datamodel/templates: fix undefined disable_defer

Merge branch 'dnssec-false' into 'master'

datamodel/templates: fix `dnssec: false`

See merge request knot/knot-resolver!1687

datamodel/templates: fix `dnssec: false`

Merge !1684: tests/integration/deckard: update to latest master

tests/integration/deckard: update to latest master

Hack-compatibility with python >= 3.11

Merge branch 'release-6.0.12' into 'master'

Release 6.0.12

See merge request knot/knot-resolver!1680

release 6.0.12

Merge !1682: DoS: fix rare crashes

NEWS: classify these issues as "security"

If an attacker can control client's queries
(and register names with malicious auths),
with enough work they probably can trigger the conditions often.

daemon/session2_tasklist_del(): be more defensive

I don't expect we still have a bug here, but even so -
if this assertion fails, I don't think we need to force a crash.
A recoverable assertion seems a better choice here.

daemon/worker pl_dns_stream_disconnected(): fix tasklist confusion

The tasks on the waitinglist are not present in the taskslist,
so let's not incorrectly attempt removal in this case.

We didn't check the return value here, and the disconnection event
won't even happen in the typical cases, so this has been unnoticed -
until the deletion actually did find a matching msgid (lucky!)
by a *different* task (of course) which triggered an assertion (crash).

daemon/worker send_waiting(): be more defensive

We encountered non-recoverable assertions due to popping
from an empty queue here, but I see no reason to block recovery here.
I'm still keeping it as a soft assertion until it's better understood.

I *suspect* what happened is that:
 - multiple queries queued up before outgoing TCP handshake completed
 - the session got into closing state for some reason
   *before* processing this whole queue
 - during that the queue got emptied

Merge !1673: doc: updates and improvements

doc/dev/build: migrate the systemd section to 6.x style

doc: typos

doc/dev: update building from sources

Removed some outdated stuff.

doc/user/manager-api: introduction, rewordings, warnings

modules/hints docs: transplant text from the user docs

It will be deleted from user docs, and perhaps it could be useful.

doc: misc minor fixes

doc/user: move cache-clearing API docs to the API page

It seemed to clutter the cache page in docs,
even though very few users will be directly interested in the API.

doc/user/manager-api.rst: restructure this page

It felt disorganized, some topics were even discussed twice,
so in this commit I tried to improve the structure of this page.

doc: misc tiny fixes

doc/user/gettingstarted-startup.rst: less strong formulation

Some distros do enable knot-resolver.service on installation,
e.g. I quickly tried in a CentOS 9 LXC where it didn't start
immediately but it did after restarting the container.
I believe that customs of each distro should be followed here.

doc/kresd.8: warn that the `knot-resolver` command is preferred

We keep installing this manpage in default 6.x packaging,
so at least put a notice in there.

doc/user: drop `man knot-resolver.systemd`

We don't have it.  Before 6.x we used to install kresd.systemd.7
but it wasn't really more detailed than the current 6.x systemd docs.

Merge !1677: fix DoH with multiple "parallel" queries in one connection

Closes #931

daemon: fix DoH with multiple "parallel" queries in one connection

Merge !1676: modules/stats: further improve latency measurements

modules/stats: further improve latency measurements

libuv's updating the stamp just once per event loop
might be too coarse, as processing multiple packets
(e.g. DNSSEC validation) may take milliseconds together.

Of course we still don't measure e.g. the time when incoming
client requests stay in OS buffers.

lib: clarify the doc-comment for struct kr_query::timestamp

modules/stats: fix calculation of request's latency

Merge branch 'ci-docker-buildx-stop' into 'master'

ci: docker: stop buildx after cross-platform build

See merge request knot/knot-resolver!1674

ci: docker: stop buildx after cross-platform build

Merge !1665: manager: files watchdog for RPZ and some improvements

manager: server: have/has typo

tests/packaging/interactive: watchdog.sh renamed to tls_cert_watchdog.sh

manager: files: watchdog: added RPZ files

Separate timer for each command.

datamodel: local-data: added watchdog for RPZSchema

manager: files: watchdog for all files

Merge !1671: doc: include jquery for sphinx version >= 2.*

Doc: include jquery for sphinx version equal or greater to 2.*

Merge !1667: doc/user: add a list of RFCs

doc/user: add a list of RFCs

Some big organizations are interested in this kind of documentation.

Merge !1670: datamodel/templates: fix tags in /local-data/rules/*/records

datamodel: templates: fix undefined variables and attributes

datamodel: templates: set StrictUndefined for undefined variables

datamodel/templates: fix tags in /local-data/rules/*/records

It was generating 0 silently, which is as if not specifying any tag-list.

Merge branch 'ci-docker-fedora-update' into 'master'

ci: update to new IMAGE_TAG with newer Fedora release

See merge request knot/knot-resolver!1669

ci: update to new IMAGE_TAG with newer Fedora release

Merge !1666: ci: pkg: add ubuntu 25.04

ci: pkg: add ubuntu 25.04

Merge !1664: datamodel: management: reverting to absolute path for unix-socket

Fixes #926

NEWS: update about revert

client: command: get_socket_from_config improved

datamodel: management: warning that the unix-socket is not located in rundir

Revert "datamodel: management socket default based on rundir"

This reverts commit 10fb87547af05cd78e76dfb94951c34f4554d090.

