<font size=2 face="sans-serif">Hi Dave - </font>
<br>
<br><font size=2 face="sans-serif">Sorry for the delay in replying.</font>
<br>
<br><tt><font size=2>> ...it is signed just fine, but I get the following
from the Auditor<br>
> <br>
> # bin/ods-auditor --zone in-addr-servers.arpa --signed var/<br>
> opendnssec/tmp/in-addr-servers.arpa.finalized <br>
> Auditor started<br>
> Auditor starting on in-addr-servers.arpa<br>
> 6: Auditing in-addr-servers.arpa zone : NSEC SIGNED<br>
> 3: RRSet (in-addr-servers.arpa, NSEC) failed verification : <br>
> Signature failed to cryptographically verify, tag = 12033<br>
> 3: RRSet (A.in-addr-servers.arpa, NSEC) failed verification : <br>
> Signature failed to cryptographically verify, tag = 12033<br>
> 3: RRSet (B.in-addr-servers.arpa, NSEC) failed verification : <br>
> Signature failed to cryptographically verify, tag = 12033<br>
> 3: RRSet (C.in-addr-servers.arpa, NSEC) failed verification : <br>
> Signature failed to cryptographically verify, tag = 12033<br>
> 3: RRSet (D.in-addr-servers.arpa, NSEC) failed verification : <br>
> Signature failed to cryptographically verify, tag = 12033<br>
> 3: RRSet (E.in-addr-servers.arpa, NSEC) failed verification : <br>
> Signature failed to cryptographically verify, tag = 12033<br>
> 6: Finished auditing in-addr-servers.arpa zone<br>
> Auditor found errors - check log for details<br>
> <br>
> So far as I can tell there is nothing actually wrong with the signatures<br>
</font></tt>
<br><tt><font size=2>I think that the NSEC signatures are in fact incorrect
(all the other signatures are OK). If you look at the next_domain field
in the rdata, you will see e.g. "C.in-addr-servers.arpa". The
signature has been generated using this upper-case "C", in contravention
of RFC4034 section 3.1.8.1:</font></tt>
<br>
<br><tt><font size=3> Any DNS names in the RDATA field of each RR
MUST be in<br>
               canonical form; and<br>
<br>
</font></tt><tt><font size=2>So, the auditor has checked the signature
associated with these records, and found them incorrect as per RFC4034.</font></tt>
<br>
<br><tt><font size=2>I'm not sure why the signer has included upper-case
characters in the signature calculation for the nsec rdata - if it's of
any consolation, the current trunk does not do this on my machine... I
think Matthijs may be looking into this.</font></tt>
<br>
<br><tt><font size=2>HTH,</font></tt>
<br>
<br>
<br><tt><font size=2>Alex.</font></tt>