dns64-cname: correct order of CNAME and AAAA in answer

If CNAME chain occurs CNAME is placed before AAAA.

Merge !323: contrib/lmdb: 0.9.18 -> 0.9.21

contrib/lmdb: 0.9.18 -> 0.9.21

Maybe some coverity issues will get fixed, even though
they had seemed not to be affecting our use cases in kresd.

Tests+Deckard look OK and I've been using my system and kresd with
system-wide 0.9.21 for some time already.

Merge !318: lib/resolve: use RTT tracking to choose forwarders

Closes #125 and #208.

lib/resolve: even better support for forwarder choice

- sort the list instead of just picking the best one
- prefer unknown RTTs to probe them
- verbose output of the choice

Fixes https://gitlab.labs.nic.cz/knot/resolver/issues/125
Fixes https://gitlab.labs.nic.cz/knot/resolver/issues/208

nsrep: eradicate kr_nsrep_inaddr*

They're just useless when we have kr_inaddr*.

lib/resolve: better support for forwarder choice

Merge !322: coverity fixes (nothing important)

utils: shut up a coverity warning (CID 155456)

rplan: fix a coverity warning (CID 164834)

There would be no real resource leak, as the memory is on a mempool,
so the lifetime is limited by kr_request finishing.  Also, it's only
on an unlikely error branch, but still...

Merge !321: bootstrap-depends nitpick: warn about ~/.local

bootstrap-depends nitpick: warn about rm -rf ~/.local

Some people might get surprised, as it's the default location for quite
some data nowadays ($XDG_DATA_HOME).

Merge !320: dnssec/nsec: add a precaution for DS nodata

dnssec/nsec: add a precaution when checking DS nodata

I just found it by accident when studying RFCs again.
Hmm, I'd like an operator for logical implication; I'm spoiled by Maths.

Merge branch 'check-config' into 'master'

daemon: check existence of config file

See merge request !317

Merge !319: Dockerfile: add missing curl dependency

Dockerfile: add missing curl dependency

Without it we were failing to download fstrm tarball,
and the shown errors were very confusing.
Tested building an image locally.

daemon: check existence of config file

... even if rundir isn't specified.  No other changes in semantics.
Before this a typo in config path would pass silently.

Merge !315: doc/build.rst updates

Merge !316: release 1.3.1

release 1.3.1

lib/resolve: bugfixes for forwarding mode

unecessary queries in some circumstances; some minor bugfixes

layer/pktcache: don't cache CNAME'ed negative answer when forwarding

it can contain records which have not been validated by validator

layer/validate: forwarding mode, another CNAME fix

Don't check proof of nonexistance in NODATA or NAME ERROR answers
which contains a CNAME.

doc/build.rst: quick pass to fix/update the info

In particular, don't mention things that probably don't work (well):
Windows, amalgamation, very old OpenSUSE package.

Merge !314: policy.FORWARD: fix some CNAME problems

NEWS: update with for this branch

layer/iterate: forwarding mode - treat CNAME'ed NS&DS answers as proof of zonecut nonexistance

layer/validate: bugfix; in some circumstances KR_RANK_OMIT rank was not processed properly

lib/resolve: special processing for cname'ed DS answers in forward mode (*.vutbr.cz DS)

Merge !313: modules/http: fix finding the static files

modules/http: fix finding the static files

I also verified there's no other usage of the `moduledir` symbol from
lua.  Bug introduced in 2f81b1118430 (within !298).

doc/build.rst: add info about installing on FreeBSD

(the port will soon be 1.3.0 also)
Close https://github.com/CZ-NIC/knot-resolver/pull/43.

Merge !312: utils.h: add a missing include

utils.h: add a missing include

This tiny addition was needed to be able to install on FreeBSD.
Close https://github.com/CZ-NIC/knot-resolver/pull/44

Merge branch 'kres-gen-guide' into 'master'

lua kres-gen: add a guide to re-generating

See merge request !310

Merge !311: root-hints: B server changed its AAAA

root-hints: B server changed its AAAA

http://www.root-servers.org/news/b-root-begins-anycast-in-may.txt

lua kres-gen: add a guide to re-generating

Merge branch 'NEWS-final-date' into 'master'

Update the final date for 1.3.0 release

See merge request !308

Update the final date for 1.3.0 release

Merge branch 'cname-loop' into 'master'

iterate: be more precise when detecting CNAME loops

See merge request !307

iterate: be more precise when detecting CNAME loops

Iterating over sibling sub-queries isn't precise enough,
and in particular in forwarding mode it reported non-existing loops.

Example ATM: www.dpo.cz - there forwarding spawns multiple sub-queries,
and one of those is a CNAME to another of them.  Due to them being siblings,
the old code misdetected that as a CNAME loop.  Now that we have these
cname_parent pointers, we can do a precise detection.

Merge !306: version 1.3.0

version 1.3.0

Merge !305: validate: work around some SERVFAILs (iterating mode)

validate: work around some SERVFAILs (iterating mode)

- This affects the iterating mode only (except for a verbose message).
- The problem was introduced when implementing forwarding in 651c5aad.
- Example that was affected: *.org.ru.

When the same server is authoritative for multiple consecutive zones,
with a higher one being signed and a lower one being unsigned, we may
get an unsigned answer even in case we *think* we're currently in a
signed zone.

