lib/nsrep: refactored copypasta

Merge branch 'ci-docker' into 'master'

ci/Dockerfile.debian: use new respdiff git repo

See merge request knot/knot-resolver!602

ci/Dockerfile.debian: use new respdiff git repo

Merge branch 'tls-session-resumption' into 'master'

daemon/tls: session resumption with tickets (client & server side)

See merge request knot/knot-resolver!585

daemon/tls: disable session resumption with shared secret for now

There is no GnuTLS version which would make this safe.
See https://gitlab.com/gnutls/gnutls/issues/477

daemon/tls: add basic config tests

daemon/tls: document limitations of the session key synchronization

daemon/tls: work on server-side session tickets

daemon/bindings: import tls session ticket key salt from file

daemon/tls: session resumption with tickets (client & server side)

Merge branch 'tls-ciphers' into 'master'

restrict TLS ciphers

See merge request knot/knot-resolver!601

daemon/tls: make gnutls_priority stricter

Otherwise CentOS 7 enables those two "ciphers" by default.
Noticed in #355.

daemon/tls: don't segfault if gnutls_priority_* fails

Merge branch 'policy_clear_ad' into 'master'

modules.policy: REFUSE, TC - clear AD flag in answers

See merge request knot/knot-resolver!599

modules.policy: REFUSE, TC - clear AD flag in answers

Merge branch 'ci-epel-error' into 'master'

ci: make distro:epel-7 easier to debug in typical cases

See merge request knot/knot-resolver!598

ci: make distro:epel-7 easier to debug in typical cases

Merge branch 'tls-system-store' into 'master'

daemon/tls: use system CA with TLS_FORWARD policy

Closes #310

See merge request knot/knot-resolver!586

daemon/tls: document new behavior

daemon/tls: system CA's are used by default with TLS_FORWARD policy when ca_file parameter is omitted

daemon/tls: use system CA with TLS_FORWARD policy

Merge branch 'policy_REFUSE' into 'master'

Policy REFUSE; minot tweak

Closes #337

See merge request knot/knot-resolver!549

kresd: improve error reporting if cache cannot be opened

For some weird reason kresd crashed on assert(false) if it cannot open
cache even though it handles this case properly without the assert.

policy: add REFUSE policy

Fixes: #337

Merge branch 'http-custom-endpoints' into 'master'

Allow creating custom endpoints in the HTTP module

See merge request knot/knot-resolver!527

http: interface parameter check fix

http/prometheus: allow finalization of metrics table

This allows other modules to add or modify custom metrics or labels.

http/prometheus: allow custom namespaces

http: allow loading custom endpoints to http

Previously the module was created on configuration time, so it wasn't
possible to inject custom endpoints to the default interface.

bindings: always set AD=1 in internal queries just like real clients

The AD indicates validation request (but not request for DNSSEC records).
If the response can't be validated, resolver flips the AD to 0.

Merge branch 'packaging-update' into 'master'

distro: packaging updates

See merge request knot/knot-resolver!567

systemd: man page - update about system-kresd.slice

distro/rpm: handle systemd restarts in CentOS 7 compatible way

distro/rpm/knot-resolver.spec

distro/arch: add missing dependencies

distro/deb: remove obsolete dependencies libjansson and python3

distro/rpm: use Python3 to build doc

distro/*: remove obsolete memcached and redis dependency

distro/rpm: reformat spec file

distro/arch: reformat dependencies

distro/deb: reformat knot-resolver.dsc

Merge branch 'lua-add-per-request-variables' into 'master'

daemon: allow per-request variables in Lua

See merge request knot/knot-resolver!533

daemon: allow per-request variables in Lua

The handlers in Lua can now store per-request variables that are automatically
GC'd when the request is finished. This is useful for stateful modules,
such as DNS64 that uses internal option flags for state tracking.

The layers can now get a variable table like so:

```
local vars = kres.request_t(r):vars()
vars.hello = true
```

The variables are persisted between different layers for each request.

Merge branch 'nitpick-bugs' into 'master'

cache/entry_rr: fixed undefined behavior

See merge request knot/knot-resolver!595

cache/entry_rr: fixed undefined behavior

Pointer arithmetic with 'void *' is undefined, it only works as GNU extension.

Merge branch 'deb-cleanup' into 'master'

synchronize distro/deb with official debian packaging

See merge request knot/knot-resolver!593

synchronize distro/deb with official debian packaging

Note that this is not an exact synchronization, just the salient parts
where i believe upstream wants to sync up with debian.

I've left alone indications of upstream package maintainership, and
I've left debhelper back at version 9, for example.  and i've left the
differences between the shipped debian/kresd.conf (debian package
ships a minimal kresd.conf that doesn't load those four modules, in
particular).

Merge branch 'doc-nitpicks' into 'master'

documentation nitpicks

See merge request knot/knot-resolver!592

other docs nitpicks

I don't think it's good to write that we "provide a library",
as it currently doesn't seem suitable for usage outside kresd.

policy, view: documentation nitpicks

It seems like implementation and docs got de-synchronized,
probably at some point very long ago (years).

doc/build: refresh build-time requirements

Merge branch 'systemctl-start' into 'master'

doc: systemd -- clarify how to manually start all services.

See merge request knot/knot-resolver!591

doc: systemd -- clarify how to manually start all services.

See https://github.com/systemd/systemd/issues/9080 for
details/discussion.

