Maintained by: NLnet Labs

Unbound 1.6.4/1.6.5: Unexpected AD=0 for signed NODATA at zone apex?

Viktor Dukhovni
Sun Aug 27 06:38:40 CEST 2017


On Thu, Aug 24, 2017 at 05:28:28PM +0200, W.C.A. Wijngaards wrote:

> [1503588441] libunbound[20640:0] info: verify rrset 3645142tqk02bkonalf8lhipr7bs92k2.pat.dedyn.io. NSEC3 IN
> [1503588441] libunbound[20640:0] debug: Validating a nodata response
> [1503588441] libunbound[20640:0] debug: nsec3: keysize 1024 bits, max iterations 150
> [1503588441] libunbound[20640:0] debug: NODATA response is insecure
> [1503588441] libunbound[20640:0] info: validate(nodata): sec_status_insecure
> 
> So I guess the max iterations of 300 is a bit too much.

Thanks, that's rather ironic.  I should have noticed of course:

    https://github.com/danyork/draft-deploying-dnssec-crypto-algs/pull/5/files

which became:

    https://tools.ietf.org/html/draft-york-dnsop-deploying-dnssec-crypto-algs-05#section-2.3.1

Indeed in doing the background research for that text I'd already
surveyed ~4.6 million DNSSEC domains for iteration limit violations
and found dedyn.io to be a hotspot (from email I sent to Paul
Wouters on May 26th) of same.  I just forgot that that's the case
in the interim:

