conf: rework notify-delay to be more practical and consistent with Bind

tests-extra: improve stability of dnssec/keystores

Merge branch 'keystore_multi' into 'master'

dnssec: implemented multi-keystore option...

See merge request knot/knot-dns!1787

keymgr: print keystore name and its type when listing keys

dnssec/multi-keystore: implemented ksk-only keystore...

...so that KSKs and ZSKs can be in distinct keystores

dnssec: implemented multi-keystore option...

...useful e.g. for hsm-to-pem migration

conf: support default values for multivalued items

requestor: avoid calling close(-1) (Coverity)

libknot: avoid calling close(-1) (Coverity)

refresh: establish a new TCP connection for XFR if no-edns is set

tests-extra: attempt to fix tls/quic xfr tests

Merge branch 'stop_in_multi_ctl' into 'master'

fix and improve server shutdown in multi-ctl

See merge request knot/knot-dns!1781

server: coding style

ctl: after receiving the 'stop' command, interrupt the socket ctl thread immediately

This enables quick shutdown without waiting for timeouts in the socket ctl thread.

ctl: link concurrent_ctl_ctx_t to the main socket control thread

ctl: don't assign to a cctx thread that carries the 'stop' information

Otherwise the 'stop' information (KNOT_CTL_ESTOP) would be overwritten.

tests-extra: improve stability of quic/xfr under Valgrind

Merge branch 'knotd-cert-ca' into 'master'

remote/acl TLS certificate validation

See merge request knot/knot-dns!1779

server: decrease SESSION_TICKET_POOL_TIMEOUT to 1200 seconds

server: purge sessticket_pool on server reload if creds changed

conf: implemented certificate hostname validation

Merge branch 'chaos_to_str_ext' into 'master'

Add class aliases INTERNET and CHAOS

See merge request knot/knot-dns!1785

kdig: add an example for RFC4892 to documentation

utils: add class aliases INTERNET and CHAOS

Merge branch 'pkg-python' into 'master'

distro: fix new RPM subpackages and add packaging test

See merge request knot/knot-dns!1786

distro/tests: new python-libknot test

distro/tests: fix apkg test Depends

It's not possible to distro.match() against pkgstyles such as `rpm` or
`deb` with current apkg.

distro/rpm: remove %{_isa} from noarch packages' Requires

noarch packages shouldn't depend on specific architectures.

src: relicense omitted files to GPL-2.0-or-later

tls: avoid passing NULL to strlen() when generating a certificate

ctl: add 'parser failed,' prefix to zone-(un)set error messages

Merge branch 'pkg_rpm_python' into 'master'

distro/rpm: use modern %pyproject_* macros

See merge request knot/knot-dns!1784

distro/rpm: use modern %pyproject_* macros

Support new %pyproject_* macros where they're supported, otherwise use
older %py3_* macros which work everywhere.

Introduce new %{PYPROJECT} var which is only set on distros supporting
new macros - Fedora >= 40 and EL >= 9.

distro/rpm: add knot-exporter and python3-libknot RPM subpackages

zonefile: add libgen.h for basename(), cleanup

Merge branch 'pkt-trailing' into 'master'

pkt: fix our check for trailing rdata when parsing

See merge request knot/knot-dns!1783

pkt: fix our check for trailing rdata when parsing

- in case the \0 terminator got "compressed", we would get
  a spurious KNOT_EMALF
- if real compression happened, we could miss the fact
  that there are trailing data

Merge branch 'zonemd_dbus' into 'master'

zonemd: emit 'dnssec-invalid' dbus event when validation fails

See merge request knot/knot-dns!1782

Merge branch 'temp-cert-sanonly' into 'master'

self-signed cert SANonly

See merge request knot/knot-dns!1778

kdig: support certificates missing Subject field

knotd: self-signed cert with SAN instead of Subject: CN

ctl: don't log zone-(un)set parser failed, send details to the client instead

quic-handler: add check for empty conn to prevent assert

zonefile: fix possible memory leak (Coverity)

zonemd: emit 'dnssec-invalid' dbus event when validation fails

kzonecheck: consider zone file name with origin auto-detection

Partially revert 38f65806dd9b7af15ecd17ae3f2e71d2569a1dee

dnskey-sync: use deterministic jitter always if keytag-modulo is configured

Merge branch 'ngtcp2-update' into 'master'

libngtcp2 update

See merge request knot/knot-dns!1780

libngtcp2: update to v1.13.0

scripts: more robust update_ngtcp2.sh script

Merge branch 'cat_tpl_check' into 'master'

conf: call zone checks for catalog-templates

See merge request knot/knot-dns!1772

conf: call zone checks for catalog-templates

Note that these checks cannot be called for normal templates as templates
can be combined with zone-specific options (i.e. a template itself can be
invalid)!

