lib/cache:introduced ranks + insecure flag

lib: cleanup

lib: cleanup

daemon: attempt at using versioned libraries

Merge branch 'cache-improvements'

cachectl: querying/subtree deletion

- can query cache for records
- can remove only domain or subtree from cache
- can remove data in packet cache or other prefixes
- cache clear also reset NS reputation tracking

lib/pktcache: cache ANY in packet cache

lib/cache: key format change, code to check versions

the key is now stored in a format friendly to prefix search, the values
also contain one more 16bit field to store rank of the data (to be
utilised later)

ccan/compiler: attribute nonnull support

lib: cleanup

lib/resolve: cached names below cut are treated insecure

lib/iterate: do not follow CNAME when queried for it

lib/iterate: do not follow CNAME targets outside cut

this is a problem when both CNAME and the target are answered from the same NS (but different authority), but only the CNAME authority does DNSSEC. it’s probably legal, but it’s pretty stupid to do so

lib/resolve: disable DNSSEC when not under a TA

lib/dnssec: when first DS fails, but second is ok

lib/resolve: accept even bad SBELT servers when bootstrapping

lib/resolve: fixed bug with root NS/DNSKEY priming qry

daemon: updated libuv requirements doc, msg when SO_REUSEPORT isn't available

build: removed rpath from library build

build: `make CFLAGS=...` and `CFLAGS=... make` are identical

same for LDFLAGS. this fixes common problem where CFLAGS after make
was evaluated as a make variable and replaced the default, while
before as env variable and was prepended to the default string.
now they both behave as an env. variable

lib/zonecut: use SBELT only when necessary, prefer cached information

before the algorithm was happy with root hints for all queries starting
at root, however they're often overloaded and result in timeouts
the updated code provides SBELT only for root NS query lookup and tries
to use cached information as much as possible

modules/hints: data from hints is never authoritative

daemon: duplicate command output to both remote and logs

daemon: modules = { mod = 'abc' } and mod.config('abc') are equal

tests: fixed exception with canceled queries

lib/zonecut: fetch root DNSKEY from cache correctly

previously it was always overwritten with SBELT for root + root TA
doesn't have to be in cache (it's in trust store)

daemon/lua: alias for resolve()

doc: updated dnssec doc

lib/dnssec: ascend if the referral went below signer key name

refs #33

lib/zonecut: remember parent zone cut when descending

daemon: check that keyfile is readable and use abspath

Revert "doc: rtd doxygen search"

This reverts commit 0f9e615b4f3ae84e125c11a43427b92ac3144059.

doc: rtd doxygen search

daemon: doc

lib/nsrep: library supports multiple query targets

the selected address is now an array with selection, caller can then send the same query to multiple offered targets

refs #35

lib/validate: fixed cases when the cut wasn’t updated

this could happen if the query contained a CNAME with AA=0, or missing mandatory DS in previous NS query

travis: try the binary help

lib: moved RR stash to utils, prefixed

doc: updated readme

scripts: updated versions, tags

doc: updated doc and readme

build: bumped version to 1.0.0-beta

Merge branch 'cache-rrsig-wip'

doc: updated documentation and examples

lua/trust_anchors: idempotent config()

daemon/network: REUSEPORT check for libuv 1.7.0+ (which defines VERSION_HEX)

lib/dnssec: cleanup

daemon/trust_anchors: active refresh, timers, managed file

lua/sandbox: print non-printable characters in hex, text elide

daemon/lua: print RR in text format (generic)

example:
local rr = pkt:section(kres.section.ANSWER)[1]
print(kres.rr2str(rr))

daemon/lua: bindings for packet sections and data

example:
local rr = pkt:section(kres.section.ANSWER)
for i = 1, #rr do
if rr[i].type == kres.type.A then
print(kres.dname2str(rr[i].owner))
print(‘rdlen:’, #rr[i].rdata)
end
end

daemon/lua: added some query flags to bindings

lib/rplan: added ‘NO_CACHE’ flag to avoid cache lookup

this is useful if we want to prefetch or update data
in cache, it doesn’t affect the lookup of closest known
zone cut

daemon: added ‘net.bufsize’ option for max UDP payload

sets maximum UDP/EDNS payload within <1220, 65535>
the default is max unfragmented UDP packet, but it’s
possible to set it higher if the network supports it to avoid
TCP retransmits

daemon: added basic doc for trust_anchors and DNSSEC

daemon/trust_anchors: finished state table, own module, cleanup

todo: active refresh

daemon/main: fixed missing cmdline input

daemon/trust_anchors: key state tracking (wip)

