<div dir="ltr">Fantastic! thanks a lot guys. I had forgotten that I did setup dnssec on this zone a while back. <div><br></div><div>Thanks,</div><div>Mohamed.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">

On Wed, Jul 2, 2014 at 7:15 AM, Jim Reid <span dir="ltr"><<a href="mailto:jim@rfc1035.com" target="_blank">jim@rfc1035.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="">On 2 Jul 2014, at 11:29, Mohamed Lrhazi <<a href="mailto:ml623@georgetown.edu">ml623@georgetown.edu</a>> wrote:<br>
<br>
> I am sure I messed up something, but cant figure out what! Some DNS<br>
> servers, notably Google's, return SERVFAIL, since a couple of days now.<br>
<br>
</div>DNSSEC for <a href="http://gu.edu" target="_blank">gu.edu</a> appears to be broken. google's 8.8.8.8 service does DNSSEC validation. SERVFAILs get returned when validation fails. FWIW my name servers also do DNSSEC validation and they get SERVFAILs for your domain too.<br>


<br>
It looks to me like someone/something rolled <a href="http://gu.edu" target="_blank">gu.edu</a>'s KSK and forgot to get the parent delegation updated. .edu has one DS record for <a href="http://gu.edu" target="_blank">gu.edu</a> which is for a key with fingerprint 3078. None of the DNSKEYs in <a href="http://gu.edu" target="_blank">gu.edu</a> have that footprint. This makes it impossible to validate any signed data under <a href="http://gu.edu" target="_blank">gu.edu</a>:<br>


<br>
% drill -TD <a href="http://gu.edu" target="_blank">gu.edu</a> ns<br>
...<br>
[T] <a href="http://gu.edu" target="_blank">gu.edu</a>. 86400 IN DS 3078 7 1 b4c9fb14d6519c3ece5cc43e80c463d5847d73ed<br>
;; Domain: <a href="http://gu.edu" target="_blank">gu.edu</a>.<br>
;; Signature ok but no chain to a trusted key or ds record<br>
[S] <a href="http://gu.edu" target="_blank">gu.edu</a>. 86400 IN DNSKEY 257 3 7 ;{id = 35043 (ksk), size = 2048b}<br>
<a href="http://gu.edu" target="_blank">gu.edu</a>. 86400 IN DNSKEY 257 3 7 ;{id = 39339 (ksk), size = 2048b}<br>
<a href="http://gu.edu" target="_blank">gu.edu</a>. 86400 IN DNSKEY 256 3 7 ;{id = 25247 (zsk), size = 2048b}<br>
<a href="http://gu.edu" target="_blank">gu.edu</a>. 86400 IN DNSKEY 256 3 7 ;{id = 38702 (zsk), size = 2048b}<br>
<br>
<br>
</blockquote></div><br></div>