<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<meta content="text/html; charset=utf-8">

</head>

<body>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

yes they have upgraded from bind  9.3.6 to 9.9.x.</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Get <a href="https://aka.ms/ghei36">Outlook for Android</a><br>

</p>

<hr tabindex="-1" style="display:inline-block; width:98%">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Peter van Dijk <peter.van.dijk@powerdns.com><br>

<b>Sent:</b> Thursday, September 29, 2016 1:13:06 PM<br>

<b>To:</b> Moakofi Kamanga<br>

<b>Cc:</b> dns-operations@dns-oarc.net<br>

<b>Subject:</b> Re: [dns-operations] (co.)bw DNSSEC failure</font>

<div> </div>

</div>

<div>

<div style="font-family:sans-serif">

<div style="white-space:pre-wrap">

<div dir="auto">Hello, </div>

<div dir="auto"></div>

<div dir="auto">it appears it is fixed now! </div>

<div dir="auto"></div>

<div dir="auto">For those reading along, a point to clarify: it turns out there was no djbdns or tinydns was involved at all here, just an operator with a knack for funny version.bind strings.

</div>

<div dir="auto"></div>

<div dir="auto">Kind regards, </div>

<div dir="auto">-- </div>

<div dir="auto">Peter van Dijk </div>

<div dir="auto">PowerDNS.COM BV - <a href="https://protect-za.mimecast.com/s/7xVwB7IKZ8Vtn?domain=powerdns.com" style="color:#3983C4">

https://www.powerdns.com/</a> </div>

<div dir="auto"></div>

<div dir="auto">On 25 Sep 2016, at 18:52, Moakofi Kamanga wrote: </div>

<div dir="auto"></div>

</div>

<blockquote style="border-left:2px solid #777; color:#777; margin:0 0 5px; padding-left:5px">

<div id="930C3D7D-8C80-4F5F-8500-FA8509152C19">

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

hi Peter,I have escalated the issue to Botswana Telecom(operators of master.btc.net.bw).</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

I will make sure the issue is resolved by EOB tommorow.<br>

Get <a href="https://protect-za.mimecast.com/s/E70NB5F2zvxhZ?domain=aka.ms">Outlook for Android</a><br>

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

From: Peter van Dijk<br>

Sent: Sunday, 25 September, 18:28<br>

Subject: Re: [dns-operations] (co.)bw DNSSEC failure<br>

To: Moakofi Kamanga<br>

Cc: dns-operations@dns-oarc.net<br>

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Hello, </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

I did not get a response to my subsequent explanation. Your configuration is broken and validating resolvers cannot resolve any domain inside co.bw. Can you please fix your signer/server? Thank you!

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Kind regards, </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

-- </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Peter van Dijk </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

PowerDNS.COM BV - <a href="https://protect-za.mimecast.com/s/7xVwB7IKZ8Vtn?domain=powerdns.com">

https://www.powerdns.com/</a> </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

On 20 Sep 2016, at 16:26, Moakofi Kamanga wrote: </p>

<blockquote type="cite">

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Hi Peter the zone co.bw has not been signed.Whe we started signing we started with the smallest zones and left co.bw while observing how other zones behave</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

 </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

<b>From:</b> Peter van Dijk [mailto:peter.van.dijk@powerdns.com] <br>

<b>Sent:</b> 20 September 2016 04:12 PM<br>

<b>To:</b> dns-operations@dns-oarc.net<br>

<b>Cc:</b> Moakofi Kamanga <kamanga@BOCRA.ORG.BW><br>

<b>Subject:</b> (co.)bw DNSSEC failure</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

 </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

As (currently) visible on <a href="https://protect-za.mimecast.com/s/RE0WB2SeMq3Cl?domain=dnsviz.net">

http://dnsviz.net/d/co.bw/dnssec/</a>, -one- of <br>

the auths for .bw (the one with ‘master’ in the name) responds <br>

without any DNSSEC data to a DS query for co.bw, turning all names under <br>

co.bw bogus if a validator happens to hit this auth.</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

See also, bad:</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

$ dig +dnssec ds co.bw @168.167.168.37 +norec</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

; <<>> DiG 9.11.0a2 <<>> +dnssec ds co.bw @168.167.168.37 +norec<br>

;; global options: +cmd<br>

;; Got answer:<br>

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55749<br>

;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

;; OPT PSEUDOSECTION:<br>

; EDNS: version: 0, flags: do; udp: 4096<br>

;; QUESTION SECTION:<br>

;co.bw. IN DS</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

;; AUTHORITY SECTION:<br>

bw. 3600 IN SOA dns1.nic.net.bw. registry.nic.net.bw. 2016092010 21600 <br>

3600 604800 3600<br>

bw. 3600 IN RRSIG SOA 8 1 3600 20161004224314 20160920130009 30513 bw. <br>

zSVNWUlYuP8JvpLazV2qy7GZ7DhPDkAcwGDeIx9K4EJwiOPRJW/PxSJW <br>

1zulj9dZXDTbtu5CtgBc5RfXuFVlocLdPO2a8YrhOgmFBZV/QUfQ3521 <br>

L9ulDOU7ugB0Rdkqk+hwRm7EDLkRRFFK8wKs7Pur7caG2myFBoCqW7s5 qfk=</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

