<div dir="ltr">On Wed, Nov 19, 2014 at 7:03 PM, Graham Clinch <span dir="ltr"><<a href="mailto:g.clinch@lancaster.ac.uk" target="_blank">g.clinch@lancaster.ac.uk</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>
</span>Thanks - that's certainly looking less red.  DNSViz is an exceptionally<br>
useful tool!<br>
<br></blockquote><div><br></div><div>Thanks!<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
...<br>
<br>
delv +vtrace continues to report "NSEC3 at super-domain" only for<br>
<a href="http://foo.cnametest2.palatine.ac.uk" target="_blank">foo.cnametest2.palatine.ac.uk</a> records, and not for<br>
<a href="http://foo.cnametest2.lancs.ac.uk" target="_blank">foo.cnametest2.lancs.ac.uk</a>.  Is this a similar<br>
miscalculating-the-owner-name as for DNSViz?</blockquote><div><br></div><div>Don't know, but I would guess that this is simply recognizing the fact that in addition to covering the non-existent name, the NSEC3 record also happens to correspond to <a href="http://palatine.ac.uk" target="_blank">palatine.ac.uk</a>.<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I think this might be one of those cases where I should have trusted my<br>
gut instinct (to blame the validating resolver), but the more I<br>
investigated the more red and missing lines in output...<br></blockquote><div><br></div><div>What version is your validating resolver?  For example, there are some earlier versions of BIND that required that inclusion of the closest encloser NSEC3, even though the closest encloser could be derived from the RRSIG covering the wildcard.  As such, they would fail validation when the authoritative server didn't send that (normally unnecessary) record.<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
At the start of the year, I received a piece of wisdom regarding NSEC3<br>
"It is much harder to understand and debug".  At the time I was sure<br>
that I could outsmart it.  Maybe not so much now.<br></blockquote><br></div><div class="gmail_quote">Join the crowd :)  There is probably a local NSEC3 support group in your area.<br></div><div class="gmail_quote"><div><br>Casey<br></div><div> <br></div></div></div></div>