<div dir="ltr"><div>Hi all,</div><div>I use pfsense for my firewall and have selected the unbound resolver for DNS on my home LAN. I have configured this to use Cloudflare DNS with DNSSEC enabled.  In addition to checking the "Enable DNSSEC Support" checkbox on the DNS Resolver configuration page I have added the custom options</div><div><br></div><div>    server:<br>    forward-zone:<br>    name: "."<br>    forward-ssl-upstream: yes<br>    forward-addr: 1.1.1.1@853<br>    forward-addr: 1.0.0.1@853</div><div><br></div><div>(full configuration at the link below.)<br></div><div><br></div><div>This generally seems to work except for several hosts from which I try to fetch podcasts. One of these is coder.show. I have bumped logging for unbound one level and collected the log for this host and which can be viewed at <a href="https://docs.google.com/document/d/1oPUpRzIdANfuUuU7ljXNts1cR79FxBul099lbcBwE54/edit?usp=sharing">https://docs.google.com/document/d/1oPUpRzIdANfuUuU7ljXNts1cR79FxBul099lbcBwE54/edit?usp=sharing</a> <br></div><div><br></div><div>The last several lines are (oldest last)<span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"><br></span></div><div><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">  May 20 10:34:52 </span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">info: Could not establish a chain of trust to keys for coder.show. DNSKEY IN</span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"><br></span></div><div><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">  May 20 10:34:52</span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"> </span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">info: query response was nodata ANSWER</span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"><br></span></div><div><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">  May 20 10:34:52 </span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span><span style="font-size:10pt;font-family:"Courier New";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">info: reply from <.> 1.1.1.1#853</span></div><div><br></div><div>Other information: Even though none of the other hosts on my LAN can resolve this name, it is resolved by the diagnostic page on pfsense.</div><div><br></div><div>If I check the name at <a href="https://dnslookup.org/coder.show/A/#dnssec">https://dnslookup.org/coder.show/A/#dnssec</a> it reports that the "Result is Insecure." However I get the same result for <a href="http://google.com">google.com</a> and it resolves w/out difficulty on my LAN. I'm not familiar with all of the information on this page but one thing that caught my attention was the query to <a href="http://ns2.hover.com">ns2.hover.com</a>. The AUTHORITY section seems to show a bunch of queries that return no data. Does this indicate a missing certificate?<br></div><div><br></div><div>Any suggestions for fixing this are most welcome!</div><div><br></div><div>thanks,</div><div>hank<br></div><div><br>-- <br><div class="gmail_signature">'03 BMW F650CS - hers<br>'98 Dakar K12RS - "BABY K" grew up.<br>'93 R100R w/ Velorex 700 (MBD starts...)<br>'95 Miata - "OUR LC"<br>polish visor: apply squashed bugs, rinse, repeat<br>Beautiful Sunny Winfield, Illinois</div>
</div></div>