<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 30, 2016 at 6:32 PM, Yuri Schaeffer <span dir="ltr"><<a href="mailto:yuri@nlnetlabs.nl" target="_blank">yuri@nlnetlabs.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Emil,<br>
<span class=""><br>
> Each empty non-terminal MUST have a corresponding NSEC3 RR, unless<br>
>       the empty non-terminal is only derived from an insecure delegation<br>
>       covered by an Opt-Out NSEC3 RR.<br>
><br>
> If I understand the above correctly, NSEC3 records should not be created<br>
> for insecure delegations.<br>
> validns also recognize this as an error:<br>
>  validns ../signed/example.com.zone.<wbr>signed<br>
> ../signed/example.com.zone.<wbr>signed:22: NSEC3 without a corresponding<br>
> record (or empty non-terminal)<br>
><br>
> Any help will be highly appreciated.<br>
<br>
</span>Ah, opt-out with empty non terminals. Tricky business. From that quote<br>
(and some light reading) I can not derive the signer output is wrong.<br>
Basically that requirement explicitly does not apply here.<br>
<br>
I'm unsure why validns does not detect the empty non-terminal. But I<br>
admit further reading might be necessary to give a definitive answer.<br>
<span class=""><font color="#888888"><br>
//Yuri<br>
<br></font></span></blockquote><div><br></div><div>Actually validns error message suppose presence of empty non-terminals.</div><div>In addition (I decided not to mention it in my initial email) BIND also do not sign these. It does not mean the ODS signer is doing the wrong thing, I only mention it as a reference to other interpretations on the RFC definition. Unfortunately the different interpretations break few of my tests on the signed zones which is not ideal. I presume in practice nothing will be broken in either way.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class=""><font color="#888888">
</font></span><br>______________________________<wbr>_________________<br>
Opendnssec-user mailing list<br>
<a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.<wbr>opendnssec.org</a><br>
<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" rel="noreferrer" target="_blank">https://lists.opendnssec.org/<wbr>mailman/listinfo/opendnssec-<wbr>user</a><br>
<br></blockquote></div><br></div></div>