Merge !1259: .gitlab-ci: Coverity scan

Implements #450

.gitlab-ci: Coverity scan

Merge branch 'fix-tls-client-resumption' into 'master'

daemon/tls: fix TLS client resumption

Closes #542

See merge request knot/knot-resolver!1261

daemon/tls: fix TLS client resumption

Merge !1254: lib/resolve: EDNS padding for outgoing TLS queries

Fixes #303

lib/resolve: EDNS padding for outgoing TLS queries

Merge !1251: lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

We're a bit late with this ad-hoc rule; I think it was most useful
when SHA256 support in DS algorithms wasn't wide-spread yet.
(Note that DNSKEY algos have standardized no similar rule.)

Usage of SHA1 as DS algorithm is highly discouraged, but even at this
point it does *not* seem unsafe, in the sense of anyone publishing an
attack that would come anywhere close to breaking *this* usage of SHA1.

Merge !1226: daemon/worker: add task timeouts for upstream TCP connections

daemon/worker: add task timeouts for upstream TCP connections

Merge !1253: daemon/bindings/net: add interface name to link-local IPv6 addresses

Fixes #80

daemon/bindings/net: add interface name to link-local IPv6 addresses

Merge branch 'update-tests' into 'master'

ci: various test updates

See merge request knot/knot-resolver!1243

tests/README: merge with docs

pytests: migrate to LXC runner

Due to missing support on some of the regular runners, let's migrate
these tests to our special LXC runners. This should hopefully make the
results more reliable and stable.

The downside is that we have to keep an additional image (and recipe)
for LXC, since it' slightly different. However, it's probably worth it,
since we'll likely migrate some other tests there in the future (for
better stability).

ci: omit extra dependencies for arm

gitignore: pytests junit xml files

ci/images: automate build&push of images

meson: update dependencies for deckard

tests: bring README up to date

meson: minor cleanup

Merge branch 'docs-forwarding-filters' into 'master'

policy docs: warn about filters and forwarding

See merge request knot/knot-resolver!1241

policy docs: warn about filters and forwarding

We've been notified about possibility of "cache poisoning" this way,
so let's document this drawback to make the expectations clearer.

Merge branch 'docs-hints-shadowed' into 'master'

hints docs: better explain shadowing by policies

See merge request knot/knot-resolver!1244

hints docs: better explain shadowing by policies

Merge branch 'doc-links-mailing-lists' into 'master'

doc: fix links to our mailing lists

See merge request knot/knot-resolver!1247

doc: fix links to our mailing lists

Their implementation was changed.
Fortunately I was able to find the message in Google's cache
and thus discover easily which one it is in the new archive.

Merge branch 'doh-cors' into 'master'

doh2: fix CORS by adding `access-control-allow-origin: *`

See merge request knot/knot-resolver!1246

doh2 tests: check CORS headers

I didn't feel like adding it to every test, so I picked a mix.
I confirmed this would fail before the parent commit.

doh2: fix CORS by adding `access-control-allow-origin: *`

For old doh we added this in commit a34aa1ee743;
with the new implementation we somehow forgot.

Merge branch 'release-5-4-4' into 'master'

release 5.4.4

Closes #692

See merge request knot/knot-resolver!1245

Merge branch 'master' into 'release-5-4-4'

# Conflicts:
#   NEWS

release 5.4.4

Merge !1225: prefill module: add ZONEMD support

daemon/zimport: better failure logging

The typical DNSSEC problems should happen already when trying to
validate the DNSKEY set, so it's better to be more verbose there.

In the end I gave up on deduplicating with log_bogus_rrsig() code,
as it's different logging group, logging level, no kr_query, etc.

daemon/zimport: add unit tests for ZONEMD computation

modules/prefill nit: explicit conversion isn't needed here

modules/prefill nit: unify log tag to `[prefil]`

lib/log: remove the unused log groups

We can always easily add groups when needed.

daemon/zimport: rewrite, support ZONEMD

The approach of the code was rather hacky, simulating some packets
arriving from upstream and making the module stack CONSUME that.
Instead we take a direct approach now: use the simplified validator API
and then insert into cache directly.

One effect is improved performance, and consequently roughly halving
the lag which happens when prefill module invokes this.
(With root zone the lag goes down to 0.1 s from over 0.2 s,
 on my relatively fast CPU.  Fortunately it's just once a day.)

Merge !1239: policy: log selected actions, add .IPTRACE

Closes #689

policy: add policy.IPTRACE logging action

doc: add mention about policy debug logging near RPZ

doc: fix link to log groups

policy: log selected actions

The following actions will now be logged in debug level (or request
tracing): ANSWER, DENY, DENY_MSG, DROP, REFUSE, TC

This can be useful for RPZ and other policy debugging.

Purposefully ommitted actions:
PASS - since it's the same as normal processing
REROUTE - the action itself comes from renumber module
STUB,FORWARD,TLS_FORWARD - this could be more confusing than useful
  (e.g. when response comes from cache)

Merge branch 'extended-errors' into 'master'

extended DNS errors support

See merge request knot/knot-resolver!1234

ede: add pytest coverage

ede: mark every error with a unique tag

To allow for easier debugging, each origin of an extended DNS error has
a unique 4-byte identifier that is included in the extra_text message.

