On Mon, Jul 9, 2012 at 12:18 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@cypherpunks.ca" target="_blank">paul@cypherpunks.ca</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
when forwarding unbound to a bind instance with dnssec support enabled,<br>
but dnssec validation disabled, and when querying for a wildcard instance<br>
(eg <a href="http://foo.fedorapeople.org" target="_blank">foo.fedorapeople.org</a>), bind's reply to unbound is not satisfactory to<br>
unbound. It seems unbound is expecting an NSEC/RRSIG over the NS record<br>
set in the authority section, and marks the result bogus:<br>
<br>
It is not entirely clear to me if this is a bind or unbound bug.<br>
<br>
This can be simply reproduced by running bind 9.9.1 (or 9.8.x) using:<br>
<br></blockquote><div><br></div><div>I've experienced this as well.  A DNSSEC aware, non-validating BIND resolver does not return NSEC(3) RRs for responses containing expanded wildcards.  If you turn on validation, it returns NSEC RRs just fine.  Any validating resolvers (including other BIND resolvers) using the non-validating BIND resolver recursively cannot validate wildcard responses.  I thought I had reported this issue to bind9-bugs many months ago, but I can't seem to find any record of it in my email...  I also can't find my sunglasses.</div>
<div><br></div><div>Casey</div></div>