
<font size=2 face="sans-serif">Hi Dave - </font>

<br>

<br><font size=2 face="sans-serif">Sorry for the delay in replying.</font>

<br>

<br><tt><font size=2>> ...it is signed just fine, but I get the following

from the Auditor<br>

> <br>

> # bin/ods-auditor --zone in-addr-servers.arpa --signed var/<br>

> opendnssec/tmp/in-addr-servers.arpa.finalized <br>

> Auditor started<br>

> Auditor starting on in-addr-servers.arpa<br>

> 6: Auditing in-addr-servers.arpa zone : NSEC SIGNED<br>

> 3: RRSet (in-addr-servers.arpa, NSEC) failed verification : <br>

> Signature failed to cryptographically verify, tag = 12033<br>

> 3: RRSet (A.in-addr-servers.arpa, NSEC) failed verification : <br>

> Signature failed to cryptographically verify, tag = 12033<br>

> 3: RRSet (B.in-addr-servers.arpa, NSEC) failed verification : <br>

> Signature failed to cryptographically verify, tag = 12033<br>

> 3: RRSet (C.in-addr-servers.arpa, NSEC) failed verification : <br>

> Signature failed to cryptographically verify, tag = 12033<br>

> 3: RRSet (D.in-addr-servers.arpa, NSEC) failed verification : <br>

> Signature failed to cryptographically verify, tag = 12033<br>

> 3: RRSet (E.in-addr-servers.arpa, NSEC) failed verification : <br>

> Signature failed to cryptographically verify, tag = 12033<br>

> 6: Finished auditing in-addr-servers.arpa zone<br>

> Auditor found errors - check log for details<br>

> <br>

> So far as I can tell there is nothing actually wrong with the signatures<br>

</font></tt>

<br><tt><font size=2>I think that the NSEC signatures are in fact incorrect

(all the other signatures are OK). If you look at the next_domain field

in the rdata, you will see e.g. "C.in-addr-servers.arpa". The

signature has been generated using this upper-case "C", in contravention

of RFC4034 section 3.1.8.1:</font></tt>

<br>

<br><tt><font size=3> Any DNS names in the RDATA field of each RR

MUST be in<br>

               canonical form; and<br>

<br>

</font></tt><tt><font size=2>So, the auditor has checked the signature

associated with these records, and found them incorrect as per RFC4034.</font></tt>

<br>

<br><tt><font size=2>I'm not sure why the signer has included upper-case

characters in the signature calculation for the nsec rdata - if it's of

any consolation, the current trunk does not do this on my machine... I

think Matthijs may be looking into this.</font></tt>

<br>

<br><tt><font size=2>HTH,</font></tt>

<br>

<br>

<br><tt><font size=2>Alex.</font></tt>