Backport #4751

Backport #4650

Backport #4526

Merge pull request #5778 from rgacogne/auth40-signing-pipe

auth 4.0.x: Handle a signing pipe worker dying with work still pending

API: prevent sending nameservers list and zone-level NS in rrsets

(cherry picked from commit 33e6c3e9505ac7c0e9b36850868aca1a1a91dd79)

bindbackend: do not corrupt data supplied by other backends in getAllDomains

(cherry picked from commit 99d6d7f6420fae2cfa4f00b09f39fc9c22574c65)

Add test demonstrating issue #4328

Where, when bindbackend is loaded, serials show up as zero in domain listing.

(cherry picked from commit a21e85669c4abe1ceaf8b07626aef3d102b68dd9)

API: url in zone info should be absolute

Fixes #4524.

(cherry picked from commit 16e25450a17bee09f83a6cf7817ebd95e3504c6a)

Merge pull request #5927 from pieterlexis/auth-backport-travis-happiness

Make travis happy on rel/auth-4.0.x

make travis happy

(cherry picked from commit 664135769af13364a4de0ed9e3efc6cd281a52b2)

Merge pull request #5811 from rgacogne/auth40-travis-encrypt-channel

Backport #5802: Encrypt the IRC channel name so notifications are not sent for forks

Encrypt the IRC channel name so notifications are not sent for forks

(cherry picked from commit f4614876f16ac3223786b26b18a4386045102f09)

auth: Handle signing pipe worker dying with work still pending

(cherry picked from commit e3200e070e7cc4e243676776c41eb806c4edb7a5)

Merge pull request #5682 from rgacogne/auth40-empty-java-options

auth: Unset _JAVA_OPTIONS before using jdnssec

auth: Unset _JAVA_OPTIONS before using jdnssec

Travis now [1] defaults to _JAVA_OPTIONS="-Xmx2048m -Xms512m". We wouldn't
care much, except that every Java command now outputs the following line
to stderr, breaking our jdnssec diffs:

"Picked up _JAVA_OPTIONS: -Xmx2048m -Xms512m"

[1]: https://docs.travis-ci.com/user/build-environment-updates/2017-09-06/

(cherry picked from commit a20029adeecbf314594ca3a921ca1f2e22669e6c)

Merge pull request #5677 from aerique/feature/update-copryright-year-auth-4.0.x

Feature/update copyright year auth 4.0.x

Update copyright year in publicly visible output and files

(cherry picked from commit ff8f70b800e8b81a6d97c2d2568483d03228df2a)

Merge pull request #5628 from rgacogne/auth40-travis-build-dir

Backport #4986: Use `${TRAVIS_BUILD_DIR}` instead of assuming the repo is in `pdns`

Use `${TRAVIS_BUILD_DIR}` instead of assuming the repo is in `pdns`

Thus avoiding issues when/if the repository is cloned with a different
name.

(cherry picked from commit 1e0253cad96199647f92ef4fa8230f614637e80c)

Merge pull request #5517 from mind04/bp-ds-40

lookups one level (or more) below apex did confuse getAuth() for qytpe DS

auth: ds-at-parent test is failing with ldap-simple and ldap-strict

auth: add a test to make sure we lookup DS in the right zone

auth: external child zones did confuse getAuth() for qytpe DS

Merge pull request #5491 from rgacogne/auth40-4940

auth-4.0.x: Backport #4940: Backport json11 fixes from upstream

Backport json11 fixes from upstream

(cherry picked from commit 3c20dd3b30bd0c15c5f7a1e82fba3bb5254b28df)

Merge pull request #5450 from Habbie/auth-4.0.x-5105

backport: auth: Don't leak a CDB object in case of bogus data

auth: Don't leak a CDB object in case of bogus data

Merge pull request #5445 from Habbie/auth-4.0.x-uri

auth backport: make URI integers 16 bits, fixes #5443

Merge pull request #5441 from mind04/backport-5427

Backport decaf signer

make URI integers 16 bits, fixes #5443

Merge pull request #5436 from Habbie/auth-4.0.x-travis-edge

install fakeroot and bump json gem version, for new travis image

Merge pull request #5440 from Habbie/auth-4.0.x-5401

unbreak quoting; fixes #5401

don't use the libdecaf ed25519 signer when libsoduim is enabled

unbreak quoting; fixes #5401

add ED448 to signers unit test

initial stab at signer testing; has one 8080 test vector for now

hello decaf signers (ED25519 and ED448)
Testing algorithm 15: 'Decaf ED25519' ->'Decaf ED25519' -> 'Decaf ED25519' Signature & verify ok, signature 68usec, verify 93usec
Testing algorithm 16: 'Decaf ED448' ->'Decaf ED448' -> 'Decaf ED448' Signature & verify ok, signature 163usec, verify 252usec