DS keys are injected into current set (unmanaged)
DNSKEY keys are in the managed set and their RFC5011 state is tracked

todo:
- implement timers and this AddTime/RemTime
- active refresh
- move to a separate module

daemon/main: fixed CLI bugs

lib/dnssec: accept valid and unrevoked keys (SEP not required), key matching

lib/dnssec: added missing functions, new key APIs

lib/dnssec: fixed bad SEP check

lib/validate: Added function that validates any NSEC no data response.

lib/validate: Added function that validates any NSEC3 no data response.

daemon: -k [file] options allows to set trust anchors file without config

example:
$ kdig @a.root-servers.net +short +tcp DNSKEY . > root.key
$ kresd -k root.key

daemon/config: cache open by default (even if not in config)

before the cache was disabled by default, but this has led to many user
errors (mine as well). this enables it by default (which is what most
people want anyway)

lib/iterate: another attempt

lib/iterate: fixed stupid libknot api

lib/validate: fixed processing of RRSIG queries

lib/resolve: use CD=1 for subrequests, fixed TC=1 handling

tests: increased timeout

lib/iterate: scrub DNSSEC records when DO=1

if the client doesn't support DNSSEC, scrub these from the answer
and do not set the AD bit

rrcache: disabled parent-child diff tests where parent is right

until RFC2181 credibility is implemented in cache, this behavior breaks
DNSSEC as the parent-side comes first to the cache
disabled this behavior until implemented properly

daemon/trust_anchors: foundations for automatic keyset mgmt

daemon/bindings: worker.resolve() can now call callback on completion

example:

worker.resolve('cz', kres.type.NS, kres.class.IN, 0,
function (pkt)
local answer = kres.pkt_t(pkt)
print (answer:rcode())
end)

layer/validate: removed struct contained_ids

RRSets are merged by using stash_add().

lib/dnssec: allow KSK DNSKEY records for TA

this allows the classic workflow, kdig for root DNSKEY
records to a key file and let it start

lib/resolve: fixed missing txn abort introduced a few commits ago

lib/validate: prevent caching of answers needing revalidation

lib/validate: accept DNSKEYs at/below current cut

this fixes a case when a DNSKEY is either accepted from cache or offered
in advance

lib/validate: DNSKEY answers from resolver cache do not trigger requery

a cache is consulted before we even know a zone cut for the query, thus
the DNSKEY can't be validated. as a policy, everything should be
validated before it's accepted into cache, then it's trusted and
shouldn't be rechecked

lib/iterate: treat SOA change with signed queries as referral

with DNSSEC, such query needs to be revalidated as the TA/key is missing
for the new zone cut, which would lead to duplicated answers

in the future there may be an api to defer query processing, but for now
it can't be done

lib/resolver: avoid traversal from root in some cases

lib/rrcache: correct caching of subrequest

lib/iterate: detect cut change when server hosts both parent and child

in this case the NS is an authority for both parent and child, so the NS
set stays the same and only the cut name changes

tests: fixed wrong unit in socket timeout

lib: proper key/ta checks in zone cut resolution

this fixes problems with servers authoritative both for
parent and child zone and vice versa
as the DS is authoritative parent-side, a full subrequest
is launched. this breaks some tests that don’t have
a full referral path

todo bugs:
- non-existence proof with only SOA and no NS is not
correctly resolved
- revalidation in some cases causes record duplication
- NS queries with DO=1 answered from cache are not correctly resolved, as the TA is not set at this time

lib/rrcache: fixed caching of DS records in referrals

daemon: negative trust anchors

config:
trust_anchors.negative = { ‘bad.cz’, ‘here.com’ }

all names below these NTA will not be validated
(unless there is an island of trust below these anchors)

Merge branch 'cache-rrsig-wip' of gitlab.labs.nic.cz:knot/resolver into cache-rrsig-wip

tests: added tests with empty QD response

tests: added NSEC3 wildcard no data response check

tests: added NSEC no data response checks

tests: fixed numbering in some tests

tests: merged NSEC3 name error response tests into single rpl

tests: merged all NSEC name error response tests into single rpl

lib: cleanup unused variables

generic/map: cleanup doc

lib: saner TA store, in Lua module ‘trust_anchors’

preparations for TA rotation and management
in config:
trust_anchors.file = ‘root.key’
trust_anchors.auto = true // NOTIMPL
trust_anchors.add(‘. IN DS …’) // Manual addition

tests/notiml: fixed date to timestamps