hints: fix reverse IPv6 hints

The length was halved, mixed ">" vs. ">>", etc.

hints: remove unused code

hints: reverse lookup keep name ordering from host file

If one line contains multiple names for the address, the first
name should be the canonical one (i.e. used for reverse lookups).
In the current implementation wins top level domain according to
domain tree.

This change saves PTR records to separate tree. Names are
oredered according to order in host file.

Merge !306: version 1.3.0

version 1.3.0

Merge !305: validate: work around some SERVFAILs (iterating mode)

validate: work around some SERVFAILs (iterating mode)

- This affects the iterating mode only (except for a verbose message).
- The problem was introduced when implementing forwarding in 651c5aad.
- Example that was affected: *.org.ru.

When the same server is authoritative for multiple consecutive zones,
with a higher one being signed and a lower one being unsigned, we may
get an unsigned answer even in case we *think* we're currently in a
signed zone.

In particular, DS (sub-)queries are important because of being used to
prove the insecurity of zones - in that case the iterator can correctly
determine the (unexpected) zone name from which the answer came, due to
seeing the SOA record, but that is too late for zone_cut_check() to try
getting a trust chain to it, so we need to YIELD for it to do it.

Merge !304: workarounds: add avTs.mcafee.com

workarounds: add avTs.mcafee.com

Merge !303: policy: add forwarding with validation (by default)

Merge branch !301: fix incorrectly set AD flag for CNAME chains

lib/resolve: clear AD flag if there are CNAMEs synthesized from wildcard covered by optouted NSEC3

lib/validate: cleanup (commented code block was deleted)

lib/validate: validation of NXDOMAIN answers for DS queries was fixed

fix incorrectly set AD flag for CNAME chains

Valid CNAME chains that ended in NODATA had AD flag set.

call it 1.3.0-rc1

doc+NEWS: changes related to full-forward

nitpicks from doxygen parser

layer/validate: improvement in processing answers containing CNAME

lib: forwarding, some improvements in zone cut detection algorythm

lib/resolve: forwarding; special processing for explicit DS queries

lib: forwarding, cleanup & simplification; reuse existing code, delete unnecessary code blocks

lib: WIP, forwarding mode, some improvements in SERVFAIL & NXDOMAIN processing

lib/resolve: special processing for deferred answers

lib/resolve: special processing for deferred answers

resolve: remove an incorrectly added condition

This part of code is NOT reachable when forwarding, because
ns.name is . (the root) and retry is true.
kr_nsrep_elect* would ruin forwarding anyway, as they're written ATM.

layer/validate: when CD bit is set, kresd doesn't insert wildcard expansion in answer; fixed

layer/iterate: cleanup

lib/resolve: use TA with longest eligible name in forwarding mode

lib/resolve: cleanup

lib/resove: WIP some improvements in zone cut detection in forward mode

policy: purge pointer-casting where not necessary

Casting is dangerous, e.g. it's easy to misconfigure policy with
  policy.add(policy.FORWARD('some address'))
which lead to segfault without showing any indication of the cause.
Now this case will show as
  .../policy.lua:98: 'struct kr_query' has no member named 'current'
and only abort the policy module instead of the whole process.

lib/resove: cleanup

lib: full forwarding mode support

Merge !300: kr_ranked_rrarray*: avoid duplicate RRsets on wire

Closes #198.

kr_ranked_rrarray*: avoid duplicate RRsets on wire

Fixes https://gitlab.labs.nic.cz/knot/resolver/issues/198.
We can't let multiple "matching RRsets" to the wire, and we can't just
merge the sets from multiple queries either.  The only way is to choose
either of the sets and put it on the wire.  ATM the last one wins.

Common ocurrence of the bug: if www.example.cz was a CNAME for example.cz
and we ask for a non-existent type, we would get the SOA record twice
in the final answer.

A few related changes:
 - don't just assert, also return error code if -DNDEBUG
 - kr_ranked_rrarray_set_wire: don't do full-content comparison anymore;
   see the first paragraph in this commit message for the reasons
 - minor refactoring of that code, more comments, etc.

Merge !295: validate: avoid keeping KR_RANK_MISSING

Merge branch 'configurable-modulesdir' into 'master'

Make the modulesdir configurable at the runtime

See merge request !298

man page: do maintenance

- add missing CLI options
- keep consistent order of options (also with --help output)

NEWS: mention module changes

module.c: don't fall back to MODULEDIR if overridden

module.c: cleanup unused code

Searching the default library path for modules wasn't a good idea anyway.

engine: free hostname and moduledir (nitpick)

Update the moduledir documentation

Make the moduledir configurable at the runtime

Merge !249: use default padding policy for responses

Merge !287: get more out of TLS logging when --verbose

Merge !296: validate: fix DS query under a CNAME

Merge !297: revert "iterator: don't retry if REFUSED"

Revert "iterator: don't retry if REFUSED"

This reverts commit bc2a26702e6460aee65fe170671336d670ba3eb9 (almost).
It would be best to avoid retrying with the same NS and keep trying with
others (if any), but that would require larger changes if it should work
well, so let's err on the side of sending more queries.

layer/validate: don't try to find proof of DS non-existence in CNAME'ed answer for DS query

validate: avoid keeping KR_RANK_MISSING

If a sub-query transitions the state to QUERY_DNSSEC_INSECURE,
we didn't set correct rank.  This lead to caching with _MISSING rank
which is too low to be utilized on re-queries.  Example: nix.mx query.

Merge !294: iterate: tweak ranks of rrsigs

ranked rrarray: don't merge RRSIGs of different types

For example, kr_rrmap_add has been relying on sets covering just a
single type (for years).  It's used by cache and there it's required to
store types separately.

