<div dir="ltr"><div>Viktor Dukhovni wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Not completely, the DNSKEY RRset appears to validate fine, but the SOA<br>signature is broken (perhaps serial bumped after signing?), and so<br>all denial of existence fails</blockquote><div><br></div><div>I'm curious whether a resolver that fails validation of a negative response only because of a bad RRSIG SOA record would be allowed by the RFCs to return an uncached negative response without an SOA (or just return an NXDOMAIN/NODATA response without caching, if it is a stub resolver).</div><div><br></div><div>I'm not at all convinced that this would be a good idea (it is generally better to get people to fix their broken authorities than to paper over their mistakes at the resolvers) but perhaps doing so is not (yet) forbidden?</div><div><br></div><div>-- </div><div>@alex<br></div></div>