<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 3/11/21 9:21 AM, Matthijs Mekking
      wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:765340e3-eacc-c6a0-ea8f-014c8ec4b9c3@pletterpet.nl">
      <blockquote type="cite" style="color: #999999;">which apparently
        has a DS at the apex of the child zone, which is
        <br>
        somewhere between 'useless' and 'wrong'.
        <br>
      </blockquote>
      <br>
      It is more wrong than useless: From RFC 4035:
      <br>
      <br>
          All DS RRsets in a zone MUST be signed, and DS
      <br>
          RRsets MUST NOT appear at a zone's apex.
    </blockquote>
    <p>I've also encountered DS in the middle of a zone -- i.e. on a
      name without NS, in this case also with some child names existing
      within the same zone.</p>
    <p>I didn't find that it's really forbidden, but on the other hand
      I've had no motivation to fix Knot Resolver's
      forwarding+validation mode to tunnel through such an obstacle. 
      That zone got fixed eventually, too.<br>
    </p>
    <p>--Vladimir<br>
    </p>
  </body>
</html>