make sure that DNSKEY requests can be delegated
don't do NSEC on non-DNSSEC zones for delegations

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1855 d19b8d6e-7fed-0310-83ef-9ca221ded41b

no longer try to add NSEC/NSEC3 to unsigned zones
also don't add DNSSEC material to unsigned zones during AXFR
quiet some logging about unsigned zones

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1854 d19b8d6e-7fed-0310-83ef-9ca221ded41b

more dnssec docs

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1853 d19b8d6e-7fed-0310-83ef-9ca221ded41b

add support for unsalted nsec3 hashes ('1 0 1 -')

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1852 d19b8d6e-7fed-0310-83ef-9ca221ded41b

show-zone output partially went to stderr
we can now roundtrip a zone via export-zone-key and import-zone-key and things remain identical!
reinstated the check-zone command

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1851 d19b8d6e-7fed-0310-83ef-9ca221ded41b

fix giant memory leak, silence debugging, improve error message about unauth data with hint how to resolve (thanks Stefan Arentz)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1850 d19b8d6e-7fed-0310-83ef-9ca221ded41b

index the signature cache on the hash of the public key instead of on the whole key!

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1849 d19b8d6e-7fed-0310-83ef-9ca221ded41b

move some non-'keeper' dnssec signing logic away to a separate file, dnssecsigner.cc

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1848 d19b8d6e-7fed-0310-83ef-9ca221ded41b

3.0pre

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1847 d19b8d6e-7fed-0310-83ef-9ca221ded41b

remove more of boost dependency, fix up debian compilation

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1846 d19b8d6e-7fed-0310-83ef-9ca221ded41b

remove boost filesystem dependency

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1845 d19b8d6e-7fed-0310-83ef-9ca221ded41b

always sign DS records - bit of an oddity, we normally assume that all records with the same name have the same 'auth' status, but they don't

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1844 d19b8d6e-7fed-0310-83ef-9ca221ded41b

* Make everything aware of multiple simultaneous signing keys
        * Remove APIs that contravene this
* Rename SHA1-centric functioncalls: s/SHA1/Hash/g
* Diagnose the sillines of getSignerApexFor which rediscovers the right key
  to use..
        * no fix yet
* If no ZSKs, use active KSKs for signing (allowing single-key operation)
* Fix up signature caching which assumed keytag = key identity
* Only sign the DNSKEY RRSET with active KSKs from now on
* Make secure-zone run rectify-zone
* Remove --force from secure-zone (silly)
* Make RSASHA256 default for secure-zone

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1843 d19b8d6e-7fed-0310-83ef-9ca221ded41b

silence some debugging output on ordering zone information

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1842 d19b8d6e-7fed-0310-83ef-9ca221ded41b

fix up confusing message about starting up another distributor thread

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1841 d19b8d6e-7fed-0310-83ef-9ca221ded41b

remove dependency on the boost_system libs, easing compilation on CentOS/RHEL

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1840 d19b8d6e-7fed-0310-83ef-9ca221ded41b

move document generation structure fully over to xml docbook

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1839 d19b8d6e-7fed-0310-83ef-9ca221ded41b

moving to prettier docbook xml output

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1838 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make rest of powerdns RSASHA256 aware. Works too.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1837 d19b8d6e-7fed-0310-83ef-9ca221ded41b

unbase32hex speedup dereconversion broke everything, fixed now

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1836 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make dnsseckeeper & dnssecinfra code, plus pdnssec, aware of non-RSASHA1 algorithms, specifically RSASHA256. Rest of PowerDNSSEC has no clue yet.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1835 d19b8d6e-7fed-0310-83ef-9ca221ded41b

also emit DS for digest type 2 (SHA256) in pdnssec output

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1834 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sure pipe backend for now gets the 'auth' field *mostly* right

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1833 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sure we don't send back an oversized packet after adding signatures

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1832 d19b8d6e-7fed-0310-83ef-9ca221ded41b

