<div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Sep 22, 2023 at 8:46 AM Anand Buddhdev <<a href="mailto:anandb@ripe.net">anandb@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi folks,<br>
<br>
I wanted to open a GitLab issue about this, but then thought it might be <br>
nice to have a discussion to hear the views of users.<br>
<br>
dig 9.18.19's man page says:<br>
<br>
   +crypto, +nocrypto<br>
     This option toggles the display of cryptographic fields in DNSSEC<br>
     records. The contents of these fields are unnecessary for debugging<br>
     most DNSSEC validation failures and removing them makes it easier to<br>
     see the common failures. The default is to display the fields. When<br>
     omitted, they are replaced by the string [omitted] or, in the DNSKEY<br>
     case, the key ID is displayed as the replacement,<br>
     e.g. [ key id = value ].<br>
<br>
When I query using dig, and use the combination "+nocrypto +dnssec" then <br>
dig suppresses the crypto material for DNSKEY, DS and RRSIG records. <br>
This is in agreement with the man page.<br>
<br>
But when I query for the newly introduced ZONEMD record, dig also hides <br>
the hash. In my opinion, ZONEMD is not a DNSSEC-related record, and so <br>
its hash should not be hidden (according to the man page).<br>
<br>
On the other hand, the hash displayed for ZONEMD, like with hashes of DS <br>
records, is not especially useful for eyeballing. For me, it is enough <br>
to see that there's a ZONEMD record, but I don't need to see all the hex <br>
(which is only needed by code that actually wants to verify it). So I'm <br>
actually fine with the ZONEMD hash being suppressed, but the man page <br>
needs to be updated.<br>
<br>
In a similar way, the hashes displayed in TLSA and similar records could <br>
also be suppressed, but dig currently doesn't.<br>
<br>
Do you think that dig should be adjusted to suppress cryptographic <br>
material from other records such as TLSA, SSHFP, CDNSKEY, CDS, etc, and <br>
the man page updated to reflect this?<br>
<br>
Regards,<br>
Anand Buddhdev<br>
-- <br><br></blockquote><div>Just my opinion, but I would like it to apply to all crypto fields.</div><div><br></div><div>And that's a useful option, I had not been using it, but I will now, thanks.</div><div><br></div><div>-- </div><div>Bob Harold</div><div> </div></div></div>