<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 14, 2023 at 4:34 PM Mark Andrews <<a href="mailto:marka@isc.org">marka@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
> On 15 Mar 2023, at 02:08, Alexandra Yang <<a href="mailto:drayales@gmail.com" target="_blank">drayales@gmail.com</a>> wrote:<br>
> <br>
> Hi Group,<br>
> <br>
> I wonder if anyone can shed some light on this, our nameserver(BIND 9.16.37 )keeps giving error on resolving <a href="http://gpo.gov" rel="noreferrer" target="_blank">gpo.gov</a> and <a href="http://ns3.gpo.gov" rel="noreferrer" target="_blank">ns3.gpo.gov</a>, here are the errors:<br>
> <br>
> Mar 14 10:23:32 ipam-dns-in-1 named[3713]:   validating <a href="http://gpo.gov/SOA" rel="noreferrer" target="_blank">gpo.gov/SOA</a>: got insecure response; parent indicates it should be secure<br>
<br>
For some reason you are not getting signed responses.  Are you using a forwarder?<br><br></blockquote><div>For what it's worth, I keep getting:</div><div> </div><div>Mar 14 23:59:56 cl-dns1 named[19640]: view Caching:   validating <a href="http://federalregister.gov/SOA">federalregister.gov/SOA</a>: got insecure response; parent indicates it should be secure<br>Mar 14 23:59:56 cl-dns1 named[19640]: no valid RRSIG resolving '<a href="http://www.federalregister.gov/DS/IN">www.federalregister.gov/DS/IN</a>': 162.140.254.200#53<br>Mar 14 23:59:56 cl-dns1 named[19640]: view Caching:   validating <a href="http://federalregister.gov/SOA">federalregister.gov/SOA</a>: got insecure response; parent indicates it should be secure<br>Mar 14 23:59:56 cl-dns1 named[19640]: no valid RRSIG resolving '<a href="http://www.federalregister.gov/DS/IN">www.federalregister.gov/DS/IN</a>': 162.140.15.100#53<br>Mar 14 23:59:56 cl-dns1 named[19640]: broken trust chain resolving '<a href="http://www.federalregister.gov/A/IN">www.federalregister.gov/A/IN</a>': 162.140.15.100#53<br></div><div><br></div><div>..no forwarders in use.  At some point the domain starts to validate as my NTAs drop out unless I use -force, but then it starts to fail again.</div></div></div>