
<div dir="auto"><div>Hi Viktor<div dir="auto">You are right, I'll change the nsec3 iterations on xn--4dbrk0ce to 0, no salt.</div><div dir="auto"><br></div><div dir="auto">You also suggested to not opt-out?</div><div dir="auto">What would be the reason for that?</div><div dir="auto"><br></div>Thank you for the clarification</div><div dir="auto">Meir</div><div dir="auto"><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Fri, Aug 26, 2022, 22:31 Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, Aug 26, 2022 at 09:20:00PM +0300, Meir Kraushar wrote:<br>

<br>

> Yes the problem is that browsers not aware of a TLD, in this case SAFARI<br>

> unaware of xn--4dbrk0ce,  do not treat it as a domain.  It won't resolve<br>

> the given name and go to the address. Instead, it will pass the value to<br>

> the search engine. This is bad. Most certainly not the desired behavior<br>

> when launching a new domain.<br>

<br>

That's rather odd.  How old is the Safari release you're testing?  The<br>

TLD is no longer "brand new": DNSSEC/DANE survey data for the TLD shows<br>

a go-live date in Mar 2021, with DNSSEC signing in May of this year.<br>

<br>

        qname     | dnssec |    date    <br>

    --------------+--------+------------<br>

     xn--4dbrk0ce | f      | 2021-03-18<br>

     xn--4dbrk0ce | t      | 2022-05-13<br>

<br>

If Safari has a built-in list of TLDs, it'd have to have been "baked in"<br>

at least ~1.5 years ago.<br>

<br>

Speaking of DNSSEC, I see you're using NSEC3 with opt-out and 5<br>

iterations.  Please consider 0 iterations, *no* opt-out and possibly<br>

empty salt.  See:<br>

<br>

    <a href="https://www.rfc-editor.org/rfc/rfc9276.html" rel="noreferrer noreferrer" target="_blank">https://www.rfc-editor.org/rfc/rfc9276.html</a><br>

<br>

Indeed when trying: xn--5dbedt4e.xn--4dbrk0ce, also recent Firefox and<br>

Chrome suggest a search rather than treating it (בדיקה.ישראל) as a<br>

domain first.<br>

<br>

It seems that PSL aside (cookie scope management), the browsers have<br>

additional rules about which punycode strings they accept as domain<br>

names.<br>

<br>

-- <br>

    Viktor.<br>

_______________________________________________<br>

dns-operations mailing list<br>

<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank" rel="noreferrer">dns-operations@lists.dns-oarc.net</a><br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>

</blockquote></div></div></div>