<br>On Mon, May 21, 2012 at 3:09 PM, Chris Thompson <span dir="ltr"><<a href="mailto:cet1@cam.ac.uk" target="_blank">cet1@cam.ac.uk</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On May 21 2012, Livingood, Jason wrote:<br><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
- Negative Trust Anchor added 4/23/12<br>
- Issue appears due to expired keys in the domain<br>
- DNSViz report at <a href="http://dnsviz.net/d/fbo.gov/T7YMCQ/dnssec/" target="_blank">http://dnsviz.net/d/fbo.gov/<u></u>T7YMCQ/dnssec/</a><br>
</div></blockquote>
<br>
One of the three authoritative nameservers (<a href="http://ns04.symplicity.com" target="_blank">ns04.symplicity.com</a>) has<br>
expired signatures (not *keys*, damnit!), the other two are currently<br>
fine, although all three claim the same SOA serial for the zone.<br>
<br>
[...]<br>
<br>
Some of the DNSSEC checking sites seem not to try all the nameservers,<br>
at least by default.<span class="HOEnZb"><font color="#888888"><br>
<br></font></span></blockquote><div><br>Incidentally, I've (somewhat) recently made available on DNSViz a breakdown of RRsets within all the responses received for queries during an analysis, so it's easier to see which RRsets and RRSIGs (or lack thereof!) are returned with each response.  It's still very much a work-in-progress, but hopefully it's helpful.<br>
<br><a href="http://dnsviz.net/d/fbo.gov/T7YMCQ/responses/">http://dnsviz.net/d/fbo.gov/T7YMCQ/responses/</a><br><br>Regards,<br>Casey<br></div></div>