Revert "kr_nsec_bitmap_contains_type(): moved to libdnssec"

This reverts commit c13fe1f81abab6d9218e7373d24d5caf8d9ca8b6.
It turns out there's a bug in dnssec_nsec_bitmap_contains() (2.7.{0,1})

Merge branch 'ta_sentinel-static' into 'master'

ta_sentinel: also consider static trust anchors

See merge request knot/knot-resolver!654

ta_sentinel: also consider static trust anchors

i.e. those not managed via RFC 5011.
The verbose log format is changed a bit, consequently.

Merge branch 'rebrand' into 'master'

Rebrand to "Knot Resolver"

See merge request knot/knot-resolver!652

rebrand to "Knot Resolver"

Let's see if it helps against confusion with "Knot DNS" authoritative
server or not.

rebrand to "Knot Resolver"

Previously we were using names "Knot DNS Resolver" and "Knot Resolver"
interchangibly and the prefix "Knot DNS" was somehow confusing users.
Let's see if this rebranding actually helps or not.

Merge branch 'knot-2.7' into 'master'

knot 2.7

See merge request knot/knot-resolver!630

NEWS: polish for 3.0.0 release

KNOT_MINVER := 2.7.1

cookies: disable for now

doc: add lua API changes

I intentionally didn't mark the function names as code or similar,
as changing formatting every other word seemed too visually distracting.

doc: add ./NEWS as "Release notes" section

old NEWS nitpicks: fix warnings from Sphinx

cache nitpick: avoid an unused value and recomputation

It's never been used apparently, since its introduction in 5b288464.
This commit doesn't depend on knot being 2.7 at all.

reorder_RR(): don't rotate based on request ID

As Marek noted, the option is meant to fix bad stub-resolvers,
and those may not put good randomness into the ID.

reorder_RR(): implement again and better

... thanks to new API in libknot-2.7.
Apart from being simpler, it now rotates even uncached answers.

knot_dname_in(): replace

This second part of API replacement in particular lengthens the code,
but I hope the new expression will be easier to understand at least.

knot_dname_is_sub(): replace

lua: clean up, generate libzscanner bindings

lua: finish fixing the mess around passing rdata

lua: rrsig_type_covered

iterate, nsrep: more resiliency to possible errors

removal of pos from parameters

knot_rdata_t field rename

kr_nsec_bitmap_contains_type(): moved to libdnssec

knot_nsec*_bitmap*() changes

knot_rdataset_t field renames

cache: rdataset layout changes in knot 2.7

fixup: kr_rand_uint() parameter is exclusive bound

lua: most changes needed for knot 2.7

When at it, switch to generating the libzscanner bindings.

knot_edns_* -> knot_pkt_

*_free() fixups

DNSSEC_OUT_OF_RANGE -> KNOT_ERANGE

This error code has been unused in knot since 2.3, and now it got removed.

knot_rdata_* changes

The _t isn't uint8_t* anymore but a structure with .len and .data.

tolower-related changes

libknot 2.7 stopped doing tolower inside its functions.
We're mostly OK, as packet parsing does DNSSEC canonization
(which lower-cases most things), but there are stil some places
that needed care, e.g. NSEC's next name.

TTL changes: moved in libknot from rdata to rrset

To work on RRSIG TTLs, libknot >= 2.7.1 is needed.

lib/utils: naive refactoring of kr_dname_lf()

It's not optimal; we can improve performance later.

simple include fixes

- <dnssec/**> -> <libdnssec/**>
- <zscanner/**> -> <libzscanner/**>

ci: use Knot DNS 2.7 for rpm builds

ci: use knot-2.7 docker containers

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!649

README: note the docker image purpose

lib/resolve: fix a typo in verbose message

Merge branch 'packaging-use-upstream-files' into 'master'

packaging - use upstream files

See merge request knot/knot-resolver!648

scripts: improve packaging scripts

.gitlabci: use updated fedora image

distro/tests: add testing repo

distro/deb: simplify deb sources hierarchy

scripts: add generation of the .dsc file for Debian packaging

distro/common: kresd.conf - ensure hints loads before iterate

distro/rpm: use upstream packaging files

distro/arch: use upstream packaging files

Merge branch 'ci-docker-curl' into 'master'

ci: add curl to debian-stable, skip respdiff

See merge request knot/knot-resolver!647

ci: run respdiff only on code changes

ci: add curl to debian-stable

Merge branch 'ci_nightly' into 'master'

fixup! fixup! ci: do not re-run tests on master, use nightly instead

See merge request knot/knot-resolver!646

fixup! fixup! ci: do not re-run tests on master, use nightly instead

Oh well, this is nightmare to debug.

Merge branch 'ci_nightly' into 'master'

fixup! ci: do not re-run tests on master, use nightly instead

See merge request knot/knot-resolver!645

fixup! ci: do not re-run tests on master, use nightly instead

Merge branch 'ci_nightly' into 'master'

ci: do not re-run tests on master, use nightly instead

See merge request knot/knot-resolver!644

ci: do not re-run tests on master, use nightly instead

All tests are executed before merge and we allow only fast-forward
merges so it is pointless to re-run them again on merge commit.

Code coverage and OBS will be done on auto-synchornized nightly branch.

Merge branch 'ta-parallel' into 'master'

trust anchors: use parallel-safe temporary name

See merge request knot/knot-resolver!643

trust anchors: use parallel-safe temporary name

Previously multiple kresd processes might use the same .lock file at
once and thus have a race between writing and renaming.  That could
happen relatively often if starting many instances *at once*.

