SERVFAIL is an expected error return, don't try all servers.

Handle failure of hash_questions()

Memory leak in error path.

Reorder sanity checks on UDP packet reception, to cope with failed recvfrom()

Add dnssec-check-unsigned to example config file.

CHANGELOG update.

Ignore DNS queries from port 0: http://www.ietf.org/mail-archive/web/dnsop/current/msg11441.html

Tidy uid defines.

Fix DNSSEC crash retrying to IPv6 server.

Initialise uid when creating CNAME cache record.

Make --quiet-dhcp apply to DHCPDISCOVER when client ignored.

Manpage typos.

Tidy and fix cache->uid handling.

Some CNAMES left the value of ->uid undefined.

Since there are now special values if this, for CNAMES
to interface names, that could cause a crash
if the undefined value hit the special value.

Also ensure that the special value can't arise
when the uid is encoding the source of an F_CONFIG
record, in case there's a CNAME to it.

Ensure next_uid() can never return 0.

Handle integer overflow in uid counter. Fixes rare crashes in cache code.

Warn about non-local queries once only for UDP.

Typo

OPT_LOCAL_SERVICE needs up-to-date interface list too.

Set --local-service in Debian package startup.

--local-service. Default protection from DNS amplification attacks.

Add --static to pkg-config command when appropriate.

Compiler warning.

Man page updates for DNSSEC.

KEYBLOCK LEN better as a multiple of 8.

Can have local DS records (trust anchors).

Mass edit of INSECURE->BOGUS returns for server failure/bad input.

Don't cache secure replies which we've messsed with.

Tweak tuning params.

Handle replies with no answers and no NS in validate_reply.

Don't free blockdata for negative DS cache entries.

Fix off-by-one overwrite.

Tidy.

Check that unsigned replies come from unsigned zones if --dnssec-check-unsigned set.

Negative caching for DS records.

Return INSECURE when validation fails with proved non-existent DS.

Strip DNSSEC RRs when query doesn't have DO bit set.

Speeling.

Code cleanup.

An NSEC record cannot attest to its own non-existance!

Check signer name in RRSIGs.

Bugfix for last commit.

NSEC3 validation. First pass.

Add --servers-file option.

Omit ECC from DNSSEC if nettle library is old.

More server cleanup.

Cleanup of server reading code, preparation, for dynamic reading from files.

--rev-server option. Syntactic sugar for PTR queries.

Log BOGUS validation result when upstream sends SERVFAIL.

TYpo.

No CD in forwarded queries unless dnssec-debug for TCP too.

Don't mess with the TTL of DNSSEC RRs.

Add RFC-6605 ECDSA DNSSEC verification.

Use DS records as trust anchors, not DNSKEYs.

This allows us to query for the root zone DNSKEY RRset and validate
it, thus automatically handling KSK rollover.

Further tidying of AD and DO bit handling.

Handle validation when more one key is needed.

Fix Byte-order botch: broke DNSSEC on big-endian platforms.

Fix DNSSEC caching problems: incomplete RRSIG RRsets.

AD bit in queries handled as RFC6840 p5.7

Add trust-anchors file to Debian package.

Fix stack-smashing crash in DNSSEC. Thanks to Henk Jan Agteresch.

DNSSEC config in example file.

Protect against malicious DNS replies with very large RRsets.

Make RR work when returning A/AAAA records and an RRSIG.

Updated version of contrib/try-all-ns

Linking stuff. Latest Debian/Ubuntu don't automatically link gmp.

Make DNSEC default, add build-depends for same, bump version.

CHANGLEOG for DNSSEC.

Format tweak.

Log NXDOMAIN correctly.

Return configured DNSKEYs even though we don't have RRSIGS for them.

Nasty cache failure and memory leak with DNSSEC.

Validate Ooops.

Blockdata fixes and tuning.

Blockdata leak.

copy-n-paste error.

Anounce DNSSEC at startup.

Init ->dependent field in frec allocation.

Compiler warning.

Add a file containing current root trust anchors, for convenience.

Crash in cache code when compiled with HAVE_DNSSEC.

Allow use of COPTS in Debian rules invokation for nefarious purposes.

Debian package with DNSSEC now possible.

DNSSEC will eventually become opt-out and when that happens
I'll add libnettle build-depends. For now, build with

fakeroot debian/rules DEB_BUILD_OPTIONS=usednssec

to get DNSSEC support.

Man page entries for DNSSEC flags.

Trivial format fix.

Code tidy.

Don't mark answers as DNSEC validated if DNS-doctored.

Exclude CRC code in DNSSEC build - replaced with SHA1.

Remove --dnssec-permissive, pointless if we don't set CD upstream.

Fix to last commit.

Replace CRC32 with SHA1 for spoof detection in DNSSEC builds.

Get AA flag right in DNSSEC answers from cache.

RRSIG answer logging.

Class specifier in --dnskey, instead of hardwiring C_IN.

--dnssec-debug

More DNSSEC caching logic, and avoid repeated validation of DS/DNSKEY

RRSIGS for PTR records from cache.

Tweak.

RRSIGs in DS and DNSKEY cached answers.

More DNSSEC cache readout.

Compiler warning.