conf: move checks to more context-logical places

Merge branch 'dnskey_sync_keytag' into 'master'

DNSKEY sync keytag

See merge request knot/knot-dns!1777

dnskey-sync: add jitter to scheduled event to minimize race condition

logging: alg/ksk roll: inform about pre-scheduled retirement after DS TTL

dnskey sync: skip rrs with different keytag modulo

benevolent IXFR: bugfix: when ignoring rem/add, dont skip whole rrset

utils: mute Coverity (invalid type)

distro: adapt authoritative-server test for kzonecheck to autodetection

python3-libknot: improve README example

knot-exporter: remove return within a finally block

fixes #957

CI: add fedora-42 and alma-10

Merge branch 'tests_fix_startup' into 'master'

fix tests-extra server startup routines

See merge request knot/knot-dns!1774

Merge branch 'notify-delay' into 'master'

Notify delay

See merge request knot/knot-dns!1776

conf: implement notify-delay option

tests-extra: allow lower number of server start retries for recoverable start failures

tests-extra: when ports are busy, really allow a retry with a different configuration

tests-extra: if a servers doesn't start during test startup, restart the startup process

In the past, knotd server continued running even after binding of some ports failed.
This is no longer true for some time. The tests didn't reflect it.

tests-extra: fix the repeated server startup

A workaround of already fixed flaw doesn't apply anymore.

Merge branch 'slavesign_serial_indep' into 'master'

xfr/slave-sign: independent SOA serial series on slave-side

See merge request knot/knot-dns!1775

xfr/slave-sign: independent SOA serial series on slave-side

Merge branch 'catalog_check' into 'master'

Check if member zone configured with non-generated catalog

See merge request knot/knot-dns!1771

tls: DEBUG: print Subject Alternative Name

Based on https://github.com/CZ-NIC/knot/pull/31

libzscanner: use _public_ from libknot/attribute.h

libknot: extend TLS API to be used for non-DNS communication

catalog: check if member zone configured with non-generated catalog

Fix zs_init() callings with empty origin which newly enables autodetection

Merge branch 'kzonecheck_soa' into 'master'

kzonecheck: use SOA owner from zone file as origin if not specified

See merge request knot/knot-dns!1770

kzonecheck: use SOA owner from zone file as origin if not specified

Merge branch 'module_reload_solid' into 'master'

Allow zone-reload/reload to fail due to module configuration errors

See merge request knot/knot-dns!1769

modules: allow zone-reload/reload to fail due to module configuration errors

Based on https://github.com/CZ-NIC/knot/pull/34

kru: don't compile optimized version on macOS

This fixes compilation and CPU detection issues. The optimized version requires
x86 SIMD anyway.

Merge branch 'log_eagain_reverse' into 'master'

Log eagain reverse

See merge request knot/knot-dns!1768

doc: zone/reverse: some more description

libknot/errors: refactoring -- reordering error codes

refactoring/errors: two more specific codes instead of most KNOT_EAGAIN

errors: less misleading message

reverse/load: bump level of explaining log when referenced zone not loaded

Merge branch 'tls_compat_epel8' into 'master'

Improve TLS compatibility

See merge request knot/knot-dns!1767

kdig: print warning if TLS 1.2 is used

libknot/tls: don't use %DISABLE_TLS13_COMPAT_MODE with old GnuTLS versions...

and allow TLS 1.2 in kdig.

kzonecheck: support specified job count

sem-checks: add new DNSSEC algorithms 5 and 6 - RFC-9558, RFC-9563

semantic-check: allow missing glue if NS is at other delegation...

...not only below

knot_exporter: add maximum libknot dependency version to ensure library consistency

fixes #956

Merge branch 'xfr_lock_nonrcu' into 'master'

nameserver/XFRout: multi-msg locked by rwlock instead RCU...

See merge request knot/knot-dns!1765

nameserver/XFRout: multi-msg locked by rwlock instead RCU...

...prevents locking updates to unrelated zones as well

Dockerfile: use some t64 libraries to build on armhf

Dockerfile: switch to Debian Trixie