Set the minimum version of idna to 3.7.

Earlier versions have a potential DoS issue.

Close QUIC sync and trio sockets when done.

(cherry picked from commit 11b09df714b9d159a47cc9fe9e3934ac32646f9a)

update CI

The Tudoor fix should not eat valid Truncated exceptions [#1053] (#1054)

* The Tudoor fix should not eat valid Truncated exceptions [##1053]

* Make logic more readable

(cherry picked from commit 2ab3d1628c9ae0545e225522b3b445c3478dc6ad)

2.6.1 version prep

Further improve CVE fix coverage to 100% for sync and async.

(cherry picked from commit a1a998938b7370dae41784f8bc0a841dc2addba9)

test IgnoreErrors

(cherry picked from commit ac6763f1018458835201b38cae848e4d261f3e5c)

For the Tudoor fix, we also need the UDP nameserver to ignore_unexpected.

(cherry picked from commit 5a441b9854425c4e23abb8f91973361fe8401e33)

2.6.0 versioning

Require cryptography >=41 instead of 42.

Create CODE_OF_CONDUCT.md

(cherry picked from commit 35834c6888f8b2ea738f808c5eeefa78a2f81728)

github contributing and pull request template

(cherry picked from commit 7401efab4d6c2db93886ca92b4479ce90d749a51)

The DoHNameserver now supports using GET instead of POST
if desired, and passes source and source_port to the
underlying query methods.

(cherry picked from commit b9eea8ec7c18c516032460882d2a7feba0f6aac9)

2.6.0 prep

2.6.0 prep

minor (but pervasive!) black 2024 stable style changes

lint

update for 2.6.0

Address DoS via the Tudoor mechanism (CVE-2023-29483) (#1044)

update for 2.6.0

dns.dnssecalgs.base is safe to import without cryptography,
and should be imported!  [#1043]

Include the text description of an EDE. (#1042)

* Include the text description of an EDE.

For known EDEs, add the description of the code in the output.

* Update test.

Test for recent-enough versions of optional packages. (#1041)

Add EDNS NSID option.

add accidentally omitted license field to [project]

The EDNS Option base class should have a NotImplemented to_text().

update ruff config to non-deprecated syntax

switch to codecov-action@v4 take 2

switch to codecov-action@v4

In tests, work around musl libc and docker issues.

Specifically: musl libc's getaddrinfo behavior always returns
a canonical name.

Docker's resolver proxy doesn't do dangling CNAMEs correctly
and also answers NXDOMAIN in some cases where it should say
no error, no data.

Fix elliptic curve test deprecation warning from cryptography 42.

We were passing a curve class as the curve parameter in
testSignatureECDSAP256SHA256 and testSignatureECDSAP384SHA384,
not an instance of the curve class.  The official API has
always been to pass an instance, but it tolerated passing a class.
Starting with Cryptogrphy 42, passing a class is deprecated.

update requirements

actions cleanup

Bump readthedocs-sphinx-search from 0.3.1 to 0.3.2 (#1033)

Bumps [readthedocs-sphinx-search](https://github.com/readthedocs/readthedocs-sphinx-search) from 0.3.1 to 0.3.2.
- [Changelog](https://github.com/readthedocs/readthedocs-sphinx-search/blob/main/CHANGELOG.rst)
- [Commits](https://github.com/readthedocs/readthedocs-sphinx-search/commits/0.3.2)

---
updated-dependencies:
- dependency-name: readthedocs-sphinx-search
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

bump hatchling minimum version for official 3.12 support

update SECURITY.md supported status

increment development version

GSS-TSIG doco updates

formatting lint

lint

update whatsnew for 2.5.0

Uniform TLS verify argument support. (#1027)

* Uniform TLS verify argument support.

* async TLS should get verify too

Pad if needed when making a response. (#1026)

use self._section_enum in a few places we missed

Add Message.section_count(). (#1024)

Adds a method to return a count of the number of records in each
section.

Add prefer_truncation to Message.to_wire(). (#1023)

If a caller passes prefer_truncation=True, the message will be truncated
if it would otherwise exceed the maximum length.  If the truncation
occurs before the additional section, the TC bit will be set.

