Buenas noticias!
El resolver de Google anunció que ya soporta EDE:
https://developers.google.com/speed/public-dns/docs/troubleshooting/domains…
Contexto:
Han pasado unos años desde que el RFC 8914
<https://www.rfc-editor.org/rfc/rfc8914.html> viera la luz.
La idea principal de este RFC es entregar información adicional a errores
en una consulta DNS (especialmente en DNSSEC). Así que en vez de sólo
recibir un status de SERVFAIL o REFUSED, ahora podemos tener un mensaje
extra indicando cuál es el problema.
Algunos ejemplos:
dig @8.8.8.8 dnssec-failed.org | grep "; EDE"
; EDE: 9 (DNSKEY Missing): (No DNSKEY matches DS RRs of dnssec-failed.org)
dig @8.8.8.8 prueba4000.dnssec.cero32.cl | grep "; EDE"
; EDE: 0 (Other): (Query or time limits exceeded for
prueba4000.dnssec.cero32.cl/a)
dig @8.8.8.8 prueba3500.dnssec.cero32.cl +bufsize=1400 | grep "; EDE"
; EDE: 0 (Other): (Query or time limits exceeded for
prueba3500.dnssec.cero32.cl/a)
Cabe notar, que Cloudflare tiene una versión inicial también funcionando en
su resolver 1.1.1.1:
dig @1.1.1.1 dnssec-failed.org | grep "OPT=15"
; OPT=15: 00 09 6e 6f 20 53 45 50 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20
44 53 20 66 6f 75 6e 64 20 66 6f 72 20 64 6e 73 73 65 63 2d 66 61 69 6c 65
64 2e 6f 72 67 2e ("..no SEP matching the DS found for dnssec-failed.org.")
--
Mauricio Vergara Ereche
keybase.io/mave