<div dir="ltr"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 30, 2016 at 6:32 PM, Yuri Schaeffer <span dir="ltr"><<a href="mailto:yuri@nlnetlabs.nl" target="_blank">yuri@nlnetlabs.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Emil,<br>
<span class=""><br>
> Each empty non-terminal MUST have a corresponding NSEC3 RR, unless<br>
>       the empty non-terminal is only derived from an insecure delegation<br>
>       covered by an Opt-Out NSEC3 RR.<br>
><br>
> If I understand the above correctly, NSEC3 records should not be created<br>
> for insecure delegations.<br>
> validns also recognize this as an error:<br>
>  validns ../signed/example.com.zone.<wbr>signed<br>
> ../signed/example.com.zone.<wbr>signed:22: NSEC3 without a corresponding<br>
> record (or empty non-terminal)<br>
><br>
> Any help will be highly appreciated.<br>
<br>
</span>Ah, opt-out with empty non terminals. Tricky business. From that quote<br>
(and some light reading) I can not derive the signer output is wrong.<br>
Basically that requirement explicitly does not apply here.<br>
<br>
I'm unsure why validns does not detect the empty non-terminal. But I<br>
admit further reading might be necessary to give a definitive answer.<br>
<span class="HOEnZb"><font color="#888888"><br>
//Yuri<br>
<br>
</font></span><br>______________________________<wbr>_________________<br>
Opendnssec-user mailing list<br>
<a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.<wbr>opendnssec.org</a><br>
<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" rel="noreferrer" target="_blank">https://lists.opendnssec.org/<wbr>mailman/listinfo/opendnssec-<wbr>user</a><br>
<br></blockquote></div><br></div>