iterate nitpick: better formulation of a comment

I forgot to squash this before 2.4.1; better late than never.

daemon+cache nitpicks: avoid unused variables

These happen with -DNDEBUG only, and clang detects them (not gcc 7).

Merge branch 'zimport-print-64' into 'master'

zimport nitpick: fix printing of uint64_t

See merge request knot/knot-resolver!640

zimport nitpick: fix printing of uint64_t

Equality to `unsigned long` is not guaranteed, and was getting us
warnings on macos (maybe it's not equal there).
Also reduce the overlong lines.

Merge branch 'ci-respdiff' into 'master'

ci: run respdiff jobs

See merge request knot/knot-resolver!638

ci: run respdiff jobs

Merge !639: cache.clear(): error out if cache isn't open yet

lua cache bindings: error out if cache isn't open yet

The catch is that during configuration file processing,
no cache is open (yet), as kresd can't know if the config
does open it in some later part (with non-default path or size).
Now we just throw an error.  Exceptions:
 - cache.open() and cache.backends(), of course :-)
 - cache.ns_tout() - not required, it's not really inside cache
 - cache.close() - it sounds reasonable to allow "closing a closed cache"

This immediately caught a typo in cache metatable.

Merge branch 'master-2.4.1' into 'master'

update NEWS, version and deckard

See merge request knot/knot-resolver!637

tests/deckard: update to master

release 2.4.1

(cherry picked from commit 54797e88b144345c6c530731ff2e1b8d659ff5a3)

Merge branch 'cache-pkt-ttl' into 'master'

cache: fix TTL overflow in packet due to min_ttl

See merge request knot/knot-resolver-security!8

cache: fix TTL overflow in packet due to min_ttl

- `min_ttl()` enforces packet being alive longer than original TTL
  of some records; but
- the packet is copied to cache as it was.

Resolution: just serve packet the same but with those record's TTLs
remaining at zero.

Merge branch 'validate-insecure-bailiwick' into 'master'

validate: additional bailiwick checks

See merge request knot/knot-resolver-security!9

validate: additional bailiwick checks

Let's use this as another layer of defense against our internal bugs.

Merge branch 'marek/fix-cname-cache-injection' into 'master'

layer/iterate: fix cache injection via CNAME

See merge request knot/knot-resolver-security!7

layer/iterate: fix cache injection via CNAME

The current default mode doesn't check bailiwick anymore when unrolling
CNAME chains, so if an answer contains:

```
testingme.com.       3600 IN CNAME victim.com.
victim.com.         172800 IN NS attackers.ns
```

The resolver will cache both records as authoritative even though
`victim.com` isn't in the current bailiwick. This was previously
checked in 79d9931daaa5b9e6c7965f6ee29c965786a4754e, but removed
in refactoring.

Merge branch 'ci-knot2.7' into 'master'

ci: update dockerfiles to support different knot versions

See merge request knot/knot-resolver!635

ci: update dockerfiles to support different knot versions

ci/debian-unstable: simplify image

ci/debian: update dependencies

Merge !632: Fix http module regressions from 2.3.0

http: NEWS

http: remove /feed from docs

/feed disappeared in v1.1.0 and never worked since then.
fixup! 6887a4a2be84f9276c4cdfb903f757aafd19e778

http: clarify TLS configuration and recommend reverse-proxy

Fix regression in HTTP module which broke custom certs.

This is now covered by test suite.
fixup! b2cefdcf350e846492579e3308f234a696350e01 (regressed in 2.4.0).

Parameter cert=false did not work even in 2.3.0 so it was replaced with cleaner
tls=false.

Remove http:// from examples.

We want to encourage users to use HTTPS everywhere.

Merge !634: hints docs: unify the descriptions of `hints.root()`

hints docs: unify the descriptions of `hints.root()`

(Thanks to Láďa.)
Also try to stress that hints.set() only takes a pair and not more.

Merge branch 'aggressive-nsec3-fixes' into 'master'

Aggressive nsec3 fixes

Closes #384

See merge request knot/knot-resolver!628

NEWS for the caching fix in grand-parent commit

cache closest_NS(): factor out the inside of a loop

The code around was getting too complex and too deeply indented.

cache: don't require cached NS for aggresive answers

cache: better logging of NSEC3 parameters

Merge branch 'tls-tickets-0ms' into 'master'

daemon/tls session tickets: avoid bad scheduling cycles

Closes #385

See merge request knot/knot-resolver!631

daemon/tls session tickets: avoid bad scheduling cycles

This should fix #385: possible floods with
> scheduling rotation check in 0 ms

Merge branch 'tls-reneg' into 'master'

daemon/tls: properly process TLS rehandshake

See merge request knot/knot-resolver!623

daemon/tls: properly process TLS rehandshake

Merge branch 'update-rpm-spec' into 'master'

distro/rpm: add BuildRequires: gcc

See merge request knot/knot-resolver!625

distro/rpm: add BuildRequires: gcc-c++

Reference: https://fedoraproject.org/wiki/Changes/Remove_GCC_from_BuildRoot

Merge branch 'add-version-in-lua' into 'master'

added package_version() in Lua, removed version module

See merge request knot/knot-resolver!412

distro/deb: remove version.lua module

added package_version() in Lua, removed version module

The package_version() function returns current build information.
Removed the version module instead of fixing, as it's being obsoleted.

