tests: fix forwarded DDNS with possible master's XDP

Merge branch 'nsec_rem_empty_even_nonauth' into 'master'

dnssec/NSEC: remove empty node's NSEC even when nonauth

See merge request knot/knot-dns!1678

dnssec/NSEC: remove empty node's NSEC even when nonauth

distro/rpm: update minimum knot-resolver version

configure: upgrade version to libknot15 (libdnssec and libzscanner unchanged)

doc: add and update information about TLS

Merge branch 'journal_fix_prefixing' into 'master'

Fix journal corruption when SOA serial matches some metadata name

See merge request knot/knot-dns!1677

journal: fix corruption when SOA serial matches some metadata name

Merge branch 'backup_byteorder' into 'master'

mark the CPU architecture in the backup, in restore, make sure that the data is compatible

See merge request knot/knot-dns!1675

backup: write the LMDB version in the label file

backup: check that the system CPU architecture and the backup data are compatible

Notes about the tests: many tests still relies on 64LE architecture.
This currently applies also to:
   zone/backup_lock
   dnssec/keytag_conflict
   dnssec/no_resign
   modules/geoip.
The 64BE-architecture backup is simulated by a modified 64LE backup in the test zone/backup_lock.
Test of restore of QUIC keys from incompatible architecture should be added to zone/backup_lock too.

libknot/error: add a new error code for incompatible architecture -- KNOT_ECPUCOMPAT

Merge branch 'xfr_serial_logging_new' into 'master'

refresh: log remote zone serials immediately after incoming transfers are received

See merge request knot/knot-dns!1676

refresh: log remote zone serials immediately after incoming transfers are received

tests-extra: zone/backup -- fix the recently added testing

Merge branch 'forced_backup' into 'master'

forced zone-backup to overwrite already existing backup

See merge request knot/knot-dns!1674

backup: use the force option to overwrite an already existing backupdir

contrib/files: in remove_file(), remove all cases of directory as a directory

libknot/error: add a new error code -- KNOT_EPERM

The error string should be different from KNOT_EACCES, but it already uses
the same string.

contrib/files: return an error code from remove_path()

contrib/files: in remove_path(), allow remove of directory contents only

Merge branch 'xfr_zonemd_assert' into 'master'

knotd: remove assert that doesnt hold in specific circmstances

See merge request knot/knot-dns!1673

knotd: remove assert that doesnt hold in specific circmstances

Merge branch 'fix_flush_xfr_rcu' into 'master'

rcu: protect also zonefile flush and XFRout against simultaneous zone CTL update

See merge request knot/knot-dns!1671

rcu: protect also zonefile flush and XFRout against simultaneous zone CTL update

contrib: upgrade embedded library ngtcp2 to v1.6.0

Merge branch 'purge_slave_assert' into 'master'

after purging timers, set them to sensible values

See merge request knot/knot-dns!1672

purge: after purging timers, set them to sensible values

nameserver: add TSIG key name to event and nameserver logs

Merge branch 'fix_notify_rcu' into 'master'

Fix notify rcu

See merge request knot/knot-dns!1670

tests/many_nsec3: more lightweight under valgrind to prevent fail and long run

notify/out: use RCU_lock to protect from SOA change during event

Merge branch 'ctl_txn_zone_conf' into 'master'

Disallow parallel zone and configuration control transactions

See merge request knot/knot-dns!1669

ctl: disallow parallel zone txn (zone-begin) and..

... either config reload (knotc reload) or
    config txn (conf-begin)

distro/deb: remove omitted debian/ufw/knot from knot.install

tests: terminate tcpdump on test fail

tests: give tcpdump the correct port

kdig: allow query section be omnited

utils: add condition for zero-length string in get_fqd_name()

tests-extra: increase timeouts to fix tls/xfr issues under Valgrind

distro/deb: remove ufw configuration

No other nameserver packages contain this file either.

tests-extra: yet another stabilization of modules/rrl

kxdpgun: add cli option for reading binary file

tests-extra: fix wrong whitelist address and add small margin to dropped packets count

doc: for ACL, use 'action' as the only synonymum for request type

In Reference, explicitly mention that normal DNS queries are allowed by default.

doc/configuration: make it clear that all request types except queries require authorization

Merge branch 'ctl_blocking_txn_bis' into 'master'

ctl: allow backup (not restore) during zone transaction...