Merge branch 'ci-docker-update' into 'master'

ci: add pytest-xdist dependency for Deckard

See merge request knot/knot-resolver!590

ci: add pytest-xdist dependency for Deckard

Merge branch 'endianness' into 'master'

handle htobe32 et al. on glibc systems with a non-Linux kernel

See merge request knot/knot-resolver!588

handle htobe32 et al. on glibc systems with a non-Linux kernel

This fix copies over an updated #if clause from libknot's
src/contrib/endian.h.

This should resolve:

    https://gitlab.labs.nic.cz/knot/knot-resolver/issues/348

See also discussion about this same problem in libknot from a couple
years ago:

    https://bugs.debian.org/840460

I note that contrib/wire.h in knot-resolver is out of sync with
src/contrib/wire.h (and src/contrib/endian.h) from libknot.  I don't
know whether there's any upstream preference for keeping these in sync
in some more reliable way than manual comparisons.  For now i'm just
providing a narrow fix for the specific problem.

Merge branch 'iter-minim-op' into 'master'

iterate: avoid turning off qname minimization in a case

Closes #339

See merge request knot/knot-resolver!584

iterate: avoid turning off qname minimization in a case

Thanks to @ spakka for discovering this and authoring an earlier version
of this commit.

Merge !576: validate: avoid incorrect downgrade of NS

validate: be more careful with marking RRs as insecure

In case of referrals the authoritative server might add also another NS
record(s), and this might lead to downgrading the corresponding zones.
Regressed probably in f0da0a35 !505.

improve verbose logs

Merge !579: treewide: additional dname checks

treewide: additional dname checks

Merge !539: cleanup after knot minimal version bumps

lua bindings: complete knot_pkt_t

We don't need the end, but I prefer to get rid of the exception,
as we now require libknot > 2.6 anyway and it only implies adding
a few more binding lines.

treewide: remove branches supporting old knot

Our Makefile required >= 2.6.4 for some time already.
It's pretty straightforward, except for zonefile.lua.in -> zonefile.lua

Merge branch 'ci-respdiff-config' into 'master'

ci: respdiff - use relative path to restart script

See merge request knot/knot-resolver!580

ci: respdiff - use relative path to restart script

Merge branch 'augeas-ci' into 'master'

add augeas-tools so we can test our lens in Deckard

See merge request knot/knot-resolver!566

add augeas-tool so we can test our lens in Deckard

Merge branch 'udp-src-scheck' into 'master'

daemon: check source in udp answer

See merge request knot/knot-resolver!522

daemon/worker: compare udp src ports as well as addresses; cleanup

daemon: check source in udp answer

Merge branch 'prefill_fix' into 'master'

prefill: fix ca_file to actually expect file and not a directory

See merge request knot/knot-resolver!578

prefill: fix ca_file to actually expect file and not a directory

This was leftover from an old version which used directory with
certificates instead of bundle in single file.

Related: !511

Merge branch 'nitpicks' into 'master'

misc nitpicks

See merge request knot/knot-resolver!568

policy docs: replace incorrect example

The example didn't work and I don't immediately see how to quickly fix
it, so let's have another more complex example instead (fished from an
older forum post of mine).

ta_signal_query: correct logging

daemon docs: mention relation of hostname() and TLS

cache TTL limit nitpicks: allow equality, fix docs

I also tried making a clickable define in the docs,
like for cache.ns_tout(), but I failed.

Merge branch 'marek/add-lru-bindings' into 'master'

daemon/lua: added basic bindings for LRU

See merge request knot/knot-resolver!569

daemon/lua: added basic bindings for LRU

Only get-set operations are added, added some tests.

Merge branch 'tls-inv-session' into 'master'

daemon/worker: improved server-side error handling

See merge request knot/knot-resolver!574

daemon/worker: improved server-side error handling

Merge branch 'tcp-leaks' into 'master'

daemon/worker: orphaned tasks prevention

See merge request knot/knot-resolver!570

daemon/worker: orphaned tasks prevention

Merge branch 'ci-diffrepro' into 'master'

ci: respdiff - run diffrepro 3 times to reproduce results

See merge request knot/knot-resolver!572

ci: respdiff - run diffrepro 3 times to reproduce results

Merge branch 'arch-update' into 'master'

distro/arch: generate debug symbols

See merge request knot/knot-resolver!571

distro/arch: create debug symbols pkg

distro/arch: don't overwrite kresd.conf by default

Merge !551: misc changes from Marek

iterate: allow lame negative answers in PERMISSIVE mode

Some nameservers are hopelessly broken (ns1-ord.salesforce.com),
and will return lame negative answers which will flag the nameserver
as bad, so it wouldn't be picked for valid queries.

copy transitive query flags when CNAME chasing

This is an issue for things like disabling minimisation, which only works
for the original query and not for the CNAME target.

check per-query flags instead of global options, getter for NS name

Checking query flags instead of global context option allows setting
overrides on individual queries. The effect is the same as query flags
start by copying request flags which start by copying context options.

add bindings for the checkout layer

This one was missing from the current bindings. The checkout layer
runs when the worker attempts to send a DNS query to given upstream
when the address is already determined. The layer can add EDNS options
or update outbound query, or block particular addresses / protocol.

lua: added typecheck for string-to-dname conversion

Merge !519: Restore cache insert RR API

Closes #332.

cache: restore flagging entries written into cache

This was probably lost during the cache backend rewrite in 2.x

fixes #332