This behavior matches what a name server would do when generating a
response.

Add next_name() method to NSEC3 [#1022].

Fix NSEC3 next field documentation [#1022].

Ensure asyncio datagram sockets on windows have had a bind() before
recvfrom().

The fix for [#637] erroneously concluded that that windows asyncio
needed connected datagram sockets, but subsequent further
investation showed that the actual problem was that windows wants
an unconnected datagram socket to be bound before recvfrom is called.
Linux autobinds in this case to the wildcard address and port, so
that's why we didn't see any problems there.  We now ensure that
the source is bound.

Bump github/codeql-action from 2 to 3 (#1021)

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 2 to 3.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/v2...v3)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

remove ALPN debugging prints

NotImplementError -> NotImplementedError

Fix setting source for sync/trio quic queries.

The sync code called connect() before bind(), which meant that any
attempt to specify a source resulted in an exception.  This switches the
order.

The trio code called a nonexistent method in the wrong place, so didn't
work at all.  This fixes the call and puts it in the right place.

The asyncio code worked, so no changes were needed.

Bump actions/setup-python from 4 to 5 (#1020)

Bumps [actions/setup-python](https://github.com/actions/setup-python) from 4 to 5.
- [Release notes](https://github.com/actions/setup-python/releases)
- [Commits](https://github.com/actions/setup-python/compare/v4...v5)

---
updated-dependencies:
- dependency-name: actions/setup-python
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Update RFC doco with HTTPS/SVCB RFC

Allow Zones with different map types. (#1015)

* Allow Zones with different map types.

* Backwards compatibility for python 3.8.

Fix the ignored bootstrap_address for DoHNameserver in async query (#1018)

update sphinx and sphinx_rtd_theme

fix doco typo in to_wire()

Add RFC 8499 to the RFC list.

The documentation for txn delete methods erroneously said a class was needed.

Fix coverage breakage by hatch branch merge.

Hatch support and general build cleanups. (#1014)

* Hatch support and general build cleanups.

Canonicalize IPV4 and IPv6 address text form in rdata. (#1013)

move example to the right place

add example how to send NOTIFY message (#1007)

Fix a type issue with dns.zone.from_file() that mypy misses but
Cython notices.  [#998]

Add support for RFC 4471 predecessor() and successor() methods. (#1002)

Update trio requirement from >=0.14,<0.23 to >=0.14,<0.24 (#1003)

Updates the requirements on [trio](https://github.com/python-trio/trio) to permit the latest version.
- [Release notes](https://github.com/python-trio/trio/releases)
- [Commits](https://github.com/python-trio/trio/compare/v0.14.0...v0.23.0)

---
updated-dependencies:
- dependency-name: trio
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Add prepend_length to Message.to_wire(). (#1001)

If a caller passes prepend_length=True, the wire format will include the
2 byte encoded message length before the message itself.  This is useful
for callers planning to send the message over TCP, DoT, and DoQ.

When scanning interfaces with WMI, include networks without a domain. (#999)

* When scanning interfaces with WMI, include networks without a domain.

* Ignore networks found via wmi that have no nameservers

---------

Co-authored-by: Me <me@shiranpuri.com>

Add QUIC TLS session ticket support.

Fix a race condition in trio quic shutdown.

It was possible to have a "lost wakeup" situation where we had stuff to
send but the trio worker was blocked indefinitely in the receive.

There is no test for this as the race is very race-y and I can't reproduce it
reliably in the test suite, though I was able to do reliable replication a different
way when debugging.

I also reordered event processing to happen after timer handling but before sending
in the trio and sync quic code.  The async code already worked this way due to its
different struture and needed no changes.

The asyncio quic code did not close politely in clean exit cases.

The "address" passed to QUIC receive_datagram() should be a low-level tuple.

Previously we sent just the address part, i.e. lltuple[0], but the
aioquic code intends for the value to be the whole tuple.  This did
not break anything for dnspython as we were consistently wrong and
aioquic is flexible enough with its notion of NetworkAddress for our
purposes that dnspython's mistake had no effect.

