<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jul 18, 2023, 3:47 PM Mark Andrews <<a href="mailto:marka@isc.org">marka@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><br>
If you have stale DS’s then you will get validation failures if the child zone had already remove the DNSKEYs those DS refer to.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">The second level domain in question didn't have a DS at all.  The problem, as far as I could tell, was that the RRSIG on the NSEC3 from the com nameservers was expired and therefore could not be validated.  This broke the unsigned second level domain for any resolver validating dnssec.  </div><div dir="auto"><br></div><div dir="auto">Gavin</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>