- Introduce 'cache-min-negative-ttl' option to bound the minimum TTL for
  negative answers overriding 'cache-min-ttl'.

- Fix #1021 Inconsistent Behavior with Changing rpz-cname-override
  and doing a unbound-control reload.

Update doc/Changelog to note the fixes included in 1.19.3rc2.

- Fix unbound-control-setup.cmd to have CA v3 basicConstraints,
  like unbound-control-setup.sh has.

- Fix doc test so it ignores but outputs unsupported doxygen options.

- Fix qname minimisation for reply with a DNAME for qtype CNAME that
  answers it.

- Update doc/unbound.doxygen with 'doxygen -u'. Fixes option
  deprecation warnings and updates with newer defaults.

- Fix validator classification of qtype DNAME for positive and
  redirection answers, and fix validator signature routine for dealing
  with the synthesized CNAME for a DNAME without previously
  encountering it and also for when the qtype is DNAME.

- Remove unused portion from iter_dname_ttl unit test.

- Fix TTL of synthesized CNAME when a DNAME is used from cache.

- Fix unbound-control-setup.cmd to use 3072 bits so that certificates
  are long enough for newer OpenSSL versions.

- Version set to 1.19.3 for release. After 1.19.2 point release with
  security fix for CVE-2024-1931, Denial of service when trimming
  EDE text on positive replies. The code repo includes the fix and
  is for version 1.19.3.

- Fix for #1022: Fix ede prohibited in access control refused answers.

- Fix edns subnet replies for scope zero answers to not get stored
  in the global cache, and in cachedb, when the upstream replies
  without an EDNS record.

- Move github workflows to use checkoutv4.

- Document the suspend argument for process_ds_response().

- Fix trim of EDE text from large udp responses from spinning cpu.

Changelog entry for #1010:
- Merge #1010: Mention REFUSED has the TC bit set with unmatched
  allow_cookie acl in the manpage. It also fixes the code to match the
  documentation about clients with a valid cookie that bypass the
  ratelimit regardless of the allow_cookie acl.

Mention REFUSED has the TC bit set with unmatched allow_cookie acl in the manpage (#1010)

* Mention REFUSED with TC with unmatched allow_cookie acl in manpage

Also moved the part about bypassing ip-ratelimit to the ip-ratelimit
description as it will be bypassed with a valid DNS-Cookie regardless of the
allow_cookie acl.

* Apply suggestions from code review

* Update doc/unbound.conf.5.in

* DNS-Cookies should bypass ip-ratelimit setting

- These fixes are part of the 1.19.1 release, that is a security
  point release on 1.19.0, the code repository continues with these
  fixes, with version number 1.19.2.

Merge commit '92f2a1ca690a44880f4c4fa70a4b5a4b029aaf1c'

Merge commit '882903f2fa800c4cb6f5e225b728e2887bb7b9ae'

- Fix CVE-2023-50868, NSEC3 closest encloser proof can exhaust CPU.

- Fix CVE-2023-50387, DNSSEC verification complexity can be exploited to
  exhaust CPU resources and stall DNS resolvers.

- Fix documentation for access-control in the unbound.conf man page.

- autoconf.

- For #1006: fix logic error introduced by previous fix.

- autoheader, autoconf.

- Fix #1006: Can't find protobuf-c package since #999.

Autoconf and changelog note for #999
- Merge #999: Search for protobuf-c with pkg-config.

Merge pull request #999 from NickCao/master

Search for protobuf-c with pkg-config

Search for protobuf-c with pkg-config

- Update message TTL when using cached RRSETs. It could result in
  non-expired messages with expired RRSETs (non-usable messages by
  Unbound).

- Update error printout for duplicate trust anchors to include the
  trust anchor name (relates to #920).

- Fix for #997: Print details for SSL certificate failure.

For analysis workflow, clean up the script to use OpenSSL Configure
without change.

- workflow for analysis, cleanup of windows compile with msys2 perl.

- Fix warning for windres on resource files due to redefinition.

For workflow, set perl interpreter for build.

- Fix for workflow

For workflow, look for pacman.

For workflow, use msys2 perl.

In workflow, use strawberry perl to run configure script.

For workflow, change path separator.

For windows runner, look at perl contents.

Fix to install with cpanmin a missing perl module for the windows workflow.

Fix for workflow to install perl module.

- Update workflow for ports to use newer openssl on windows compile.

Changelog note for #993
- Merge #993: Update b.root-servers.net also in example config file.