The identifiers are random 4-letter base32 strings, generated with:
base32 /dev/random | head -c 4

lua: set_extended_error() func for kr_request

Add a utility function for simpler lua API when setting extended errors.

libknot: bump dependency version to 3.0.2

Version 2.9 isn't supported anymore anyway, but 3.0.2 is needed for
extended error constants.

policy: add extended errors

modules/dns64: EDE - mark as forged

lua: extended_error const table

kluautil: kr_string2c function

ede: handle not authoritative

ede: handle stale answers

ede: add KNOT_EDNS_EDE_NREACH_AUTH

logging: remove QVERBOSE in favor of kr_log_q

modules/extended_error: package module

validate: additional EDE DNSSEC errors

validate: refactor - remove check for impossible return values

kr_dnskeys_trusted() only returns EINVAL, ENOENT or EOK.

validate: add extended DNS errors

modules/extended_error: OPT section modification

lib/log: add LOG_GRP_EDE

lib/resolve: kr_extended_error_t and related func

Merge !1242: ci nix: avoid the failure

ci nix: tweak details around using "unstable" nix CLI

We don't need this on the versions before nix 2.4,
but let's switch now already.

ci nix: temporarily(?) avoid issues

Merge !1240: lib/utils: rename union inaddr to union kr_sockaddr

lib/utils: rename union inaddr to union kr_sockaddr

Merge branch 'fix-aws-console' into 'master'

iterate: fix bad zone_cut update in a rare case

See merge request knot/knot-resolver!1237

iterate nit: don't log a space at the end of a line

iterate: fix bad zone_cut update in a rare case

https://forum.turris.cz/t/kresd-name-unresolution/16275

Example problematic query during QNAME minimization:
```
[resolv][43578.24]   => id: '08532' querying: 'ns-921.amazon.com.'@'34.196.62.143#00053' zone cut: 'aws.amazon.com.' qname: 'coNsOlE.aWs.AmAzON.Com.' qtype: 'NS' proto: 'udp'
[iterat][43578.24]   <= answer received:
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 8532
;; Flags: qr aa  QUERY: 1; ANSWER: 4; AUTHORITY: 1; ADDITIONAL: 0

;; QUESTION SECTION
console.aws.amazon.com.         NS

;; ANSWER SECTION
console.aws.amazon.com. 600     NS      ns-921.amazon.com.
console.aws.amazon.com. 60      CNAME   us-east-1.console.aws.amazon.com.
us-east-1.console.aws.amazon.com. 600   NS      ns-921.amazon.com.
us-east-1.console.aws.amazon.com. 60    CNAME   gr.console-geo.us-east-1.amazonaws.com.

;; AUTHORITY SECTION
us-east-1.amazonaws.com.        60      SOA     ns-921.amazon.com. root.amazon.com. 1638962488 3600 900 7776000 60

[iterat][43578.24]   <= rcode: NXDOMAIN
```

Here the zone_cut would get updated to us-east-1.console.aws.amazon.com.
breaking further resolution towards    eu-west-3.console.aws.amazon.com.

Merge branch 'release-5-4-3' into 'master'

release 5.4.3

See merge request knot/knot-resolver!1236

release 5.4.3

AUTHORS: update

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1235

config: properly document loading of hints module

Merge branch 'parse-rdata' into 'master'

lua: add parse_rdata() utility function

See merge request knot/knot-resolver!1233

doc: document kres.parse_rdata() near policy.ANSWER

config.basic: test coverage for parse_rdata()

lua: add parse_rdata() utility function

Credit for code goes to Vladimír Čunát

Merge branch 'reroute-renumber' into 'master'

renumber and reroute: documentation updates

See merge request knot/knot-resolver!1232

renumber: graceful error on invalid subnet

policy: update REROUTE doc to reflect real configuration

renumber: warn when using unsupported network mask

modules/renumber: remove useless code

Unspecified mask is already returned as full bitlen by
kr_straddr_subnet().

Merge !1230: lua: ensure answer_clear() keeps original EDNS

Fixes #657

lua: ensure answer_clear() keeps original EDNS

Answers to EDNS requests from certain lua policies that use the
answer_clear() function would lack OPT RR and thus violate the MUST
condition in RFC6891.6.1.1.

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1224

doc: edns_keepalive

ci: use allow_failure for known issues

tests/config: increate http timeouts to 16s

On some platforms in CI, even 8s doesn't seem sufficient enough to
guarantee stability. Hopefully this improves the situation.

Merge branch 'gitignore-cache' into 'master'

.gitignore: add '.cache'

See merge request knot/knot-resolver!1231

.gitignore: add '.cache'

Merge branch 'policy-domain' into 'master'

modules/policy: add 'domain' filter for equality matching

See merge request knot/knot-resolver!1228

modules/policy: deduplicate doc

modules/policy docs: tweak an example

Overriding records makes more sense on a particular name
than in a whole sub-tree.

modules/policy: fix doc

modules/policy: fix unused variable (luacheck)