<div dir="ltr">An interesting corner case has recently been brought to our attention, and I'm hoping for some additional viewpoints to help me understand how best to handle it.<div><br></div><div>An operator reported problems with our recursive resolver, after recently enabling DNSSEC.  The cause seems to be that the authoritative server is returning an answer (a CNAME, in case it matters) but with NXDOMAIN status.  When we see NXDOMAIN we abort our recursive resolving behavior.  Later we get to the DNSSEC validation phase, but because we stopped at the NXDOMAIN we never got the DNSKEYs for the zone, and we thus fail to validate, and return SERVFAIL.</div><div><br></div><div>Other resolvers seem to be handling this domain successfully, so I'm wondering:</div><div><br></div><div>* Is this (NXDOMAIN status, but CNAME and RRSIG in the answer) valid, per the spec?</div><div>* Either way, how should a recursive handle such an authoritative response?</div></div>