<div dir="ltr"><div><div>First off, I'm using Version 2.71 on OpenWRT.<br></div>Anyways, it seems to fail to verify my own Domain <a href="http://stripeyc.at">stripeyc.at</a>, despite all claims from <a href="http://dnsviz.net">dnsviz.net</a> and the verisign DNSSEC-Debugger that everything is in proper order.<br><br></div>From the log:<br><div><br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: query[A] <a href="http://stripeyc.at">stripeyc.at</a> from 10.0.1.201<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: forwarded <a href="http://stripeyc.at">stripeyc.at</a> to 85.214.20.141<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: dnssec-query[DNSKEY] <a href="http://stripeyc.at">stripeyc.at</a> to 85.214.20.141<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: dnssec-query[DS] <a href="http://stripeyc.at">stripeyc.at</a> to 85.214.20.141<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: dnssec-query[DNSKEY] at to 85.214.20.141<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: dnssec-query[DS] at to 85.214.20.141<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply at is DS keytag 60836<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply at is DS keytag 56489<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply at is DNSKEY keytag 60836<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply at is DNSKEY keytag 56489<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply at is DNSKEY keytag 29940<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply at is DNSKEY keytag 7909<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply <a href="http://stripeyc.at">stripeyc.at</a> is DS keytag 55690<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply <a href="http://stripeyc.at">stripeyc.at</a> is DS keytag 55690<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply <a href="http://stripeyc.at">stripeyc.at</a> is BOGUS DNSKEY<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: validation result is BOGUS<br>Thu Oct 16 14:24:56 2014 <a href="http://daemon.info">daemon.info</a> dnsmasq[10111]: reply <a href="http://stripeyc.at">stripeyc.at</a> is 178.63.145.237<br><br></div><div>Thus, I can't access my own stuff when enabling DNSSEC, but other sites like <a href="http://debian.org">debian.org</a> or <a href="http://posteo.de">posteo.de</a> work like a charm.<br></div><div>I suspect it might have to do with the upstream DS record, because I have a type 1 and 2, though both are valid. I might eventually remove the 1 one, but it needs some contacting my registrar and I won't add it back in for debugging purposes.<br><br></div><div>Either ways, i'm really wondering where exactly the problem seems to be so I can either fix it or it can be fixed in the project<br></div><div><br></div>~ Simon<br></div>