<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
{mso-style-priority:99;
mso-style-link:"Plain Text Char";
margin:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
pre
{mso-style-priority:99;
mso-style-link:"HTML Preformatted Char";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";}
span.EmailStyle17
{mso-style-type:personal;
font-family:"Calibri",sans-serif;
color:windowtext;}
span.HTMLPreformattedChar
{mso-style-name:"HTML Preformatted Char";
mso-style-priority:99;
mso-style-link:"HTML Preformatted";
font-family:"Courier New";}
span.PlainTextChar
{mso-style-name:"Plain Text Char";
mso-style-priority:99;
mso-style-link:"Plain Text";
font-family:"Calibri",sans-serif;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:12.0pt;
font-family:"Calibri",sans-serif;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
{page:WordSection1;}
--></style>
</head>
<body lang="EN-CA" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoPlainText">Thank you very much for the report, Puneet.<o:p></o:p></p>
<p class="MsoPlainText">Just to close this topic out, Route 53 have now deployed a fix globally.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Gary<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<pre><span style="color:black">On Mon, Jun 21, 2021 at 4:55 PM Puneet Sood via dns-operations <<o:p></o:p></span></pre>
<pre><span style="color:black"><a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">dns-operations at dns-oarc.net</a>> wrote:<o:p></o:p></span></pre>
<pre><span style="color:black"><o:p> </o:p></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> ---------- Forwarded message ----------<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> From: Puneet Sood <<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">puneets at google.com</a>><o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> To: dns-operations <<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">dns-operations at dns-oarc.net</a>><o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Cc:<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Bcc:<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Date: Mon, 21 Jun 2021 19:45:44 -0400<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Subject: Inconsistent NSEC response for unsigned zone from AWS<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Hello dnssec experts,<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> I am noticing an inconsistent NSEC response in a delegation. Depending<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> on the RR type specified in the query the response includes NS in the<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> set of RR types in the NSEC RR proving the absence of the <name>/DS<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> record. Is this behavior below within what nameservers can return?<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Ideally all cases will list the NS RR type in the NSEC record.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> I suspect the absence of NS in the NSEC is confusing our NSEC checking<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> logic. Validation is working correctly but in a suboptimal fashion.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> **** Example domain: corp.ibexglobal.com<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> $ dig ns corp.ibexglobal.com +short<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ns-1415.awsdns-48.org.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ns-1804.awsdns-33.co.uk.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ns-29.awsdns-03.com.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ns-945.awsdns-54.net.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> **** With type NS, NS not included in NSEC RR.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> $ dig corp.ibexglobal.com -t NS +dnssec +nocrypto +nocomment<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> @ns-725.awsdns-26.net.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> ;corp.ibexglobal.com. IN NS<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-1415.awsdns-48.org.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-1804.awsdns-33.co.uk.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-29.awsdns-03.com.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-945.awsdns-54.net.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 86400 IN NSEC<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> \000.corp.ibexglobal.com. RRSIG NSEC<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 86400 IN RRSIG NSEC 13 3 86400<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> 20210623002754 20210621222754 36517 ibexglobal.com. [omitted]<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> **** With type DS or A, NS included in NSEC RR.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> $ dig corp.ibexglobal.com -t A +dnssec +nocrypto +nocomment<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> @ns-725.awsdns-26.net.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ;corp.ibexglobal.com. IN A<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-1415.awsdns-48.org.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-1804.awsdns-33.co.uk.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-29.awsdns-03.com.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 172800 IN NS ns-945.awsdns-54.net.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 86400 IN NSEC<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> \000.corp.ibexglobal.com. NS RRSIG NSEC<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 86400 IN RRSIG NSEC 13 3 86400<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> 20210623002809 20210621222809 36517 ibexglobal.com. [omitted]<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> $ dig corp.ibexglobal.com -t DS +dnssec +nocrypto +nocomment<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> @ns-725.awsdns-26.net.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ;corp.ibexglobal.com. IN DS<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ibexglobal.com. 900 IN SOA ns-380.awsdns-47.com.<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> ibexglobal.com. 900 IN RRSIG SOA 13 2 900<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> 20210622004320 20210621222820 36517 ibexglobal.com. [omitted]<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 86400 IN NSEC<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> \000.corp.ibexglobal.com. NS RRSIG NSEC<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> corp.ibexglobal.com. 86400 IN RRSIG NSEC 13 3 86400<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> 20210623002820 20210621222820 36517 ibexglobal.com. [omitted]<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> Thanks,<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Puneet<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i><o:p> </o:p></i></span></pre>
<pre><span style="color:black">><i> ---------- Forwarded message ----------<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> From: Puneet Sood via dns-operations <<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">dns-operations at dns-oarc.net</a>><o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> To: dns-operations <<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">dns-operations at dns-oarc.net</a>><o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Cc:<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Bcc:<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Date: Mon, 21 Jun 2021 19:45:44 -0400<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> Subject: [dns-operations] Inconsistent NSEC response for unsigned zone<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> from AWS<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> _______________________________________________<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> dns-operations mailing list<o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> <a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">dns-operations at lists.dns-oarc.net</a><o:p></o:p></i></span></pre>
<pre><span style="color:black">><i> <a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><o:p></o:p></i></span></pre>
<pre><span style="color:black">><o:p> </o:p></span></pre>
<p class="MsoPlainText"><o:p> </o:p></p>
</div>
</body>
</html>