add packet cache - only direct NAME+TYPE hit ATM

Used for queries that are BOGUS or
(negative and either insecure or unvalidated).

FIXME: review, opt-out, etc.

cache API: for `read/write` the key is const, really

It might better be passed by value, but let me keep the way for now.

Merge tag 'v1.5.0' into cache-aggr-wip

Merge !385: release 1.5.0

release 1.5.0

Merge !384: add KR_RANK_TRY

attempt validation for more records but require it for fewer of them
(e.g. avoids SERVFAIL when server adds extra records but omits RRSIGs)

add KR_RANK_TRY

attempt validation for more records but require it for fewer of them
(e.g. avoids SERVFAIL when server adds extra records but omits RRSIGs)

Merge !383: rfc8145: DNSSEC Key Tag Signaling (by default)

Signaling trust anchor is enabled by default

Signaling Trust Anchor Knowledge in DNSSEC using Key Tag Query

Implementation of RFC 8145 section 5 as module.

Fixes: #383
fixup! Signaling Trust Anchor Knowledge in DNSSEC using Key Tag Query

daemon: add ability to load modules with _ in name

NEWS for 1.99.1-alpha

fix CNAMEs and some details

stash xNAME RRs (not utilizing them yet)

and some smaller fixes

negative wildcarded answers should be OK now

kwz_between: fix a bug when one key is a prefix of another

WIP on wildcards

including quite some refactoring of the new cache code

Merge !381: etc/root.hints: B's IPv4 updated today

etc/root.hints: B's IPv4 updated today

Merge branch 'systemd-cleanup' into 'master'

systemd: drop RefuseManualStart=true, disable kresd.service by default

See merge request knot/knot-resolver!380

skip zero-containing names

fix some bugs around key->dname conversion

e.g. in _lf2wire

remove unused code

remove the old cache modules from git

.

Root zone features seem usable now.

document how to make kresd listen on public ports in this configuration.

systemd: Add FreeBind=true to kresd.socket

This allows the socket to be bound before the network interface comes
up, which is preferable to having a race between the interface coming
up and the socket being bound.

systemd: drop RefuseManualStart=true, disable kresd.service by default

I introduced RefuseManualStart=true last year when writing the initial
systemd unit file for kresd.  I did this because i didn't want to
start running the daemon if no one was going to talk to it.

I'm no longer convinced that this directive has a good justification.
While i think that there is no need to activate the service without
socket activation, i think preventing manual invocation is actively
harmful (admins will reflexively do "systemctl restart kresd" just
like they do "systemctl restart apache2" and it's jarring to have it
rejected).

A distributor who wants to (by default) delay kresd startup until it
is accessed can ship the preset file included here, but leave the
*.socket units enabled by default.

.

.

Positive caching seems usable now. (No xNAME, wildcards, etc.)
Problem around zone cuts:
 - clear cache
 - kdig fubar
 - kdig DNSKEY cz

.

.

Merge branch 'roothints-tests' into 'master'

roothints: fix segfault with hints.root_file, added test

See merge request knot/knot-resolver!378

roothints: fix segfault with hints.root_file, added test

.

.

Merge branch 'ci-deckard-valgrind' into 'master'

Check deckard with valgrind during CI

See merge request knot/knot-resolver!365

Check deckard with valgrind during CI

refs #227

Merge branch 'basic-dockerfile' into 'master'

CI: new Dockerfile

See merge request knot/knot-resolver!375

Run respdiff CI in new docker image

Run pylint and pep8 CI with new dockerfile.

Run deckard CI checks in new docker image

Run valgrind CI checks with new docker image

Add new Dockerfile for CI based on debian.

. (last week)

Merge !377: package fixes, primarily for Darwin

NEWS: document Darwin fixes

make: fix date command on Darwin

The -r has two different meanings, apparently :-D

modules: use LIBEXT to fix Darwin

root hints: improve error message

... when the installed root.hints isn't found

.

.

Merge !376: misc nitpicks

tests/deckard: update to fix faketime

nitpick: use KR_COLD when we have it

doc: drop a flag deprecated since Sphinx 1.6

It's true by default anyway.

.

lmdb: abstract conversion to/from knot_db_val_t

Merge !374: release 1.4.0

release 1.4.0 tomorrow

Merge !373: Dockerfile: the aho-corasick module is now needed

Dockerfile: the aho-corasick module is now needed

... even if only building

Merge !371: FORWARD: don't validate NS in authority section

Fixes https://gitlab.labs.nic.cz/knot/knot-resolver/issues/248

validate: wildcard expansion -> adjust to_wire

We pushed all authority to the wire, but that was unnecessary,
and in particular it clashed with not validating NS in authority when
forwarding (new change).  Let's only apply this to NSEC* RRs.