It seems all other parts of code should be just OK with this.

iterate: tweak ranks of rrsigs

The bit about RRSIG coming from an authoritative source is still used
and possibly useful.  The inconsistency was causing rrcache to fetch
a record without its signature under some circumstances, depending on
the record type and how it was obtained.

Merge !293: policy: add missing local range 100.64.0.0/10

policy: add missing local range 100.64.0.0/10

Thanks to Petr for finding this issue.

Merge !292: nitpicks (misc)

QRVERBOSE: const parameter

docs: policy:add -> policy.add

The old API was deprecated long time ago.

pktcache: add a comment about wildcard expansions

Merge !291: command line: specify ports via @ but remain compatible

command line: specify ports via @ but remain compatible

Merge !290: validate: fix a typo leading to lower rank

validate: fix a typo leading to lower rank

The authority records weren't marked with _INSECURE rank and remained
with a *lower* one.  That could lead to them not being cached,
effectively.

Merge !285: caches: improve, especially in STUB and future FORWARD modes

Fixes #122 (mostly).

rrcache: improve verbose message

... for reading RRSIGs

README.md: update.

kr_rplan_next: remove prototype

It had no implementation for years - since 456e5446ad4.

Merge !289: fix compiling with luajit-2.1.0-beta3

Upstream released the bump yesterday.
Tested with 2.0.4, 2.1.0-beta{2,3}.

fix compiling with luajit-2.1.0-beta3

It added a function from lua > 5.1, without bumping the language
version.  The changelog seems safe and Deckard still passes.

Use default padding policy for responses.

net.tls_padding() can now take a boolean in addition to a numeric
value.  true means "use sensible default padding policy", false means
"never pad".

In the struct kr_context, we change tls_padding from a uint32_t to an
int32_t so that we can explicitly represent the default value (-1).
This should be a safe ABI/API change, since no one had ever set a
padding > 4096 anyway.

This depends on libknot having adopted the changes from
2dd9f406e333a1cedfa2380ffad57913cecf8efb which is first included in
2.4.3.  In the event that knot-resolver is compiled against an older
version of libknot, it just uses a baked-in default of 468 as before.

See https://gitlab.labs.nic.cz/knot/resolver/merge_requests/249 for
further discussion.

Merge branch 'fix-dnssec' into 'master'

lib/dnssec: bugfix; libdnssec data structure was prematurely released after unsu…

See merge request !288

lib/dnssec: bugfix; libdnssec data structure was prematurely released after unsuccessful attempt of signature validation

kresd: get more out of TLS logging when --verbose

GnuTLS doesn't actually log very much at log level 1.

It currently logs things at the following levels:

level 3: asserts
level 4: handshake information
level 5: record-layer information
level 9: session keys, IVs, and internal secrets
level 10: raw network read and buffering information

level 5 seems like the right layer for "verbose", without leaking too
much sensitive stuff.

caches: improvements to STUB and future FORWARD modes

Fixes #122, mostly.  CNAME chains aren't answered from cache in STUB
mode so far, because the current iterator would be unable to follow them.

Previously the caches avoided repeated lookups by checking if it has
a NS address for the query, which disabled any lookup in forwarding modes.
Now it sets the QUERY_NO_CACHE flag instead to stop repeating.

Also those more expensive kr_ta_covers_qry checks are deferred, so that
they're not done when not needed, e.g. in STUB or +cd mode.

Merge !283: NEWS: entry about ad-refactor merge

NEWS: entry about ad-refactor merge

I'd like to add NEWS entries already in the merge requests,
but I often forget.
Also mark version with -dev.

Merge !269: refactoring: RR ranks and AD flag ('ad-refactor' branch)

misc nitpicks, not really changing anything

rrcache: always stash authority records

It's up to iterator to pick the interesting cases to auth_selected.

Merge branch 'master' into ad-refactor

Merge !282: bootstrap-depends: update fstrm

bootstrap-depends: update fstrm

Hopefully this will fix the ./configure problem on Jenkins.
Also, an incorrect flag was passed.

Merge branch 'release-1.2.6' into 'master'

NEWS: prepare for 1.2.6

See merge request !280

NEWS: prepare for 1.2.6

Merge branch 'deckard-update' into 'master'

Update deckard to latest master

See merge request !279

Update deckard to latest master

Merge branch 'respdiff-allow-failure' into 'master'

Allow canceling respdiff without penalty

See merge request !281

Allow canceling respdiff without penalty

Merge !278: lib/nsrep: revert some changes from commit 5581cf9b

Closes #179 and #178.

Merge !277: dnssec/nsec: fix wildcards directly under the root

lib/nsrep: revert some changes from commit 5581cf9b

dnssec/nsec: fix wildcard_match_check() to allow processing of *. wildcard

Merge branch 'ci-respdiff' into 'master'

CI: run respdiff using docker image in Gitlab CI

See merge request !275

Merge branch 'rrcache-pkt-clobber' into 'master'

rrcache: don't clobber pkt if failing the second step

See merge request !274

rrcache: don't clobber pkt if failing the second step

I hope fixing this bug should diminish the recent experiences of Google
domains failing to resolve on Turris Omnia.

Merge branch 'fix-oo-wc-nodata' into 'master'

dnssec/nsec3: don't set AD flag in properly signed wildcard nodata answers

See merge request !273

iterate: don't inherit _INSECURE on CNAME jumps

The jump may lead to secure zone, so let the sub-query find out by
itself.  Otherwise we might cache those RRs with INSECURE rank even
though they are secure.  This shouldn't harm AD flags anymore.

CI: run respdiff using docker image in Gitlab CI