<div dir="ltr">On Wed, Sep 17, 2014 at 10:05 AM, Ondřej Caletka <span dir="ltr"><<a href="mailto:ondrej@caletka.cz" target="_blank">ondrej@caletka.cz</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I'm having an issue with validating particular domain names:<br>
<br>
$ dig _25._<a href="http://tcp.mail.relia-pc.cz" target="_blank">tcp.mail.relia-pc.cz</a> tlsa<br>
$ dig _443._<a href="http://tcp.kinderporno.cz" target="_blank">tcp.kinderporno.cz</a> tlsa<br>
 - validates with BIND, fails with Unbound 1.4.21<br>
 - unbound-host says that cname proof failed<br>
<br>
I'm suspecting that there is something wrong on the authoritative side<br>
since both domains are hosted on the same set of servers. But I'm not<br>
able to figure out, what exactly is wrong and how the answers should<br>
look like to be validated successfully by Unbound.<br>
<br></blockquote><div><br></div><div>I don't immediately see anything wrong with the complete names above.  But I can see that BIND and unbound both are failing validation for _<a href="http://tcp.kinderporno.cz" target="_blank">tcp.kinderporno.cz</a>.  I am wondering if this is perhaps due to incorrect handling of NSEC records associated with wildcards.<br><br>$ dig +dnssec +noall +authority @<a href="http://ns.forpsi.it">ns.forpsi.it</a> _<a href="http://tcp.kinderporno.cz">tcp.kinderporno.cz</a> | grep NSEC | head -1<br>default._<a href="http://domainkey.kinderporno.cz">domainkey.kinderporno.cz</a>. 3600    IN NSEC    _jabber._<a href="http://tcp.kinderporno.cz">tcp.kinderporno.cz</a>. TXT RRSIG NSEC<br><br></div><div>The NSEC record returned doesn't prove that the name doesn't exist (NXDOMAIN) because the name (_<a href="http://tcp.kinderporno.cz">tcp.kinderporno.cz</a>) is in fact an ancestor of the next field of the NSEC record (_jabber._<a href="http://tcp.kinderporno.cz">tcp.kinderporno.cz</a>), as an empty non-terminal.  But that proof is not required for wildcard, only for NXDOMAIN status.<br><br></div><div>But that doesn't explain why unbound would be failing validation on _443._<a href="http://tcp.kinderporno.cz">tcp.kinderporno.cz</a>, unless it is performing validation of _<a href="http://tcp.kinderporno.cz">tcp.kinderporno.cz</a> along the way.<br><br></div><div>Just a guess.<br></div><div><br></div><div>Casey<br></div></div></div></div>