Merge !372: fixes after merge !367: root hints

nitpick: unsigned vs. long makes a difference in printf

Sometimes I was getting huge RTT numbers in the output (>4G).

hints: fix linkage on darwin

It's not very nice that this symbol used in hints.so is defined in
sbin/kresd, but it touches the daemon structures and thus doesn't
really belong into libkres.

engine: nitpicks around loading root hints

"lua_" in name is not appropriate, as the function does no lua stuff
anymore, so let's unify it to "engine_".

nitpick: unused-variable since !367 (cac9e018c3)

validate: improve verbose messages

Next time it will be directly visible what record fails to validate,
which was the most time-expensive part when creating the parent commit.

FORWARD: don't validate NS in authority section

Fixes https://gitlab.labs.nic.cz/knot/knot-resolver/issues/248
Some (exotic?) resolvers add extra NS records but doesn't provide
signatures for them even though we ask with +dnssec +cd.
That lead to validation errors.  Current example server: 198.101.242.72
Let's not try to validate them when FORWARDing, as we won't most likely
need those records anyway (contrary to iteration mode).

Merge !367: roothints: load from zonefile

Merge !370: make: link gnutls into libkres

make: link gnutls into libkres

It's needed after the parent merge (sometimes, e.g. on macos).
We always depended on it through libdnssec, so it's no real difference.

Merge !369: gnutls logging improvements

gnutls logging improvements

- move it to utils.c, so it's sensitive to later changes in verbosity
- don't mark the lines with [tls], as they may come through libdnssec
- use stdout like other verbose messages, instead of stderr (real errors)

roothints: various changes

- expose the function as hints.root_file
- use the same filename as Debian
- remove the unneeded script
- docs and some nitpicks

Merge branch 'max-resolve-time' into 'master'

Limit maximal resolution time

Closes #241

See merge request !368

lib/resolve: optimazlization of resolution overall time checking

roothints: load from zonefile

lib: additional checks when overall resolution time of single query is checked

lib: support of an upper limit for resolution time of single query

Merge !366: worker: disable assert we can't fix immediately

worker: disable assertion that we can't fix immediately

Production kresd should compile with -DNDEBUG, so it wouldn't be
affected by this, but it was annoying for debugging other problems.
See https://gitlab.labs.nic.cz/knot/knot-resolver/issues/245

Merge !362: LMDB fixes - transactions and cache.clear()

NEWS: entry for this branch

Fixes https://gitlab.labs.nic.cz/knot/knot-resolver/issues/240

cache: nitpicks

cache.clear() on LMDB: be more strict about transactions

In particular, don't keep even a reset read-only transaction.
This doesn't help with that MDB_BAD_TXN, but still it seems better.

cache.clear() on LMDB: simplify .cachelock

The locking was done incorrectly - the copied text from man open(2)
suggested creating a *unique* file and linking that one to the lockfile.
Anyway, I don't think we need to support cache on NFSv3 on old kernels ;-)

Merge !364: doc/build: fix another instance of the old link

doc/build: fix another instance of the old link

Merge !363: README: Fix homepage/download link

Fix homepage/download link in README

Homepage link was broken – https://www.knot-resolver.cz/pages/try.html returns 404 (moved to /download during website redesign)

cache.clear() on LMDB: first try mdb_drop()

It's certainly a cleaner way.

cache: handle LMDB resize by another process

kresd never handled it.  It's perhaps a rare occasion when different
instances (attempt to) set different cache sizes.

docs: purge long-dead cache API from an example

cache: rework reusing transactions (LMDB)

Previously a read transaction could be held open by each fork
indefinitely.  That was done for better speed, but it had a downside
of keeping old pages alive and potentially reading only old data,
until some writes were attempted by that fork.

Now kr_cache_ provides explicit API for suitable points where to break
transactions, reusing the _sync command.  On LMDB side the read-only
transaction is only reset and later renewed, supposedly giving better
performance than aborting (see LMDB docs on reset+renew).

Performance: preliminary testing with two forks, resperf on comcast
query-set shows no noticeable difference in peak QPS.

Merge !361: main ipc_activity: misc improvements

Fixes #150.

Merge branch 'ci-valgrind' into 'master'

Run unittests in CI under Valgrind memcheck

See merge request !353

Check for memory leaks during unittest CI using valgrind

New ci task has been added that checks for possible memory leaks when running unittests. Messages from valgrind are displayed only when leak is detected.
refs #227