<div dir="ltr"><div dir="ltr"><div dir="ltr"><div>I confirm that this bug exists after upgrading systemd. Systemd-resolved *sometimes* does not downgrade and SERVERFAILS on all domains that do not have a signature dns record.</div><div><br></div><div>The error with resolvectl query is <br></div><div>$ resolvectl query example.domain<br>example.domain: resolve call failed: DNSSEC validation failed: no-signature</div><div><br></div><div>$ resolvectl reset-server-features</div><div>or <br></div><div>$ resolvectl flush-caches <br></div><div>This is a problem that can only be corrected by passing dnssec=no to all interfaces (even ones with no dns server) or global in the configuration and restart the systemd-resolved<br></div><div><br></div><div>Happens with both:<br></div><div>systemd 245 (245.2-1)<br></div><div>systemd 245 (245.4-1)</div><div><br></div><div>My DNS resolver is a unmodified openwrt (dnsmasq) router which forwards to 1.1.1.1.<br></div><div><br></div></div></div></div>