<div dir="ltr">Hello,<div><br></div><div>Running ODS 1.4.9. I know 1.4.10 is out (as well 2.x.x) but I do not see anything related to the issue mentioned in the Changelog, so I presume 1.4.10 inherits the same behavior.</div><div><br></div><div>Domain <a href="http://example.com">example.com</a>, contains the following insecure delegation:</div><div>sub2.sub1       IN      NS      <a href="http://ns1.yahoo.com">ns1.yahoo.com</a>.<br></div><div><br></div><div>Policy and signconf has optout set:</div><div><div><Denial></div><div>          <NSEC3></div><div>                    <OptOut/></div><div>                    <Resalt>P100D</Resalt></div><div>                    <Hash></div><div>                            <Algorithm>1</Algorithm></div><div>                            <Iterations>0</Iterations></div><div>                            <Salt length="0"/></div><div>                    </Hash></div><div>         </NSEC3></div><div></Denial></div></div><div><br></div><div>When signed with ODS, NSEC3 record is created for <a href="http://sub1.example.com">sub1.example.com</a>, see files attached.</div><div><br></div><div>RFC5155, Section 7.1</div><div><br></div><div><div>Each empty non-terminal MUST have a corresponding NSEC3 RR, unless</div><div>      the empty non-terminal is only derived from an insecure delegation</div><div>      covered by an Opt-Out NSEC3 RR.</div></div><div><br></div><div>If I understand the above correctly, NSEC3 records should not be created for insecure delegations.</div><div>validns also recognize this as an error:</div><div><div> validns ../signed/example.com.zone.signed</div><div>../signed/example.com.zone.signed:22: NSEC3 without a corresponding record (or empty non-terminal)</div></div><div><br></div><div>Any help will be highly appreciated.</div><div><br></div><div>Emil</div><div><br></div><div>p.s I'll try 1.4.10 anyway and will update if it makes any difference</div><div><br></div></div>