<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 25, 2019 at 15:57 Ondřej Surý <<a href="mailto:ondrej@sury.org">ondrej@sury.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Matt, there’s no difference between NXDOMAIN and SERVFAIL from the client perspective.</div></blockquote><div dir="auto"><br></div><div dir="auto">Except that, as has been pointed out, we're Not talking about the perspective of a single client getting a failure. If a riot operator went rogue DNSSEC would make that very obvious. </div><div dir="auto"><br></div><div dir="auto">That said.. I do still hold out hope that eventually we’ll have richer signalling between a validating stub and applications, and that this will also cover the single client context. </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div><br></div></div></blockquote></div></div>