<div dir="ltr"><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p>In the past, I believe that when Cloudflare added negative trust anchors (NTAs)for a domain name, it caused their Knot resolver to not request DNSSEC data for names under the NTA (that is, it sent queries with DO=0). As a result, downstream clients that attempt to validate those responses are unable to do so, since the necessary DNSSEC records are not present.</p><p></p><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">    1. Reply from Cloudflare (request flags: RD=1, AD=1, DO=1):<br>        _25._<a href="http://tcp.mail.axc.nl/" rel="noreferrer" target="_blank">tcp.mail.axc.nl</a>. IN TLSA ? ; NXDomain AD=0<br>        <a href="http://axc.nl/" rel="noreferrer" target="_blank">axc.nl</a>. IN SOA <a href="http://nsi1.axc.nl/" rel="noreferrer" target="_blank">nsi1.axc.nl</a>. <a href="mailto:hostmaster@axc.nl" target="_blank">hostmaster@axc.nl</a>. <a href="tel:(201)%20910-0301" value="+12019100301" target="_blank">2019100301</a> 28800 7200 2419200 86400 ; AD=0</blockquote><br><p></p><p>Other resolvers are more insistent about DNSSEC, even for insecurely delegated zones, or below an NTA, and will request it if their clients do, or for some, even if they don't, in order to be able to propagate the DNSSEC data.</p><p>When I query Cloudflare for this domain now (from NYC), I am getting the DNSSEC data, so if it was an NTA that caused this issue, they have removed it:</p><p>$ dig +nocmd +nocrypto +dnssec TLSA _25._<a href="http://tcp.mail.axc.nl">tcp.mail.axc.nl</a> @<a href="http://1.1.1.1">1.1.1.1</a><br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 6211<br>;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags: do; udp: 1452<br>;; QUESTION SECTION:<br>;_25._<a href="http://tcp.mail.axc.nl">tcp.mail.axc.nl</a>.             IN      TLSA<br><br>;; AUTHORITY SECTION:<br><a href="http://axc.nl">axc.nl</a>.                        10045   IN      SOA     <a href="http://nsi1.axc.nl">nsi1.axc.nl</a>. <a href="http://hostmaster.axc.nl">hostmaster.axc.nl</a>. 2019100301 28800 7200 2419200 86400<br><a href="http://axc.nl">axc.nl</a>.                      10045   IN      RRSIG   SOA 8 2 14400 20191017000000 20190926000000 23340 <a href="http://axc.nl">axc.nl</a>. [omitted]<br><a href="http://mail.axc.nl">mail.axc.nl</a>.              646     IN      NSEC    <a href="http://mail-in.axc.nl">mail-in.axc.nl</a>. A RRSIG NSEC<br><a href="http://mail.axc.nl">mail.axc.nl</a>.             646     IN      RRSIG   NSEC 8 3 86400 20191017000000 20190926000000 23340 <a href="http://axc.nl">axc.nl</a>. [omitted]<br><br>;; Query time: 17 msec<br>;; SERVER: 1.1.1.1#53(1.1.1.1)<br>;; WHEN: Thu Oct 03 19:44:19 EDT 2019<br>;; MSG SIZE  rcvd: 469<br></p></div></div></div></div></div>