<- idiot

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1831 d19b8d6e-7fed-0310-83ef-9ca221ded41b

remove old 'guillotine' truncate functionality which should've been disabled a long time ago
tought the packetcache about EDNS response size
no longer cache TCP answers for UDP usage
closes ticket 200
silence some debugging

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1830 d19b8d6e-7fed-0310-83ef-9ca221ded41b

remove one unneccessary layer of (un)base32hex transitions, spotted by Aki Tuomi

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1829 d19b8d6e-7fed-0310-83ef-9ca221ded41b

don't truncate just before sending answer, plus improve logging a bit

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1828 d19b8d6e-7fed-0310-83ef-9ca221ded41b

fix base32 padding issue as found by Aki Tuomi and solved by Michel Stol

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1827 d19b8d6e-7fed-0310-83ef-9ca221ded41b

add some operational doctrine, plus link to the wiki

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1826 d19b8d6e-7fed-0310-83ef-9ca221ded41b

more documentation, plus add importing as zsk, ksk, plus adding a zsk or ksk and specifying bitsize

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1825 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make importing keys a bit more resilient against whitespace, plus fix up setting the flag on import

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1824 d19b8d6e-7fed-0310-83ef-9ca221ded41b

oops, the --config-name fix broke setups w/o a config-name
plus add ability to import a key as ksk or zsk

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1823 d19b8d6e-7fed-0310-83ef-9ca221ded41b

report (fatal) errors better

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1822 d19b8d6e-7fed-0310-83ef-9ca221ded41b

more docs

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1821 d19b8d6e-7fed-0310-83ef-9ca221ded41b

suggested by Maik Zumstrull, pdnssec needs --config-name to access virtual configurations.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1820 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sure that we dnssec-rectify dnssec enabled zones that are slaved from a remote master. Idea by Mathew Hennessy.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1819 d19b8d6e-7fed-0310-83ef-9ca221ded41b

and like this?

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1818 d19b8d6e-7fed-0310-83ef-9ca221ded41b

maybe this helps us build..

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1817 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make pdnssec output useful help
rename order-zone to rectify-zone and make it also set the 'auth' field
plus make it clear the order field for narrow nsec3 zones

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1816 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sqlite3 schema case insensitive, thanks to Peter van Dijk for telling us how

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1815 d19b8d6e-7fed-0310-83ef-9ca221ded41b

disable AXFR for NSEC3 zones for now - we can do it for non-narrow mode, but we can't right now, so best deny it. Previously we would serve NSEC records in an AXFR of an NSEC3 zone (sorry). Spotted by Marco Davids.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1814 d19b8d6e-7fed-0310-83ef-9ca221ded41b

spotted by Wouter Wijngaards, turns out we were incrementing/decrementing already base32hex encoded hashes, which works only sometimes ;-)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1813 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sure 'pdnssec' can see the ultra-vital 'random' backend too

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1812 d19b8d6e-7fed-0310-83ef-9ca221ded41b

Thanks to Roy Arends, actually make nsec3-narrow work, enable with 'pdnssec set-nsec3 "1 0 1 ab" narrow'.
Another mode could be 'nsec3-narrow-empty-non-terminal', also appears to work

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1811 d19b8d6e-7fed-0310-83ef-9ca221ded41b

implement 'narrow' NSEC3 generation w/o consulting the database ordering, based on an idea by Roy Arends & discussions with Dan Kaminsky.
This will probably have to be tuned further.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1810 d19b8d6e-7fed-0310-83ef-9ca221ded41b

quiet some nsec3 debugging output

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1809 d19b8d6e-7fed-0310-83ef-9ca221ded41b

don't synthesise an NSEC for NSEC3 zones when queried directly for NSEC

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1808 d19b8d6e-7fed-0310-83ef-9ca221ded41b

On his birthday, José Arthur Benetasso Villanova gave us initial postgresql code for PowerDNSSEC! ;-)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1807 d19b8d6e-7fed-0310-83ef-9ca221ded41b

when explicitly asking for an NSEC, we should not do a 'relative' pointer to the next record but an absolute one. Spotted by Marco Davids.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1806 d19b8d6e-7fed-0310-83ef-9ca221ded41b

our random may be random, but it is authoritative random!!