;; Query time: 371 msec<br>

;; SERVER: 168.167.168.37#53(168.167.168.37)<br>

;; WHEN: Tue Sep 20 16:10:48 CEST 2016<br>

;; MSG SIZE rcvd: 254<br>

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

good:<br>

$ dig +dnssec ds co.bw @204.61.216.70 +norec</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

; <<>> DiG 9.11.0a2 <<>> +dnssec ds co.bw @204.61.216.70 +norec<br>

;; global options: +cmd<br>

;; Got answer:<br>

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27343<br>

;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

;; OPT PSEUDOSECTION:<br>

; EDNS: version: 0, flags: do; udp: 4096<br>

;; QUESTION SECTION:<br>

;co.bw. IN DS</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

;; AUTHORITY SECTION:<br>

bw. 3600 IN SOA dns1.nic.net.bw. registry.nic.net.bw. 2016092010 21600 <br>

3600 604800 3600<br>

bw. 3600 IN RRSIG SOA 8 1 3600 20161004224314 20160920130009 30513 bw. <br>

zSVNWUlYuP8JvpLazV2qy7GZ7DhPDkAcwGDeIx9K4EJwiOPRJW/PxSJW <br>

1zulj9dZXDTbtu5CtgBc5RfXuFVlocLdPO2a8YrhOgmFBZV/QUfQ3521 <br>

L9ulDOU7ugB0Rdkqk+hwRm7EDLkRRFFK8wKs7Pur7caG2myFBoCqW7s5 qfk=<br>

0r0vq8vnkjq0q8h8a21rf8vstnl8cpoj.bw. 3600 IN NSEC3 1 0 5 <br>

CE1457EE88F2A780 0R4R9PE5RACFBV1D2QKKHU3APDT24GJI NS<br>

0r0vq8vnkjq0q8h8a21rf8vstnl8cpoj.bw. 3600 IN RRSIG NSEC3 8 2 3600 <br>

20161004194150 20160920130009 30513 bw. <br>

dVxbk65WdNrwMt56HU1FCSvv1hmF7V4VhJByV9tyav56uKLEVgTA5VFM <br>

RZjyReGj6LFQuaczsgXDCbVoCDS1NMjLl6hgkMrje9I/rZ4tdeQ6FGyU <br>

OIIUsj8LX1/Xf0d3wckFXDO8n3WzYZHbpH26RiuK85kLlecEiYCO1vh0 10s=</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

;; Query time: 23 msec<br>

;; SERVER: 204.61.216.70#53(204.61.216.70)<br>

;; WHEN: Tue Sep 20 16:11:13 CEST 2016<br>

;; MSG SIZE rcvd: 498<br>

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Technical contact from <a href="https://protect-za.mimecast.com/s/vQzeB0f3a4ptO?domain=iana.org">

https://www.iana.org/domains/root/db/bw.html</a> in <br>

Cc; sending to dns-operations in case anybody has a better contact.</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

Kind regards,<br>

-- <br>

Peter van Dijk<br>

PowerDNS.COM BV - <a href="https://protect-za.mimecast.com/s/7xVwB7IKZ8Vtn?domain=powerdns.com">

https://www.powerdns.com/</a><br>

</p>

</blockquote>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

<br>

</p>

<blockquote type="cite">

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

_______________________________________________ </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

dns-operations mailing list </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

dns-operations@lists.dns-oarc.net </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

<a href="https://protect-za.mimecast.com/s/ndDoB1uz2AEH2?domain=lists.dns-oarc.net">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a>

</p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

dns-operations mailing list </p>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

<a href="https://protect-za.mimecast.com/s/ndDoB1uz2AEH2?domain=lists.dns-oarc.net">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>

</p>

</blockquote>

<p dir="auto" style="text-align:left; margin-top:25px; margin-bottom:25px; font-family:sans-serif; font-size:11pt; color:black; background-color:white">

<br>

</p>

</div>

</blockquote>

<div style="white-space:pre-wrap">

<div dir="auto"></div>

<blockquote style="border-left:2px solid #777; color:#777; margin:0 0 5px; padding-left:5px">

<div dir="auto">_______________________________________________ </div>

<div dir="auto">dns-operations mailing list </div>

<div dir="auto">dns-operations@lists.dns-oarc.net </div>

<div dir="auto"><a href="https://protect-za.mimecast.com/s/ndDoB1uz2AEH2?domain=lists.dns-oarc.net" style="color:#777">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a>

</div>

<div dir="auto">dns-operations mailing list </div>

<div dir="auto"><a href="https://protect-za.mimecast.com/s/ndDoB1uz2AEH2?domain=lists.dns-oarc.net" style="color:#777">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a></div>

</blockquote>

</div>

</div>

</div>

</body>

</html>