<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Menlo;
        panose-1:2 11 6 9 3 8 4 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.p1, li.p1, div.p1
        {mso-style-name:p1;
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.5pt;
        font-family:Menlo;
        color:black;}
p.p2, li.p2, div.p2
        {mso-style-name:p2;
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.5pt;
        font-family:Menlo;
        color:black;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.s1
        {mso-style-name:s1;}
span.apple-converted-space
        {mso-style-name:apple-converted-space;}
span.EmailStyle23
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style>
</head>
<body lang="EN-CA" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">In response to my own message, it looks like there is actually no problem at all.  My apologies for the noise.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">My mistake was in the fact that the <span class="s1">17.2.in-addr.arpa</span> NSEC record has a ‘next’ field of
<span class="s1">71.179.2.in-addr.arpa</span>, which in fact proves the existence of 179.2.in-addr.arpa which in turn blocks the synthesis of *.2.in-addr.arpa.  This changes the required proof to denying *.179.2.in-addr.arpa and 210.179.2.in-addr.arpa, both
 of which are denied by that same 17.2.in-addr.arpa NSEC record.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Again, sorry for the noise.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">--<o:p></o:p></p>
<p class="MsoNormal">Brian<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">"Brian Somers (brsomers)" <brsomers@cisco.com><br>
<b>Date: </b>Friday, October 4, 2019 at 3:56 PM<br>
<b>To: </b>"dnssec-ops@afrinic.net" <dnssec-ops@afrinic.net><br>
<b>Subject: </b>DNSSEC missing NSEC records<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Hopefully this email will reach a human.  In summary, I am querying your nameservers with a query who’s response is a negative result.  The negative result does not supply correct NSEC proof, so the result is being thrown away.  According
 to your web page at <a href="https://afrinic.net/dnssec">https://afrinic.net/dnssec</a>, you are using standard tools, so perhaps an upgrade is necessary?<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">The details:<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="p1"><span class="s1">$ dig +dnssec PTR 55.210.179.2.in-addr.arpa</span><o:p></o:p></p>
<p class="p2"> <o:p></o:p></p>
<p class="p1"><span class="s1">; <<>> DiG 9.10.3-P4-Debian <<>> +dnssec PTR 55.210.179.2.in-addr.arpa</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; global options: +cmd</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; Got answer:</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13221</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1</span><o:p></o:p></p>
<p class="p2"> <o:p></o:p></p>
<p class="p1"><span class="s1">;; OPT PSEUDOSECTION:</span><o:p></o:p></p>
<p class="p1"><span class="s1">; EDNS: version: 0, flags: do; udp: 16384</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; QUESTION SECTION:</span><o:p></o:p></p>
<p class="p1"><span class="s1">;55.210.179.2.in-addr.arpa. </span><span class="apple-converted-space">   
</span><span class="s1">IN</span><span class="apple-converted-space">      </span>
<span class="s1">PTR</span><o:p></o:p></p>
<p class="p2"> <o:p></o:p></p>
<p class="p1"><span class="s1">;; AUTHORITY SECTION:</span><o:p></o:p></p>
<p class="p1"><span class="s1">2.in-addr.arpa. </span><span class="apple-converted-space">       
</span><span class="s1">529 </span><span class="apple-converted-space">    </span>
<span class="s1">IN</span><span class="apple-converted-space">      </span><span class="s1">SOA
</span><span class="apple-converted-space">    </span><span class="s1">pri.authdns.ripe.net. dns.ripe.net. 1570034799 3600 600 864000 3600</span><o:p></o:p></p>
<p class="p1"><span class="s1">2.in-addr.arpa. </span><span class="apple-converted-space">       
</span><span class="s1">529 </span><span class="apple-converted-space">    </span>
<span class="s1">IN</span><span class="apple-converted-space">      </span><span class="s1">RRSIG
</span><span class="apple-converted-space">  </span><span class="s1">SOA 8 3 3600 20191018205054 20191004192054 48919 2.in-addr.arpa. XQQvfbQaC362wJKmA/77JlP4kL3EFsmAs3+ByNfUreFxDYAa/no6PqFO OkyL9n0TYnaxT66vNCktUscMQvO1M5gNJ19tPDlZA+pVN2nzGZZzfUql WJl9EwfyLFkO2ZmwIBBdejgPtUuiS6qdg8r/4oESfEch+YgcNNJrDzTb
 ts4=</span><o:p></o:p></p>
<p class="p1"><span class="s1">17.2.in-addr.arpa.</span><span class="apple-converted-space">     
</span><span class="s1">529 </span><span class="apple-converted-space">    </span>
<span class="s1">IN</span><span class="apple-converted-space">      </span><span class="s1">NSEC</span><span class="apple-converted-space">   
</span><span class="s1">71.179.2.in-addr.arpa. NS RRSIG NSEC</span><o:p></o:p></p>
<p class="p1"><span class="s1">17.2.in-addr.arpa.</span><span class="apple-converted-space">     
</span><span class="s1">529 </span><span class="apple-converted-space">    </span>
<span class="s1">IN</span><span class="apple-converted-space">      </span><span class="s1">RRSIG
</span><span class="apple-converted-space">  </span><span class="s1">NSEC 8 4 3600 20191014161051 20190930144051 48919 2.in-addr.arpa. NIK1UeZMTlTYD/TqjYHH73UUiIkwK0i5YqLWjEh+hXLgmpv9nutrXPE2 YHLSSd6Uev7RwXyfIJ7XoTymuKfeOKvUBiMz3mElf0WOoAmWgcYiCn9y AzPOca/0xJ1lV6k7IUsMdaijsOR6/FRh0adVhb4VmtSh7qJfQEM8cXOk
 EiU=</span><o:p></o:p></p>
<p class="p2"> <o:p></o:p></p>
<p class="p1"><span class="s1">;; Query time: 71 msec</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; SERVER: 208.67.222.222#53(208.67.222.222)</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; WHEN: Fri Oct 04 22:37:54 UTC 2019</span><o:p></o:p></p>
<p class="p1"><span class="s1">;; MSG SIZE</span><span class="apple-converted-space"> 
</span><span class="s1">rcvd: 508</span><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">The response correctly denies the existence of 179.2.in-addr.arpa and everything below it, but it does not deny the existence of *.2.in-addr.arpa (the wildcard record) which, if present, would expand to 55.210.179.2.in-addr.arpa.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">This can be seen also here: <a href="https://dnssec-analyzer.verisignlabs.com/55.210.179.2.in-addr.arpa">
<span style="color:blue">https://dnssec-analyzer.verisignlabs.com/55.210.179.2.in-addr.arpa</span></a><o:p></o:p></p>
<p class="MsoNormal">and here: <a href="http://dnsviz.net/d/55.210.179.2.in-addr.arpa/dnssec/">
http://dnsviz.net/d/55.210.179.2.in-addr.arpa/dnssec/</a><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Are there any plans to address this issue?  Thanks for your time.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">--<o:p></o:p></p>
<p class="MsoNormal">Brian<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</body>
</html>