<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 25 Mar 2019 at 15:08, Florian Weimer <<a href="mailto:fw@deneb.enyo.de">fw@deneb.enyo.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">><br>
> that's great, but it doesn't matter, since CF doesn't have the signing <br>
> key. any modifications that any operator makes, even RFC 7706 operators, <br>
> try to make will fail loudly and embarrassingly.<br>
><br>
> let's call this question absurd and move on.<br>
<br>
Yes, but let's not pretend that DNSSEC stops an authoritative server<br>
from suppressing data.  It does not.  So if the concern is censorship<br>
by the authoritative server operator (not sure if that's the case<br>
here), then DNSSEC is completely irrelevant.<br></blockquote><div><br></div><div>No, that's wrong.  DNSSEC provides authenticated denial of existence.  If a root authoritative operator tried to suppress data, the NSEC records wouldn't match and the response wouldn't validate.  It'd be the same as if they tried to change any other data in the zone.</div></div></div>