On Wed, Jun 2, 2010 at 7:44 AM, Chris Thompson <span dir="ltr"><<a href="mailto:cet1@cam.ac.uk">cet1@cam.ac.uk</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On Jun 2 2010, Matthew Seaman wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I'm DNSSEC enabling the .ip6.arpa zone for my IPv6 allocation and<br>
registering it with <a href="http://dlv.isc.org" target="_blank">dlv.isc.org</a>.  Using bind-9.7.0-p2 dnssec tools.<br>
<br>
Everything seems to be working well, but when I test using the Sandia<br>
Labs <a href="http://dnsviz.net" target="_blank">dnsviz.net</a> tool I get inconsistent results.<br>
<br>
My mail, etc. server on 2001:8b0:151:1:e2cb:4eff:fe26:6481 appears as<br>
'bogus'<br>
<br>
<a href="http://dnsviz.net/d/1.8.4.6.6.2.e.f.f.f.e.4.b.c.2.e.1.0.0.0.1.5.1.0.0.b.8.0.1.0.0.2.ip6.arpa/dnssec/" target="_blank">http://dnsviz.net/d/1.8.4.6.6.2.e.f.f.f.e.4.b.c.2.e.1.0.0.0.1.5.1.0.0.b.8.0.1.0.0.2.ip6.arpa/dnssec/</a><br>

<br>
Yet my personal laptop on 2001:8b0:151:1:fa1e:dfff:feda:c0bb is all good:<br>
<br>
<a href="http://dnsviz.net/d/b.b.0.c.a.d.e.f.f.f.f.d.e.1.a.f.1.0.0.0.1.5.1.0.0.b.8.0.1.0.0.2.ip6.arpa/dnssec/" target="_blank">http://dnsviz.net/d/b.b.0.c.a.d.e.f.f.f.f.d.e.1.a.f.1.0.0.0.1.5.1.0.0.b.8.0.1.0.0.2.ip6.arpa/dnssec/</a><br>

<br>
What am I doing wrong?<br>
</blockquote>
<br></div>
Nothing that I can see. Maybe dnsviz can't cope with multiple PTR<br>
records in an RRset, as your first case has? (On the other hand it<br>
handles multiple A records in forward zones OK.)<br><font color="#888888">
<br></font></blockquote><div><br>This has been fixed.  The problem had to do with establishing a canonical ordering of RRs within an RRset for the purposes of verifying an RRSIG.  dnspython's default comparison operators don't follow canonical ordering from RFC 4034, so I had to make some provisions to order properly.  This didn't affect A RRsets with multiple RRs because the order of A-type rdata was the same using both orderings.<br>
<br>Thanks for bringing this to my attention.<br><br>Regards,<br>Casey<br></div></div>