luacheck: added missing module (trust_anchors)

Merge branch 'various-tcp-fixes' into 'master'

daemon: avoid memory leak when reading broken incoming TCP stream

See merge request knot/knot-resolver!626

daemon: broken incoming TCP stream can lead to memory leaks in some circumstances, fixed

Merge branch 'tcp-client-idle-timeout' into 'master'

daemon/io: configurable idle timeout for incoming TCP connection

See merge request knot/knot-resolver!624

daemon: make idle timeout for incoming connection configurable

Merge branch 'respdiff-threshold' into 'master'

ci: bump respdiff threshold to 1.0%

See merge request knot/knot-resolver!627

ci: bump respdiff threshold to 1.0%

The upstream data have changed, so the threshold has to be bumped for CI
to pass.  This is a temporary measure before we have a better working
solution

Related https://gitlab.labs.nic.cz/knot/respdiff/issues/12

Merge branch 'release-2-4-0' into 'master'

Release 2.4.0

See merge request knot/knot-resolver!622

release 2.4.0

bump libknot dependency to 2.6.7

Merge branch 'systemd-updates' into 'master'

systemd: use kresd.target for service start

See merge request knot/knot-resolver!597

distro/rpm: update systemd scriptlets

distro/systemd: use kresd.target to start enabled instances

Starting multiple systemd units with a target is conceptually cleaner
than using globbing expression.

Related https://github.com/systemd/systemd/issues/9080

distro: move systemd unit files

distro: move kresd.systemd man page

distro: move tmpfiles

Merge branch 'upstream-packet-check' into 'master'

daemon/worker: upstream's answer integrity check

Closes #366

See merge request knot/knot-resolver!619

daemon/worker: upstream's answer integrity check

Merge branch 'ci-dockerfiles' into 'master'

ci: dockerfiles

See merge request knot/knot-resolver!621

ci: organize dockerfiles

ci: debian-unstable docker - install new respdiff

Merge branch 'NEWS' into 'master'

NEWS: preparation for 2.4 release

See merge request knot/knot-resolver!620

NEWS: preparation for 2.4 release

Merge branch 'dns64' into 'master'

modules/dns64: implement more properties from RFC

Closes #375

See merge request knot/knot-resolver!617

modules/dns64: implement more properties from RFC

- don't synthesize if +CD
- bound synthesized TTL by SOA's TTL
- set AD flag if synthesizing from secure NODATA and A.
- review the RFC for properties that the module is missing

Merge branch 'distro-tests-fix' into 'master'

distro/tests: configure correct OBS repo

See merge request knot/knot-resolver!618

distro/tests: configure correct OBS repo

Merge branch 'tls-tickets-old-gnutls-disable' into 'master'

TLS session resumption: disable on gnutls < 3.5

See merge request knot/knot-resolver!615

TLS session resumption: disable on gnutls < 3.5

Merge !614: ta_sentinel: remove limit for IN class

ta_sentinel: remove limit for IN class

Draft version -14 does not contain limitation to IN class.

References: knot/knot-resolver!596

Merge branch 'distro-tests' into 'master'

distro/tests: add new distros

See merge request knot/knot-resolver!616

distro/tests: add new distros

distro/tests: use identifiable VM names

Merge branch 'ci-make-check' into 'master'

ci: fix make check

See merge request knot/knot-resolver!612

ci: optimize check-integration

py.test now runs Deckard tests in parallel so it does not make sense to
run py.test instances in parallel (using make), it just clutters output.

tests unit: print commands executed by make

tests bench: print commands executed by make

tests: fix LD_PRELOAD tricks in Makefile to fix make check

fixup! 0118441e60ca2937790bd65526b2a07edd73b2c4 which broke
make check on systemd without libkres in library path.

gitignore: bench/bench_lru

distro/rpm: run make check during pkgbuild

ci: test that `make check` does not require installation

Merge branch '369_log_bogus' into 'master'

new module: bogus_log to log DNSSEC bogus queries

Closes #369

See merge request knot/knot-resolver!613

new module: bogus_log to log DNSSEC bogus queries

Merge branch 'lua-layer-doc' into 'master'

doc: behavior of layers on kres.FAIL in lua modules

See merge request knot/knot-resolver!611

doc: behavior of layers on kres.FAIL in lua modules

Merge !608: Protection from DNS rebinding attack

Closes #320 and #371.

protection from DNS rebinding attack

Closes: #320

lua: provide Lua tostring for sockaddr_t

CI: fail build if kres-gen.lua is not up-to-date

Closes: #371

gitignore: coverage.stats

Temporary directory generated by code coverage measurement.

fixup! daemon/lua: added basic bindings for LRU

Fix mess in daemon/lua/kres-gen.lua after
6e2ed9ec29be56e4ee08d8bae8bf3ba978bbbf86

fixup! check per-query flags instead of global options, getter for NS name

Remove stray kr_zonecut_find_nsname() which somehow appeared in
45e38b3df3e5aee9c93de0fe7a78b20811e65bae.

build: catch errors during kres-gen.lua regeneration

Merge branch 'kresd_special_tests' into 'master'

Special integration tests

See merge request knot/knot-resolver!610

serve_stale: merge integration test for serve_stale module

Closes: deckard!103

policy: merge integration test for REFUSE policy

Closes: deckard!114