<div dir="ltr">I believe your interpretation is correct - it is an authoritative positive response of non-existence (meaning not a failure)</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 6, 2017 at 2:43 PM, Doug Beattie via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_-7512991260963834596WordSection1">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I understand the need to reject CAA lookups if there is DNSSEC on the zone and if you run into timeout/SERVFAIL/etc  errors at any level in the RFC 6844 processing (<a href="http://www.example.com" target="_blank">www.example.com</a> or <a href="http://example.com" target="_blank">example.com</a>).  Hopefully everyone has interpreted look
 up failure and DNSSEC this way.  <u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><span lang="EN-GB">NSEC/NSEC3 records are returned only alongside NXDOMAIN responses for a signed zone – they provide authenticated denial of existence, essentially a “signed NXDOMAIN” response. Is this considered a failure or not?  I think
 this should not preclude issuance to that domain, but wanted to get consensus. <span class="HOEnZb"><font color="#888888"><u></u>
<u></u></font></span></span></p><span class="HOEnZb"><font color="#888888">
<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">Doug</span><u></u><u></u></p>
</font></span></div>
</div>

<br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br></div>