<div dir="ltr"><div dir="ltr">On Tue, Sep 1, 2020 at 4:24 AM Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, Sep 01, 2020 at 01:48:17AM -0400, Viktor Dukhovni wrote:<br>
> <br>
>         @ 1.1.1.1 _25._<a href="http://tcp.mx.runbox.com" rel="noreferrer" target="_blank">tcp.mx.runbox.com</a>. IN TLSA ? ; +cd +dnssec<br>[...]<br>
<br>
So I'm at a loss to explain what's happening...  Haven't seen any<br>
anomalous replies yet from either VRSN or Quad9.<br></blockquote><div><br></div><div>It looks to me like a bug in Cloudflare and Google, and we probably need to await their response to figure out what's going on. </div><div><br></div><div>Cloudflare omits the wildcard NODATA NSEC, and Google omits the no closer match NSEC. Both are required. Interestingly, they both set AD=1, so perhaps internally they authenticated the full NSEC set.</div><div><br></div><div>Shumon.</div><div><br></div></div></div>