Merge branch 'ci-respdiff-master' into 'master'

ci: fixes and optimizations

See merge request knot/knot-resolver!641

cache nitpick: avoid verbose-logging of unitialized TTL

Replaced by a visually recognizable dummy value, for simplicity.
These were introduced in commits:
  cache: don't require cached NS for aggresive answers
  cache closest_NS(): factor out the inside of a loop

ci: compute run code coverage only if explicitly requested by variable

Sometimes, for a unknown reason, coverage computation fails in Deckard pipeline:

$ MAKEFLAGS="--jobs $(nproc)" make coverage-c coverage-lua COVERAGE_STAGE=gcov-deckard 2>&1 | grep -vE '(source file is newer than notes file)|(the message is displayed only once per source file)'
lcov: Need one of options -z, -c, -a, -e, -r, -l, --diff or --summary
Use lcov --help to get usage information
coverage.mk:15: recipe for target 'coverage-c' failed
make: *** [coverage-c] Error 255

This is now normally disabled not to interfere with normal development.

ci: suppress warnings about .gcno file timestamps caused by Git

ci: archive Deckard artifacts for 1 week

This helps with debugging.

ci: don't run respdiff on master branch

Merge branch 'nitpicks' into 'master'

nitpicks: comment + unused variables

See merge request knot/knot-resolver!642

iterate nitpick: better formulation of a comment

I forgot to squash this before 2.4.1; better late than never.

daemon+cache nitpicks: avoid unused variables

These happen with -DNDEBUG only, and clang detects them (not gcc 7).

Merge branch 'zimport-print-64' into 'master'

zimport nitpick: fix printing of uint64_t

See merge request knot/knot-resolver!640

zimport nitpick: fix printing of uint64_t

Equality to `unsigned long` is not guaranteed, and was getting us
warnings on macos (maybe it's not equal there).
Also reduce the overlong lines.

Merge branch 'ci-respdiff' into 'master'

ci: run respdiff jobs

See merge request knot/knot-resolver!638

ci: run respdiff jobs

Merge !639: cache.clear(): error out if cache isn't open yet

lua cache bindings: error out if cache isn't open yet

The catch is that during configuration file processing,
no cache is open (yet), as kresd can't know if the config
does open it in some later part (with non-default path or size).
Now we just throw an error.  Exceptions:
 - cache.open() and cache.backends(), of course :-)
 - cache.ns_tout() - not required, it's not really inside cache
 - cache.close() - it sounds reasonable to allow "closing a closed cache"

This immediately caught a typo in cache metatable.

Merge branch 'master-2.4.1' into 'master'

update NEWS, version and deckard

See merge request knot/knot-resolver!637

tests/deckard: update to master

release 2.4.1

(cherry picked from commit 54797e88b144345c6c530731ff2e1b8d659ff5a3)

Merge branch 'cache-pkt-ttl' into 'master'

cache: fix TTL overflow in packet due to min_ttl

See merge request knot/knot-resolver-security!8

cache: fix TTL overflow in packet due to min_ttl

- `min_ttl()` enforces packet being alive longer than original TTL
  of some records; but
- the packet is copied to cache as it was.

Resolution: just serve packet the same but with those record's TTLs
remaining at zero.

Merge branch 'validate-insecure-bailiwick' into 'master'

validate: additional bailiwick checks

See merge request knot/knot-resolver-security!9

validate: additional bailiwick checks

Let's use this as another layer of defense against our internal bugs.

Merge branch 'marek/fix-cname-cache-injection' into 'master'

layer/iterate: fix cache injection via CNAME

See merge request knot/knot-resolver-security!7

layer/iterate: fix cache injection via CNAME

The current default mode doesn't check bailiwick anymore when unrolling
CNAME chains, so if an answer contains:

```
testingme.com.       3600 IN CNAME victim.com.
victim.com.         172800 IN NS attackers.ns
```

The resolver will cache both records as authoritative even though
`victim.com` isn't in the current bailiwick. This was previously
checked in 79d9931daaa5b9e6c7965f6ee29c965786a4754e, but removed
in refactoring.

Merge branch 'ci-knot2.7' into 'master'

ci: update dockerfiles to support different knot versions

See merge request knot/knot-resolver!635

ci: update dockerfiles to support different knot versions

ci/debian-unstable: simplify image

ci/debian: update dependencies

Merge !632: Fix http module regressions from 2.3.0

http: NEWS

http: remove /feed from docs

/feed disappeared in v1.1.0 and never worked since then.
fixup! 6887a4a2be84f9276c4cdfb903f757aafd19e778

http: clarify TLS configuration and recommend reverse-proxy

Fix regression in HTTP module which broke custom certs.

This is now covered by test suite.
fixup! b2cefdcf350e846492579e3308f234a696350e01 (regressed in 2.4.0).

Parameter cert=false did not work even in 2.3.0 so it was replaced with cleaner
tls=false.

Remove http:// from examples.

We want to encourage users to use HTTPS everywhere.

Merge !634: hints docs: unify the descriptions of `hints.root()`

hints docs: unify the descriptions of `hints.root()`

(Thanks to Láďa.)
Also try to stress that hints.set() only takes a pair and not more.

Merge branch 'aggressive-nsec3-fixes' into 'master'

Aggressive nsec3 fixes

Closes #384

See merge request knot/knot-resolver!628