On Thu, Jul 5, 2012 at 10:23 AM, Tony Finch <span dir="ltr"><<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">Most of the CNAME queries in my logs are from <a href="http://dnsviz2.ca.sandia.gov" target="_blank">dnsviz2.ca.sandia.gov</a>.</div></blockquote><div><br></div><div>Yup, that's me.  DNSViz sends queries for the name at the zone apex with type CNAME to test for proper handling of NOERROR responses with an empty answer section.  Because the name exists and a CNAME shouldn't (but I do find some where it does...), I almost always get the type of response I'm looking for.</div>
<div><br></div><div>Among the errors we saw early on with DNSSEC deployment were the lack of NSEC(3) RRsets were not properly returned with negative responses and the lack of RRSIGs covering such RRsets that were returned--even when RRSIGs covered other RRsets (e.g., SOA) in responses from the same server.  Sometimes the behavior differed depending on whether the response was NXDOMAIN or NOERROR with empty answer section.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"> But I don't have what I'd call a lot of them.</div>
<br></blockquote><div><br></div><div>I wouldn't expect so.  Domains aren't polled more than every few hours, and each poll would result in a since CNAME query at the zone apex per authoritative server address.</div>
<div><br></div><div>Casey</div></div>