Tested. Forwarder double-check even when dnssec is turn on. Some kinds of inertia before DNSSEC?<br><br>Davey<span id="smartisan_signature" style="font-size: 0.8em; display:inline; color:#888888;"><p dir="ltr"></p>
</span><style type="text/css">* body { background-color: #ffffff; line-height: 1.4;word-wrap: break-word; word-break: normal; } div {word-wrap: break-word; word-break: normal; } p {word-wrap: break-word; word-break: normal; text-indent: 0pt !important; } span {word-wrap: break-word; word-break: normal; } a {word-wrap: break-word; word-break: normal; } td {word-wrap: break-word; word-break: break-all; }</style><div class="quote"><div style="margin: 0 0px; font-size: 105%"><font style="line-height: 1.4" color="#629140"><span>Stephane Bortzmeyer <bortzmeyer@nic.fr>
于 2018年12月7日 下午11:45写道：</span></font></div><br type="attribution"><blockquote class="quote" style="margin:0 0 0 0;border-left:1px rgba(0, 0, 0, .15) solid;padding-left:5px"><p dir="ltr">On Fri, Dec 07, 2018 at 10:44:05PM  0800, <br>
 Davey Song <ljsong@biigroup.cn> wrote  <br>
 a message of 56 lines which said: <br>
<br>
> I'm wondering it is not necessary that the forwarder re-query the <br>
> cname to double check the A record. It introduces another RTT <br>
> delay. <br>
<br>
Did you try with and without DNSSEC? I would say that paranoia <br>
(double-checking) is good in general, but useless if the data is <br>
DNSSEC-signed and if you validate. <br>
<br>
</p>
</blockquote></div>