<div dir="ltr">Thanks Tony! This was very helpful. <br></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Aug 23, 2018 at 8:01 AM Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">project722 <<a href="mailto:project722@gmail.com" target="_blank">project722@gmail.com</a>> wrote:<br>
><br>
> 1) I am still seeing the "no valid signature found" messages in my<br>
> bind.log.<br>
<br>
> ;; validating <a href="http://ncentral.teklinks.com/A" rel="noreferrer" target="_blank">ncentral.teklinks.com/A</a>: no valid signature found<br>
<br>
In this case that's because <a href="http://ncentral.teklinks.com" rel="noreferrer" target="_blank">ncentral.teklinks.com</a> is signed but there's no<br>
DS in the parent zone, so it's insecure. If you run delv +vtrace you'll<br>
see a lot of verbiage between these lines which is the major clue.<br>
<br>
;; validating <a href="http://teklinks.com/DS" rel="noreferrer" target="_blank">teklinks.com/DS</a>: attempting negative response validation<br>
<br>
;; validating <a href="http://teklinks.com/DS" rel="noreferrer" target="_blank">teklinks.com/DS</a>: nonexistence proof(s) found<br>
<br>
Or you can look at <a href="http://dnsviz.net" rel="noreferrer" target="_blank">dnsviz.net</a> :-)<br>
<br>
> 2) There is one other scenario that confuses me. When I test against a URL<br>
> that's purposely setup to fail dnssec, I get a servfail.<br>
<br>
<a href="http://dnssec-failed.org" rel="noreferrer" target="_blank">dnssec-failed.org</a> has DS records, so it should be secure, but the DS<br>
records in the parent don't match the DNSKEY records in the child zone.<br>
You can see this by comparing:<br>
<br>
$ dig +noall +answer <a href="http://dnssec-failed.org" rel="noreferrer" target="_blank">dnssec-failed.org</a> ds<br>
<br>
$ dig +cd <a href="http://dnssec-failed.org" rel="noreferrer" target="_blank">dnssec-failed.org</a> dnskey |<br>
  dnssec-dsfromkey -f /dev/stdin <a href="http://dnssec-failed.org" rel="noreferrer" target="_blank">dnssec-failed.org</a><br>
<br>
Tony.<br>
-- <br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a><br>
protect and enlarge the conditions of liberty and social justice<br>
</blockquote></div>