<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi!</div><div dir="ltr"><br></div><div dir="ltr">I read this doc:<div><a href="https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html">https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html</a><br></div><div><br></div><div>PowerDNS Authoritative Server 4.1.1<br></div><div><br></div><div>Currently all zones are DNSSEC signed with NSEC by default.</div><div>We noticed a problem with non-existent CAA records: The zone is native and replicated via AXFR to an external service.</div><div>If I query the master, the result is "not found". If I query the external server, it replies with SRVFAIL.</div><div>This changes as soon as I set a CAA, the lookup succeeds.</div><div><br></div><div>I think I have narrowed it down to NSEC. As NSEC3 makes zone-walking more difficult, I would like to switch.</div><div>I tried "pdnsutil set-nsec3 <a href="http://example.com">example.com</a>" which set some default values and changed zone from NSEC to NSEC3.</div><div><br></div><div>Before I do this change with 600+ Zones, what is the best practice setting for NSEC/NSEC3?</div><div>The docs stateĀ broad vs. inclusive vs. narrow but without any more information.</div><div><br></div><div>And finally: Would this solve the CAA with replicationĀ problem?</div><div><br></div><div>Thank you very much.</div><div><br></div><div>Kevin</div></div></div></div></div></div>