Merge !1271: ci/images: add docs

ci/images: add debian-11-coverity description

ci/images: add image description

ci/images: ensure base image is updated

Merge !1275: modules/dns64: fix incorrect packet writes for cached packets

Fixes #727

modules/dns64: fix incorrect packet writes for cached packets

Also change the return type of kr_pkt_has_dnssec() and lua's :dobit()

Merge branch 'release-5-5-0' into 'master'

release 5.5.0

See merge request knot/knot-resolver!1272

AUTHORS: duplicate alias removed

release 5.5.0

Merge !1273: Documentation nits (policy, predict)

predict docs: be more explicit about recommended use

We're still run into people who thought that the example config
is a suitable default.  Example where it caused practical issues:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/WQDJJ3LLEIZ5U3VVSCITW6DZPICW4L7U/

policy docs: explain non-ASCII names

Merge branch 'selection' into 'master'

lib/selection: fix interaction of timeouts with reboots

Closes #722

See merge request knot/knot-resolver!1269

Revert "daemon/worker: add task timeouts for upstream TCP connections"

This reverts commit 0c9ea1332e1c4475043eab571f60915b90985999 (!1226).

CI rp:fwd-tls6.udp-asan now repeatedly shows use-after-free.
That could be a serious issue, and this commit's feature
seems less important than the risk.  Let's revert until the issue
gets deeper investigation.

lib/selection: fix interaction of timeouts with reboots

We use "monotonic" time-stamps for the dead_since field;
that breaks on system reboots, in which case we reset the stats.
(if the server was categorized as dead)

If the server times out afterwards, we'd fail the condition
`cur_state.consecutive_timeouts == old_state.consecutive_timeouts`
so its stats would not update.  Therefore we'd get stuck forever
in a state where the unusable server has high priority (no_rtt_info).

This commit changes a bit more than was necessary to fix this,
including precision of the stats (in some cases).

lib/selection: improve randomness of ties

The approach was dubious: random shuffle, qsort() and choose the first.
The main functional problem was that qsort() isn't a stable sort,
so the effect of pre-shuffling is not reliable, even though I don't have
any evidence of this causing issues in practice.

The new code should also be a bit more efficient in terms of CPU and
consumed randomness, but that probably won't be noticeable.
The arrays passed into select_transport() are now const (no sorting),
which could make the code easier to "understand".

Merge branch 'ci-remove-arm' into 'master'

ci: remove experimental arm builds

See merge request knot/knot-resolver!1270

ci: remove experimental arm builds

These are running on a hardware setup which is hard to maintain. In the
near future, ARM64 should be covered by a dedicated runner.

Merge branch 'keyblock-update' into 'master'

pgp: remove tkrizek, add amrazek

See merge request knot/knot-resolver!1268

pgp: remove tkrizek, add amrazek

Merge branch 'distrotests-rocky8' into 'master'

distro/tests: use rocky8 instead of centos8

See merge request knot/knot-resolver!1267

distro/tests: add Rocky support

.gitlabci: add some doc comments for distotest job

distro/tests: use rocky8 instead of centos8

Merge !1266: Coverity Scan false positives clarifications

Coverity Scan false positives clarifications

Merge branch 'cache-nit-ttl' into 'master'

cache nit: reduce cache.max_ttl limit a bit

See merge request knot/knot-resolver!1265

cache nit: reduce cache.max_ttl limit a bit

The new limit is over 68 years, so still completely meaningless.

Merge !1264: Fix defects detected by Coverity Scan

Fix defects detected by Coverity Scan

Targeted CIDs: 155456, 155962, 346121, 346123, 346124, 346125,
  346126, 346127, 346130, 346131, 346132, 346134, 346135, 346138,
  346140, 346145, 346146, 346149, 346152, 346154, 346156, 346157

lib/dnssec/nsec3.c change:
  apparently cleaning fallout from my (= vcunat's) commit b5cf61325ae

Merge !1256: modules/dnstap: improve UX for common errors

modules/dnstap: improve UX for common errors

The main thing is the "failed to open socket" message.
But let's also elevate other fatal one-off logs to ERROR level.

modules/dnstap: don't do anything on loading the module

Usually in configuration the module is loaded in a separate command
from passing configuration to it.  For dnstap this loading would
immediately lead to opening the default socket path, even if the
configuration actually specifies (a different) path later.

Users can still force using the default by passing an empty table:
`dnstap.config({})` or `modules = { dnstap = {}}`
(though I doubt the utility of the default /tmp/dnstap.sock anyway)

Merge !1257: lib/resolve, modules: NO_ANSWER for not responding to clients

Implements #432

lib/resolve, modules: NO_ANSWER for not responding to clients

Merge !1238: Support for PROXYv2 protocol

daemon, lib: document API changes made due to PROXYv2

daemon: add PROXYv2 SSL TLV handling + minor refactoring

daemon: correct PROXYv2 handling for TCP sessions

daemon/bindings doc: PROXYv2 clarifications

daemon: use flags from proxy header + refactor comm data

daemon: allow setting zero netmasks for net.proxy_allowed()

tests/config: net.proxy_allowed() support

daemon/proxyv2.test: deckard test for PROXYv2

daemon/bindings: add net.proxy_allowed() + docs

daemon: PROXYv2 header processing

Merge !1259: .gitlab-ci: Coverity scan

Implements #450

.gitlab-ci: Coverity scan

Merge branch 'fix-tls-client-resumption' into 'master'

daemon/tls: fix TLS client resumption

Closes #542

See merge request knot/knot-resolver!1261

daemon/tls: fix TLS client resumption

Merge !1254: lib/resolve: EDNS padding for outgoing TLS queries

Fixes #303

lib/resolve: EDNS padding for outgoing TLS queries

Merge !1251: lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

We're a bit late with this ad-hoc rule; I think it was most useful
when SHA256 support in DS algorithms wasn't wide-spread yet.
(Note that DNSKEY algos have standardized no similar rule.)

