<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
<div dir="ltr">
<div></div>
<div>
<div>Looks to me like there is a serious problem here.</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">NSEC record specifies what is signed but not the algorithm used to sign. DNSSEC allows multiple signature and digest algorithms on the same zone. If a zone does this, validators are prohibited from rejecting records only signed using one of the
 algorithms rather than both.</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">Won’t go into extreme detail here as researcher’s slides will be available tomorrow.</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">This definitely needs fixing.</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">One near term fix is to make SHA-1 a MUST NOT. It is long past its sell-by date now. </div>
<div dir="ltr"><br>
</div>
<div dir="ltr"><br>
</div>
<div id="ms-outlook-mobile-signature">
<div><br>
</div>
Get <a href="https://aka.ms/o0ukef">Outlook for iOS</a></div>
</div>
</div>
</body>
</html>