    key bits al fl iter domain name
    -------- -- -- ---- -----------
	1024 1  0   300 2639.dedyn.io
	1024 1  0   300 alba.dedyn.io
	1024 1  0   300 alefhomeunix.dedyn.io
	1024 1  0   300 amadeus.dedyn.io
	1024 1  0   300 arccadon.dedyn.io
	1024 1  0   300 armarcom.dedyn.io
	1024 1  0   300 arni2802.dedyn.io
	1024 1  0   300 backup01fliedenorg.dedyn.io
	1024 1  0   300 bblid.dedyn.io
	1024 1  0   300 biewald.dedyn.io
	1024 1  0   300 blum.dedyn.io
	1024 1  0   300 bmac01.dedyn.io
	1024 1  0   300 boenkost.dedyn.io
	1024 1  0   300 caymans11.dedyn.io
	1024 1  0   300 cnode.dedyn.io
	1024 1  0   300 columbus2015.dedyn.io
	1024 1  0   300 daneel.dedyn.io
	1024 1  0   300 de-bavori-frs.dedyn.io
	1024 1  0   300 deboca.dedyn.io
	1024 1  0   300 dedom.dedyn.io
	1024 1  0   300 digo.dedyn.io
	1024 1  0   300 druckerei-huesgen.dedyn.io
	1024 1  0   300 ds212quadflieg.dedyn.io
	1024 1  0   300 ds61.dedyn.io
	1024 1  0   300 ebner-admin.dedyn.io
	1024 1  0   300 eldena.dedyn.io
	1024 1  0   300 eshiki.dedyn.io
	1024 1  0   300 et-monkey.dedyn.io
	1024 1  0   300 eyhoma.dedyn.io
	1024 1  0   300 faelix.dedyn.io
	1024 1  0   300 fam-paul.dedyn.io
	1024 1  0   300 felge20000.dedyn.io
	1024 1  0   300 fheidenr.dedyn.io
	1024 1  0   300 fishminer.dedyn.io
	1024 1  0   300 frickel.dedyn.io
	1024 1  0   300 friedrich-net.dedyn.io
	1024 1  0   300 frinkonizer.dedyn.io
	1024 1  0   300 germbedded.dedyn.io
	1024 1  0   300 herert.dedyn.io
	1024 1  0   300 holly64.dedyn.io
	1024 1  0   300 hsh.dedyn.io
	1024 1  0   300 iturde.dedyn.io
	1024 1  0   300 jh-nas-server.dedyn.io
	1024 1  0   300 jtech.dedyn.io
	1024 1  0   300 kbmarburg.dedyn.io
	1024 1  0   300 keller.dedyn.io
	1024 1  0   300 kiel.dedyn.io
	1024 1  0   300 kilian.dedyn.io
	1024 1  0   300 klausschwarz.dedyn.io
	1024 1  0   300 kls.dedyn.io
	1024 1  0   300 knauf.dedyn.io
	1024 1  0   300 kohlzwgn.dedyn.io
	1024 1  0   300 krazykatmove.dedyn.io
	1024 1  0   300 kriftel.dedyn.io
	1024 1  0   300 lecher.dedyn.io
	1024 1  0   300 logohome.dedyn.io
	1024 1  0   300 lts-gnoien.dedyn.io
	1024 1  0   300 maggy.dedyn.io
	1024 1  0   300 markus-row.dedyn.io
	1024 1  0   300 mdm-coe.dedyn.io
	1024 1  0   300 mhaelsig2fritz.dedyn.io
	1024 1  0   300 micarl.dedyn.io
	1024 1  0   300 michaelsauer.dedyn.io
	1024 1  0   300 midbo.dedyn.io
	1024 1  0   300 mirko-franke.dedyn.io
	1024 1  0   300 mogroscha.dedyn.io
	1024 1  0   300 mp-cloud.dedyn.io
	1024 1  0   300 msijong7490.dedyn.io
	1024 1  0   300 neumann15.dedyn.io
	1024 1  0   300 oevi.dedyn.io
	1024 1  0   300 openhab.dedyn.io
	1024 1  0   300 pat.dedyn.io
	1024 1  0   300 pedrobbg.dedyn.io
	1024 1  0   300 persche.dedyn.io
	1024 1  0   300 pitahaya.dedyn.io
	1024 1  0   300 pottklose.dedyn.io
	1024 1  0   300 ppv.dedyn.io
	1024 1  0   300 proger.dedyn.io
	1024 1  0   300 purpletree.dedyn.io
	1024 1  0   300 quakeman.dedyn.io
	1024 1  0   300 rk.dedyn.io
	1024 1  0   300 rlb.dedyn.io
	1024 1  0   300 roeddi.dedyn.io
	1024 1  0   300 rolf.dedyn.io
	1024 1  0   300 rugk.dedyn.io
	1024 1  0   300 sandix.dedyn.io
	1024 1  0   300 schorcht.dedyn.io
	1024 1  0   300 sinapiserver.dedyn.io
	1024 1  0   300 spkcelle.dedyn.io
	1024 1  0   300 sports.dedyn.io
	1024 1  0   300 stahlwolf.dedyn.io
	1024 1  0   300 thoreundannki.dedyn.io
	1024 1  0   300 ticktack22.dedyn.io
	1024 1  0   300 toby1310-gt.dedyn.io
	1024 1  0   300 tomcharli.dedyn.io
	1024 1  0   300 toppa.dedyn.io
	1024 1  0   300 trashbox.dedyn.io
	1024 1  0   300 trikolon-de204.dedyn.io
	1024 1  0   300 turbomicha.dedyn.io
	1024 1  0   300 tvjoe.dedyn.io
	1024 1  0   300 vagafotodesign.dedyn.io
	1024 1  0   300 vaultsys.dedyn.io
	1024 1  0   300 vitek.dedyn.io
	1024 1  0   300 walteradmin.dedyn.io
	1024 1  0   300 watefak.dedyn.io
	1024 1  0   300 weding.dedyn.io
	1024 1  0   300 werner.dedyn.io
	1024 1  0   300 x7000.dedyn.io
	1024 1  0   300 ylphotograpy.dedyn.io
	1024 1  0   300 za.dedyn.io
	1024 1  0   300 zwettler.dedyn.io
	1024 1  0   300 zysp.dedyn.io
	1024 1  0   300 dedyn.io
	1024 1  0   300 desec.io
	1024 1  0   330 vnode.net
	1024 1  0   500 alexcohn.com
	2048 1  0  2500 giesen.me
	2048 1  0  4096 somebain.com

Perhaps it is time to reach out to dedyn.io, anyone have any good
contacts there?

-- 
	Viktor.