<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 23/05/2022 15.48, Thomas, Matthew
      via dns-operations wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:mailman.221.1653313702.26837.dns-operations@lists.dns-oarc.net">
      <p class="MsoNormal"><span
style="font-size:11.0pt;font-family:"Arial",sans-serif;color:black">Configuration
          1: Generate a synthetic NXDOMAIN response to all queries with
          no SOA provided in the authority section.</span><span
          style="font-size:11.0pt"><o:p></o:p></span></p>
    </blockquote>
    <p>I believe the protocol says not to cache such answers at all. 
      Some implementations chose to cache at least a few seconds, but I
      don't think all of them.  Breaking caching seems risky to me, as
      traffic could increase very much (if the TLD was queried a lot).<br>
    </p>
    <p><br>
    </p>
    <blockquote type="cite"
cite="mid:mailman.221.1653313702.26837.dns-operations@lists.dns-oarc.net"><span
style="font-size:11.0pt;font-family:"Arial",sans-serif;color:black">
      </span><span style="font-size:11.0pt"><o:p></o:p></span>
      <p class="MsoNormal"><span
style="font-size:11.0pt;font-family:"Arial",sans-serif;color:black">Configuration
          2: Generate a synthetic NXDOMAIN response to all queries with
          a SOA record.  Some example queries for the TLD .foo are
          below:</span></p>
    </blockquote>
    <p>It still feels a bit risky to answer in this non-conforming way,
      and I can't really see why attempt that.  At apex the NXDOMAIN
      would deny the SOA included in the very same answer...<br>
    </p>
    <p><br>
    </p>
    <blockquote type="cite"
cite="mid:mailman.221.1653313702.26837.dns-operations@lists.dns-oarc.net">
      <p class="MsoNormal"><span style="font-size:11.0pt"><o:p></o:p></span></p>
      <p class="MsoNormal"><span
style="font-size:11.0pt;font-family:"Arial",sans-serif;color:black">Configuration
          3: Use a properly configured empty zone with correct NS and
          SOA records. Queries for the single label TLD would return a
          NOERROR and NODATA response.</span><span
          style="font-size:11.0pt"><o:p></o:p></span></p>
    </blockquote>
    <p>I expect that's OK, especially if it's a TLD that's seriously
      considered.  I'd hope that "bad" usage is mainly sensitive to
      existence of records of other types like A.</p>
    <p><br>
    </p>
    <p>--Vladimir | knot-resolver.cz<br>
    </p>
  </body>
</html>