install fakeroot and bump json gem version, for new travis image

Merge pull request #5423 from mind04/ed25519-40

Backport of #5422 do not hash the message in the ed25519 signer

do not hash the message in the ed25519 signer

https://www.rfc-editor.org/errata_search.php?rfc=8080

This is a Native zone
Metadata items: None
Zone has NSEC semantics
keys:
ID = 1 (CSK), flags = 257, tag = 3613, algo = 15, bits = 256      Active ( ED25519 )
CSK DNSKEY = example.com. IN DNSKEY 257 3 15 l02Woi0iS8Aa25FQkUd9RMzZHJpBoRQwAQEX1SxZJA4= ; ( ED25519 )
DS = example.com. IN DS 3613 15 1 b2c63605467c4a40942b47a953e9c0d38f81083a ; ( SHA1 digest )
DS = example.com. IN DS 3613 15 2 3aa5ab37efce57f737fc1627013fee07bdf241bd10f3b1964ab55c78e79a304b ; ( SHA256 digest )
DS = example.com. IN DS 3613 15 4 89389da437fca8372e67359dfc0dd4428fa2615df6e31bc5501677dd068514fea5c4efaf82188530a8a1645d9d3ef884 ; ( SHA-384 digest )

DNSKEY and DS match

Merge pull request #5378 from mind04/backports-40

Backports to rel/auth-4.0.x

auth: fix override in lua backend

auth: reanimate opendbx backend

auth: make sure Lua axfrfilter() does not insert out of zone data

auth: some small rectify improvements

auth: make sure upcase qnames do not confuse rectify or axfr

auth: make sure all qnames entering pdns via axfr are properly lowered

add makeUsRelative() to DNSName class

auth: test to make sure ordername is always lower case

auth: ignore NSEC3PARAM in an unsigned zone

auth: keep slave dnssec status in sync with the master

Merge pull request #5346 from shinsterneck/backport-5335-auth-4.0.x

Backport of #5335 to auth-4.0.x: configure.ac: corrects syntax error in test statement on existance of libcrypto_ecdsa

corrects syntax error in test statement on existance of libcrypto_ecdsa

(cherry picked from commit 8189c881e5ebaa13f5f14d9345335d656bd34e43)

Merge pull request #5341 from shantikulkarni/rel/auth-4.0.x

Fix typo in ldapbackend.cc from issue #5091

Update ldapbackend.cc

Merge pull request #5297 from mind04/backport

Backport to stable

Merge pull request #5325 from rgacogne/auth40-yahttp-backports

auth-4.0.x: YaHTTP: Sync with upstream changes

YaHTTP: Sync with upstream changes

Backport changes from upstream up to c5b83288a4c2f8ec07cb8cb7bd150f2210db67b6
"Add missing `YaHTTP::isdigit()`, fix locale-enabled versions"

Merge pull request #5298 from mind04/notify-dnsupdate40

Notify dnsupdate backport

Merge pull request #5317 from mind04/axfr-filter40

backport: add option to set a global lua-axfr-script value

Always wrap DNSCryptoKeyEngine objects in a shared pointer

It's done almost everywhere, but not quite, and some of the paths
where it's not could leak if an exception is raised.
Also mark the overridden virtual methods with `override` to prevent
future mistakes.

(cherry picked from commit e69c2dac28d798813dd8e4a986c5045c63806ef0)

auth: add option to set a global lua-axfr-script value

Merge pull request #5289 from mind04/auth-4.0.x-nsec

Auth 4.0.x nsec sorting

Add support for "NONE" SOA-EDIT kind

Setting the "SOA-EDIT" value for a zone to "NONE" causes an error:
'SOA-EDIT type 'NONE' for zone ZONENAME is unknown.'

remove latency from regression-tests.nobackend counters

Send a notification to all slave servers after every update.
This will speed up the propagation of changes and is very useful for acme verification.

