<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Dec 20, 2017 at 7:11 PM, Reindl Harald <span dir="ltr"><<a href="mailto:h.reindl@thelounge.net" target="_blank">h.reindl@thelounge.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
Am 20.12.2017 um 10:05 schrieb D Gilmore:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Why is this happening? I am an average user trying to get to the <a href="http://www.gnu.org" rel="noreferrer" target="_blank">www.gnu.org</a> website. I have no problem with any other website at the moment. I have spent hours googling and asking questions on forums trying to solve this problem. But I do not know how to resolve this. I have tried different solutions only to get myself into more trouble. I am using Ubuntu 17.04 64bit  which is a new installation with very few additions. I do have Ghostery and a Ad Blocker on both browsers (firefox and chrome) but there is no effect with them enabled or disabled<br>
</blockquote>
<br>
</span><a href="https://dnssec-debugger.verisignlabs.com/gnu.org" rel="noreferrer" target="_blank">https://dnssec-debugger.verisi<wbr>gnlabs.com/gnu.org</a><br>
No DS records found for <a href="http://gnu.org" rel="noreferrer" target="_blank">gnu.org</a> in the org zone<span class=""><br></span></blockquote><div><br></div><div>That's fine. If the delegation has no DS records, resolvers just treat the whole zone as unsigned. (Otherwise bootstrapping a signed zone would be quite difficult.)<br></div><div><br></div><div>You're probably thinking of the opposite situation -- DS in the parent, but no keys/signatures in the zone itself -- which *would* result in a validation failure.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
why do you think that is systemd related and what operating system are you running? most likely something like below is enabled on your system and DNSSEC for <a href="http://gnu.org" rel="noreferrer" target="_blank">gnu.org</a> seems to be fucked up<br clear="all"><br></blockquote><div><br></div><div>No, what is fucked up is <a href="http://gnu.org">gnu.org</a>'s nameservers *themselves*. Two out of four nameservers (ns{1..4}.<a href="http://gnu.org">gnu.org</a>) are completely down at the moment. So the SERVFAIL most likely just indicates that `resolved` gave up waiting for a reply -- it doesn't necessarily mean a validation failure.<br></div><div><br></div><div>I'm not sure what the official retry rules are -- I'd expect the resolver to keep trying until it finds a working nameserver, instead of giving up mid-way. But instead, I have seen the same behavior with Unbound as well -- it would give up and return SERVFAIL after trying just one or two nameservers.<br></div></div><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Mantas Mikulėnas</div></div>
</div></div>