<div dir="auto">Hi,</div><div dir="auto"><br></div><div dir="auto"><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 29, 2021 at 14:56 Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">On Wed, Sep 29, 2021 at 02:33:42PM -0700, Vicky Shrestha wrote:<br>
<br>
> > For some reason CloudFlare's auth servers are failing to return<br>
> > a non-error reply for (at least):<br>
> ><br>
> >   <a href="https://dnsviz.net/d/_25._tcp.mail1.gearnetwork.de/YU_q9g/dnssec/" rel="noreferrer" target="_blank">https://dnsviz.net/d/_25._tcp.mail1.gearnetwork.de/YU_q9g/dnssec/</a><br>
> >   <a href="https://dnsviz.net/d/_25._tcp.mail.markleenen.eu/YVC-8g/dnssec/" rel="noreferrer" target="_blank">https://dnsviz.net/d/_25._tcp.mail.markleenen.eu/YVC-8g/dnssec/</a><br>
> <br>
> Thanks Victor for bringing  this to our attention. Both of these records<br>
> have invalid TLSA rdata. We are rolling out a fix to validate this in our<br>
> API and will be reaching out to our customers to fix them.</blockquote><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">API Validation has been added and rolled out to production. </div><div dir="auto"><br></div><div dir="auto">Thanks again for reporting this issue.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)" dir="auto"><br>
<br>
Thanks, much appreciated!<br>
<br>
While I've been less than enthusiastic on this list about iterative<br>
nameservers (recursive resolvers) doing RDATA syntax validation, doing<br>
such validation at the authoritative servers is less objectionable, and<br>
I fully support RDATA validation when done before records are added to<br>
the zone.<br>
<br>
Compile-time type checks sure beat runtime errors.<br>
<br>
--<br>
        Viktor.<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>With Regards,</div><div><br></div>Vicky Shrestha</div></div>