<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Hi,<span class="im"><br><br>On Sun, Jun 14, 2015 at 9:06 AM, Stéphane Guedon <span dir="ltr"><<a href="mailto:stephane@22decembre.eu" target="_blank">stephane@22decembre.eu</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span><span class="im">Le vendredi 12 juin 2015, 13:16:09 Maciej Soltysiak a écrit :<br></span><span class="im">
> A user on my service, who has dnssec-check-unsigned enabled gets an<br>
> unsigned response from a signed zone and the intended reaction of dnsmasq<br>
> kicks in.<br>
><br>
> Not a bug then. Is my understanding correct?<br>
<br>
</span></span><span class="im">As far as I understand, I have the same issue (except that dnsmasq itself is<br>
serving the non signed zone and unbound the signed) !<br>
<br>
To solve that, I propose to make the unsigned zone on another domain or zone<br>
than the signed one.<br>
<br>
<a href="http://server.domain.org" rel="noreferrer" target="_blank">server.domain.org</a> is signed and the public face of your server.<br>
<br>
<a href="http://server.intern.domain.org" rel="noreferrer" target="_blank">server.intern.domain.org</a> is unsigned. Your users can then use this address,<br>
and the dns can still have different answer depending where they are.<br>
<br>
Do you understand me ?<br>
<br>
Do you think it is a good idea ? (I am thinking of using it for my case).</span></blockquote><div>Yes,
 I understand, I think it would work and it's a clever workaround for 
the issue, however in my case it does not help to maintain the end goal 
which was to provide authenticated response to that domain so that it is
 always trustworthy.<br><br></div><div>That actually is becoming a 
DNSSEC question. Is there a way to provide split-horizon answers on 
signed zones? Can one name have 2 different valid answers and RRSIGs? 
perhaps if the signature could be for a name/ttl pair, not just the name
 and have different ttls on those names? Dunno.<br></div><div><br>Perhaps me trying to use dns records to test whether the responses are coming over dnscrypt or not is flawed in nature.<br></div><div><br></div></div>Thanks anyway,<br></div>Maciej</div>