<div class="gmail_quote">2009/11/18 Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr">bortzmeyer@nic.fr</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Testing dynamic update together with DNSSEC / NSEC3, I can see that<br>
BIND 9.7 b2 does not add NSEC3 records when I add only<br>
non-authoritative data, for instance NS records.<br>
<br>
That's fine, it is exactly what I want but how can BIND read in my<br>
mind and discover that the zone was signed with opt-out?<br>
<br>
I thought it was using NSEC3PARAM but, while this record indeed stores<br>
useful things like the number of iterations, the opt-out flag is zero:<br>
<br>
@ IN  NSEC3PARAM 1 0 10 F00DCAFE<br>
<br>
Indeed, the RFC 5155 mandates it:<br>
<br>
4.1.2.  Flag Fields<br>
<br>
   The Opt-Out flag is not used and is set to zero.<br>
<br>
So:<br>
<br>
1) Why does RFC 5155 prevent the use of the opt-out flag?<br></blockquote><div><br></div><div>Because the secondaries don't care about opt-out in order to serve the correct RR's.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

2) How can BIND find by itself that I use opt-out?<br></blockquote><div><br></div><div>It is only the signer that cares about opt-out - If there is a signer in bind then there needs to be a setting in the bind zone clause (I guess) that tells it what to do when signing dynamic updates.</div>
<div><br></div><div>John</div></div><br>