nsrep: allow inclusion of good nameservers if there's space in selection

The current algorithm doesn't work if there's 3 unknown nameservers in the
address selection set, and the 4th is known working with higher score
than unknown.

layer/iterate: remove workaround that should be covered by PERMISSIVE mode

This breaks resolution when NS is both authoritative for child and parent,
parent is signed, but child isn't (e.g. prohash.app). The NS responds from
child side with an NS but doesn't append a DS, resolver finds there's no DS,
makes a subrequest for it, and yields. When subrequest is resolved it makes
the same NS query to child, and because the zone cut doesn't change, resolver
treats it as an authoritative response because of this workaround (matching NS in authority).

lib: allow building with only core library (no cache and no lmdb)

lib: remove daemon dependencies from library to allow for embedding

Merge branch 'release_321' into 'master'

Release 3.2.1

See merge request knot/knot-resolver!750

release 3.2.1

lua-aho-corasick: bump to latest version

tests: import new Deckard with new tests

Besides other things Deckard now detects hang servers using timeout. It
might happen that CI will need a longer timeout - we can change the
value at will.

NEWS for 3.2.1 release

Merge branch 'lmdb-nowarn' into 'master'

contrib/lmdb: avoid -Wshadow with embedded lmdb

See merge request knot/knot-resolver!751

contrib/lmdb: avoid -Wshadow with embedded lmdb

Unfortunately, CFLAGS are concatenated in the other order than we would
need for this, so let's choose this approach.

Merge branch 'packaging-update' into 'master'

packaging tests update

See merge request knot/knot-resolver!747

distro/tests: select corect Python interpreter for ansible

scripts/build-in-obs.sh: nitpick

distro/tests: switch fedora to generic boxes (more recent packages)

distro/tests: turn off shell warning when using pkg manager commands

distro/tests: don't wait for confirmation during vagrant destroy

Merge !737: trust anchors improvements (mainly logs)

trust anchors: improvements around DNSKEY refusal

- also refuse revoked DNSKEY (explicitly configured as TA)
- also downgrade missing the SEP bit to a warning
- explicit message when DNSKEY is refused, even without --verbose
- code rewrite, handle flags in a better way than "== 257"

trust_anchors: improve error message about mixed owner names

trust_anchors nitpicks: silence luacheck warnings

trust_anchors: add .summary() and use it for logging

Previous logging was a bit confusing because it logged also intermediate
states during TA changes.

trust_anchors: add parameter check to set_insecure

trust_anchors: unify warning about 0 trust anchors

Merge !749: modules/hints: plug a memory leak in .use_nodata()

modules/hints: plug a memory leak in .use_nodata()

It was tiny, but still.

Merge !748: TA bootstrap: support validUntil attribute

Closes #435.

trust_anchors: move test web server to port 8080

This is an attempt to avoid conflicts when executing tests in parallel.

trust_anchors: check syntax of public keys in DNSKEY RRs

Formerly keys with invalid public key data were accepted, leading to
negative keytag values in RFC 5011 metadata.

trust_anchors: XML and certificate tests for bootstrap

At the moment tests are quite dumb and test only basic HTTPS certificate
validation and XML parsing/error detection.

We need to refactor code first to allow more detailed testing.

FIXME: webserv.lua is not terminated when tests are finished

trust_anchors: respect timestamps in root-anchors.xml

We are not RFC 7958 compliant and support only XML with just root zone
TA. Full compliance would require either proper Lua XML parser or CMS parser
and both are hard to get packaged in Fedora and elsewhere.

Also timestamps related to TA validity are limited to UTC timezone
because cross-platform timezone parsing is hard.
(Mac OS libc does not have usable strptime(%z).)

Closes: #435

utils: diff between two calendar times in strings

gen-cdef: compatibility with GDB 8.2+

Merge branch 'ci-stabilize-pytests' into 'master'

ci: stabilize pytests

Closes #427

See merge request knot/knot-resolver!744

pytest/test_tcp_pipelining: longer delay for first query

In our CI, this test ocassionally fails. This is most likely due to
delays in kernel processing due to many virtualization layers coupled
with massive paralelization of tests.

