<div dir="ltr"><div dir="ltr">On Thu, Apr 2, 2020 at 5:10 PM Brian Somers <<a href="mailto:bsomers@opendns.com">bsomers@opendns.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">FWIW, OpenDNS/Umbrella/Cisco will use the glue to look things<br>
up and won’t explicitly ask the authority for its own NS record.<br>
<br>
However, if we’re asked for an NS record by a client, we’ll lookup<br>
& return the authoritative answer and that answer will trump the glue.<br>
We’ll never serve glue to a client.<br>
<br>
One of the problems with caching NS records is that you’ve got to be<br>
careful that you don’t let them keep re-asserting their own presence<br>
in the cache (by repeating their RRset in the AUTH section every time<br>
you talk to them).  We do *force* their eventual TTL decay, but<br>
for frequently queried domains, the original glue TTL is *not* honoured<br>
due to the authoritative RRset trumping it!<br></blockquote><div><br></div><div>Folks may be interested in this proposal, Paul Vixie, Ralph Dolmans, and I have been working on, to cause resolvers to deterministically prefer the child NS set, while avoiding the problem you mention in the last paragraph:</div><div><br></div><div>   <a href="https://tools.ietf.org/html/draft-huque-dnsop-ns-revalidation-01">https://tools.ietf.org/html/draft-huque-dnsop-ns-revalidation-01</a></div><div><br></div><div>I realize some implementers (Petr Spacek?) do not agree, but on balance we think this is what resolvers should do.</div><div><br></div><div>Shumon Huque.</div><div><br></div></div></div>