DNSKEY: implemented ADT bit signalling DELEG-awareness

nameserver+signer: implemented DELEG-un/aware answering

libknot+kdig: support for EDNS DE flag (DELEG-aware signal)

libknot: support for DELEG+DELEGPARAM rrtypes, SIDE-EFFECT:

invalid commas and quotes in any domain names in zone files are
no longer reported as "invalid domain name character" but as
"owner is invalid" or "invalid record data" etc

server: unify tcp-handler.c and udp-handler.h headers order

Merge branch 'descr_refa' into 'master'

RR descriptors refactoring

See merge request knot/knot-dns!1869

libknot: unify code knot_rrclass_from_string()

libknot: merge knot_get_rdata_descriptor() with knot_get_obsolete_rdata_descriptor()

libknot: optimize knot_rdata_descriptor_t size

libknot: reduce the huge rdata_descriptors array

distro: update alias for deb-nolibxdp

CI: remove Debian 11 (EOL 2026-08-31)

CI: remove no longer supported ubuntu-20.04

scripts/docker: fix LegacyKeyValueFormat warnings

tests-fuzz: remove AFL support

The knotd_stdio wrapper is broken and unused. In the context of upcoming
AI tools, it's not worth keeping.

scripts: unify Dockerfile for Fedora and Rocky

And fix missing libatomic on Rocky (dependency of clang package).

tests-extra: make QUIC detection more universal

server: quic table max conns minimum limited to 1

tests-extra: add progress information

Merge branch 'fix_id_leak' into 'master'

fix: release of id on error

See merge request knot/knot-dns!1868

fix: release of id on error

tests-extra: add check for Redis without ASAN

quic: fix typo in function name knot_quic_hanle_expiry()

quic: fix assert happening on ngtcp2

`contrib/libngtcp2/ngtcp2/lib/ngtcp2_conn.c:78: conn_update_timestamp: Assertion `conn->log.last_ts <= ts' failed.`

quic: fix undefined behavior - pointer arithmetic after free

module: extend parameter checks in conf_deactivate_modules()

module: update conf_activate_modules() description

configure: fix undefined HAVE_KDIG_VALIDATION if disabled utilities or daemon

Merge branch 'kdig-diskspace-warn' into 'master'

utils: report errors in writing the output to the user

See merge request knot/knot-dns!1862

fix: missing error message after explicit fflush call

utils: report errors in writing the output to the user

Notably in cases where output was truncated due to insufficient device
storage capacity.

libngtcp2: update embedded library to v1.22.1

Merge branch 'kdig_dnssec_valid' into 'master'

kdig DNSSEC validation

See merge request knot/knot-dns!1752

kdig: don't link with unused libknotd dependencies (urcu, hiredis, zscanner,...), version 2

This solution doesn't affect knotd performance by not placing each function
in its own section in the object file, but at the cost of a bigger kdig binary.
Also it requires ugly symbol redefinitions.

kdig: don't link with unused libknotd dependencies (urcu, hiredis, zscanner,...), version 1

By placing each function in its own section in the object file, the linker can
eliminate dead code (and unused calls of external dependencies). The resulting
kdig binary is smaller. Unfortunately, this solution slightly worsens knotd
performance.

kdig/validation: fix empty-non-terminal wildcard match in NSEC zone...

...for example foo.not-star.phicoh.nl. matches empty-non-terminal wildcard

tests: support for calling kdig and its validation

kdig: implemented DNSSEC validation (+validate)

dnssec validation: bugfix: dont remove any even redundant RRSIGs

libknot: allow loading nsec3 params from NSEC3

adjust: bugfix: prev pointers for non-binode contents

yparser: fix unix socket path guessing

Merge branch 'lmdb_read_check' into 'master'

knot_lmdb: call mdb_reader_check() even for RO transactions

See merge request knot/knot-dns!1865

knot_lmdb: call mdb_reader_check() even for RO transactions

tests: mute warning 'strnlen' specified bound 108 exceeds source size 38

scripts/timers_dump.py: fix empty zone name for the root zone

knotd: fix library linking order (place malloc_LIBS last)

Otherwise, an alternative allocator may be linked but not necessarily used
as the effective malloc implementation.

