<div dir="ltr">On Tue, Feb 2, 2016 at 11:59 AM, A. Schulze via Unbound-users <span dir="ltr"><<a href="mailto:unbound-users@unbound.net" target="_blank">unbound-users@unbound.net</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
if I disable "use-caps-for-id" I get NXDOMAIN from unbound.<br>
so "caps-whitelist: <a href="http://postbank.de" rel="noreferrer" target="_blank">postbank.de</a>" solved the issue for me.<br><br></blockquote><div><br></div><div>Looks like the <a href="http://postbank.de">postbank.de</a> servers aren't performing a proper NSEC3 hash of the mixed-case query name, so the provided closest encloser proof fails:<br><br>$ dig +noall +authority +dnssec @<a href="http://ns1.postbank.de">ns1.postbank.de</a> <a href="http://foobar.pOstbank.de">foobar.pOstbank.de</a> | grep 'IN NSEC3'<br><a href="http://8opkcg718inciqib0r7f67m9g4o4gh71.postbank.de">8opkcg718inciqib0r7f67m9g4o4gh71.postbank.de</a>. 86400 IN NSEC3 1 0 1 E80EE91FDC6B4795 8OPKCG718INCIQIB0R7F67M9G4O4GH73 <br><a href="http://v7ec9togm33vtn1pqin295lhh5tufuir.postbank.de">v7ec9togm33vtn1pqin295lhh5tufuir.postbank.de</a>. 86400 IN NSEC3 1 0 1 E80EE91FDC6B4795 V7EC9TOGM33VTN1PQIN295LHH5TUFUIS <br><a href="http://kt61b6gn579tvif3qsltnjg3f1f8umc6.postbank.de">kt61b6gn579tvif3qsltnjg3f1f8umc6.postbank.de</a>. 86400 IN NSEC3 1 0 1 E80EE91FDC6B4795 KT61B6GN579TVIF3QSLTNJG3F1F8UMC8 <br>$ nsec3hash E80EE91FDC6B4795 1 1 pOstbank.de<br>RIN3S92AN87PLVF22QR8PDRD0SA7KI5G (salt=E80EE91FDC6B4795, hash=1, iterations=1)<br><br>But:<br><br>$ dig +noall +authority +dnssec @<a href="http://ns1.postbank.de">ns1.postbank.de</a> <a href="http://foobar.postbank.de">foobar.postbank.de</a> | grep 'IN NSEC3'<br><a href="http://rin3s92an87plvf22qr8pdrd0sa7ki5g.postbank.de">rin3s92an87plvf22qr8pdrd0sa7ki5g.postbank.de</a>. 86400 IN NSEC3 1 0 1 E80EE91FDC6B4795 RIN3S92AN87PLVF22QR8PDRD0SA7KI5H <br><a href="http://33okvta5htf2hmv16mrerpavmogho4ug.postbank.de">33okvta5htf2hmv16mrerpavmogho4ug.postbank.de</a>. 86400 IN NSEC3 1 0 1 E80EE91FDC6B4795 33OKVTA5HTF2HMV16MRERPAVMOGHO4UI <br><a href="http://262b532h7r3gsgleslnb9f9fmumi3qb1.postbank.de">262b532h7r3gsgleslnb9f9fmumi3qb1.postbank.de</a>. 86400 IN NSEC3 1 0 1 E80EE91FDC6B4795 262B532H7R3GSGLESLNB9F9FMUMI3QB3 <br>$ nsec3hash E80EE91FDC6B4795 1 1 <a href="http://postbank.de">postbank.de</a><br>RIN3S92AN87PLVF22QR8PDRD0SA7KI5G (salt=E80EE91FDC6B4795, hash=1, iterations=1)<br><br></div><div>Cheers,<br></div><div>Casey<br></div></div></div></div>