<div dir="ltr">I checked the RFC, but somehow missed it. Thanks.<div><br></div><div>Emil</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 23, 2014 at 4:41 PM, Roy Arends <span dir="ltr"><<a href="mailto:roy@nominet.org.uk" target="_blank">roy@nominet.org.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div dir="auto">
<div>This is by design.</div>
<div><br>
</div>
<div><a href="http://tools.ietf.org/html/rfc5155#section-4.1.2" target="_blank">http://tools.ietf.org/html/rfc5155#section-4.1.2</a></div>
<div><br>
</div>
<div>Roy</div><div><div class="h5">
<div><br>
On 23 Dec 2014, at 14:35, Emil Natan <<a href="mailto:shlyoko@gmail.com" target="_blank">shlyoko@gmail.com</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>
<div dir="ltr">I see there are at least 3 TLDs which I know are using ODS and where the NSEC3PARAM indicates OPT-OUT disabled, but the NSEC3 records have OPT-OUT flag enabled. When using BIND to sign a zone, both NSEC3PARAM and NSEC3 have the flags set the
 same way. Is it me missing something or is it that by design?
<div>Thanks.</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Tue, Dec 23, 2014 at 4:11 PM, Emil Natan <span dir="ltr">
<<a href="mailto:shlyoko@gmail.com" target="_blank">shlyoko@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hello,
<div><br>
</div>
<div>This one is easy to reproduce. </div>
<div>
<div>ods-ksmutil -V</div>
<div>opendnssec version 1.4.6</div>
</div>
<div><br>
</div>
<div>From kasp.xml:</div>
<div>
<div>                <Denial></div>
<div>                        <NSEC3></div>
<div>                                <OptOut/></div>
<div>                                <Resalt>P100D</Resalt></div>
<div>                                <Hash></div>
<div>                                        <Algorithm>1</Algorithm></div>
<div>                                        <Iterations>10</Iterations></div>
<div>                                        <Salt length="8"/></div>
<div>                                </Hash></div>
<div>                        </NSEC3></div>
<div>                </Denial></div>
</div>
<div><br>
</div>
<div>When the zonefile is signed, the NSEC3PARAM flag indicates OPT-OUT disabled (when it's enabled in the configuration).</div>
<div><br>
</div>
<div><a href="http://test.org" target="_blank">test.org</a>.       0       IN      NSEC3PARAM      1 0 10 e5d234b3dc0e03a3<br>
</div>
<div><br>
</div>
<div>The NSEC3 records though have it right.</div>
<div><br>
</div>
<div><a href="http://pufepsta7kv6r1uo2t3nchdkqpdhaqak.test.org" target="_blank">pufepsta7kv6r1uo2t3nchdkqpdhaqak.test.org</a>.      86400   IN      NSEC3   1 1 10 e5d234b3dc0e03a3  8a2j6ietl8fhltcfp1l25mf7qfu6dt69 A NS SOA MX RRSIG DNSKEY NSEC3PARAM<br>
</div>
<div><br>
</div>
<div>Can someone else confirm that behavior?</div>
<div><br>
</div>
<div>Happy holidays,</div>
<div>Emil</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</blockquote>
</div></div><blockquote type="cite">
<div><span>_______________________________________________</span><br>
<span>Opendnssec-user mailing list</span><br>
<span><a href="mailto:Opendnssec-user@lists.opendnssec.org" target="_blank">Opendnssec-user@lists.opendnssec.org</a></span><br>
<span><a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a></span><br>
</div>
</blockquote>
</div>

</blockquote></div><br></div>