On Wed, Aug 18, 2010 at 4:33 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@xelerance.com">paul@xelerance.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5">On Wed, 18 Aug 2010, Casey Deccio wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Using BIND 9.6.2-P2 and 9.7.1.P2 configured for DNSSEC validation with DLV I experience the following issue.  When I<br>
attempt to resolve <a href="http://www.jobcorps.gov" target="_blank">www.jobcorps.gov</a> I get a SERVFAIL message.  The authoritative servers return an RRSIG covering the<br>
A RR, but the resolver is unable to validate it because it cannot retrieve the DNSKEYs.  The servers are attempting to<br>
send packets exceeding their PMTU and they apparently don't accept TCP connections, which means that a resolver can't<br>
get a complete response for DNSKEYs.<br>
<br>
Despite the server misconfigurations, the delegation from .GOV is insecure, so ultimately the result should return a<br>
insecure data, rather than failure.  Thoughts?<br>
</blockquote>
<br></div></div>
If the domain is in the DLV, then it is treated as having a secure entry<br>
point just as if the parent had a DS record, and any missing DNSKEY's<br>
is considered a downgrade attack to lure you into spoofed faked data.<br><font color="#888888">
<br></font></blockquote><div><br>True, but only .GOV is registered in the DLV, <a href="http://jobcorps.gov">jobcorps.gov</a> is not.<br><br>Incidentally, unbound returns an insecure response for this.<br><br>Regards,<br>
Casey<br></div></div>