lib/validate: fixed referrals, insecure delegations, cut updates

as per rfc4035 all secured referrals must have either DS or proof
of non-existence. there is one use case where the resolver doesn’t
learn a DS this way, when a single server hosts both parent and
child zone. in this case, DS must be requested separetely

lib/validate: fixed revalidation of cached answers

also answers for which minimisation failed or truncated
are fixed, for such answers iterator sets state to ‘consume’
to indicate the answer wasn’t processed

lib/resolve: AD flag is set only for secure answers

if the final query isn’t satisfied with DNSSEC on,
then the answer counts as insecure

lib: turn on DO=1 per query, fixed caching of DNSSEC data

subrequests may be insecure (e.g. out of bailiwick insecure NS),
but the final answer may be secured
the commit also fixes caching in this case

lib: per-query islands of trust, prep for NTA

each subrequest can now enter and leave islands of trust
independently. this fixes a case when a zone is in an
island of trust, but one of its NS isn’t (different zone for example)

lib: cleanup of zone cut resolution code

tests: need brewed Python on 10.11, cleanup

the SIP on OSX 10.11 disables library injection
on system binaries (python is considered as it)
make needs to call python binary directly to allow
brewed python to be used

layer/validate: Enabled validation of no data responses.

layer/validate: Implemented empty non-terminal NSEC check.

layer/validate: Fixed error in NSEC3 wildcard no data check.

Merge branch 'cache-rrsig-wip' of gitlab.labs.nic.cz:knot/resolver into cache-rrsig-wip

daemon: allow binding to multiple addresses

`kresd -a 127.0.0.1 -a ::1` binds to both addresses

tests: added NSEC and NSEC3 wildcard answer response check

Merge branch 'master' into cache-rrsig-wip

Merge branch 'remove-sync-api'

lib: removed synchronous api code

the reason is that it's not actively used since we moved to binary
testing, and it depends on libknot internal api that has changed
also removed several unused libknot internal headers

tests: cleanup

lib: dnssec enabled by default

lib/dnssec: handle islands of trust correctly

previously, only root TA was considered

tests: added NSEC3 name error response checks

layer/validate: Fixed error in NSEC3 name error response check.

Function determining whether a NSEC3 record covers a name was wrong. The
case when the owner and next hashed name was wrapping over zero was
wrongly interpreted.

tests: added NSEC name error response checks

tests: added support for stub-addr entries with local addresses in rpl

tests: removed failing test

The test is failing because of address mangling performed by test
environment.

tests: do not remap addresses already in local range

tests: use bigger edns0 payload (fixes some tests causing causing TC)

tests: enable verbose logging

daemon: '-v' turns verbose log, debug messages built in by default

previously, debug messages were optional with -DWITH_DEBUG
now the debug messages are built in (unless compiled with -DNDEBUG), but
disabled by default

verbose output can be enabled by '-v' or '--verbose' CLI option
or interactively by 'verbose(true|false)' (or in config)

Merge branch 'cache-rrsig-wip' of gitlab.labs.nic.cz:knot/resolver into cache-rrsig-wip

tests: cleanup, VERBOSE mode (if set in env vars)

tests: unit tests don't require preloaded libs

tests: MX query for serve authoritative for two zones

Query for A or AAAA cannot be currently validated because the test
server mangles all A and AAAA records.

tests: converted a simple DNSSEC test for new conditions

tests: added support for val-override-date in rpl files

Also fixed TIME_PASSES ELAPSE which ignored the overridden time.

tests: Fixed disappearing DO bit in queries in DNSSEC tests.

tests: trust anchors from rpl files are used for server configuration

layer/validate: trust anchors are loaded from the configuration file

The hard-wired root trust anchor was removed.

layer/validate: trust anchor string can also contain TTL value

layer/validate: trust anchors can be added via lua interface

layer/validate: fixed wrong TA RRSet format when converting to text

build: DNSSEC validator layer needs json

layer/validate: trust anchors can be listed in interactive mode

layer/validate: preliminary code enabling trust anchor configuration

Merge branch 'master' into cache-rrsig-wip

lib: module properties were ignored for embedded modules

layer/validate: NSEC3 wildcard answer response check is enabled

layer/validate: minor code changes

layer/validate: added missing CNAME check in NSEC3 no data response code

tests: fixed compilation error

layer/validate: NSEC3wild card answer response

layer/validate: NSEC3 wildcard no data response check

layer/validate: disabled validation of truncated messages

Merge branch 'master' into cache-rrsig-wip

layer/validate: NSEC3 no data response check

lib: fixed AD=1 bit never set

lib: fixed bad merge (failed to copy TA with root hints)

fixed debug build

fixed build

layer/validate: fixed error when checking RRSIGs

Original TTL has not been set.

layer/validate: added NSEC3 name error response check

layer/validate: fixed possible bug in NSEC checking code

layer/validate: implemented basic NSEC3 closest encloser proof

layer/validate: added missing empty NSEC3 module

tests: updated with 'policy' modules, tweaks

build: no parallel tests

Merge branch 'tests_raw_query'

Merge branch 'policy'

modules/policy: added support for a subset of RPZ

the module can enforce RPZ from zone file, later a LMDB binary database
is going to come to solve following:
- updating zones on the fly
- instant startup (although it loads 1M blocklist in a fraction of
second)
- no extra memory usage between multiple processes
the compatibility notes are in the documentation

modules: 'view' that implements views and ACLs

module can identify clients based on their source address or used TSIG
key

lib: added query source information to request (optional)

the requestor can provide information identifying the query originator
here (address and TSIG key), both fields are optional
update Lua FFI bindings

daemon/lua: packet gets :tc([val]) for TC bit

daemon/io: zero-initialize TCP handles

modules/block -> modules/policy

layer/validate: added function searching for RR type in packet

layer/validate: moved NSEC wildcard response check to nsec.c

tests: added console assertions to config file template

tests: added block module to tests

tests: renamed config_template -> kresd.j2

daemon: fixed forgotten disabled minimization

build: fixed check running before modules are installed

tests: simple test for synchronous resolution API

build: added 'daemon' coverage tracking

layer/validate: added some NSEC-related checks

build: fix gcov integration tests

fixes killing the server with SIGKILL causing abortiong,
added SIGTERM handler and ignored retcode from uv_run()

build: added jinja2 to Travis build

tests: jinja2 is used for config generation

tests: config sections in tests/testdata/*.rpl contains only key:value pairs

tests: debug print was removed

tests/validate: added NSEC NXDOMAIN response test

layer/validate: NSEC authenticated denial of existence check

later/validate: fixed mistake when detecting wildcard expansion

tests: removed pointless timeout

Merge branch 'master' into tests_raw_query

tests: allow test driver response failure

tests/integration: removed buggy wait, cleanup

- the test driver now waits for daemon to accept TCP
- workaround cwrap bug, Python prebinds to daemon sockets to create files
- tested daemon runs in the testdir
- test driver doesn’t kill all kresd processes

test/scenario: fixed buggy query sending code

- no need to bind to client socket
- relying on short timeouts is bad
- no check for send buffers overflow

tests/integration: fixed libfaketime on Darwin

tests: decreased timeout

tests: set SO_REUSEADDR for client socket

tests: increased subprocess timeout