Do SERVFAIL, therefore continue when searching for DS in TCP path too.

Handle SERVFAIL replies when looking for proven-nonexistence of DS.

ra-advrouter mode for RFC-3775 mobile IPv6 support.

Need to fixup records in the additional section when removing DNSSEC stuff.

Update doc.html - was positively antediluvian.

CHANGELOG update for 2.70 release.

Bump Debian version.

Typo.

Fix crash on TCP DNS request when DNSSEC not enabled.

Ensure request name in buffer for ipset lookup.

Add donate button to doc.html.

Update CHANGELOG/release-notes.

ipv6.arpa -> ip6.arpa

Fix NXDOMAIN RCODE in auth PTR replies.

Fix ipsets logging patch.

Log IPSET actions.

Add --dnssec-no-timecheck

Ensure ->sentto is valid for DNSSEC forwards. Otherwise retries SEGV.

Cache stats availble in CHAOS .bind domain.

Terminate DS-search when reaching the root via cache entries.

SERVFAIL is an expected error return, don't try all servers.

Handle failure of hash_questions()

Memory leak in error path.

Reorder sanity checks on UDP packet reception, to cope with failed recvfrom()

Add dnssec-check-unsigned to example config file.

CHANGELOG update.

Ignore DNS queries from port 0: http://www.ietf.org/mail-archive/web/dnsop/current/msg11441.html

Tidy uid defines.

Fix DNSSEC crash retrying to IPv6 server.

Initialise uid when creating CNAME cache record.

Make --quiet-dhcp apply to DHCPDISCOVER when client ignored.

Manpage typos.

Tidy and fix cache->uid handling.

Some CNAMES left the value of ->uid undefined.

Since there are now special values if this, for CNAMES
to interface names, that could cause a crash
if the undefined value hit the special value.

Also ensure that the special value can't arise
when the uid is encoding the source of an F_CONFIG
record, in case there's a CNAME to it.

Ensure next_uid() can never return 0.

Handle integer overflow in uid counter. Fixes rare crashes in cache code.

Warn about non-local queries once only for UDP.

Typo

OPT_LOCAL_SERVICE needs up-to-date interface list too.

Set --local-service in Debian package startup.

--local-service. Default protection from DNS amplification attacks.

Add --static to pkg-config command when appropriate.

Compiler warning.

Man page updates for DNSSEC.

KEYBLOCK LEN better as a multiple of 8.

Can have local DS records (trust anchors).

Mass edit of INSECURE->BOGUS returns for server failure/bad input.

Don't cache secure replies which we've messsed with.

Tweak tuning params.

Handle replies with no answers and no NS in validate_reply.

Don't free blockdata for negative DS cache entries.

Fix off-by-one overwrite.

Tidy.

Check that unsigned replies come from unsigned zones if --dnssec-check-unsigned set.

Negative caching for DS records.

Return INSECURE when validation fails with proved non-existent DS.

Strip DNSSEC RRs when query doesn't have DO bit set.

Speeling.

Code cleanup.

An NSEC record cannot attest to its own non-existance!

Check signer name in RRSIGs.

Bugfix for last commit.

NSEC3 validation. First pass.

Add --servers-file option.

Omit ECC from DNSSEC if nettle library is old.

More server cleanup.

Cleanup of server reading code, preparation, for dynamic reading from files.

--rev-server option. Syntactic sugar for PTR queries.

Log BOGUS validation result when upstream sends SERVFAIL.

TYpo.

No CD in forwarded queries unless dnssec-debug for TCP too.

Don't mess with the TTL of DNSSEC RRs.

Add RFC-6605 ECDSA DNSSEC verification.

Use DS records as trust anchors, not DNSKEYs.

This allows us to query for the root zone DNSKEY RRset and validate
it, thus automatically handling KSK rollover.

Further tidying of AD and DO bit handling.

Handle validation when more one key is needed.

Fix Byte-order botch: broke DNSSEC on big-endian platforms.

Fix DNSSEC caching problems: incomplete RRSIG RRsets.

AD bit in queries handled as RFC6840 p5.7

Add trust-anchors file to Debian package.

Fix stack-smashing crash in DNSSEC. Thanks to Henk Jan Agteresch.

DNSSEC config in example file.

Protect against malicious DNS replies with very large RRsets.

Make RR work when returning A/AAAA records and an RRSIG.

Updated version of contrib/try-all-ns

Linking stuff. Latest Debian/Ubuntu don't automatically link gmp.

Make DNSEC default, add build-depends for same, bump version.

CHANGLEOG for DNSSEC.

Format tweak.

Log NXDOMAIN correctly.

Return configured DNSKEYs even though we don't have RRSIGS for them.

Nasty cache failure and memory leak with DNSSEC.

Validate Ooops.

Blockdata fixes and tuning.

Blockdata leak.

copy-n-paste error.

Anounce DNSSEC at startup.

Init ->dependent field in frec allocation.

Compiler warning.

Add a file containing current root trust anchors, for convenience.

Crash in cache code when compiled with HAVE_DNSSEC.