Merge pull request #4221 from Habbie/no-clobber-erno

save errno before we clobber it

Merge pull request #4217 from ahupowerdns/nxtrust

turn on root-nx-trust by default and log-common-errors=off, and document that

clarify root-nx-trust by explicitly setting it to yes

turn off the logging of common errors by default. In high traffic situations with synchronous logging, this is dangerous.

Merge pull request #4220 from rgacogne/dnsdist-no-error-parsing-udp-query

dnsdist: Don't log an error when parsing an invalid UDP query

Merge pull request #4164 from pieterlexis/fail-on-lua-dns-script-missing

Fail on startup when lua-dns-script doesn't exist

Merge pull request #4192 from Habbie/dnsreplay-nostamp

only ecs-stamp when asked for

Merge pull request #4152 from zeha/test-doubleeq

Use single equal sign when calling test(1)

save errno before we clobber it

dnsdist: Don't log an error when parsing an invalid UDP query

It can still be displayed in verbose mode, but we don't want to
flood our logs for this.

turn on root-nx-trust by default, and document that

Merge pull request #4119 from mind04/recursor

rec: improve dnssec record skipping for non dnssec queries

Merge pull request #4114 from rgacogne/dnsdist-labelscount-rule

dnsdist: Add `QNameLabelsCountRule()` and `QNameWireLengthRule()`

Merge pull request #4133 from rgacogne/issue-4128

Add limits to the size of received {A,I}XFR, in megabytes

Merge pull request #4213 from pieterlexis/tinydns-for-centos

Create tinydns backend packages for CentOS 7

Merge pull request #4212 from pieterlexis/pgp-key

Add PGP key to tarball signers

Add PGP key to tarball signers

Create tinydns backend packages for CentOS 7

Merge pull request #4044 from cmouse/dnspacket-comboaddr

Dnspacket comboaddr

Merge pull request #4187 from pieterlexis/bogus-island-of-trust

Two more DNSSEC fixes

Add changelog entry

Validate all key paths on possible Insecure

Before, we only checked the first QName, now we go through every name we
have to verify that the answer is indeed insecure.

Do not follow CNAMEs when hunting for DS records

This fixes the CNAME at apex bogus

Don't go bogus on CNAMEs to islands of security

Closes #4181

Incidentally, this commit also ensures that we no longer 'jojo' between
Secure and Insecure states. Once we have an Insecure, we can only go
Bogus but not Secure.

Compress 3 lines into 1

Add test for island of security (#4181)

only ecs-stamp when asked for

Add missing DNSSEC trace message

Merge pull request #4178 from pieterlexis/qtype-to-dnssec-trace

Add QType to log output for DNSSEC trace

Merge pull request #4162 from pieterlexis/post-400-dnssec-fixes

Recursor 4.0.0 DNSSEC fixes

Merge pull request #4166 from Habbie/cleanup

Cleanup

Merge pull request #4154 from setharnold/patch-3

small doc fixes

Add changelog entries

Add test for #4158

Skip a level when a CNAME is found for the name

If we'd encounter a CNAME when chasing for DS/DNSKEY, we followed it and
concluded that the domain was bogus. We now skip this level and try to
get a DS record for the next name.

I'm unsure this is the correct solution, but it fixes #4158

Add tests for out of band names

Don't validate internal or out-of-band names

Closes #4149
Closes #4156
Closes #4157

Fix filename to match test names

Use g_dnssecmode global instead of the slower arg()

Merge pull request #4169 from zeha/typo

Fix typos found by lintian

Merge pull request #4160 from pieterlexis/do-means-ad

Also validate on +DO

Add changelog

Add QType to log output for DNSSEC trace

Update DNSSEC docs on the DO/AD bit usage

Also validate on _only_ +DO

Closes #4159

Update regression tests for +DO means +AD

Fix typos found by lintian

DNSPacket API change

drop unused variable

fix verbose logging compile error

dnspacket: Return ComboAddress for local and remote

Fail on startup when lua-dns-script doesn't exist

Closes #4147

Merge pull request #4153 from pieterlexis/400-docs

Update docs for 4.0.0

document outgoing-edns-bufsize

Update settings docs

Add upgrade docs for 4.0.0, remove the 3.x.x ones

small doc fixes

Merge pull request #4144 from pieterlexis/rec-dnssec-queries

Fix a lie in the recursor stats docs

Use single equal sign when calling test(1)

Fixes #4102.

