O problema é que os servidores de nomes oficiais do cdn77.org não conseguem lidar adequadamente com ECS ( Opções de sub-redes do cliente EDNS ) quando elas contêm uma sub-rede cliente IPv6, embora manipulem sub-redes do cliente IPv4 muito bem.
Se você criar contato com o suporte de sub-rede de cliente EDNS , pode verificar isso na linha de comando; ou você pode usar a ferramenta de pesquisa de DNS do KeyCDN on-line para verificar isso (marque a caixa de seleção de detalhes e desmarque a caixa de seleção recursiva e omitir o @ antes de ns1 quando você o der como DNS personalizado):
$ dig 1669655317.rsc.cdn77.org @ns1.cdn77.org +subnet=2001:db8::1
; <<>> DiG 9.10.1 <<>> +additional 1669655317.rsc.cdn77.org @ns1.cdn77.org +subnet=2001:db8::1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 44989
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1680
; CLIENT-SUBNET: 2001:db8::1/128/0
;; QUESTION SECTION:
;1669655317.rsc.cdn77.org. IN A
;; AUTHORITY SECTION:
cdn77.org. 60 IN SOA ns1.cdn77.org. admin.cdn77.com. 1449094813 10800 180 604800 60
;; Query time: 2 msec
;; SERVER: 37.235.105.100#53(37.235.105.100)
;; WHEN: Wed Dec 02 22:21:41 UTC 2015
;; MSG SIZE rcvd: 132
A mesma consulta com um endereço de cliente IPv4 funciona bem:
$ dig 1669655317.rsc.cdn77.org @ns1.cdn77.org +subnet=192.0.2.1
; <<>> DiG 9.10.1 <<>> +additional 1669655317.rsc.cdn77.org @ns1.cdn77.org +subnet=192.0.2.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19104
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1680
; CLIENT-SUBNET: 192.0.2.1/32/32
;; QUESTION SECTION:
;1669655317.rsc.cdn77.org. IN A
;; ANSWER SECTION:
1669655317.rsc.cdn77.org. 1 IN A 185.93.3.27
;; Query time: 2 msec
;; SERVER: 37.235.105.100#53(37.235.105.100)
;; WHEN: Wed Dec 02 22:42:13 UTC 2015
;; MSG SIZE rcvd: 81
Quando você envia sua consulta para um endereço IPv6 para o DNS público do Google, sua sub-rede IP cliente é obviamente uma sub-rede IPv6 e, quando o servidor autoritativo responde a NXDOMAIN, a resposta (em cache?) para clientes IPv6 também é NXDOMAIN. Se você enviar sua consulta para um endereço IPv4 para o DNS público do Google, a sub-rede do cliente será uma sub-rede IPv4 e você receberá a resposta correta (possivelmente em cache).