fix memory leak in gmysql backend

detect gcc/g++ 5.4, 7.0 and 7.1

update Ed25519 algorithm number and mnemonic
http://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml

minor cleanup in the afxr-rectify code

fix a regression in axfr-rectify introduced by commit d86e1bf7

update tinydns data files

signpipe stumbles over interrupted rrsets

sort tinydns data to reduce size of future diffs

auth: Don't leak on signing errors during outgoing AXFR

auth: Create additional `reuseport` sockets before dropping privileges

Add GCC 6.3 to boost.m4

auth: forget minimal... let's make this shiny ;)

auth: lowercase qname before NSEC generation

auth: add test to make sure NSEC(3) generation is case insensitive

test result before fix (auth-4.0.3):

--- ./tests/nsecx-upcase/expected_result        2017-05-03 21:17:26.000000000 +0200
+++ ./tests/nsecx-upcase/real_result    2017-05-03 21:29:10.231994921 +0200
@@ -2,8 +2,10 @@
 0      Z1234567890.wtest.com.  IN      RRSIG   3600    CNAME 13 2 3600 [expiry] [inception] [keytag] wtest.com. ...
 0      server1.wtest.com.      IN      A       3600    1.2.3.4
 0      server1.wtest.com.      IN      RRSIG   3600    A 13 3 3600 [expiry] [inception] [keytag] wtest.com. ...
-1      a.something.wtest.com.  IN      NSEC    86400   wtest.com. A RRSIG NSEC
-1      a.something.wtest.com.  IN      RRSIG   86400   NSEC 13 4 86400 [expiry] [inception] [keytag] wtest.com. ...
+1      *.wtest.com.    IN      NSEC    86400   e.wtest.com. CNAME RRSIG NSEC
+1      *.wtest.com.    IN      RRSIG   86400   NSEC 13 2 86400 [expiry] [inception] [keytag] wtest.com. ...
 2      .       IN      OPT     32768
 Rcode: 0 (No Error), RD: 0, QR: 1, TC: 0, AA: 1, opcode: 0
 Reply to question for qname='Z1234567890.wtest.com.', qtype=A
./tests/nsecx-upcase/unbound-host.out:Z1234567890.wtest.com is an alias for server1.wtest.com. (BOGUS (security failure))
./tests/nsecx-upcase/unbound-host.out:server1.wtest.com has address 1.2.3.4 (BOGUS (security failure))

Merge pull request #5189 from Habbie/backport-4715

Backport: Specify that dnsmessage.proto uses protobuf version 2

Specify that dnsmessage.proto uses protobuf version 2

Recent proto-c versions are complaining loudly otherwise.

Merge pull request #5184 from Habbie/backport-4839

Backport 4839

Merge pull request #5176 from rgacogne/auth40-backport-5049

Backport 5049: Minor fixes based on Coverity's report

Merge pull request #5173 from rgacogne/auth40-backport-5101

Backport #5101: Fix minor issues reported by `cppcheck`

add required unbound version to the ent-asterisk test description

nsec ent-asterisk test is no longer bogus with unbound 1.6.0

Merge pull request #5175 from rgacogne/auth40-backport-5130

Backport #5130: dnsreplay: Add `--source-ip` and `--source-port` options

Merge pull request #5174 from rgacogne/auth40-backport-5085

Backport #5085: calidns: Use the correct socket family (IPv4 / IPv6)

Merge pull request #5170 from mind04/auth-4.0.x

Backport: Add an option to allow AXFR of zones with a different (higher/lower) serial #5169

Add an option to allow AXFR of zones with a different serial.

Fix coverity nits

(cherry picked from commit f6a8107761b40efcf7512e9aec9a75d1ba1de703)

Catch exceptions in destructors

(cherry picked from commit 737a287f2d73b1e5f7f0378d9ccb2ddb389f9299)

dnsreplay: Add `--source-ip` and `--source-port` options

(cherry picked from commit 658b9c44802ae9791e8ce06a38a9ff84647d9463)

calidns: Use the correct socket family (IPv4 / IPv6)

(cherry picked from commit 7f363f60451fa8e54508c2628be122a8eb021b53)

Fix minor issues reported by `cppcheck`

(cherry picked from commit d7c676a5d42d5d7e5078a8662d355c9a782bdb51)

Merge pull request #5073 from Habbie/backport-4824

Backport #4824: Check in the detected OpenSSL/libcrypto for ECDSA

Merge pull request #5071 from Habbie/backport-5051

backport #5051: fix godbc query logging (cherry-pick of d2bc6b2)

Backport #4824 (cherry-pick of 2a4c374)

Check in the detected OpenSSL/libcrypto for ECDSA

We used to 'just' use the default includes for this detection.

Fixes #4680

fix godbc query logging (cherry-pick of d2bc6b2)