Merge !1292: lib/dnssec/ta: use trie_t instead of map_t

lib/dnssec/ta: use trie_t instead of map_t

Merge !1288: daemon/worker: Use trie_t instead of map_t for TCP connections

daemon/worker: Use trie_t instead of map_t for TCP connections

lib/utils: sockaddr key generation

Merge branch !1285: daemon/zimport: close transaction after importing batch

daemon/zimport: close transaction after importing batch

I'm really sorry about this.  It's my regression in 5.5.0 (!1225)

Practical consequence was that the RW transaction was held open
until that instance did something with cache (and thus closed),
so any other instance would be frozen in the meantime if doing
anything non-read-only with cache (e.g. startup).
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/6DOXXOA6ACEUBVYPUY3T2MLGIHWOMV6M/

Merge !1283: ci: fix ambiguous tag-sets

ci: fix ambiguous tag-sets

In a few places the tag-set specification for jobs could match
either amd64 or arm64 runners.  That non-determinism is bad,
especially when passing platform-specific artifacts around.

This is just a stop-gap measure.  Later we'll need to rethink our CI
in terms of the two platforms.

I didn't touch tag-sets with `condor`, as that will probably always be
just a single machine (which coordinates scheduling on others).

Merge !1282: ci/pkgtest: fix issues with sphinx

ci/pkgtest: fix issues with sphinx

The apkg installation through pip3 was pulling too new jinja2 version,
breaking subsequent usage of sphinx to build docs (in `apkg build`).

Merge !1276: xdp: make it work also with libknot 3.1

Fixes #735

xdp nit: utilize freeing API added in libknot 3.1

It's probably a bit more efficient, but this part of code should be
rarely used even on a resolver serving all in XDP.

xdp: make it work also with libknot 3.1

Somehow I did this wrong when porting to libknot 3.1.

Merge !1281: pkg: update changelogs

pkg: update changelogs

* set myself as package maintainer
* use {{ now }} instead of hardcoded datetime
  * bump apkg compat to 2

rpm: sync from Fedora

This is a no-op as GPG_CHECK is disabled for upstream package but it
keeps the .spec files in sync.

Merge !1271: ci/images: add docs

ci/images: add debian-11-coverity description

ci/images: add image description

ci/images: ensure base image is updated

Merge !1275: modules/dns64: fix incorrect packet writes for cached packets

Fixes #727

modules/dns64: fix incorrect packet writes for cached packets

Also change the return type of kr_pkt_has_dnssec() and lua's :dobit()

Merge branch 'release-5-5-0' into 'master'

release 5.5.0

See merge request knot/knot-resolver!1272

AUTHORS: duplicate alias removed

release 5.5.0

Merge !1273: Documentation nits (policy, predict)

predict docs: be more explicit about recommended use

We're still run into people who thought that the example config
is a suitable default.  Example where it caused practical issues:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/WQDJJ3LLEIZ5U3VVSCITW6DZPICW4L7U/

policy docs: explain non-ASCII names

Merge branch 'selection' into 'master'

lib/selection: fix interaction of timeouts with reboots

Closes #722

See merge request knot/knot-resolver!1269

Revert "daemon/worker: add task timeouts for upstream TCP connections"

This reverts commit 0c9ea1332e1c4475043eab571f60915b90985999 (!1226).

CI rp:fwd-tls6.udp-asan now repeatedly shows use-after-free.
That could be a serious issue, and this commit's feature
seems less important than the risk.  Let's revert until the issue
gets deeper investigation.

lib/selection: fix interaction of timeouts with reboots

We use "monotonic" time-stamps for the dead_since field;
that breaks on system reboots, in which case we reset the stats.
(if the server was categorized as dead)

If the server times out afterwards, we'd fail the condition
`cur_state.consecutive_timeouts == old_state.consecutive_timeouts`
so its stats would not update.  Therefore we'd get stuck forever
in a state where the unusable server has high priority (no_rtt_info).

This commit changes a bit more than was necessary to fix this,
including precision of the stats (in some cases).

lib/selection: improve randomness of ties

The approach was dubious: random shuffle, qsort() and choose the first.
The main functional problem was that qsort() isn't a stable sort,
so the effect of pre-shuffling is not reliable, even though I don't have
any evidence of this causing issues in practice.

The new code should also be a bit more efficient in terms of CPU and
consumed randomness, but that probably won't be noticeable.
The arrays passed into select_transport() are now const (no sorting),
which could make the code easier to "understand".

Merge branch 'ci-remove-arm' into 'master'

ci: remove experimental arm builds

See merge request knot/knot-resolver!1270

ci: remove experimental arm builds

These are running on a hardware setup which is hard to maintain. In the
near future, ARM64 should be covered by a dedicated runner.

Merge branch 'keyblock-update' into 'master'

pgp: remove tkrizek, add amrazek

See merge request knot/knot-resolver!1268

pgp: remove tkrizek, add amrazek

Merge branch 'distrotests-rocky8' into 'master'

distro/tests: use rocky8 instead of centos8

See merge request knot/knot-resolver!1267

distro/tests: add Rocky support

.gitlabci: add some doc comments for distotest job

distro/tests: use rocky8 instead of centos8

Merge !1266: Coverity Scan false positives clarifications

Coverity Scan false positives clarifications

Merge branch 'cache-nit-ttl' into 'master'

cache nit: reduce cache.max_ttl limit a bit

See merge request knot/knot-resolver!1265

cache nit: reduce cache.max_ttl limit a bit

The new limit is over 68 years, so still completely meaningless.