Merge pull request #993 from InfrastructureServices/b.root-servers.net-conf

Update b.root-servers.net also in example config file

- Fix to link with libssp for libcrypto and getaddrinfo check for
  only header. Also update crosscompile to remove ssp for 32bit.

Update b.root-servers.net also in example config file

Addition to commit a8739bad76d4d179290627e989c7ef236345bda6, which
updated only address specified in code. But addresses provided in
example configuration were not updated, I think they should be updated
too.

- Fix to link with -lcrypt32 for OpenSSL 3.2.0 on Windows.

Changelog note for #988.
- Merge #988: Fix NLnetLabs#981: dump_cache truncates large records.

Merge pull request #988 from dyunwei/master

Fix NLnetLabs#981: dump_cache truncates large records.

Fix NLnetLabs#981: dump_cache truncates large records.

- Fix unit test for #987 change in udp1xxx retry packet send.

Changelog note for #987
- Merge #987: skip edns frag retry if advertised udp payload size is
  not smaller.

Merge pull request #987 from borisVanhoof/skip_edns_frag_retry

skip edns frag retry if advertised udp payload size is not smaller

skip edns frag retry if advertised udp payload size is not smaller

If serviced query is in UDP_EDNS_FRAG mode, and EDNS_ADVERTISED_SIZE
is 1232 (the default) or more, then the retry will have the same edns
udp payload size with the same result.

- Remove unneeded newlines and improve indentation in remote control
  code.

- Fix #983: Sha1 runtime insecure change was incomplete.

Changelog note for #985.
- Merge #985: Add DoH and DoT to dnstap message.

Merge pull request #985 from k-akashi/dnstap_dot_doh

Add DoH and DoT to dnstap message

Changelog note for #979 and #980.
- Merge #980: DoH: reject non-h2 early. To fix #979: Improve errors
  for non-HTTP/2 DoH clients.

Merge pull request #980 from jsha/reject-non-h2

DoH: reject non-h2 early

Add DoH and DoT to dnstap message

- Update example.conf with cookie options.

DoH: reject non-h2 early

Previously, non-h2 connections would be accepted, and then error out
with a verbose message "http2: session_recv from ____ failed,
error: Received bad client magic byte string". Instead, we can detect
absence of h2 support at connection time and reject with a clearer
verbose message.

Fixup doc/Changelog.

- Fix root_zonemd unit test, it checks that the root ZONEMD verifies,
  now that the root has a valid ZONEMD.

- Merge PR #973: Use the origin (DNAME) TTL for synthesized CNAMEs as per RFC 6672.

Changelog note for #975
- Merge #975: Fixed some syntax errors in rpl files.

Merge pull request #975 from NLnetLabs/testdata-syntax

Fixed some syntax errors in rpl files.

Fixed some syntax errors in rpl files.

- Fix #974: doc: default number of outgoing ports without libevent.

- Use the origin (DNAME) TTL for syntesized CNAMEs as per RFC 6672.

- Fix tests to use new common.sh functions, wait_logfile and
  kill_from_pidfile.

- Update test script file common.sh.

- Updated IPv4 and IPv6 address for b.root-servers.net in root hints.

- iana portlist update.

- Fix to sync the tests script file common.sh.

- Fix dnstap that assertion failed on logging other than UDP and TCP
  traffic. It lists it as TCP traffic.

- Fix #969: [FR] distinguish Do53, DoT and DoH in the logs.

Changelog note for #971
- Merge #971: fix 'WARNING: Message has 41 extra bytes at end'.

Merge pull request #971 from dukeartem/master

fix 'WARNING: Message has 41 extra bytes at end'

fix 'WARNING: Message has 41 extra bytes at end'

- Merge #968: Replace the obsolescent fgrep with grep -F in tests.

- Fix #964: config.h.in~ backup file in release tar balls.

- Replace the obsolescent fgrep with grep -F in tests.

- Use 127.0.0.1 explicitly in tests to avoid delays and errors on newer
  systems.

- Fix unit test parse of origin syntax.

- The repository continues with 1.19.1.

- Set version number to 1.19.0.
- Tag for 1.19.0rc1 release.

- Fix compilation without openssl, remove unused function warning.

- Fix SSL compile failure for other missing definitions in
  log_crypto_err_io_code_arg.

- Fix SSL compile failure for definition in log_crypto_err_io_code_arg.

- Mention flex and bison in README.md when building from repository
  source.

- Fix #941: dnscrypt doesn't work after upgrade to 1.18 with
  suggestion by dukeartem to also fix the udp_ancil with dnscrypt.

Changelog entry for #930
- Merge #930 from Stuart Henderson: add void to
  log_ident_revert_to_default declaration.