<div dir="ltr">Hi John,<br><div><br>On Fri, Jan 16, 2015 at 10:36 AM, John <span dir="ltr"><<a href="mailto:john@klam.ca" target="_blank">john@klam.ca</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    DNAME will not work with DNSSEC.<br></div></blockquote><div><br>Not true.  DNAMEs enable CNAME synthesis to other domains, after which synthesis the response works just like regular CNAME response would.  The authentication works by authenticating the DNAME (using the RRSIG covering the DNAME).  The CNAME requires to RRSIG because it is known that all names under the DNAME are synthesized (to the target domain), which has been proven by the existence of the DNAME record itself.<br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">
    DNSSEC will try to find keys for <a href="http://klam.biz" target="_blank">klam.biz</a> NOT <a href="http://klam.com" target="_blank">klam.com</a>, which
    results in DNSSEC failure.<br>
    <br></div></blockquote><div><br></div><div>Actually, it must try to find authentication chains for the appropriate records in *both* <a href="http://klam.biz">klam.biz</a> and <a href="http://klam.com">klam.com</a>.<br></div><div><br><a href="http://dnsviz.net/d/www.klam.biz/VLkuUA/dnssec/">http://dnsviz.net/d/www.klam.biz/VLkuUA/dnssec/</a><br><br></div><div>Again, this is not unlike regular (non-DNAME) out-of-zone CNAME examples, such as:<br><br><a href="http://dnsviz.net/d/seas-web-test.huque.com/VLkyFA/dnssec/">http://dnsviz.net/d/seas-web-test.huque.com/VLkyFA/dnssec/</a><br></div><div><br></div><div>Cheers,<br>Casey</div></div></div></div></div>