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1805 d19b8d6e-7fed-0310-83ef-9ca221ded41b

PAY ATTENTION! from this commit onwards, generic backends will NOT perform dnssec queries by default, you'll have to turn this on with: 'gmysql-dnssec' or 'gpgsql-dnssec' etc

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1804 d19b8d6e-7fed-0310-83ef-9ca221ded41b

actually set the module-dir before we need it instead of after - spotted by Stefan Schmidt

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1803 d19b8d6e-7fed-0310-83ef-9ca221ded41b

teach pdnssec about config-dir

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1802 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make pdnssec (hopefully) support dynamically loaded modules too

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1801 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make dnssec queries configurable, patch by Stefan Schmidt. Will have to be expanded to all the generic backends.

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1800 d19b8d6e-7fed-0310-83ef-9ca221ded41b

also include DNSKEY on a case-insensitive match.
Lowercase RRDATA properly for signing -> hopefully gets us 0x20 compliant

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1799 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sure we stuff in synthesised DNSKEYs for an ANY query - maybe this will make unbound happy?
next up, checking CaSiNg

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1798 d19b8d6e-7fed-0310-83ef-9ca221ded41b

used a non-existent database connection in tcp backend for signing (oops)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1797 d19b8d6e-7fed-0310-83ef-9ca221ded41b

enable hybrid gsqlite3/bind operation where sqlite hosts keying material
no longer create 25 database connections per packet (or so)
add dirty hack to allow launch of bind backend, because the bind backend needs a dnsseckeeper and the dnsseckeeper.. needs a bind backend
removed a lot of logging

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1796 d19b8d6e-7fed-0310-83ef-9ca221ded41b

add some primitive locking to the rrsig cache, plus clarify some logging in the generic sql backend

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1795 d19b8d6e-7fed-0310-83ef-9ca221ded41b

add the code to add the new fields to the sqlite3 sql schema

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1794 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make pdnssec read the right configuration file, plus make add-zone-key add zsks

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1793 d19b8d6e-7fed-0310-83ef-9ca221ded41b

turns out that there is a tiny chance we crash on setting the 'programname' .. which nobody uses

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1792 d19b8d6e-7fed-0310-83ef-9ca221ded41b

hook up activate-domain-key, deactivate-domain-key, remove-domain-key

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1791 d19b8d6e-7fed-0310-83ef-9ca221ded41b

move around a lot of stuff to isolate dnssec db connectivity
fix up addDomainMetadata so it doesn't keep on adding
add import-zone-key functionality to dbdnsseckeeper
remove key-repository setting from loads of places

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1790 d19b8d6e-7fed-0310-83ef-9ca221ded41b

move SOA serialization code away from dnspacket into generic dns.cc file, to break dependencies for zone2sql on database functionality

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1789 d19b8d6e-7fed-0310-83ef-9ca221ded41b

add import-zone-key for interop, remove key-repository setting from pdnssec

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1788 d19b8d6e-7fed-0310-83ef-9ca221ded41b

pare down zone2sql/zone2ldap dependencies so they don't depend on a working database connection
remove key-repository setting from bind backend

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1787 d19b8d6e-7fed-0310-83ef-9ca221ded41b

some helpful migration sql statements - still quite brief

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1786 d19b8d6e-7fed-0310-83ef-9ca221ded41b

move some more stuff to the 'infra' and away from the 'keeper'

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1785 d19b8d6e-7fed-0310-83ef-9ca221ded41b

bye bye directory based dnssec key repo

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1784 d19b8d6e-7fed-0310-83ef-9ca221ded41b

don't crash if the dnsseckeeper returns unexpected results

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1783 d19b8d6e-7fed-0310-83ef-9ca221ded41b

actually compile the dbdnsseckeeper into the binaries

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1782 d19b8d6e-7fed-0310-83ef-9ca221ded41b

hook up the dbdnsseckeeper to everything, implement (most) methods in the generic backend