Merge branch 'events_mutex_fix' into 'master'

events: add missing mutex lock, code unification

See merge request knot/knot-dns!1864

events: add missing mutex lock, code unification

tests-extra: fix NOTIFY over TLS from Bind

mod-onlinesign: fix computation of immediately successive name

Merge branch 'test_etc' into 'master'

tests: workaround for Bind9 bug #5824

See merge request knot/knot-dns!1863

tests: workaround for Bind9 bug #5824

knotd: add module for EDNS error reporting, RFC 9567

kdig: add support for EDNS Report-Channel option

libknot: add EDNS Report-Channel option

Merge branch 'libknot_fixes_lpe' into 'master'

libknot fixes

See merge request knot/knot-dns!1861

zonefile+ctl+redis: prevent malformed RRs in generic format

ctl/zone-set: leak when RR parsing fails

libknot: distinguish RR types that may have non/empty rdata remainder

ctl: don't canonicalize rdata if in generic format and forced

libknot/rrset-dump: check for valid data length prefix

libknot/zonemd: ensure item length getters don't return overlimit values

libknot/nsec3: ensure item length getters don't return overlimit values

libknot/descriptor: add minimum rdata sizes where appropriate

tests: extended RR lower-casing test

zonefile-load + ctl/zone-set: canonicalize only generic...

...as non-generic textual format is canonicalized already in
zscanner

libzscanner: add rdata lower casing support and generic format indication

libngtcp2: update embedded library to v1.22.0

fixup but think again

Merge branch 'all_outdated_warning' into 'master'

All outdated warning

See merge request knot/knot-dns!1860

zone/load/difference-no-serial: enforce serial policy already upon initial zonefile load

refresh: warn when all primaries are outdated

redis: fix use-after-free pointer at 'diff_aof_rewrite'

redis: fix arity check at 'KNOT_BIN.AOF.DIFF'

Merge branch 'kxdpgun_link_rate' into 'master'

kxdpgun: change throughput statistics output

See merge request knot/knot-dns!1859

kxdpgun: edit stats to print throughput in SI format

kxdpgun: add reply link rate to stats output

Merge branch 'update_no_change_faster' into 'master'

update: improve terribly slow zone_update_no_change()

See merge request knot/knot-dns!1858

kxdpgun: add /copy to XDP mode if forced

xdp: allow configuring ZERO_COPY by 'xdp.zero-copy'

Disabling ZERO_COPY can help if there is a bug in the kernel/driver.

distro/deb: upgrade to Policy 4.7.3

https://salsa.debian.org/dns-team/knot-dns/-/commit/a70430a37309e584f671e7ec6f0dcefe29ff1a95
https://salsa.debian.org/dns-team/knot-dns/-/commit/eb57ca1bf562826a4f4813d719419f0f23a5ad67

distro/deb: declare in d/clean that doc/modules/ is a directory

https://salsa.debian.org/dns-team/knot-dns/-/commit/304614ad4f5e629cfc51b4b364acf764ffeebe20

distro: unify files for Arch

distro/deb: introduce sysusers.d and tmpfiles.d

https://salsa.debian.org/dns-team/knot-dns/-/commit/ffae9018ae1b879d470e91936d53ca1be2334415

conf: increase conf_lmdb_readers() return value by 3

A user was hitting the previous limit.

stats: refactor server statistics

src: use ATOMIC_*_SOFT() where appropriate

atomic: add ATOMIC_*_SOFT alternatives for appropriate cases (statistic counters)

atomic: make ATOMIC_* commands with highest memory order by default

Add ATOMIC_*_SOFT alternatives for appropriate cases (statistic counters).

atomic: add ATOMIC_CMPXCHG()

atomic: remove GCC __atomic support, which isn't used anywhere

Merge branch 'kxdpgun-json-stream' into 'master'

kxdpgun: tweak --json output

See merge request knot/knot-dns!1854

kxdpgun + json: edit to comply with JSON lines

kxdpgun: tweak --json output

It was producing a large []-list of JSONs from the [schema].
But the intention was to use a *stream* of newline-delimited
JSON objects, each matching the [schema].  We output that now.

[schema]: https://github.com/DNS-OARC/dns-metrics

Merge branch 'bind9_offline_ksk3' into 'master'

Bind9 offline ksk3

See merge request knot/knot-dns!1857

tests: Bind9 in OfflineKSK: detection if available and new enough

tests: offlineKSK interoperability with Bind9

tests-extra: facility for calling server.key_gen/set() also for Bind

keymgr/offlineKSK: allow timestamps in YMDhms format