<div dir="ltr">Hi<div><br></div><div>I had a case where a customer who is using my pdns recursor for external domain resolution had an application error due to failed dnssec validation for the external Domain which his application depends on. I have dnssec=validate configured in pdns recursor</div><div><br></div><div>The external domain had 4 Auth. DNS Servers. One of those external resolvers had a wrong date in their dnssec signature, the 3 other external resolvers were ok. Due to this if my pdns recursor made the dnssec validation and if it contacted one of the 3 external Resolvers which were ok everything was ok. But if it occasionally asked the one external resolver which was giving back the wrong date in their dnssec validation, the failed validation answer was cached by my powerdns recursor for the time of the TTL.</div><div><br></div><div>Even tough the problem was not on my side i've checked if i can optimize something in my pdns recursor and i found max-cache-bogus-ttl</div><div><br>"<span style="color:rgb(51,51,51);font-family:"Open Sans",Helvetica,Arial,sans-serif;font-size:16px">Maximum number of seconds to cache an item in the DNS cache (negative or positive) if its DNSSEC validation failed, no matter what the original TTL specified, to reduce the impact of a broken domain."</span></div><div><span style="color:rgb(51,51,51);font-family:"Open Sans",Helvetica,Arial,sans-serif;font-size:16px"><br></span></div><div>If i would set this to "0" (default on 3600 seconds) i would have a more direct response (instead of caching the failed dnssec validation for the time of the ttl). </div><div><br></div><div>Do i have to be aware of some potential backlash if setting this to "0" with regards to other aspects of dnssec validations or is this (in general) unproblematic?</div><div><br></div><div><br></div><div>Regards</div></div>