<div dir="ltr">Paul Vixie wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">i hope CF will differentiate NODATA from NXDOMAIN in their signed DNSSEC<br> responses, because the difference is absolutely vital to anyone who uses DNS<br> analytics as a defense vector.</blockquote><div><br></div><div>I'd guess this is pretty unlikely, since a minimal online-generated NXDOMAIN response would require two NSEC records (you have to prove nonexistence of both the queried name and a matching wildcard) and their RRSIGs, and these responses are called black lies, not white lies.</div><div><br></div><div>Florian Wiemer replied:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">It breaks search list processing in the stub resolver.</blockquote><div><br></div><div>Thanks for pointing that out, it wouldn't have ever occurred to me, and probably didn't occur to the Cloudflare team. However, given all the problems that stub resolver search list processing causes for DNS (excessive bogus queries, TLD name conflicts, etc.) that aspect of NODATA responses seems like a fairly minor issue.</div><div><br></div><div><br></div><br></div></div>