Merge branch 'bindtodevice' into 'master'

Allow wildcard address binding to a specific interface

See merge request knot/knot-dns!1873

server: allow binding of wildcard addresses to specific interface (on Linux)

yptrafo: add support for wildcard addresses with a device name

net: extend net_bound_socket() with optional device name parameter

Merge branch 'xfr_freeze_persistent_bis' into 'master'

xfr freeze presistent bis

See merge request knot/knot-dns!1877

doc/quic-outbuf-max-size: mention possible temporary mem burst between accepting new conns and freeing some

bugfix: persistent XFR freeze: flag for modified timers

gitignore: newer qtcreator stuff

doc: improve dnssec validation and signing description

zone/timers: make XFRout freeze persistent by setting it in timers

Merge branch 'stats_fix' into 'master'

stats: fix dumper thread cleanup

Closes #972

See merge request knot/knot-dns!1875

stats: fix dumper thread cleanup

Merge branch 'geoip_any' into 'master'

mod-geoip: fix responding to ANY queries

Closes #971

See merge request knot/knot-dns!1874

Merge branch 'backup_inhibits_timerdb_upd' into 'master'

bugfix/timerDB: zone-backup inhibits later timerDB dump, messing timers

See merge request knot/knot-dns!1872

zone/timers: refactoring, code cleanup

Makefile.docker: prevent automatic creating tag HEAD

Makefile.docker: add RELEASE-DATE tag

tests-extra: fix progress cleanup when pause is called

configure: add 'with_' prefix to socket_polling and memory_allocator fix automatic setting

libngtcp2: update embedded library to v1.23.0

Merge branch 'configure_refactoring'

configure: unify coding style

configure: refactor and unify utility dependency checks

configure: refactor and unify module dependency checks

configure: refactor and unify daemon dependency checks

configure: refactor and unify library dependency checks

bugfix/zone(timers): reload cleares 'started' bit leading to skipping timers write

bugfix/timerDB: zone-backup inhibits later timerDB dump, messing timers

mod-geoip: fix responding to ANY queries

Merge branch 'knotc_output_impr' into 'master'

Unify and improve knotc control command outputs

See merge request knot/knot-dns!1871

knotc: refactor, unify, and improve command output processing

knotc: allow -- with zone-serial-set and zone-key-rollover

kasp: fix compilation error: initializer element is not constant

kdig: fix collision if both +https and +quic are specified

Merge branch 'purge_keys' into 'master'

Keys purge

See merge request knot/knot-dns!1832

kaspdb: make deletion timestamp a part of a trash-key record

kasp: remove obsolete FIXME

tests-extra: dnssec/purge_keys -- remove all concurrent accesses to SoftHSM2

Contrary the SoftHSM2 specification, it seems that SoftHSM2 doesn't work well
when it's token is accessed two or more times in parallel.

tests-extra: add a new test dnssec/purge_keys

tests-extra: add default keystore as a variant of a PEM keystore

tests-extra: in keystores, allow to list the keys the keystore holds

tests, tests-extra: update SoftHSM2 configuration so that it doesn't complain

This commit doesn't change SoftHSM2 functionality, configured values are default values.

tests-extra: fix keymgr running

tests-extra: allow a keystore to be shared by different zones

tests-extra: add keystore.has_key() methods

libknot/dnssec: p11_load_module() returns KNOT_E* error codes

kaspdb: properly remove and insert DNSSEC keys in zone-restore

zone-keys: avoid storing never used shared-keys-to-be in the "trash bin"

kaspdb: when adding a key, always remove all trash records of the key

kaspdb: when making a trash key, report a malformed KASP DB key PARAMS record

kaspdb: purging aside, use key "trash bin" for other key removals too

doc/reference: a basic description of 'policy.trash-delay'

kaspdb: add a configurable trash-key lifetime option

dnssec: implement a "trash bin" for unused DNSSEC keys

kaspdb: make flags serialization/deserialization independent functions

kaspdb: add a "trash bin" class for unused DNSSEC keys

purge: start using keys purge

kaspdb: implement keys purge and orphaned keys sweep

lmdb: add one swappable database cursor to Knot LMDB transaction

libknot/dnssec/keystore: properly detect GnuTLS analogue of KNOT_ENOENT

WARNING:
It's still to be verified if the original (r == 0) really equals to KNOT_ENOENT.

