
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>

<div>

<div>I have verified that this also happens intermittently with dig in BIND 9.9.5 built/configured with:</div>

<div><br>

</div>

<div>

<div>STD_CDEFINES="-DDIG_SIGCHASE=1"</div>

<div>export STD_CDEFINES</div>

<div>./configure --enable-threads --enable-largefile</div>

</div>

<div>

<div>—</div>

<div>Raymond Walker</div>

<div>

<div>Software Systems Engineer StSp.</div>

<div>ITS - Northern Arizona University</div>

</div>

</div>

</div>

</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">From: </span>Ray Walker <<a href="mailto:ray.walker@nau.edu">ray.walker@nau.edu</a>><br>

<span style="font-weight:bold">Date: </span>Friday, February 21, 2014 at 4:28 PM<br>

<span style="font-weight:bold">To: </span>"<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>" <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>><br>

<span style="font-weight:bold">Subject: </span>dig +sigchase looping<br>

</div>

<div><br>

</div>

<div>

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

I’m experiencing an interesting issue where sometimes when performing a sigchase on a valid signed zone the command loops indefinitely when an expired RRSIG exists:</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

<br>

</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

Live example:</div>

<div><font face="Calibri,sans-serif">dig +sigchase +trusted-key=./trusted.keys aa.nau.edu A</font></div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

<br>

</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

Notes:</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

There is currently a valid RRSIG for this zone.</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

dig compiled with -DDIG_SIGCHASE=1</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

BIND 9.9.4</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

<br>

</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

Roughly %50 of the time it returns as expected, while other times looping in such a fashion:</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

<br>

</div>

<div>

<div><font face="Calibri,sans-serif">;; OK a DS valids a DNSKEY in the RRset</font></div>

<div><font face="Calibri,sans-serif">;; Now verify that this DNSKEY validates the DNSKEY RRset</font></div>

<div><font face="Calibri,sans-serif">;; VERIFYING DNSKEY RRset for aa.nau.edu. with DNSKEY:25159: RRSIG has expired</font></div>

<div><font face="Calibri,sans-serif">;; OK a DS valids a DNSKEY in the RRset</font></div>

<div><font face="Calibri,sans-serif">;; Now verify that this DNSKEY validates the DNSKEY RRset</font></div>

<div><font face="Calibri,sans-serif">;; VERIFYING DNSKEY RRset for aa.nau.edu. with DNSKEY:25159: RRSIG has expired</font></div>

<div><font face="Calibri,sans-serif">;; OK a DS valids a DNSKEY in the RRset</font></div>

<div><font face="Calibri,sans-serif">;; Now verify that this DNSKEY validates the DNSKEY RRset</font></div>

<div><font face="Calibri,sans-serif">;; VERIFYING DNSKEY RRset for aa.nau.edu. with DNSKEY:25159: RRSIG has expired</font></div>

<div><font face="Calibri,sans-serif">;; OK a DS valids a DNSKEY in the RRset</font></div>

<div><font face="Calibri,sans-serif">;; Now verify that this DNSKEY validates the DNSKEY RRset</font></div>

<div><font face="Calibri,sans-serif">;; VERIFYING DNSKEY RRset for aa.nau.edu. with DNSKEY:25159: RRSIG has expired</font></div>

<div><font face="Calibri,sans-serif">;; OK a DS valids a DNSKEY in the RRset</font></div>

<div><font face="Calibri,sans-serif">;; Now verify that this DNSKEY validates the DNSKEY RRset</font></div>

<div><font face="Calibri,sans-serif">;; VERIFYING DNSKEY RRset for aa.nau.edu. with DNSKEY:25159: RRSIG has expired</font></div>

<div><font face="Calibri,sans-serif">;; OK a DS valids a DNSKEY in the RRset</font></div>

<div><font face="Calibri,sans-serif">;; Now verify that this DNSKEY validates the DNSKEY RRset</font></div>

<div><font face="Calibri,sans-serif">;; VERIFYING DNSKEY RRset for aa.nau.edu. with DNSKEY:25159: RRSIG has expired</font></div>

</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

<br>

</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

Any particular reason this should be expected or is it bug worthy (or fixed in 9.9.5, as I didn’t see anything in the change log referring to it)?</div>

<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">

<div>—</div>

<div>Raymond Walker</div>

<div>

<div>Software Systems Engineer StSp.</div>

<div>ITS - Northern Arizona University</div>

</div>

</div>

</div>

</div>

</span>

</body>

</html>