<div dir="auto"><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Jul 12, 2017 11:46 PM, "César de Tassis Filho via Outages" <<a href="mailto:outages@outages.org" target="_blank">outages@outages.org</a>> wrote:<br type="attribution"><blockquote class="m_-2260247861756680195quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Well, this domain has a broken DNSSEC setup: <a href="http://dnsviz.net/d/aerhq.org/dnssec/" target="_blank">http://dnsviz.net/d/aer<wbr>hq.org/dnssec/</a><div><br><div>Every recursive DNS server that validates DNSSEC (except for Google Public DNS, as stated here[1]) will not resolve this domain.</div><div><br></div><div>César</div><div><br></div><div>[1] <a href="https://developers.google.com/speed/public-dns/faq#gdns_validation_failure" target="_blank">https://developers.google.<wbr>com/speed/public-dns/faq#gdns_<wbr>validation_failure</a></div></div></div><div class="m_-2260247861756680195elided-text"><div class="gmail_extra"></div></div></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Actually, that page says:</div><div dir="auto">"</div><div dir="auto"><span style="color:rgb(33,33,33);font-family:roboto,sans-serif;font-size:16px">If Google Public DNS cannot validate a response (due to misconfiguration, missing or incorrect RRSIG records, etc.), it will return an error response (SERVFAIL) instead. **However, if the impact is significant (e.g. a very popular domain is failing validation), we may temporarily disable validation on the zone until the problem is fixed.**" (Emphasis added)</span></div><div dir="auto"><span style="color:rgb(33,33,33);font-family:roboto,sans-serif;font-size:16px"><br></span></div><div dir="auto"><span style="color:rgb(33,33,33);font-family:roboto,sans-serif;font-size:16px">This is through the use of RFC7646 (Negative Trust Anchors) - the use is</span><span style="color:rgb(33,33,33);font-family:roboto,sans-serif;font-size:16px"> very seldom, manual, and only for very popular names.</span></div><div dir="auto"><span style="color:rgb(33,33,33);font-family:roboto,sans-serif;font-size:16px"><br></span></div><div dir="auto"><span style="color:rgb(33,33,33);font-family:roboto,sans-serif;font-size:16px">(Apologies for formatting, etc - rushed, about to board a plane)</span></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_-2260247861756680195quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_-2260247861756680195elided-text"><div class="gmail_extra"><pre style="font-size:12.6667px;margin-top:0px;margin-bottom:0px"><br>

  
</pre><br><div class="gmail_quote">On Wed, Jul 12, 2017 at 6:37 PM, Tom Elliott via Outages <span dir="ltr"><<a href="mailto:outages@outages.org" target="_blank">outages@outages.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Comcast subscribers around Wash D.C. are unable to resolve <a href="http://aerhq.org" rel="noreferrer" target="_blank">aerhq.org</a>. Subscribers of other ISPs resolve site. Anyone else seeing something like this?<br>
<br>
Thanks,<br>
<br>
Tom Elliott<br>
<br>
______________________________<wbr>_________________<br>
Outages mailing list<br>
<a href="mailto:Outages@outages.org" target="_blank">Outages@outages.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/outages" rel="noreferrer" target="_blank">https://puck.nether.net/mailma<wbr>n/listinfo/outages</a><br>
</blockquote></div><br></div>
</div><br>______________________________<wbr>_________________<br>
Outages mailing list<br>
<a href="mailto:Outages@outages.org" target="_blank">Outages@outages.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/outages" rel="noreferrer" target="_blank">https://puck.nether.net/mailma<wbr>n/listinfo/outages</a><br>
<br></blockquote></div><br></div></div></div>