<div dir="ltr">DNSViz is operating without historical data right now, so I can't see if there's been a recent problem or not, but <a href="http://www.salliemae.com">www.salliemae.com</a> points into a CDN and has a validated mix of a secure cname record pointing to an insecure target, but everything validates as properly secure or insecure.<div><br></div><div><a href="http://dnsviz.net/d/www.salliemae.com/dnssec/">http://dnsviz.net/d/www.salliemae.com/dnssec/</a> </div><div><br></div><div> I check <a href="http://salliemae.com">salliemae.com</a> and I see two IPv4 nameservers and three IPv6 nameservers are returning A records with data that can be validated. I check from an enterprise client endpoint in our enterprise (which has a multi-layered, fully validating recursive infrastructure) and I see it finds the responses that can be validated. I presume responses that aren't are marked as bad and other nameservers in the authoritative list are checked until a good response can be found. Or perhaps it's intermittently failing on in our infrastructure and from the enterprise network there's not been anyone who has raised it as an issue. (Not that we would do anything since the responses are bogus and we don't assume responsibility for failures in external entities' DNS or websites.)<br></div><div><br></div><div><a href="http://dnsviz.net/d/salliemae.com/dnssec/">http://dnsviz.net/d/salliemae.com/dnssec/</a> </div><div><br></div><div>But <a href="http://www.salliemae.com">www.salliemae.com</a> does appear to consistently validate even if A records for <a href="http://salliemae.com">salliemae.com</a> don't. And the delegation itself validates properly.<br></div><div><br></div><div>Scott</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Aug 7, 2019 at 8:35 AM Robert Blayzor <<a href="mailto:rblayzor.bulk@inoc.net">rblayzor.bulk@inoc.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">We run multiple unbound recursive DNS servers using DNSSEC validation.<br>
<br>
We've been getting complaints about users not being able to get to<br>
<a href="http://salliemae.com" rel="noreferrer" target="_blank">salliemae.com</a>. From what we have seen, <a href="http://salliemae.com" rel="noreferrer" target="_blank">salliemae.com</a>'s DNSSEC is<br>
completely broken. Bad sigs, no sigs on records, etc.<br>
<br>
For example: SOA sig fails, but "www" for <a href="http://salliemae.com" rel="noreferrer" target="_blank">salliemae.com</a> has no signature<br>
(that I can see).<br>
<br>
User complains that using our servers they can't get to the site (and<br>
rightfully so, I guess), but then states that if they switch to Google<br>
or Cloudfalre (8.8.8.8 or 1.1.1.1) it works.<br>
<br>
If I try to do validation tests for the SOA record Google or Cloudflare,<br>
I get the same failures, but they DO return a valid A records for "www".<br>
<br>
I thought DNSSEC validation was to be "all or nothing". How can you be<br>
doing DNSSEC validation but still passing back RR's that do not pass due<br>
to not having any signature ?<br>
<br>
Who is right?<br>
<br>
-- <br>
<a href="http://inoc.net" rel="noreferrer" target="_blank">inoc.net</a>!rblayzor<br>
XMPP: <a href="http://rblayzor.AT.inoc.net" rel="noreferrer" target="_blank">rblayzor.AT.inoc.net</a><br>
PGP:  <a href="https://pgp.inoc.net/rblayzor/" rel="noreferrer" target="_blank">https://pgp.inoc.net/rblayzor/</a><br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div>