dnsdist: Switch the default DoT provider from GnuTLS to OpenSSL

The feedback from our users is that the OpenSSL provider is faster
and more stable. We also provide better Session Ticket Keys rotation
options with OpenSSL.

Merge pull request #8377 from rgacogne/ddist-more-warnings

dnsdist: Compile with -Wall -Wextra -Wshadow by default

Merge pull request #8378 from rgacogne/ddist-prometheus-senderrors-typo

dnsdist: Fix a typo in the prometheus description of 'senderrors'

dnsdist: Fix a typo in the prometheus description of 'senderrors'

dnsdist: Compile with -Wall -Wextra -Wshadow by default

And -Werror=vla -Werror=shadow -Wformat=2 -Werror=format-security
in CircleCI.

Fix 'this statement may fall through' warnings

dnsdist: Fix shadowed variables

Fix implicitly-declared 'YaHTTP::CookieJar& YaHTTP::CookieJar::operator='

Merge pull request #8342 from chbruyand/pipebackend-unused-warning

pipebackend: remove unused variable

Merge pull request #8371 from omoerbeek/rec-fix-debian-pkg-build

Fix chmod paths in rules files

Fix chmod paths in rules files

Merge pull request #8369 from omoerbeek/auth-pthread_t-isnotanint

Printing a pthread_t on platforms having a non-int pthread_id requires a cast to uintptr_t.

Merge pull request #8368 from rgacogne/ddist-prometheus-third

dnsdist: More prometheus fixes

Merge pull request #8365 from rgacogne/ddist-lowercase-custom-header-names

dnsdist: Lowercase custom DoH header names

Merge pull request #8344 from franklouwers/rec-signalhandling

Add signal handling for SIGTERM and SIGINT in pdns_recursor, if we are PID1

Merge pull request #8366 from omoerbeek/rec-enable-nod

rec: Build Newly Observerd Domain (NOD) support by default.

Printing a pthread_t on platforms having a non-int pthread_id
requires a cast to uintptr_t.

dnsdist: Also lowercase custom DoH header names for early responses

dnsdist: Deduplicate DoH frontend names in prometheus

dnsdist: Add missing prometheus descriptions for  dnsdist_pool_servers and dnsdist_pool_active_servers

dnsdist: Fix a typo in 'tcpdownstreamtimeouts' prometheus description

dnsdist: Fix handling of latency-sum and latency-count in prometheus

dnsdist: Add per-frontend and per-server response counters

Typo. Thanks @phonedph1

Auto, conditional on availability of boot-filesystem lib

Merge pull request #8364 from rgacogne/ddist-webserver-checkconfig

dnsdist: Check the address supplied to 'webserver' in check-config

Merge pull request #8363 from omoerbeek/lgtm-coverity-1

LGTM/coverity spotted issues: copy constructors and = operators

Build Newly Observerd Domain (NOD) support by default.

Still disabled by default config.

Merge pull request #8360 from omoerbeek/rec-systemd-config-perms

rec: chmod/own recursor.conf for the systemd case

dnsdist: Lowercase custom DoH header names

Merge pull request #8361 from rgacogne/ddist-doh-prometheus-bis

dnsdist: Refactor DoH prometheus metrics again

Merge pull request #8359 from rgacogne/dnsdist-setrules-creationorder

dnsdist: Fix the creation order of rules when inserted via SetRules()

dnsdist: Check the address supplied to 'webserver' in check-config

Cleanup copy constructor/assignment op "rule-of-2" violations.

dnsdist: Refactor DoH prometheus metrics again

chmod/own recursor.conf for the systemd case

dnsdist: Fix the creation order of rules when inserted via SetRules()

Merge pull request #8356 from rgacogne/ddist-140-rc3-changelog-secpoll

dnsdist: ChangeLog and secpoll update for 1.4.0-rc3

dnsdist: add DNS over HTTPS and DNS over TLS tags to the conf

dnsdist: ChangeLog and secpoll update for 1.4.0-rc3

Merge pull request #8318 from rgacogne/ddist-prometheus-labels

dnsdist: Better use of labels in our DoH prometheus export

Merge pull request #8349 from rgacogne/ddist-doh-tickets

dnsdist: Implement TLS Session Ticket Keys management for DoH

Problem found by coverity.

dnsdist: Remove references to GnuTLS for DoH

dnsdist: Exclude TLS session resumption tests from Travis (no DoH, old libssl)

dnsdist: Document DoH TLS Session Ticket keys management. Add tests.

Merge pull request #8343 from omoerbeek/lgtm-low-hanging-fruit

Lgtm low hanging fruit

Merge pull request #8350 from omoerbeek/fix-bind-mutex-leak

bind backend: pthread_mutex_t should be inited and destroyed and not be copied

bind backend: pthread_mutex_t should be inited and destroyed and not be copied

To make our live easier, use a native C++ mutex.
Fixes #8161

dnsdist: Skip TCP metrics for UDP frontends over prometheus

dnsdist: Implement TLS Session Ticket Keys management for DoH

Merge pull request #8348 from rgacogne/auth-unit-hardening

auth: Add NoNewPrivileges, PrivateDevices and PrivateTmp back

auth: Add NoNewPrivileges, PrivateDevices and PrivateTmp back

Add comments on why we need this

Only register our handler when we're pid 1, and change to doExit()

Merge pull request #8208 from rgacogne/no-naked-pointers

auth: Get rid of most remaining naked pointers

auth: Mark getFreshAXFRPacket() as static

auth: Use shared pointers for the DNSPacket Lua bindings

Add signal handling for SIGTERM and SIGINT in pdns_recursor

The Linux kernel handles signals for PID 1 processes differently. It
doesn't implement a default handler for some signals such as
SIGTERM/SIGINT.

