- xfr-tsig, check that tsig keys exist at startup and in unbound-checkconf.

Merge branch 'master' into xfr-tsig

- xfr-tsig, primary-tsig: addr tsig and allow-notify-tsig: addr tsig.

- Fix redis cachedb module gettimeofday init failure.
Changelog note for the fix.

- Fix redis cachedb module gettimeofday init failure.

- Redis checks for server down and throttles reconnects.
And unit test for redis reconnect interval.

- Redis checks for server down and throttles reconnects.

- xfr-tsig, unit test for tsig_verify_reply for failed tsig.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit test for tsig_verify_reply.

- iana portlist updated.

- Fix #1303: [FR] Disable TLSv1.2.

- Fix to not set rlimits in the unit tests.

- Add unit tests for non-ecs aggregation.

- Fix for RebirthDay Attack CVE-2025-5994, reported by Xiang Li
  from AOSP Lab Nankai University.
- Tag for 1.23.1 with the release of 1.23.0 and the CVE fix, the
  repository continues with the previous fixes, with 1.23.2.

Merge branch 'branch-1.23.1'

- Fix RebirthDay Attack CVE-2025-5994, reported by Xiang Li from AOSP
  Lab Nankai University.

- Set version to 1.23.1.

- Update man page templates from rst.

- For #1289: add num.valops in the unbound-control man page.

- For #1289: test num.valops in existing stat_values.tdir.

Changelog entry for #1289:
- Merge #1289 from Roland van Rijswijk-Deij: Add extra statistic to
  track the number of signature validation operations.
  Adds 'num.valops' to extended statistics.

Add extra statistic to track the number of signature validation operations (#1289)

* Add extra statistic to track the number of signature validation operations performed by the validator module

* Move validation operation statistic to mesh as suggested

* Fix NULL pointer dereference in case the mesh is not used (and is `NULL`)

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>
* Fix NULL pointer dereference on qstate and qstate->env in unit test situation

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- For #1301: configure cant find SSL_is_quic in OpenSSL 3.5.1.

- Fix detection of SSL_CTX_set_tmp_ecdh function.

Merge branch 'master' into xfr-tsig

- xfr-tsig, member comments for struct tsig_calc_state_crypto.

- xfr-tsig, implemented tsig_calc_state_crypto.

- Fix to improve dnstap discovery on Fedora.

- Fix layout of comm_point_udp_ancil_callback.

- For #1300: implement sock-queue-timeout for FreeBSD as well.

- Fix #1300: Is 'sock-queue-timeout' a linux only feature.

Changelog note for #1299
- Generate ltmain.sh and configure again.

Fix typos (#1299)

- xfr-tsig, tsig_verify_reply function.

- xfr-tsig, extra unit tests for tsig_sign_reply.

- xfr-tsig, more explanation in testcode/unittsig.c.

- xfr-tsig, unit test for tsig_sign_reply.

- xfr-tsig, more explanation in testcode/unittsig.c.

- xfr-tsig, unit test for tsig_sign_shared and tsig_verify_shared.

- xfr-tsig, tsig_sign_shared function.

- xfr-tsig, unit test argument parse code.

- xfr-tsig, tsig_verify_shared function.

- xfr-tsig, tsig_sign_reply function.

- xfr-tsig, fix unit test parse of tsig error code.

- xfr-tsig, test cases for BADTRUNC and not parseable.

Merge branch 'master' into xfr-tsig

xfr-tsig, remove debug

- xfr-tsig, unit test cases for tsig errors.

- For #1247, replay test (added tcp_transport to
  outnet_serviced_query).

- For #1247, turn off fetch-policy for delegation when looking into
  parent side name servers that may not update the addresses and hit
  NXNS limits.

- Fix #1247: forward-first: ssl handshake failed on root nameservers.

- xfr-tsig, unit test for tsig_verify_query.

- xfr-tsig, fix tsig_verify_query.

- xfr-tsig, tsig_find_rr function.

- xfr-tsig, parse and verify query tsig.

- xfr-tsig, other data content matches the other len when written.

- xfr-tsig, whitespace.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit tests for md5, sha1, sha224, sha256, sha384 and sha512.

Changelog entry for #1293:
- Fix #1293: EDE 6 is attached to insecure cached answers when client
  sends the CD bit.

- Fix #1293: EDE 6 is attached to insecure cached answers when client sends
  the CD bit.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit test for tsig_sign_query.

- Fix rrset cache create allocation failure case.

Changelog note for #1297
- Merge #1297: edns-subnet: fix NULL_AFTER_DEREF on subnetmod.

edns-subnet: fix NULL_AFTER_DEREF on subnetmod (#1297)

Found by static analyzer svace.
Static analyzer message: Redundant comparison with a NULL value at subnetmod.c:236 for pointer 'sn_env->subnet_msg_cache',
which was dereferenced at slabhash.c:228 by passing as 1st parameter to function 'slabhash_setmarkdel' at subnetmod.c:235.

Moved usage of sn_env->subnet_msg_cache in slabhash_setmarkdel after checking.

Signed-off-by: Konstantin Kamanin <bewflast@gmail.com>

- Fix #1296: DNS over QUIC depends on a very outdated version of
  ngtcp2. Fixed so it works with ngtcp2 1.13.0 and OpenSSL 3.5.0.

- xfr-tsig, test buffer size.

- xfr-tsig, tsig test.

- xfr-tsig, tsig_sign_query.

- xfr-tsig, tsig functions.

Merge branch 'master' into xfr-tsig

- xfr-tsig, tsig_create and tsig_delete.

- Fix for consistent use of local zone CNAME alias for configured auth
  zones. Now it also applies to downstream configured auth zones.

Merge branch 'master' into xfr-tsig

- xfr-tsig, tsig_verify return failure comment improved.

- Fix #1295: Windows 32-bit binaries download seems to be missing dll
  dependency.

- Fix to check control-interface addresses in unbound-checkconf.

- xfr-tsig, man page and example config.

- xfr-tsig, tsig-key, with name, algorithm and secret options.

- xfr-tsig, fix algorithm lookup.

- xfr-tsig, algorithm table.

- xfr-tsig, key table.

- xfr-tsig, check rdata length in tsig verify.

Merge branch 'master' into xfr-tsig

- Fix header return value description for skip_pkt_rrs and
  parse_edns_from_query_pkt.

- xfr-tsig, check buffer remaining in tsig verify.

- xfr-tsig, fix warning in compile of declaration.

- xfr-tsig, const for dname compare and fix warnings in compile.

- xfr-tsig, update header comment.

- xfr-tsig, constant time memcmp is used.

Merge branch 'master' into xfr-tsig

- xfr-tsig, import the tsig verify code from hackathon/poisonlicious branch.

- Fix conditional expressions with parentheses for bitwise and.

- Fix bitwise operators in conditional expressions with parentheses.

- iana portlist updated.

- Fix comment for the dname_remove_label_limit_len function.

- Fix unbound-anchor certificate file read for line ends and end of
  file.

- Small man page corrections for the 'disable-dnssec-lame-check' option.