<div dir="ltr">Hi, Daisuke<div><br></div><div>I work on Google Public DNS. Yes, we do not support ECDSA yet. The 0-TTL is probably an over-reaction on algorithms our software does not recognize. I will see if I can get it reverted within the next few weeks.</div>
<div><br></div><div>Thanks,</div><div>Yunhong</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jan 16, 2014 at 12:28 PM, Daisuke HIGASHI <span dir="ltr"><<a href="mailto:daisuke.higashi@gmail.com" target="_blank">daisuke.higashi@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I set up an experimental ECDSAP256SHA256-signed zone<br>
and found that Google Public DNS treats this zone as insecure (ad-bit not set).<br>
Furthermore it doesn’t cache RRs at all. (TTL=0).<br>
<br>
$ dig @<a href="http://8.8.8.8" target="_blank">8.8.8.8</a> <a href="http://ecdsa.hdais.net" target="_blank">ecdsa.hdais.net</a> +dnssec<br>
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1<br>
;; ANSWER SECTION:<br>
<a href="http://ecdsa.hdais.net" target="_blank">ecdsa.hdais.net</a>.    0    IN    A ...<br>
<a href="http://ecdsa.hdais.net" target="_blank">ecdsa.hdais.net</a>.    0    IN    RRSIG ...<br>
<br>
<br>
Of course RSASHA256 zones are verified as secure and cached.<br>
<br>
$ dig @<a href="http://8.8.8.8" target="_blank">8.8.8.8</a> <a href="http://www.hdais.net" target="_blank">www.hdais.net</a> +dnssec<br>
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1<br>
;; ANSWER SECTION:<br>
<a href="http://www.hdais.net" target="_blank">www.hdais.net</a>.     10800    IN    A    ...<br>
<a href="http://www.hdais.net" target="_blank">www.hdais.net</a>.     10800    IN    RRSIG ...<br>
<br>
I suppose Google Public DNS validator has no ECDSA support yet but<br>
I don’t know why RRs aren't cached.<br>
<br>
Any wrong configuration with my ECDSA zone?<br>
<br>
Regards,<br>
--<br>
 Daisuke HIGASHI <<a href="mailto:daisuke.higashi@gmail.com">daisuke.higashi@gmail.com</a>><br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations
dns-jobs" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>
dns-jobs</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a><br>
</blockquote></div><br></div>