Fix two QUIC issues:

  1) We treated stream reset like connection terminated, which
     is just wrong.  We should send EOF to the stream but leave
     the connection alone.

  2) When we got an unexpected EOF on a stream, we raised the
     exception in the wrong place, killing the QUIC connection
     but leaving the stream blocked.  Now we deliver the exception
     to the stream and don't kill the connection.

Check that a relative name plus the zone's origin is not too long. (#997)

Previously it was possible to add very long relative names to a
relative zone which could never be rendered due to being too long for
wire format.  Now we check this as part of _validate_name().

This code also removes duplicated name validation code from Zone and
Version, consolidating it into one helper function.

Finally, we fix a few comments in get methods that have cut-and-paste
typos from the find variant indicating they can raise KeyError when
they cannot.

add example reading TCP-like stream of wire formats from a file (#995)

give up on codecov v4 action

Fix enum inversion.

A change in Python 3.11's enum module caused IntEnum inversion to only
invert the bits associated with the (inferred) range of the flag,
meaning that ~dns.flags.DO only inverted 16 bits.  This meant that
calling want_dnssec(False) on a message would unconditionally set the
EDNS version field to 0.

update pylint

Bump codecov/codecov-action from 3 to 4 (#990)

Bumps [codecov/codecov-action](https://github.com/codecov/codecov-action) from 3 to 4.
- [Release notes](https://github.com/codecov/codecov-action/releases)
- [Changelog](https://github.com/codecov/codecov-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/codecov/codecov-action/compare/v3...v4)

---
updated-dependencies:
- dependency-name: codecov/codecov-action
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Test latest 3.12 release and add classifiers (#989)

* Test latest 3.12 release

* Update classifiers

Bump actions/checkout from 3 to 4 (#988)

Bumps [actions/checkout](https://github.com/actions/checkout) from 3 to 4.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/v3...v4)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

try to fix broken docs

drop cryptography limit (#984)

build on 3.12.0rc1 (#979)

Add helpers to reduce seeking boilerplate when rendering. (#980)

add 2.4.2 changes to whatsnew

Ensure async https() requests are bounded in total time
according to the timeout [#978].

Unfortunately we do not currently have a good way to
make this guarantee for sync https() calls.

test inception, expiration, and lifetime when signing

DNSSEC rrsig_expiration calculation (#977)

The 'rrsig_expiration' calculation did not take into account inception date when using 'lifetime' in the '_sign()' function

Fix unintended "wait forever" behavior with zero timeouts [#976].

In a few places we did "if timeout:" or "if expiration:" when we
really meant "if timeout is not None:".  This meant that in the zero
timeout case we fell into the "wait forever" path instead of
immediately timing out.  In the case of UDP queries, we'd be waiting
on recvfrom() and if a packet was lost, then the code would never wake
up.

Use HTTP2 when possible in https() [#973].

This fixes a regression in 2.4.x where we would only
use HTTP/1.1.

revert dependabot sphinx change as it is too recent for RTD

Bump sphinx from 4.3.2 to 7.1.0 (#967)

Bumps [sphinx](https://github.com/sphinx-doc/sphinx) from 4.3.2 to 7.1.0.
- [Release notes](https://github.com/sphinx-doc/sphinx/releases)
- [Changelog](https://github.com/sphinx-doc/sphinx/blob/master/CHANGES)
- [Commits](https://github.com/sphinx-doc/sphinx/compare/v4.3.2...v7.1.0)

---
updated-dependencies:
- dependency-name: sphinx
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

prepare 2.4.1 whatsnew

Ensure candidate DNSKEYs have protocol 3 and the ZONE flag set [#966].

Update wheel requirement from ^0.40.0 to ^0.41.0 (#965)

Updates the requirements on [wheel](https://github.com/pypa/wheel) to permit the latest version.
- [Changelog](https://github.com/pypa/wheel/blob/main/docs/news.rst)
- [Commits](https://github.com/pypa/wheel/compare/0.40.0...0.41.0)

---
updated-dependencies:
- dependency-name: wheel
  dependency-type: direct:development
...

Signed-off-by: dependabot[bot] <support@github.com>
Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>

Dependency cleanups [#963].