libknot: bump dependency version to 3.0.2

Version 2.9 isn't supported anymore anyway, but 3.0.2 is needed for
extended error constants.

policy: add extended errors

modules/dns64: EDE - mark as forged

lua: extended_error const table

kluautil: kr_string2c function

ede: handle not authoritative

ede: handle stale answers

ede: add KNOT_EDNS_EDE_NREACH_AUTH

logging: remove QVERBOSE in favor of kr_log_q

modules/extended_error: package module

validate: additional EDE DNSSEC errors

validate: refactor - remove check for impossible return values

kr_dnskeys_trusted() only returns EINVAL, ENOENT or EOK.

validate: add extended DNS errors

modules/extended_error: OPT section modification

lib/log: add LOG_GRP_EDE

lib/resolve: kr_extended_error_t and related func

Merge !1242: ci nix: avoid the failure

ci nix: tweak details around using "unstable" nix CLI

We don't need this on the versions before nix 2.4,
but let's switch now already.

ci nix: temporarily(?) avoid issues

Merge !1240: lib/utils: rename union inaddr to union kr_sockaddr

lib/utils: rename union inaddr to union kr_sockaddr

Merge branch 'fix-aws-console' into 'master'

iterate: fix bad zone_cut update in a rare case

See merge request knot/knot-resolver!1237

iterate nit: don't log a space at the end of a line

iterate: fix bad zone_cut update in a rare case

https://forum.turris.cz/t/kresd-name-unresolution/16275

Example problematic query during QNAME minimization:
```
[resolv][43578.24]   => id: '08532' querying: 'ns-921.amazon.com.'@'34.196.62.143#00053' zone cut: 'aws.amazon.com.' qname: 'coNsOlE.aWs.AmAzON.Com.' qtype: 'NS' proto: 'udp'
[iterat][43578.24]   <= answer received:
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 8532
;; Flags: qr aa  QUERY: 1; ANSWER: 4; AUTHORITY: 1; ADDITIONAL: 0

;; QUESTION SECTION
console.aws.amazon.com.         NS

;; ANSWER SECTION
console.aws.amazon.com. 600     NS      ns-921.amazon.com.
console.aws.amazon.com. 60      CNAME   us-east-1.console.aws.amazon.com.
us-east-1.console.aws.amazon.com. 600   NS      ns-921.amazon.com.
us-east-1.console.aws.amazon.com. 60    CNAME   gr.console-geo.us-east-1.amazonaws.com.

;; AUTHORITY SECTION
us-east-1.amazonaws.com.        60      SOA     ns-921.amazon.com. root.amazon.com. 1638962488 3600 900 7776000 60

[iterat][43578.24]   <= rcode: NXDOMAIN
```

Here the zone_cut would get updated to us-east-1.console.aws.amazon.com.
breaking further resolution towards    eu-west-3.console.aws.amazon.com.

Merge branch 'release-5-4-3' into 'master'

release 5.4.3

See merge request knot/knot-resolver!1236

release 5.4.3

AUTHORS: update

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1235

config: properly document loading of hints module

Merge branch 'parse-rdata' into 'master'

lua: add parse_rdata() utility function

See merge request knot/knot-resolver!1233

doc: document kres.parse_rdata() near policy.ANSWER

config.basic: test coverage for parse_rdata()

lua: add parse_rdata() utility function

Credit for code goes to Vladimír Čunát

Merge branch 'reroute-renumber' into 'master'

renumber and reroute: documentation updates

See merge request knot/knot-resolver!1232

renumber: graceful error on invalid subnet

policy: update REROUTE doc to reflect real configuration

renumber: warn when using unsupported network mask

modules/renumber: remove useless code

Unspecified mask is already returned as full bitlen by
kr_straddr_subnet().

Merge !1230: lua: ensure answer_clear() keeps original EDNS

Fixes #657

lua: ensure answer_clear() keeps original EDNS

Answers to EDNS requests from certain lua policies that use the
answer_clear() function would lack OPT RR and thus violate the MUST
condition in RFC6891.6.1.1.

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1224

doc: edns_keepalive

ci: use allow_failure for known issues

tests/config: increate http timeouts to 16s

On some platforms in CI, even 8s doesn't seem sufficient enough to
guarantee stability. Hopefully this improves the situation.

Merge branch 'gitignore-cache' into 'master'

.gitignore: add '.cache'

See merge request knot/knot-resolver!1231

.gitignore: add '.cache'

Merge branch 'policy-domain' into 'master'

modules/policy: add 'domain' filter for equality matching

See merge request knot/knot-resolver!1228

modules/policy: deduplicate doc

modules/policy docs: tweak an example

Overriding records makes more sense on a particular name
than in a whole sub-tree.

modules/policy: fix doc

modules/policy: fix unused variable (luacheck)

modules/policy: add integration test for 'domains' function

modules/policy: use a list of domains, instead of a single domain

modules/policy: add 'domain' filter for equality matching

Merge branch 'spelling' into 'master'

spelling & edns_keepalive fix

See merge request knot/knot-resolver!1229

.gitlab-ci: omit unused variable

edns_keepalive: fix loading of module

Due to the typo in the EDNS keepalive init funcion name, the module
wouldn't be properly initialized after loading and wouldn't be
functional.

