<div dir="ltr"><div dir="ltr"><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 18, 2019 at 11:18 AM abubin <<a href="mailto:abubin@gmail.com">abubin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">I have looked into Bind's negative trust anchor implementation. Seems like in Bind, this option cannot be specified to more than 1 week. After 1 week the negative trust will be removed.</div></div></blockquote><div><br></div><div>The content you quote yourself seems to indicate otherwise:</div><div><br></div><div>> The -force overrides this behavior and forces an NTA to persist for its entire</div><div>> lifetime, regardless of whether data could be validated if the NTA were not present.<br></div><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>Is there a "correct" way of implementing this "trust" between the servers? DNSSEC keys sharing or something?</div></div></div></blockquote><div><br></div><div>DNSSEC is not a trust between servers. It's a whole chain of signatures, from every zone delegation down to the RRSIGs on the record sets. DNS is a public system, not something like shared secrets to provide trust.</div><div><br></div><div>In fact, what you were trying to do is violating DNSSEC; the .com parent zone provides a signed response about your mydomain\.com zone (e.g. does not exist or DS records etc.), which does not correspond with what BIND is seeing (the domain does exist, or the DNSKEY hash does not match the DS record from the parent). The NTA works around that part and basically disables DNSSEC from that point of delegation.</div><div><br></div><div>Please note that with NTA, your validating clients also don't see an authenticated response from the recursor on that domain in NTA. Specific example: OpenSSH and SSHFP records - clients will see DNS responses without the AD bit flag set and ignore them.<br></div><div><br></div><div>HTH<br></div></div></div></div>