<div dir="ltr">On Wed, Nov 25, 2015 at 10:19 AM, Aleš Rygl <span dir="ltr"><<a href="mailto:unbound-users@unbound.net" target="_blank">unbound-users@unbound.net</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>
<div>I am running Unbound 1.4.22 on Debian 7.9 for production and  have also installed  Unbound 1.5.6-1 on Debian 8.2. Both are validating with nearly identical config.</div></blockquote><br>In the 1.5.5 release, the following default behavior changed:<br><br>- Change default of harden-algo-downgrade to off. This is lenient for<br>  algorithm rollover.<br><br>(<a href="https://www.unbound.net/pipermail/unbound-users/2015-October/004055.html">https://www.unbound.net/pipermail/unbound-users/2015-October/004055.html</a>)<br><br></div><div>From the unbound.conf man page:<br><br>harden-algo-downgrade - Harden  against algorithm downgrade when multiple algorithms are advertised in the DS record.  If no, allows  the  weakest  algorithm  to validate the zone.  Default is no.  Zone signers must produce zones that allow this feature  to  work,  but  sometimes they  do not, and turning this option off avoids that validation failure.<br><br>(<a href="https://www.unbound.net/documentation/unbound.conf.html">https://www.unbound.net/documentation/unbound.conf.html</a>)<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
<p>According to the <a href="http://dnsviz.net" target="_blank">dnsviz.net</a>  the domain seems to be DNSSEC broken.</p></div></blockquote><div><br></div><div>Well, "broken" might be strong, but it has errors on the signer side because the RRsets are signed by only one of the algorithms that appear in the DS RRset:<br><br><a href="http://dnsviz.net/d/mikulasske.cz/VlXMmQ/dnssec/">http://dnsviz.net/d/mikulasske.cz/VlXMmQ/dnssec/</a><br><br></div><div>There is a validation path using one of the algorithms, but because it is not signed with both, unbound will only validate it if harden-algo-downgrade is off.  Again, the default behavior changed between versions, which explains why validation works for one and not for the other.<br></div><div><br></div><div>Cheers,<br></div><div>Casey<br></div></div></div></div>