Closes #427

pytests/kresd: more resilient initial socket creation

pytests/conn_flood: attempt to make test more stable in CI

pytests/utils: give kresd more time to TCP FIN

pytests/kresd: improve backoff when establishing initial kresd connection

pytests/test_long_lived: decrease time.sleep to 7s

Attempt to increase test stability in CI under high load.

pytests/kresd: increase delay during initial waiting for port

pytests/kresd: change order of tcp/tls alive pings

pytests/kresd: change allowed port range

Docker uses 32768 - 61000 as ephemeral ports. Don't use
this range for kresd to avoid collisions.

pytests: print verbose log when kresd init fails

Merge branch 'ci-respdiff-dnsviz' into 'master'

ci: respdiff - generate additional reports

See merge request knot/knot-resolver!742

ci: respdiff - generate additional reports

Merge branch 'warn-pedantic-ci' into 'master'

CI: enforce -Wpedantic

See merge request knot/knot-resolver!743

CI: only use -Werror in the lint:pedantic job

CI: enforce -Wpedantic and -Wshadow

-Wpedantic is only enforced in CI, as we only have it fixed with c11
standard, and I didn't want to force c11 dependency for everyone yet.

tiny -Wpedantic fixes

modules/policy/lua-aho-corasick: quick make fix

nitpicks from lgtm.com

The script has been unused for longer time.
Almost all remaining C warnings are just "FIXME" comments :-)
and I didn't touch the JS warnings.

treewide nitpick: fix -Wshadow

None of these seemed to be errors, but it seems better to clear these.

Merge !739: daemon/tls: fix rare case of improperly handled rehandshake

daemon/tls: in some cases rehandshake might be improperly handled, which may lead to assertion;

Merge !740: dockerfile: best practices

dockerfile: use ENTRYPOINT for main command

dockerfile: use LABEL instead of MAINTAINER

Merge !733: various nitpicks, mainly docs

doc for net.tls_sticket_secret: outdated text

queue_* doc: explicitly note non-emptiness requirement

policy docs: improve the examples

worker interactive mode: add TODO

lib/utils: more docs

It's perhaps unfortunate that the output value of buflen had +1 change
in meaning in commit 19a3cad69, but the name clearly indicates that we
care about length of the buffer, i.e. space terminating zero *is*
counted on input, so let's be consistent and count it on output as well.

daemon/worker: re-activate assertion

The problem has been fixed, apparently.

Merge !745: docker config: correct the help output

Correct help function output in docker config.

Previously the help function output in the docker config listed port 80
as the port on which the server would listen for DNS over UDP and TCP.
However that was inconsistent with the first output line where it was
indicated to be port 53. This has now been corrected.

Merge branch 'centos-issue' into 'master'

daemon/tls: fix broken compatibility with gnutls 3.3

Closes #438

See merge request knot/knot-resolver!741

daemon/tls: fix broken compatibility with gnutls 3.3

Merge !734: daemon/worker: improve timeouted outgoing tcp

daemon/worker: improved handling of timeouted outgouing tcp connections

Merge branch 'pause-when-hover' into 'master'

Modernize graphs in HTTP module

See merge request knot/knot-resolver!736

pause life graph data when hovered by mouse

graph legend at right top corner

new version of graph library Dygraph; new colors; repaired data type

Merge branch 'dnssec_log' into 'master'

Improvements for DNSSEC logging

See merge request knot/knot-resolver!735

dnssec: improve bogus logging to give more info

validator: clarify message about bogus non-authoritative data

Merge branch 'news_320' into 'master'

NEWS: 3.2.0 release

See merge request knot/knot-resolver!730

release 3.2.0

NEWS: 3.2.0

view: clarify docs

Merge branch 'packaging-update' into 'master'

packaging updates

Closes #419

See merge request knot/knot-resolver!712

dostr/common: tweak kresd.conf

Don't explicitly load policy module, which is loaded by default anyway.

modules/experimental_dot_auth: fix lualint errors in basexx

distro/deb: add experimental_dot_auth module

modules/experimental_dot_auth: bundle basexx.lua

Fedora, CentOS and Ubuntu 16.04 are missing lua-basexx dependency.
Since it's just a single file, it's easier to bundle it with the module.

Related https://gitlab.labs.nic.cz/knot/knot-resolver/merge_requests/711

libkres: bump ABI to 9

distro/deb: update libkres symbols

distro/common: mention systemd.socket in kresd.systemd man page

distro/rpm: remove F27 migration

ci/fedora: add correct obs repo to F29 container

doc/daemon: trust_anchors.keyfile_default

distro/kresd.no_ta.conf - mention how to turn off DNSSEC validation

distro/tests: use faster mirrorlist for Arch

README: remove unused coverity status icon

distro/arch: use dnssec-anchors

distro/arch: add armv7h to supported archs

Merge branch 'config-examples' into 'master'

etc/config.*: tweak the config examples

See merge request knot/knot-resolver!729

etc/config.*: tweak the config examples

The main impulse was to have 'hints > iterate', as people usually expect
hints to take precendence before cache.