On Mon, Apr 18, 2011 at 11:07 AM, Evan Hunt <span dir="ltr"><<a href="mailto:each@isc.org">each@isc.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On Mon, Apr 18, 2011 at 10:51:04AM -0700, John Williams wrote:<br>
> From my signed domain when I query <a href="http://www.isc.org" target="_blank">www.isc.org</a> (w/ +dnssec) I get the ad<br>
> flag as expected.  I don't see that flag when I query <a href="http://whitehouse.gov" target="_blank">whitehouse.gov</a>  (w/<br>
> +dnssec) and I know that zone is signed.<br>
><br>
> Is anyone else seeing this behavior?  Also, is there a link that<br>
> addresses troubleshooting or diagnosing DNSSEC based queries?<br>
<br>
</div>My guess is you're looking at <a href="http://www.whitehouse.gov" target="_blank">www.whitehouse.gov</a>, which is a CNAME to<br>
<a href="http://www.whitehouse.gov.edgesuite.net" target="_blank">www.whitehouse.gov.edgesuite.net</a>, which isn't signed, so the ad flag<br>
is unset.  Try "dig +dnssec ns <a href="http://whitehouse.gov" target="_blank">whitehouse.gov</a>" and you should see<br>
the ad flag.  (Anyway, it's working for me at the moment.)<br>
<font color="#888888"><br></font></blockquote><div><br>As far as DNSSEC troubleshooting tools, this alias relationship is illustrated using DNSViz, an online analysis tool: <a href="http://dnsviz.net/d/www.whitehouse.gov/dnssec/">http://dnsviz.net/d/www.whitehouse.gov/dnssec/</a> .  Note that the <a href="http://www.whitehouse.gov">www.whitehouse.gov</a> RRset is "secure", but the name it aliases is "insecure" (no chain of trust).  Thus, the resolver (as Evan mentioned) does not set the AD flag when queried for <a href="http://www.whitehouse.gov">www.whitehouse.gov</a>.<br>
<br>Casey<br></div></div>