0rtt

See merge request knot/knot-dns!1761

libknot/DoT: use GNUTLS_NO_END_OF_EARLY_DATA for QUIC only...

...as ngtcp2 seems to require it