Bump version 3.4.9

NEWS: add version 3.4.9

tests-extra: set number of threads to 1 for dnssec-signzone

distro: update to latest apkg compat level 6

Modify scripts/make-archive.sh to output YAML only to stdout as required
by latest apkg compat level 6. All stdout was redirected to stderr.

doc: extend listen comment in the configuration example

tests-extra: ixfr/master_pin -- provide the servers enough time

Especially needed with valgrind.

refresh: with pinned master, refresh the zone when the tolerance period times out

doc: fix typo in operation

libdnssec: add missing digest.h to dnssec.h

kru: fix collision if target architecture/optimization is specified

Related to https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=289611

kru: don't expect obsolete Clang < 12 for optimized implementation

doc: add default TLS and QUIC ports to reference

keymgr: deprecate local-serial command

python: remove deprecated license classifier and some others

distro/deb: remove obsolete if from rules

distro/deb: fix lintian issue debian-rules-uses-as-needed-linker-flag

doc: improve knsec3hash description

distro/deb: Remove redundant Rules-Requires-Root: no

doc/operation: add a note about backup/restore of generated catalog zone unique-id's

contrib/files: fix stream error handling (clang analyzer)

POSIX / fread():
The file position indicator for the stream (if defined) shall be advanced by the
number of bytes successfully read. If an error occurs, the resulting value of
the file position indicator for the stream is unspecified. If a partial element
is read, its value is unspecified.

keymgr: fix possible NULL dereference when parsing import-key params (clang analyzer)

Dockerfile: fix protocol in EXPOSE instruction should be lowercase

exporter: add missing connection close

libknot/QUIC: send RETRY packet if indicated also by ngtcp2_conn_read_pkt

conf: fix check for allowed empty reference

Fixes 4784c4c60199afa85daec96c70fa04daf0705efe

doc: add a warning to zone-begin and improve other related parts

doc: rework mod-cookies examples

XFR/master-selection: try all masters if more than one sent NOTIFY

doc: remove misleading note for mod-cookies

Clarify -j doesn't apply to TSIG keys.

net: fix unused warning on some systems

python: uncomment zone-status filter 'u' in the doc

man/kdig: add quic to protocols which support keepopen

tests-extra: adjust random tsig parameters to be less annoying

Bump version 3.4.8

NEWS: add version 3.4.8

server: don't iterate through all zones to check reverse-generate when conf-commit

ctl: allow zone-reload on expired zone

This operation is useful for resolving issues such as journal inconsistencies.

zone-update: bugfix: correctly revert adjustments to otherwise unaffected nodes

libngtcp2: update embedded library to v1.14.0

doc: improve description of reverse-generate

server: fix possible use after free if member zone is reused when full reload

keymgr: make log message more general

keymgr: support colon separators in keyid

keymgr: refactoring

keymgr: update help and documentation

keymgr: interpret omitted bool argument as true

keymgr: implement key for-auto key pregeneration

zone: optimize preferred_master allocation

knot: skip empty timers at lmdb key

conf: rework notify-delay to be more practical and consistent with Bind

tests-extra: dnssec/dnskey_sync -- avoid infinite loop

doc/operation: update the XDP section to TCP and QUIC protocols

requestor: avoid calling close(-1) (Coverity)

refresh: establish a new TCP connection for XFR if no-edns is set

tests-extra: attempt to fix tls/quic xfr tests

tests-extra: improve stability of quic/xfr under Valgrind

server: decrease SESSION_TICKET_POOL_TIMEOUT to 1200 seconds

kdig: add an example for RFC4892 to documentation

utils: add class aliases INTERNET and CHAOS

distro/tests: new python-libknot test

distro/tests: fix apkg test Depends

It's not possible to distro.match() against pkgstyles such as `rpm` or
`deb` with current apkg.

distro/rpm: remove %{_isa} from noarch packages' Requires

noarch packages shouldn't depend on specific architectures.

Bump version 3.4.7

NEWS: add version 3.4.7

ctl: add 'parser failed,' prefix to zone-(un)set error messages

distro/rpm: use modern %pyproject_* macros

Support new %pyproject_* macros where they're supported, otherwise use
older %py3_* macros which work everywhere.

Introduce new %{PYPROJECT} var which is only set on distros supporting
new macros - Fedora >= 40 and EL >= 9.

distro/rpm: add knot-exporter and python3-libknot RPM subpackages

pkt: fix our check for trailing rdata when parsing

- in case the \0 terminator got "compressed", we would get
  a spurious KNOT_EMALF
- if real compression happened, we could miss the fact
  that there are trailing data

zonemd: emit 'dnssec-invalid' dbus event when validation fails

kdig: support certificates missing Subject field

ctl: don't log zone-(un)set parser failed, send details to the client instead

quic-handler: add check for empty conn to prevent assert

dnskey-sync: use deterministic jitter always if keytag-modulo is configured

libngtcp2: update to v1.13.0

scripts: more robust update_ngtcp2.sh script

conf: call zone checks for catalog-templates

Note that these checks cannot be called for normal templates as templates
can be combined with zone-specific options (i.e. a template itself can be
invalid)!

dnskey-sync: add jitter to scheduled event to minimize race condition

logging: alg/ksk roll: inform about pre-scheduled retirement after DS TTL

dnskey sync: skip rrs with different keytag modulo

benevolent IXFR: bugfix: when ignoring rem/add, dont skip whole rrset

utils: mute Coverity (invalid type)

python3-libknot: improve README example

knot-exporter: remove return within a finally block

fixes #957

CI: add fedora-42 and alma-10

tests-extra: allow lower number of server start retries for recoverable start failures

tests-extra: when ports are busy, really allow a retry with a different configuration

tests-extra: if a servers doesn't start during test startup, restart the startup process

In the past, knotd server continued running even after binding of some ports failed.
This is no longer true for some time. The tests didn't reflect it.

tests-extra: fix the repeated server startup

A workaround of already fixed flaw doesn't apply anymore.

conf: implement notify-delay option

catalog: check if member zone configured with non-generated catalog

tls: DEBUG: print Subject Alternative Name

Based on https://github.com/CZ-NIC/knot/pull/31

kru: don't compile optimized version on macOS

This fixes compilation and CPU detection issues. The optimized version requires
x86 SIMD anyway.

doc: zone/reverse: some more description

refactoring/errors: two more specific codes instead of most KNOT_EAGAIN

errors: less misleading message

reverse/load: bump level of explaining log when referenced zone not loaded

kdig: print warning if TLS 1.2 is used

libknot/tls: don't use %DISABLE_TLS13_COMPAT_MODE with old GnuTLS versions...

and allow TLS 1.2 in kdig.

kzonecheck: support specified job count