On Tue, May 18, 2010 at 12:24 AM, Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr">bortzmeyer@nic.fr</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br><div class="im">
> I don't believe it's a lack of interest, just a lack of experience<br>
> and resources.  It really is a non-trivial extension to plain DNS.<br>
<br>
</div><br>I strongly disagree. The problem with <a href="http://uspto.gov" target="_blank">uspto.gov</a> is not a DNSSEC one<br>
(the signatures are valid, the chain trust is OK) but a *network*<br>
one. A broken middlebox prevents large responses to come in.<br>
<br>
...<br>
Their network setup has been broken for ten years (when EDNS was introduced)<br>
and DNSSEC is just a lame excuse.<br>
</blockquote></div><br>Technically speaking, you're correct.  But my point is that DNSSEC and its requirements add a new level of complexity, and those braving adoption for whatever reason are still learning the rules--in particular those who were simply complying with requests from higher up.  OARC's objective is to bring "together key operators, implementors, and researchers on a trusted 
platform so they can ...
 share information and learn together."  We should be careful about accusations as it inhibits "learning together", in my opinion.<br><br>Yes, EDNS has been around, but support for large buffer sizes was not nearly as necessary in the pre-DNSSEC world.  And this is only one example of previously "working" but improperly configured setups that break with DNSSEC.  Another example is missing delegation records in parent zones.  There are large number of zones with this setup, and they mostly work if the authoritative servers are authoritative for both the parent and child zones.  However, when validating resolvers begin querying for DS RRs of those child zones, the authoritative response comes from the parent zones, instead of the child zone, so the server returns NXDOMAIN if there are no records by that name in the parent zone.  This results in a SERVFAIL from the resolvers.<br>
<br>Regards,<br>Casey<br>