When running pdns_recursor as a container, this causes a few annoyances.
You can work around those by running your containers with --init or by
installing `tini` inside the container. Or you can handle the signals in
the application itself.

This commit adds signal() handlers for SIGTERM and SIGINT for
pdns_recursor.

Merge pull request #8339 from omoerbeek/clang-format-file

clang-format file proposal

Merge pull request #8340 from omoerbeek/rec-rpz-load-zz

Fix #8338: Issue with "zz" abbreviation for IPv6 RPZ triggers

auth: Get rid of most remaining naked pointers

Add lgtm annotations and #error directives if we're configured wrongly.

Already showing its worth: a few ac checks were missing.

Missed one case of localtime()

Some low-hanging LGTM fruit

Incorporate suggestions from rgacogne

pipebackend: remove unused variable

Merge pull request #8328 from mind04/pdns-mysql-ssl

auth: gmysql backend, add an option to send the SSL capability flag t…

Merge pull request #8326 from rgacogne/security-policy

Add a security policy in our repo, remove outdated statement about versions

Merge pull request #8336 from Habbie/auth-no-version-in-manpage

auth: remove version number from man page footers

dnsdist: Update metrics based on the non-encrypted rcode over DNSCrypt

dnsdist: Update frontend* stats over TCP as well

dnsdist: Better use of labels in our DoH prometheus export

Also add stats about TLS session resumption.

auth: gmysql backend, add an option to send the SSL capability flag to the server

Fix #8338: Issue with "zz" abbreviation for IPv6 RPZ triggers

While there, add unittest for translating rpz names into netmasks

clang-format file proposal

Run with clang-format [-i] -style=file in the tree.
-i does an in-place edit, without it result is written to stdout.

auth: remove version number from man page footers

Merge pull request #8332 from omoerbeek/rec-no-version-in-manpage

Remove version number in man page footer

Be more than explicit about the fact that dnsdist is also covered

Remove version number

Merge pull request #8050 from mind04/nochop

Improved version of #8031 and some other fixes and optimizations.

Merge pull request #8317 from rgacogne/getrandom-eintr

Retry getrandom() on EINTR

Add a security policy in our repo, remove outdated statement about versions

auth: cleanup slave-renotify code

auth: improve the handling of duplicate id's in bindbackend
duplicate id's are not allowed in powerdns and will still result in undefined behavior

auth: bind-backend, improve the domain_id check in lookup()
zone_id was not checked for a root zone and finding the right zone for a specific zone_id was super slow
With this commit, the uncached output of bind backen will increase by approximately 10%

auth: silence 'mastercommunicator.cc:223:104 warning: ‘id’ may be used uninitialized in this function' warning
id was set in getOne()

auth: pdnsutil show zone, make sure the DNSKEY is from the right zone

auth: prevent new database connections while sending notifies

auth: send notifies only to the nameservers in the zone

auth: make sure the RRSIG freshness check is using the right zone

auth: api, look for pre-existing RRsets in the right zone

auth: remove the default default from the zone_id argument in lookup()

lookup calls without a zone_id:

modules/lmdbbackend/lmdbbackend.cc:  lookup(QType(QType::SOA), domain, -1);
pdns/communicator.hh:                b->lookup(QType(QType::ANY),name, -1);
pdns/pdnsutil.cc:                    B.lookup(QType(QType::NS), domain, -1);
pdns/pdnsutil.cc:                    B.lookup(QType(QType::A), DNSName(std::to_string(random()))+domain, -1);
pdns/pdnsutil.cc:                    B.lookup(QType(QType::DNSKEY), zone, -1 );
pdns/dnsbackend.cc:                  this->lookup(QType(QType::SOA),domain,-1);
pdns/mastercommunicator.cc:          B->lookup(QType(QType::NS), di.zone, -1);
pdns/ws-auth.cc:                     di.backend->lookup(QType(QType::ANY), qname, -1);
pdns/slavecommunicator.cc:           B->lookup(QType(QType::RRSIG), di.zone, -1);

auth: prevent the chopOff() loop in lookup(), for SOA queries
without an id, in bind and lmdb backend.

Merge pull request #8324 from Habbie/coprocess-init-pid

pipebackend coprocess: initialise d_pid

Merge pull request #7956 from pieterlexis/auth-dont-start-as-root

Auth: Don't start as root on systemd

Merge pull request #8320 from phonedph1/patch-16

dnsdist: Make KVS lookup text read better

pipebackend coprocess: initialise d_pid

Merge pull request #8322 from omoerbeek/coverity-fix-cwd-for-upload

circleci coverity target: fix cwd for dnsdist and rec when uploading tarballs

Fix cwd for dnsdist and rec when uploading tarballs so ./builder-support
is accessible.