<div dir="ltr">On Wed, Apr 22, 2015 at 9:12 AM, Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Strange behavior:<br>
<br>
% for ns in $(dig +nodnssec +short NS adult.); do<br>
echo $ns<br>
dig @$ns NS thisdomaincertainlydoesnotexist.adult |& grep status:<br>
done<br>
d0.nic.adult.<br>
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13433<br>
c0.nic.adult.<br>
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 23111<br>
a0.nic.adult.<br>
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3358<br>
a2.nic.adult.<br>
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48334<br>
b2.nic.adult.<br>
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29932<br>
b0.nic.adult.<br>
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 58405<br>
<br>
IMHO, all the name servers should reply NXDOMAIN, no?<br>
<br>
DNSviz does complain:<br>
<br>
<a href="http://dnsviz.net/d/adult/dnssec/?rr=all&a=all&ds=all&doe=on&ta=.&ta=dlv.isc.org.&tk=" target="_blank">http://dnsviz.net/d/adult/dnssec/?rr=all&a=all&ds=all&doe=on&ta=.&ta=dlv.isc.org.&tk=</a><br></blockquote><div><br></div><div>FWIW, DNSViz was complaining, but due to a bug (in DNSViz) it wasn't clear what it was complaining about.  In this case the was that it was a NODATA response but there was no NSEC3 record matching the QNAME in the response.  It has now been fixed.<br><br><a href="http://dnsviz.net/d/adult/VTe7yw/dnssec/?rr=all&a=all&ds=all&doe=on&ta=.&ta=dlv.isc.org.&tk=">http://dnsviz.net/d/adult/VTe7yw/dnssec/?rr=all&a=all&ds=all&doe=on&ta=.&ta=dlv.isc.org.&tk=</a><br><br></div><div>The proof in the response indicated NXDOMAIN, but the response code didn't match.<br></div><div><br></div><div>Cheers,<br></div><div>Casey<br></div></div><br></div></div>