In particular, DS (sub-)queries are important because of being used to
prove the insecurity of zones - in that case the iterator can correctly
determine the (unexpected) zone name from which the answer came, due to
seeing the SOA record, but that is too late for zone_cut_check() to try
getting a trust chain to it, so we need to YIELD for it to do it.

Merge !304: workarounds: add avTs.mcafee.com

workarounds: add avTs.mcafee.com

Merge !303: policy: add forwarding with validation (by default)

Merge branch !301: fix incorrectly set AD flag for CNAME chains

lib/resolve: clear AD flag if there are CNAMEs synthesized from wildcard covered by optouted NSEC3

lib/validate: cleanup (commented code block was deleted)

lib/validate: validation of NXDOMAIN answers for DS queries was fixed

fix incorrectly set AD flag for CNAME chains

Valid CNAME chains that ended in NODATA had AD flag set.

call it 1.3.0-rc1

doc+NEWS: changes related to full-forward

nitpicks from doxygen parser

layer/validate: improvement in processing answers containing CNAME

lib: forwarding, some improvements in zone cut detection algorythm

lib/resolve: forwarding; special processing for explicit DS queries

lib: forwarding, cleanup & simplification; reuse existing code, delete unnecessary code blocks

lib: WIP, forwarding mode, some improvements in SERVFAIL & NXDOMAIN processing

lib/resolve: special processing for deferred answers

lib/resolve: special processing for deferred answers

resolve: remove an incorrectly added condition

This part of code is NOT reachable when forwarding, because
ns.name is . (the root) and retry is true.
kr_nsrep_elect* would ruin forwarding anyway, as they're written ATM.

layer/validate: when CD bit is set, kresd doesn't insert wildcard expansion in answer; fixed

layer/iterate: cleanup

lib/resolve: use TA with longest eligible name in forwarding mode

lib/resolve: cleanup

lib/resove: WIP some improvements in zone cut detection in forward mode

policy: purge pointer-casting where not necessary

Casting is dangerous, e.g. it's easy to misconfigure policy with
  policy.add(policy.FORWARD('some address'))
which lead to segfault without showing any indication of the cause.
Now this case will show as
  .../policy.lua:98: 'struct kr_query' has no member named 'current'
and only abort the policy module instead of the whole process.

lib/resove: cleanup

lib: full forwarding mode support

Merge !300: kr_ranked_rrarray*: avoid duplicate RRsets on wire

Closes #198.

kr_ranked_rrarray*: avoid duplicate RRsets on wire

Fixes https://gitlab.labs.nic.cz/knot/resolver/issues/198.
We can't let multiple "matching RRsets" to the wire, and we can't just
merge the sets from multiple queries either.  The only way is to choose
either of the sets and put it on the wire.  ATM the last one wins.

Common ocurrence of the bug: if www.example.cz was a CNAME for example.cz
and we ask for a non-existent type, we would get the SOA record twice
in the final answer.

A few related changes:
 - don't just assert, also return error code if -DNDEBUG
 - kr_ranked_rrarray_set_wire: don't do full-content comparison anymore;
   see the first paragraph in this commit message for the reasons
 - minor refactoring of that code, more comments, etc.

Merge !295: validate: avoid keeping KR_RANK_MISSING

Merge branch 'configurable-modulesdir' into 'master'

Make the modulesdir configurable at the runtime

See merge request !298

man page: do maintenance

- add missing CLI options
- keep consistent order of options (also with --help output)

NEWS: mention module changes

module.c: don't fall back to MODULEDIR if overridden

module.c: cleanup unused code

Searching the default library path for modules wasn't a good idea anyway.

engine: free hostname and moduledir (nitpick)

Update the moduledir documentation

Make the moduledir configurable at the runtime

Merge !249: use default padding policy for responses

Merge !287: get more out of TLS logging when --verbose

Merge !296: validate: fix DS query under a CNAME

Merge !297: revert "iterator: don't retry if REFUSED"

Revert "iterator: don't retry if REFUSED"

This reverts commit bc2a26702e6460aee65fe170671336d670ba3eb9 (almost).
It would be best to avoid retrying with the same NS and keep trying with
others (if any), but that would require larger changes if it should work
well, so let's err on the side of sending more queries.

layer/validate: don't try to find proof of DS non-existence in CNAME'ed answer for DS query

validate: avoid keeping KR_RANK_MISSING

If a sub-query transitions the state to QUERY_DNSSEC_INSECURE,
we didn't set correct rank.  This lead to caching with _MISSING rank
which is too low to be utilized on re-queries.  Example: nix.mx query.

Merge !294: iterate: tweak ranks of rrsigs

ranked rrarray: don't merge RRSIGs of different types

For example, kr_rrmap_add has been relying on sets covering just a
single type (for years).  It's used by cache and there it's required to
store types separately.

It seems all other parts of code should be just OK with this.

iterate: tweak ranks of rrsigs

The bit about RRSIG coming from an authoritative source is still used
and possibly useful.  The inconsistency was causing rrcache to fetch
a record without its signature under some circumstances, depending on
the record type and how it was obtained.

Merge !293: policy: add missing local range 100.64.0.0/10

policy: add missing local range 100.64.0.0/10

Thanks to Petr for finding this issue.

Merge !292: nitpicks (misc)

QRVERBOSE: const parameter

docs: policy:add -> policy.add

The old API was deprecated long time ago.