<div dir="ltr">Out of curiosity, what DOES PowerDNS do if it finds an both an A and an RRSIG record for <a href="http://a.b.c.com">a.b.c.com</a> in the database?<div><br></div><div>Nick</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 6, 2016 at 12:33 PM, Aki Tuomi <span dir="ltr"><<a href="mailto:cmouse@cmouse.fi" target="_blank">cmouse@cmouse.fi</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>The code does not support this but you might be able to use postresolve Lua hook to break the reply signature.</div><div><br></div><div>---<div>Aki Tuomi</div></div><div style="font-size:100%;color:#000000"><div>-------- Alkuperäinen viesti --------</div><div>Lähettäjä: Nick Williams <<a href="mailto:nicholas@nicholaswilliams.net" target="_blank">nicholas@nicholaswilliams.net</a>> </div><div>Päivämäärä: 6.1.2016  19.54  (GMT+02:00) </div><div>Saaja: pdns-users Users <<a href="mailto:pdns-users@mailman.powerdns.com" target="_blank">pdns-users@mailman.powerdns.com</a>> </div><div>Aihe: [Pdns-users] Setting up intentionally invalid DNSSEC record in        auto-secure environment </div><div><br></div></div><div><div class="h5">Hi all,<br><br>We're running a PowerDNS 3.4.6 installation with the MySQL backend, and we’re using pdnsutil secure-zone/set-nsec3/rectify-zone to automatically secure all of our domains (the least-effort method, instead of manually signing everything). It works great. Thanks for the excellent software!<br><br>To support an internal testing tool, I would like to set up a few DNS records on a subdomain of one of our signed domains, and have those DNS records //intentionally invalidly signed// so that verifying resolvers will flag them and not return them. What is the best way to do this? Can I simply manually enter an invalid RRSIG record for each record, and that manual record will take precedence over any automatic signing that PowerDNS preforms? Or do I need to take some other step (perhaps it requires a separate domain)? Or is what I want to do impossible with PowerDNS automatic signing enabled?<br><br>Thanks!<br><br>Nick Williams<br></div></div>_______________________________________________<br>Pdns-users mailing list<br><a href="mailto:Pdns-users@mailman.powerdns.com" target="_blank">Pdns-users@mailman.powerdns.com</a><br><a href="http://mailman.powerdns.com/mailman/listinfo/pdns-users" target="_blank">http://mailman.powerdns.com/mailman/listinfo/pdns-users</a><br></div></blockquote></div><br></div>