<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000"><br>
<br>
Mark Andrews wrote:
<blockquote cite="mid:20130907050647.9FE8660680B@rock.dv.isc.org" 
type="cite">
  <pre wrap="">In message <a class="moz-txt-link-rfc2396E" href="mailto:20130906074928.GA19567@nic.fr"><20130906074928.GA19567@nic.fr></a>, Stephane Bortzmeyer writes:
</pre>
  <blockquote type="cite">
    <pre wrap="">...
</pre>
<pre wrap="">The way I understand it: with Kaminsky and/or Shulman, you can still
poison a DNS cache. The downstream validating resolver will detect it
and send back SERVFAIL to the end user. But this end user won't be
able to connect to his/her bank.
</pre></blockquote>
  <pre wrap=""><!---->
Well if you only half deploy DNSSEC this will happen.

It is a myth that caches do not need to deploy DNSSEC.</pre>
</blockquote>
<br>
i don't think that's the myth in question here. mark, if a vrdns sees 
unsigned data or a bad signature, how long will it return servfail for 
that rrset? just once, and there's no negative cache at all? many times,
 to all downstream transactions waiting on that resolution, but still no
 lasting effect? or is there some kind of hold-down, as with other 
servfail-generative conditions, such that a successful fragment attack 
that broke DNSSEC for a real answer, this attack would deny service for 
that rrset from this vrdns for some minutes? --paul<span 
style="font-family: monospace;"></span>
</body></html>