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1220

ci/distrotests: add fedora35, ubuntu2110

ci: allow extra sync time for macos GH action

doc logging: add a simple example

The brackets notation and string quotation are not obvious to everyone.

ci build:macOS: more delay

Today it was often failing due to starting too soon.
Nothing depends on this job, so it's cheap to start its check later.

doc: remove outdated note about survery

lib/resolve: clarify why debug level is checked

modules/nsid: improve sanity check

Merge branch 'lua-log-fix' into 'master'

lua log(): make it work again

See merge request knot/knot-resolver!1223

lua log(): make it work again

sandbox.lua:72: attempt to call global 'log_notice' (a nil value)
Broken by commit 39dd89db (MR !1208)

Merge branch 'zonemd-misc' into 'master'

various refactoring

See merge request knot/knot-resolver!1221

lib/cache: improve internal docs

lib/cache kr_cache_insert_rr(): add another parameter

NSEC* params were not being stashed by this function.  For prefilling
it's useful, but doing it on *every* NSEC* record would be quite a waste,
so we introduce a parameter to select this.

Implementation: there were good reasons not to implement this until
needed - it wasn't straightforward at all.

contrib/mempattern: add mm_ctx_delete()

It was a bit weird that the API had mempool creation but no deletion.

lib/utils: factor out kr_timer_* from GC code

Also be more careful about rounding, overflows and assertions in there.
The implicit internal timer was unused and didn't seem worth keeping.

lib/util: remove unused function

The POSIX APIs using `struct timeval` are deprecated anyway
in favor of clock_gettime() + `struct timespec`.

The function didn't seem well designed anyway, as `long` is just
32-bit on usual 32-bit platforms, which certainly isn't safe.
(roughly one month, on a quick glance)

Merge branch 'ipvx_priming_fix' into 'master'

modules/priming: don't query A/AAAA when IPv4/IPv6 is disabled

See merge request knot/knot-resolver!1222

modules/priming: don't query A/AAAA when IPv4/IPv6 is disabled

Previously we primed for A/AAAA addresses of root servers even when
the respective IP version was disabled from configuration.

Merge branch 'zonemd-validator' into 'master'

lib/dnssec: refactor some parts

See merge request knot/knot-resolver!1213

lib/dnssec.h: improve API docs

lib/dnssec/signature nit: improve API docs

lib/dnssec: add a simple validator API

lib/dnssec: make kr_dnskeys_trusted() cleaner

This way it will be easier to re-use (and more efficient).
I really disliked those searches for RRSIGs embedded deep inside.

Uh, I tried to keep the new function as clean as possible,
moving hacks to outside.

lib/dnssec: add a simpler version of kr_rrset_validate_with_key()

lib/dnssec: factor out trim_ttl()

That `pkt` check was useless.

lib/dnssec refactor: struct dseckey -> struct dnssec_key

I can't see motivation to add another abstraction layer here,
and it caused ugly type juggling.  Let's use the libdnssec's type.

lib/dnssec.c: refactor validate_rrsig_rr()

Merge !1218: doc: lua-basexx dependency, clarify unit tests

doc: Add missing lua-basexx dependency, clarify default unit tests

Merge branch 'docker-debug-mode-log' into 'master'

Dockerfile: polish request tracing in debug_mode

See merge request knot/knot-resolver!1217

Dockerfile: polish request tracing in debug_mode

Since v5.4.0, using both debug level log and request tracing duplicates
lines in the log output. This makes the log more readable while
hopefully keeping all the relevant information there.

Merge branch 'ci-knot-3.1' into 'master'

ci: use knot 3.1

See merge request knot/knot-resolver!1219

ci: fix pylint issues

ci: use Knot 3.1

Merge branch 'policy-rpz-origin' into 'master'

policy.rpz: fix origin detection in files without $ORIGIN

See merge request knot/knot-resolver!1215

policy.rpz: nitpick - format zone file

policy.rpz: test coverage for SOA-defined origin

policy.rpz: increase log severity

Issues affecting functionality of the RPZ should NOT be hidden
by default.

policy.rpz: fix origin detection in files without $ORIGIN

Merge branch 'systemd_nss-lookup' into 'master'

systemd: add interaction with nss-lookup.target

See merge request knot/knot-resolver!1216

systemd: add interaction with nss-lookup.target

The point is to allow other services wait for DNS availability.
Of course, kresd may not be the DNS provider for this machine,
but it seems reasonable to still do this by default.

Merge branch 'release-5-4-2' into 'master'

release 5.4.2

See merge request knot/knot-resolver!1212