Buenas noticias!

El resolver de Google anunció que ya soporta EDE: https://developers.google.com/speed/public-dns/docs/troubleshooting/domains#edes

Contexto:

Han pasado unos años desde que el RFC 8914 viera la luz.

La idea principal de este RFC es entregar información adicional a errores en una consulta DNS (especialmente en DNSSEC). Así que en vez de sólo recibir un status de SERVFAIL o REFUSED, ahora podemos tener un mensaje extra indicando cuál es el problema.

Algunos ejemplos:

dig @8.8.8.8 dnssec-failed.org | grep "; EDE"
; EDE: 9 (DNSKEY Missing): (No DNSKEY matches DS RRs of dnssec-failed.org)

dig @8.8.8.8 prueba4000.dnssec.cero32.cl | grep "; EDE"
; EDE: 0 (Other): (Query or time limits exceeded for prueba4000.dnssec.cero32.cl/a)

dig @8.8.8.8 prueba3500.dnssec.cero32.cl +bufsize=1400 | grep "; EDE"
; EDE: 0 (Other): (Query or time limits exceeded for prueba3500.dnssec.cero32.cl/a)

Cabe notar, que Cloudflare tiene una versión inicial también funcionando en su resolver 1.1.1.1:

dig @1.1.1.1 dnssec-failed.org | grep "OPT=15"
; OPT=15: 00 09 6e 6f 20 53 45 50 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 44 53 20 66 6f 75 6e 64 20 66 6f 72 20 64 6e 73 73 65 63 2d 66 61 69 6c 65 64 2e 6f 72 67 2e ("..no SEP matching the DS found for dnssec-failed.org.")

Mauricio Vergara Ereche

keybase.io/mave