Usage of SHA1 as DS algorithm is highly discouraged, but even at this
point it does *not* seem unsafe, in the sense of anyone publishing an
attack that would come anywhere close to breaking *this* usage of SHA1.

Merge !1226: daemon/worker: add task timeouts for upstream TCP connections

daemon/worker: add task timeouts for upstream TCP connections

Merge !1253: daemon/bindings/net: add interface name to link-local IPv6 addresses

Fixes #80

daemon/bindings/net: add interface name to link-local IPv6 addresses

Merge branch 'update-tests' into 'master'

ci: various test updates

See merge request knot/knot-resolver!1243

tests/README: merge with docs

pytests: migrate to LXC runner

Due to missing support on some of the regular runners, let's migrate
these tests to our special LXC runners. This should hopefully make the
results more reliable and stable.

The downside is that we have to keep an additional image (and recipe)
for LXC, since it' slightly different. However, it's probably worth it,
since we'll likely migrate some other tests there in the future (for
better stability).

ci: omit extra dependencies for arm

gitignore: pytests junit xml files

ci/images: automate build&push of images

meson: update dependencies for deckard

tests: bring README up to date

meson: minor cleanup

Merge branch 'docs-forwarding-filters' into 'master'

policy docs: warn about filters and forwarding

See merge request knot/knot-resolver!1241

policy docs: warn about filters and forwarding

We've been notified about possibility of "cache poisoning" this way,
so let's document this drawback to make the expectations clearer.

Merge branch 'docs-hints-shadowed' into 'master'

hints docs: better explain shadowing by policies

See merge request knot/knot-resolver!1244

hints docs: better explain shadowing by policies

Merge branch 'doc-links-mailing-lists' into 'master'

doc: fix links to our mailing lists

See merge request knot/knot-resolver!1247

doc: fix links to our mailing lists

Their implementation was changed.
Fortunately I was able to find the message in Google's cache
and thus discover easily which one it is in the new archive.

Merge branch 'doh-cors' into 'master'

doh2: fix CORS by adding `access-control-allow-origin: *`

See merge request knot/knot-resolver!1246

doh2 tests: check CORS headers

I didn't feel like adding it to every test, so I picked a mix.
I confirmed this would fail before the parent commit.

doh2: fix CORS by adding `access-control-allow-origin: *`

For old doh we added this in commit a34aa1ee743;
with the new implementation we somehow forgot.

Merge branch 'release-5-4-4' into 'master'

release 5.4.4

Closes #692

See merge request knot/knot-resolver!1245

Merge branch 'master' into 'release-5-4-4'

# Conflicts:
#   NEWS

release 5.4.4

Merge !1225: prefill module: add ZONEMD support

daemon/zimport: better failure logging

The typical DNSSEC problems should happen already when trying to
validate the DNSKEY set, so it's better to be more verbose there.

In the end I gave up on deduplicating with log_bogus_rrsig() code,
as it's different logging group, logging level, no kr_query, etc.

daemon/zimport: add unit tests for ZONEMD computation

modules/prefill nit: explicit conversion isn't needed here

modules/prefill nit: unify log tag to `[prefil]`

lib/log: remove the unused log groups

We can always easily add groups when needed.

daemon/zimport: rewrite, support ZONEMD

The approach of the code was rather hacky, simulating some packets
arriving from upstream and making the module stack CONSUME that.
Instead we take a direct approach now: use the simplified validator API
and then insert into cache directly.

One effect is improved performance, and consequently roughly halving
the lag which happens when prefill module invokes this.
(With root zone the lag goes down to 0.1 s from over 0.2 s,
 on my relatively fast CPU.  Fortunately it's just once a day.)

Merge !1239: policy: log selected actions, add .IPTRACE

Closes #689

policy: add policy.IPTRACE logging action

doc: add mention about policy debug logging near RPZ

doc: fix link to log groups

policy: log selected actions

The following actions will now be logged in debug level (or request
tracing): ANSWER, DENY, DENY_MSG, DROP, REFUSE, TC

This can be useful for RPZ and other policy debugging.

Purposefully ommitted actions:
PASS - since it's the same as normal processing
REROUTE - the action itself comes from renumber module
STUB,FORWARD,TLS_FORWARD - this could be more confusing than useful
  (e.g. when response comes from cache)

Merge branch 'extended-errors' into 'master'

extended DNS errors support

See merge request knot/knot-resolver!1234

ede: add pytest coverage

ede: mark every error with a unique tag

To allow for easier debugging, each origin of an extended DNS error has
a unique 4-byte identifier that is included in the extra_text message.

The identifiers are random 4-letter base32 strings, generated with:
base32 /dev/random | head -c 4

lua: set_extended_error() func for kr_request

Add a utility function for simpler lua API when setting extended errors.

libknot: bump dependency version to 3.0.2

Version 2.9 isn't supported anymore anyway, but 3.0.2 is needed for
extended error constants.

policy: add extended errors

modules/dns64: EDE - mark as forged

lua: extended_error const table

kluautil: kr_string2c function