See merge request knot/knot-dns!1667

ctl: allow backup (not restore) during zone transaction...

...this is relaxed condition of a753d828
becuase backup (not restore) actually makes no harm
and also it should be symmetrical

Merge branch 'ctl_blocking_txn' into 'master'

Ctl blocking txn

See merge request knot/knot-dns!1666

ctl: disallow simultaneous backup and zone transaction

ctl: disallow blocking CTL when zone transaction open

tests-extra: synchronize valgrind parameters with tester

Merge branch 'conf_empty' into 'master'

Allow empty reference value for some zone items

See merge request knot/knot-dns!1662

tests/ds-push: test empty list in config file

yparser: fix empty list parsing

tests: extend test set for yparser

conf: allow empty value for some zone items (references to remotes)

This allows overriding of corresponding non-empty template items.

python/control: fix setting empty values

conf: move custom schema flags to a common place

mod-dnstap: add sink for TCP connection

Dockerfile: don't copy /share, which no longer contains man pages

Merge branch 'keytag-modulo' into 'master'

implemented keytag-modulo option

See merge request knot/knot-dns!1650

implemented keytag-modulo option

distro/rpm: add fix for OpenSUSE Tumbleweed

Merge branch 'tls_handshake_timeout' into 'master'

Tls handshake timeout

See merge request knot/knot-dns!1665

tests/TLS: align IO timeouts for valgrind case

Merge branch 'zonemd_remove_bugfix' into 'master'

ZONEMD: prevent attempt to sign non-existent ZONEMD

See merge request knot/knot-dns!1663

tests/zonemd_flush: random non/usage of DNSSEC

TLS: theoretically more realistic handshake timeout depending on IO timeout

ZONEMD: prevent attempt to sign non-existent ZONEMD

zone: improve the log wording when doing refresh

tests-extra: remove no longer needed 'json' from requirements

contrib: upgrade embedded library ngtcp2 to v1.5.0

tls: add check for negative descriptor to close() (Coverity)

Merge branch 'dot'

tls: unification of TLS priority settings

tls: switch credentials atomically, keep previous credentials to fulfit:

"In order to minimize memory usage, and share credentials between several
threads gnutls keeps a pointer to cred, and not the whole cred structure.
Thus you will have to keep the structure allocated until you call gnutls_deinit()."

knotd: update cert/key only if changed, slightly rework

knotd: update TLS credentials on server reload

tls: set the handshake timeout relatively to the IO timeout

tls: set GNUTLS_NO_SIGNAL to disable emitting SIGPIPE by send()

tls: rework sending and receiving functions

- Better error reporting
- Full TLS handshake doesn't block when calling from tcp-handler
- IO timeout covers the whole send/recv operation
- DNS message length prefix isn't sent separately due to corking

tls: remove debug statistics

libknot: rename knot_quic_creds and related functions to knot_creds...

libknot/quic: rename functions which are common to QUIC and TLS

implemented DoT for queries and XFR

libknot/quic: code moved

server/tcp: tiny refactoring

conventional DoQ: rename signal bool to be more generic

Merge branch 'tests_atomic_xchg_gcc'

tests/atomic: silence false positive Coverity warning (missing lock)

tests/atomic: workaround for a GCC optimization bug on i386

With -O1 and higher, the test of atomic_exchange_explicit() doesn't work right for 64-bit variables
on i386 (and possibly other 32-bit architectures). It seems that atomic_exchange_explicit() doesn't
exchange 64-bit values properly when it's used in a loop and GCC compiler optimization is turned
on. As a workaround, we are testing ATOMIC_XCHG on a pointer size of the given architecture.

It isn't sure yet, if atomic_exchange_explicit() is safe for 64-bit variables with GCC on i386 when
not used in a loop. Therefore, ATOMIC_XCHG should not be used on general 64-bit variables until
this GCC bug is solved.

Clang and gcc -O0 don't seem to be affected by this issue.

tests/atomic: finish the thread early once an invalid value occurs

server/xdp: add a check for non-null TCP table (Clang analyzer)

Merge branch 'doc_fixes'

doc: store doctrees in a separate directory per target

configure: fix HAVE_PDFLATEX setting if pdflatex not available

Merge branch 'remove_man'

man: use grouped targets in the Makefile to avoid potential parallel building

fixes #928

doc: remove man templates from the repository, keep them in a tarball