Merge pull request #4143 from pieterlexis/4.0.0-final-changelog

Auth and Recursor 4.0.0 changelogs and secpoll

Update release dates

Add auth 4.0.0 to secpoll

Add auth 4.0.0 changelog

Add recursor 4.0.0 to secpoll

Add Recursor 4.0.0 changelog

Fix a lie in the recursor stats docs

improve dnssec record skipping for non dnssec queries

don't make recursor manpages if pandoc is missing

Merge pull request #4137 from cmouse/conditional-keys

gsqlite3: Check whether foreign keys should be turned on

gsqlite3: Check whether foreign keys should be turned on

Merge pull request #4138 from pieterlexis/rpm-protobuf

Build RPMs with protobuf

Build RPMs with protobuf

Fixes #4130

Merge pull request #4096 from rgacogne/rec-no-empty-commit

rec: Don't call `commit()` if we skipped all the records

Merge pull request #4124 from zeha/auth-no-recommends

Debian packaging: stop recommending/suggesting some packages

Merge pull request #4101 from rgacogne/dnsdist-rpm-sed

dnsdist: Fix $ expansion in build-dnsdist-rpm

Merge pull request #4127 from pieterlexis/protobuf-fixes

Add protobuf to travis

Merge pull request #4125 from rgacogne/protobuf-query-timestamp

Add protobuf fields for the query's time in the response

Merge pull request #4136 from rgacogne/rec-protobuf-doc

rec: Add protocol buffers documentation

rec: Add a link to the `dnsmessage.proto` file

rec: Add protocol buffers documentation

Add limits to the size of received {A,I}XFR, in megabytes

This prevents memory exhaustion in case the master is sending a
very large amount of data in an update.

Merge pull request #4123 from pieterlexis/issue-3267-algo-5-7

check-zone: warn on mismatch between algo and NSEC

Merge pull request #3051 from pieterlexis/issue-2405-misleading-error-in-bind

Better error message for unfound new slave domains

Add protobuf fields for the query's time in the response

This way it's possible to compute the latency by looking only
at the response message.
Implemented for:
* dnsdist
* dnspcap2protobuf
* ProtobufLogger.py
* rec

Debian packaging: stop recommending/suggesting some packages

Drop Suggests: pdns-recursor is not that common on the same machine.
Drop Recommends: mysql-client, as with default apt settings, that
would remove an installed mariadb server. (Drop Recommends:
postgresql-client for consistency.)

Add missing file to auth tarball

Add protobuf to travis

check-zone: warn on mismatch between algo and NSEC

Closes #3267

Merge pull request #4077 from pieterlexis/dnssec-stats

Recursor: Add DNSSEC validation statistics

Merge pull request #4117 from pieterlexis/basic-rpz-fix

Recursor: basic.rpz fix

basic.rpz fix (naive)

Closes #4087

Merge pull request #4097 from pieterlexis/DNSSEC-Log-Bogus

Recursor: Allow logging DNSSEC bogus in any mode

Merge pull request #4108 from pieterlexis/document-reload-lua-config

Document the fact that reload-lua-config blocks

Recursor: Allow logging DNSSEC bogus in any mode

Also allow setting this at runtime.

Merge pull request #4041 from rgacogne/remotebackend-unix-socat-eof

auth: Don't fail if `socat` exits at the end of remote backend unix tests

Recursor: Add DNSSEC validation statistics

Closes #3916

dnsdist: Add `QNameLabelsCountRule()` and `QNameWireLengthRule()`

* QNameLabelsCountRule(min, max) matches if the qname has less than
min or more than max labels.
* QNameWireLengthRule(min, max) matches if the qname's length on the
wire is less than min or more than max bytes.
* Also add Lua bindings for DNSName's `countLabels()` and `wirelength()`

Document the fact that reload-lua-config blocks

document C++11 ABI issue

Merge pull request #4090 from pieterlexis/issue-4085-rec_control-reload-lua-config

rec_control: add reload-lua-config option