On Thu, Nov 15, 2012 at 6:12 PM, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
In message <<a href="mailto:50A53AD6.70403@ack.berkeley.edu">50A53AD6.70403@ack.berkeley.edu</a>>, Rune Stromsness writes:<br>
><br>
> We've been seeing DNSSEC validation problems (using the ISC DLV trust<br>
> anchor) for <a href="http://nal.usda.gov" target="_blank">nal.usda.gov</a> for about 3 weeks now.  We've been unable to<br>
> get in touch with anyone at the NAL who knows anything about DNSSEC, and<br>
> we're not happy about turning off use of the DLV for our campus.  Our<br>
> customers are getting more unhappy with their inability to use the<br>
> <a href="http://nal.usda.gov" target="_blank">nal.usda.gov</a> resources from campus, however.<br>
><br>
> Does anyone know of a USDA or .gov contact who knows what DNSSEC is who<br>
> might be able to help get the NAL to fix or mitigate their issues?<br>
><br>
><br>
> Rune<br>
</div>> --=20<br>
<div class="im">> Rune Stromsness<br>
> Network Operations & Services<br>
> Telecommunications<br>
> University of California, Berkeley<br>
> <a href="mailto:runes@berkeley.edu">runes@berkeley.edu</a><br>
<br>
</div>They have a large DNSKEY RRset (;; MSG SIZE  rcvd: 2731) so you may<br>
be seeing issues with fragmentation.  The DLV records match the<br>
DNSKEY records.<br>
<br></blockquote><div><br>For nearly two weeks they were operating with expired RRSIGs, but apparently they fixed that as of at least 7 hours ago:<br><br><a href="http://dnsviz.net/d/nal.usda.gov/UKT0sg/dnssec/">http://dnsviz.net/d/nal.usda.gov/UKT0sg/dnssec/</a><br>
<a href="http://dnsviz.net/d/nal.usda.gov/UKVeIg/dnssec/">http://dnsviz.net/d/nal.usda.gov/UKVeIg/dnssec/</a><br><br>Casey<br></div></div>