<div dir="ltr"><div dir="ltr"><br></div>On Mon, Jan 17, 2022 at 9:04 AM Ulrich Wisser via dns-operations <<a href="mailto:dns-operations@dns-oarc.net">dns-operations@dns-oarc.net</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>---------- Forwarded message ----------<br>From: Ulrich Wisser <<a href="mailto:ulrich@wisser.se" target="_blank">ulrich@wisser.se</a>><br>To: Mark Andrews <<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>><br>Cc: Shreyas Zare <<a href="mailto:shreyas@technitium.com" target="_blank">shreyas@technitium.com</a>>, Greg Choules via dns-operations <<a href="mailto:dns-operations@dns-oarc.net" target="_blank">dns-operations@dns-oarc.net</a>><br>Bcc: <br>Date: Mon, 17 Jan 2022 15:01:36 +0100<br>Subject: Re: [dns-operations] DNSSec validation issue for .se (missing denial of existence for *.se)<br><div style="overflow-wrap: break-word;">This is of course very interesting for us (at .se).<div>I tried this with all our dns servers and all give the same answer.</div><div>But I tend to agree that a proof for the non existence of the wildcard should be there.</div><div><br></div><div>I am thinking of a domain setup as:</div><div><br></div><div>*.<a href="http://example.com" target="_blank">example.com</a>. TXT “wildcard”</div><div><a href="http://0.example.com" target="_blank">0.example.com</a>. TXT “zero”</div><div><a href="http://test.a.example.com" target="_blank">test.a.example.com</a>. TXT “test.a”</div><div><br><div>What answer should “dig +dnssec <a href="http://a.example.com" target="_blank">a.example.com</a> txt” give?</div><div><br></div><div>I would say “wildcard”. And if that is the case, shouldn’t it then send an extra sec in case there is no wildcard record?</div></div></div></blockquote><div><br></div>Actually, no Ulrich, a query for "<a href="http://a.example.com">a.example.com</a>" in your example will not match the wildcard, since the node "<a href="http://a.example.com">a.example.com</a>"</div><div class="gmail_quote">positively exists (as an empty non-terminal with a descendant node, <a href="http://test.a.example.com">test.a.example.com</a>, that has data). The DNS name</div><div class="gmail_quote">matching algorithm is label by label inspection from the top down (see RFC 1034, Section 4.3.2).</div><div class="gmail_quote"><br></div><div class="gmail_quote">          c. If at some label, a match is impossible (i.e., the<br>            corresponding label does not exist), look to see if a<br>            the "*" label exists.</div><div class="gmail_quote"> </div><div class="gmail_quote">(At this stage in your example, a match is found)</div><div class="gmail_quote"><br></div><div class="gmail_quote">Hence, no wildcard non-existence proof is needed. Those are needed only for NXDOMAIN responses, where we you</div><div class="gmail_quote">have to additionally prove that although the name did not explicitly exist, a response for it could not have been synthesized</div><div class="gmail_quote">by a wildcard.<br></div><div class="gmail_quote"><br></div><div class="gmail_quote">Shumon.</div><div class="gmail_quote"><br></div></div>