<div dir="ltr">Hello,<br><br>I have domain signed with DNSSEC: <a href="http://patryk.one.pl">patryk.one.pl</a><br>The issue is, the parent <a href="http://one.pl">one.pl</a> is completely void of DNSSEC support (and it will probably never get fixed).<br><br>Therefore:<br>- . is signed<br>- .pl is signed, no DS for .<a href="http://one.pl">one.pl</a><br>- .<a href="http://one.pl">one.pl</a> is NOT signed, no DNSKEY, no DS for .<a href="http://patryk.one.pl">patryk.one.pl</a><br>- .<a href="http://patryk.one.pl">patryk.one.pl</a> is signed<br><br>My domain is registered with <a href="http://dlv.isc.org">dlv.isc.org</a>, but this not important anymore, as they announced closing down.<br><br>Have a look here:<br><a href="http://dnsviz.net/d/patryk.one.pl/dnssec/">http://dnsviz.net/d/patryk.one.pl/dnssec/</a><br><br>The issue is dnsmasq is returning BOGUS instead of INSECURE. In consequence the domain does not resolve.<br>I believe it is in contradiction with RFC:<br><a href="https://tools.ietf.org/html/rfc4035#section-5.1">https://tools.ietf.org/html/rfc4035#section-5.1</a><br><br>It should mark BOGUS only if top-bottom validation determies DS in parent but missing DNSKEY in child.<br><br>Current behaviour is promoting a race condition, when the domain owner enabled DNSSEC, but didn't upload DS to parent and/or it didn't propagate.<br><br>The same situation was few years ago, when TLDs were gradually enabled, when for a while they were signed with DNSKEY without DS being set on parent, only to be put several months later. There are still unsigned TLDs and I think they will stop being resolved completely when this happens again.<br><br>Google Public DNS behaviour is correct.<br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div>Patryk Szczygłowski<br></div></div></div>
</div>