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1781 d19b8d6e-7fed-0310-83ef-9ca221ded41b

enable sqlite3 as a dnssec backend - especially useful as key storage for the BIND backend

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1780 d19b8d6e-7fed-0310-83ef-9ca221ded41b

in preparation for database storage of keys, move out some infrastructure code from the fsdnsseckeeper to dnssecinfra

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1779 d19b8d6e-7fed-0310-83ef-9ca221ded41b

repair some tabdamage

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1778 d19b8d6e-7fed-0310-83ef-9ca221ded41b

fix up export-zone-key so that we set the algorithm field correctly

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1777 d19b8d6e-7fed-0310-83ef-9ca221ded41b

default init last_changed in dnsresource records, finally shutting up loads of valgrind warnings

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1776 d19b8d6e-7fed-0310-83ef-9ca221ded41b

also fix up the signing of the SOA in noerror responses

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1775 d19b8d6e-7fed-0310-83ef-9ca221ded41b

stop bind backend from crashing on domains that are not found, plus fix up canonical ordering issues

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1774 d19b8d6e-7fed-0310-83ef-9ca221ded41b

spruce up 'show-zone' output, add 'set-nsec3', 'unset-nsec3', 'export-zone-key', 'export-zone-dnskey' (for interop), remove storage of DNSKEY in key-repo, derive it from private key if needed

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1773 d19b8d6e-7fed-0310-83ef-9ca221ded41b

mark bind supermaster code as 'experimental'

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1772 d19b8d6e-7fed-0310-83ef-9ca221ded41b

clone-zone got inception and expiration wrong, plus teach it to grab the correct key

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1771 d19b8d6e-7fed-0310-83ef-9ca221ded41b

bindbackend can now do nsec3, gets at least some records right ;-)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1770 d19b8d6e-7fed-0310-83ef-9ca221ded41b

re-enable order-zone, make it nsec/nsec3 aware dnsseckeeper

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1769 d19b8d6e-7fed-0310-83ef-9ca221ded41b

silence some debugging output, clarify some comments

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1768 d19b8d6e-7fed-0310-83ef-9ca221ded41b

lowercase the nsec3 output (hurts the eyes less, plus identical to nsd), plus fix another case of 'sometimes insigned SOA')

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1767 d19b8d6e-7fed-0310-83ef-9ca221ded41b

our 'throttle' code would do one final 'throttle' long after the time limit had expired + make our throttling on timeouts a bit less aggressive

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1766 d19b8d6e-7fed-0310-83ef-9ca221ded41b

make sure zone2sql and zone2ldap know about the new dnssec file naming too

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1765 d19b8d6e-7fed-0310-83ef-9ca221ded41b

testing scripts

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1764 d19b8d6e-7fed-0310-83ef-9ca221ded41b

fix up (not) signing SOA queries every once in a while, plus caching DNSSEC answers for non-DNSSEC questions during TCP operations

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1763 d19b8d6e-7fed-0310-83ef-9ca221ded41b

interim commit to get it out of the way

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1762 d19b8d6e-7fed-0310-83ef-9ca221ded41b

with this commit, ldns-signzone+nsd and 'drill -t axfr' on powerdns and nsd delivers identical results for an NSEC zone!

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1761 d19b8d6e-7fed-0310-83ef-9ca221ded41b

align our key storage naming with the excellent ldns/nsd/unbound tools, which also found a few bugs in our storage

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1760 d19b8d6e-7fed-0310-83ef-9ca221ded41b

fix up pdns_server for new key api

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1759 d19b8d6e-7fed-0310-83ef-9ca221ded41b

this implies that there will be more dnsseckeepers - database backed for example

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1758 d19b8d6e-7fed-0310-83ef-9ca221ded41b

move to mature key management (unified zsks, proper ids, active, inactive)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1757 d19b8d6e-7fed-0310-83ef-9ca221ded41b

Kevin discovered a typo in the docs, thanks ;-)

git-svn-id: svn://svn.powerdns.com/pdns/trunk/pdns@1756 d19b8d6e-7fed-0310-83ef-9ca221ded41b