<div dir="ltr">Hi Daniel,<br><div><br>On Thu, Sep 29, 2016 at 8:49 AM, Daniel Stirnimann <span dir="ltr"><<a href="mailto:daniel.stirnimann@switch.ch" target="_blank">daniel.stirnimann@switch.ch</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I've added an unsigned zone <a href="http://insecuretest.switch.ch" rel="noreferrer" target="_blank">insecuretest.switch.ch</a> but did not add the<br>
delegation in the parent zone. Thus, on validating resolvers a lookup<br>
returns SERVFAIL.<br></blockquote><div><br></div><div>I can't speak for Google, but in general how this is handled depends on resolver implementation.  The SERVFAIL here isn't really because of a validation failure; it is because the resolver is getting inconsistent results when communicating with the authoritative server, while querying to establish a chain of trust.  When it asks for <a href="http://insecuretest.switch.ch/DS">insecuretest.switch.ch/DS</a>, the query is answered from the parent zone (<a href="http://switch.ch">switch.ch</a>), and the result is NXDOMAIN because there is no delegation in the parent zone.<br><br><a href="http://dnsviz.net/d/insecuretest.switch.ch/V-0R1g/dnssec/">http://dnsviz.net/d/insecuretest.switch.ch/V-0R1g/dnssec/</a><br><br>Note that the NSEC proof accompanying the NXDOMAIN response is valid.  When it asks for <a href="http://insecuretest.switch.ch/A">insecuretest.switch.ch/A</a> the query is answered from the child zone, and the name exists--even if the record doesn't.  The inconsistent NXDOMAIN/NOERROR response can cause a server to respond with SERVFAIL, but it depends on the order the queries, among other things.<br><br></div><div>Cheers,<br></div><div>Casey<br></div></div></div></div></div>