dnssec: initialize all keystores for orphan keys purging

dnssec: when initializing keystore, make memory allocation optional

kaspdb: separate key-related classes from zone-related classes

Retain backup/restore behavior.
kasp_db_delete_all() doesn't delete KASPDBKEY_PARAMS records from the KASP db anymore.

kaspdb: modify keyid_inuse() to count uses rather than just check

zone-keys: make key remove from keystores a separate function

Add thorough keystores cleanup as an option.

ctl: define a keys purge filter

zone: define a keys purge macro

doc/reference: fix a typo

doc/appendices: for Luna HSM's, include their manufacturer name

doc/appendices: fix a letter case in EdDSA

dnssec/zone-sign: fix a typo

libknot/dnssec: coding style fix

conf/schema: coding style fix

conf/schema: coding style fix (ordering, white space)

zone/purge: improve logging

ctl/orphans_purge: avoid creating an empty catalog db when purging orphans

ctl/orphans_purge: remove an error report when there isn't a journal

fix some comment typos

tests-redis: 'make test' depends on 'make env'

tests-redis: add 'make env' target for simplicity

redis: fix allocator mismatch if Valkey is built with jemalloc on Ubuntu

redis: unify optional argument conditions

redis: fix update loading argument parsing

Merge branch 'dscheck_eemptyzone' into 'master'

NOTIFY/DS_check/push: avoid unnecessary error log when planned from timers...

Closes #969

See merge request knot/knot-dns!1870

NOTIFY/DS_check/push: avoid unnecessary error log when planned from timers...

...and zone not loaded/XFRed yet

tests-extra: line clearing only on atty

Merge branch 'mod-localalias' into 'master'

Localalias module

See merge request knot/knot-dns!1867

mod-alias: synthesise ALIAS records from locally-served targets

Add the `mod-alias` query module which synthesises answers for ALIAS
records (type 65401) at query time by looking up the ALIAS target in
the server's zone database and copying the target's records into the
response with the original query name as the owner.

The module hooks at KNOTD_STAGE_PREANSWER and is attached at zone
scope (typically via a template).  Behaviour:

  * Fires for A/AAAA queries, any others passed through to the
    standard resolver.
  * ALIAS is additive: direct rrsets on the alias node are merged
    with the synthesised target rrsets.
  * Multiple ALIAS rdata on a node are followed and their results
    merged.
  * TTL = min(alias_ttl, all contributing source TTLs).
  * Targets not served by a zone in this server are ignored;
    external resolution is out of scope.
  * Synthesised records are not signed; pair with mod-onlinesign
    if signed answers are required.

The integration test runs in two random modes per invocation
(plain and DNSSEC-via-mod-onlinesign) so both code paths are
exercised over time.

Co-authored-by: Daniel Salzman <daniel.salzman@nic.cz>

libknot: add knot_alias_name() accessor for ALIAS rdata

ALIAS (type 65401) rdata is a single dname, same wire format as CNAME.
Add a named accessor and its case in knot_rdata_name(), peer to the
existing knot_cname_name() / knot_dname_target() family.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

distro/deb: add knot_deleg_info_names symbol

Merge branch 'fixes_jh' into 'master'

Small QUIC-related fixes

See merge request knot/knot-dns!1866

Merge branch 'deleg_experimental' into 'master'

implementation of preliminary DELEG specification

See merge request knot/knot-dns!1843

node: replace NODE_FLAGS_DELEG with NODE_FLAGS_DELEG_NS and NODE_FLAGS_DELEG_DELEG

adjust: move ZONE_TREE_DELEG_AWARE setting to zone_update_commit()

semchecks: check for DELEG at the zone apex

DELEG: conf knob to enforce/override DELEG-awareness...

...manually, e.g. even for unsigned zones

DELEG: log DELEG-awareness of zone upon load/XFR

dnssec/DELEG: conf knob in policy triggers ADT

dnssec/DELEG: set ADT flag for newly generated keys

deleg: DELEG-aware answering depends on ADT presence