Revert "python: constants: added API_SOCKET_NAME"

This reverts commit cee2250c5a52a4d67ea2a37cc97761ba530f856b.

Merge branch 'release-6.0.11' into 'master'

Release 6.0.11

See merge request knot/knot-resolver!1663

release 6.0.11

Merge !1659: validator: accept a confusing NODATA proof with insecure delegation

validator: accept a confusing NODATA proof with insecure delegation

Honestly, I find it ugly and probably unintended,
but it's correctly signed and other vendors tend to accept it.

Example:
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 24204
;; Flags: qr aa rd; QUERY: 1; ANSWER: 0; AUTHORITY: 4; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: do; UDP size: 4096 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; _domainkey.mail.cez.cz.              TXT

;; AUTHORITY SECTION:
cez.cz.                 3600    SOA     ns10.cez.cz. netmaster.cez.cz. 2025021801 14400 3600 604800 7200
cez.cz.                 3600    RRSIG   SOA 10 2 3600 20250302073317 20250223063317 45620 cez.cz. JnAonhCOi234lF2A40lYaHcuKtxACKz8X6UFILSgSaK00xyXDk6gWDWo3nmMjXxBwgfP98Gaj8nLMqRZ7ezAEUfWi+5P4YCQzax5Habu3nKB+XKocIPMCHHMhOMf410w4Taz4N2rKgi1p71QkuujISi3JZWzqG4bqzot2cGL12w=
1vk9lupeivbv7dhsb7udm5da1hkd089j.cez.cz. 7200   NSEC3   1 0 1 ACB298B834ADA5FD 1vk9lupeivbv7dhsb7udm5da1hkd089k A NS HINFO MX AAAA SRV RRSIG CAA
1vk9lupeivbv7dhsb7udm5da1hkd089j.cez.cz. 7200   RRSIG   NSEC3 10 3 7200 20250303115912 20250224105912 45620 cez.cz. OBW90lof86IoVsiuKkNEf4useG3fikE+npAVkpbiVsgMZWLHRNzAAlIU9wPMH5S4CWpnwoMVTaNtWJxegsG7cvCDZrjVVNOHE9hLOG2eG9f57vx/tVFTe4/DegO9KOyColOOYt4nt/uj7LTJZbzJY3Ev8I9971LEkFf5IxVwwPU=

Merge !1657: datamodel: management: default unix-socket based on rundir

NEWS: add entry

datamodel: management socket default based on rundir

python: constants: added API_SOCKET_NAME

Merge !1662: tests: disable problematic config.http test

tests: disable problematic config.http test

https://gitlab.nic.cz/knot/knot-resolver/-/issues/925

Merge branch 'ci-pkg-debian13' into 'master'

ci: pkg: debian 13

See merge request knot/knot-resolver!1658

ci: pkg: added debian 13

Merge !1656: allow multiple managers

allow multiple managers

This concerns the AF_UNIX socket for sd_notify() protocol
between supervisord and the individual kresd processes.
Before: "@knot-resolver-control-socket"
Now: "/the_rundir/supervisor-notify-socket"

Nits: also some refactoring (goto)

Merge !1655: datamodel: cache: prefill: fix ca-file template

datamodel: cache: prefill: fix ca-file template

> TypeError: can only concatenate str (not "ReadableFile") to str

Merge !1651: manager: processes watchdog error during shutdown

NEWS: processes watchdog fix

manager: server: handle SubprocessControllerError during init

manager: processes_watchdog: handle SubprocessControllerError during shutdown

python: formatting improvements

manager: watchdog renamed to processes_watchdog

Merge !1654: daemon/lua: avoid depending on KNOT_EDNS_MAX_OPTION_CODE

daemon/lua: avoid depending on KNOT_EDNS_MAX_OPTION_CODE

We don't need to use the knot_edns_options_t type from lua,
only there's a pointer in knot_pkt_t.
Now libknot increased this length in v3.4.4,
even without bumping SONAME, and it might happen again.
This way we avoid kres-gen-33.lua depending on this length.

Merge !1653: manager: delayed policy-loader exit

NEWS entry for the policy-loader race

datamodel: policy-loader: avoid dependency on lua-cqueues

datamodel: policy-loader: added sleep after loading the config

Merge branch 'release-6.0.10' into 'master'

Release 6.0.10

See merge request knot/knot-resolver!1648

release 6.0.10

Merge !1642: kr_request: add a .ratelimited flag

kr_request: add a .ratelimited flag

This makes it simpler for other parts of resolver to react to this
situation, e.g. custom modules pushing the information to analytics.

Merge !1646: views: allow overriding price-factor

daemon/defer: add price-factor to verbose log, comment

doc: add price-factor to views

daemon/defer: add price-factor to config schema

daemon/defer: fix setting price-factor from views

datamodel: types: added custom types for float values

FloatBase: base type to work with float values
FloatNonNegative: custom type for non-negative float numbers

price_factor WIP

Merge branch 'ci-docs-build' into 'master'

ci: move docs:build to build stage

See merge request knot/knot-resolver!1647

.gitlab-ci.yml: moved docs:build to the right stage

Merge branch 'tls-cert-files-watchdog-config' into 'master'

manager: datamodel: 'files-watchdog' config for TLS certificate files

See merge request knot/knot-resolver!1645

datamodel: types: files: handle PermissionError