Merge !1264: Fix defects detected by Coverity Scan

Fix defects detected by Coverity Scan

Targeted CIDs: 155456, 155962, 346121, 346123, 346124, 346125,
  346126, 346127, 346130, 346131, 346132, 346134, 346135, 346138,
  346140, 346145, 346146, 346149, 346152, 346154, 346156, 346157

lib/dnssec/nsec3.c change:
  apparently cleaning fallout from my (= vcunat's) commit b5cf61325ae

Merge !1256: modules/dnstap: improve UX for common errors

modules/dnstap: improve UX for common errors

The main thing is the "failed to open socket" message.
But let's also elevate other fatal one-off logs to ERROR level.

modules/dnstap: don't do anything on loading the module

Usually in configuration the module is loaded in a separate command
from passing configuration to it.  For dnstap this loading would
immediately lead to opening the default socket path, even if the
configuration actually specifies (a different) path later.

Users can still force using the default by passing an empty table:
`dnstap.config({})` or `modules = { dnstap = {}}`
(though I doubt the utility of the default /tmp/dnstap.sock anyway)

Merge !1257: lib/resolve, modules: NO_ANSWER for not responding to clients

Implements #432

lib/resolve, modules: NO_ANSWER for not responding to clients

Merge !1238: Support for PROXYv2 protocol

daemon, lib: document API changes made due to PROXYv2

daemon: add PROXYv2 SSL TLV handling + minor refactoring

daemon: correct PROXYv2 handling for TCP sessions

daemon/bindings doc: PROXYv2 clarifications

daemon: use flags from proxy header + refactor comm data

daemon: allow setting zero netmasks for net.proxy_allowed()

tests/config: net.proxy_allowed() support

daemon/proxyv2.test: deckard test for PROXYv2

daemon/bindings: add net.proxy_allowed() + docs

daemon: PROXYv2 header processing

Merge !1259: .gitlab-ci: Coverity scan

Implements #450

.gitlab-ci: Coverity scan

Merge branch 'fix-tls-client-resumption' into 'master'

daemon/tls: fix TLS client resumption

Closes #542

See merge request knot/knot-resolver!1261

daemon/tls: fix TLS client resumption

Merge !1254: lib/resolve: EDNS padding for outgoing TLS queries

Fixes #303

lib/resolve: EDNS padding for outgoing TLS queries

Merge !1251: lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

We're a bit late with this ad-hoc rule; I think it was most useful
when SHA256 support in DS algorithms wasn't wide-spread yet.
(Note that DNSKEY algos have standardized no similar rule.)

Usage of SHA1 as DS algorithm is highly discouraged, but even at this
point it does *not* seem unsafe, in the sense of anyone publishing an
attack that would come anywhere close to breaking *this* usage of SHA1.

Merge !1226: daemon/worker: add task timeouts for upstream TCP connections

daemon/worker: add task timeouts for upstream TCP connections

Merge !1253: daemon/bindings/net: add interface name to link-local IPv6 addresses

Fixes #80

daemon/bindings/net: add interface name to link-local IPv6 addresses

Merge branch 'update-tests' into 'master'

ci: various test updates

See merge request knot/knot-resolver!1243

tests/README: merge with docs

pytests: migrate to LXC runner

Due to missing support on some of the regular runners, let's migrate
these tests to our special LXC runners. This should hopefully make the
results more reliable and stable.

The downside is that we have to keep an additional image (and recipe)
for LXC, since it' slightly different. However, it's probably worth it,
since we'll likely migrate some other tests there in the future (for
better stability).

ci: omit extra dependencies for arm

gitignore: pytests junit xml files

ci/images: automate build&push of images

meson: update dependencies for deckard

tests: bring README up to date

meson: minor cleanup

Merge branch 'docs-forwarding-filters' into 'master'

policy docs: warn about filters and forwarding

See merge request knot/knot-resolver!1241

policy docs: warn about filters and forwarding

We've been notified about possibility of "cache poisoning" this way,
so let's document this drawback to make the expectations clearer.

Merge branch 'docs-hints-shadowed' into 'master'

hints docs: better explain shadowing by policies

See merge request knot/knot-resolver!1244

hints docs: better explain shadowing by policies

Merge branch 'doc-links-mailing-lists' into 'master'

doc: fix links to our mailing lists

See merge request knot/knot-resolver!1247

doc: fix links to our mailing lists

Their implementation was changed.
Fortunately I was able to find the message in Google's cache
and thus discover easily which one it is in the new archive.

Merge branch 'doh-cors' into 'master'

doh2: fix CORS by adding `access-control-allow-origin: *`

See merge request knot/knot-resolver!1246

doh2 tests: check CORS headers

I didn't feel like adding it to every test, so I picked a mix.
I confirmed this would fail before the parent commit.

doh2: fix CORS by adding `access-control-allow-origin: *`

For old doh we added this in commit a34aa1ee743;
with the new implementation we somehow forgot.

Merge branch 'release-5-4-4' into 'master'

release 5.4.4

Closes #692

See merge request knot/knot-resolver!1245

Merge branch 'master' into 'release-5-4-4'

# Conflicts:
#   NEWS

release 5.4.4

Merge !1225: prefill module: add ZONEMD support

daemon/zimport: better failure logging

The typical DNSSEC problems should happen already when trying to
validate the DNSKEY set, so it's better to be more verbose there.

In the end I gave up on deduplicating with log_bogus_rrsig() code,
as it's different logging group, logging level, no kr_query, etc.

daemon/zimport: add unit tests for ZONEMD computation

modules/prefill nit: explicit conversion isn't needed here