<div dir="ltr"><div dir="ltr">Taras - <div><br></div><div>What's going on with your KSK's in this domain? KeyID 35973 using algo 10 is invalid (<a href="http://dnsviz.net/d/rv.ua/dnssec/">http://dnsviz.net/d/rv.ua/dnssec/</a>), KeyID 613 using a very old algo 3 is valid. For what it's worth, Google DNS SERVFAILs for me when I break the KSK on a test domain. Perhaps they are at times validating on KeyID 613 (and subsequent NOERROR response) and the rest of the time failing to validate KeyID 35973?</div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 18, 2019 at 7:22 AM Taras Heichenko <<a href="mailto:tasic@hostmaster.ua">tasic@hostmaster.ua</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><br>
<br>
> On Apr 18, 2019, at 13:07, Jim Reid <<a href="mailto:jim@rfc1035.com" target="_blank">jim@rfc1035.com</a>> wrote:<br>
> <br>
> <br>
> <br>
>> On 18 Apr 2019, at 10:46, Stephane Bortzmeyer <<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>> wrote:<br>
>> <br>
>> Of course, it would be better to move away from DSA, but it shouldn't<br>
>> make a SERVFAIL, just a lack of validation<br>
> <br>
> ? If DSA signatures can't be validated, SERVFAIL is the correct response.<br>
<br>
Then why does google resolver sometimes give the answer with NSes?<br>
Sometimes it can validate DSA signature and sometimes not?<br>
<br>
> <br>
> _______________________________________________<br>
> dns-operations mailing list<br>
> <a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
> <a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
> dns-operations mailing list<br>
> <a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
<br>
--<br>
Best regards<br>
<br>
Taras Heichenko<br>
<a href="mailto:tasic@hostmaster.ua" target="_blank">tasic@hostmaster.ua</a><br>
<br>
<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
dns-operations mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div>