<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:#000000"><span style="font-family:Arial,Helvetica,sans-serif;font-size:small;color:rgb(34,34,34)">On Mon, Jun 17, 2019 at 3:48 PM Jim Reid <<a href="mailto:jim@rfc1035.com" target="_blank">jim@rfc1035.com</a>> wrote:</span><br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 17 Jun 2019, at 22:41, Mukund Sivaraman <<a href="mailto:muks@mukund.org" target="_blank">muks@mukund.org</a>> wrote:<br>
> <br>
> What is the factor that stops them [Fortune 500] from signing their domains?<br>
<br>
Simple. There’s no compelling business justification or use case. If these existed, those zones would be signed. QED.<br><br></blockquote><div><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">Maybe building upon Jim's wisdom... my personal opinion is that the benefits of DNSSEC are completely opaque to the user.  <br><br>Most IT departments are painfully optimized for time and staffing, so the increased LoE per zone is a factor that is dragging the adoption.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">These in harmony are a large contributor.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">Also, most There's a pain vs gain factor that is present with the deployment of DNSSEC - the technology does not provide much visual indication that it is present (or not) like exists.  SSL certificates have a visual indication in the broswers' location bar to highlight https vs http is happening.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">IF there were some visual indications to the user that DNSSEC is in effect, it would go a long way to creating a more visual imparative.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">Something along the lines of the key one sees in the browser on https but for resolutions, as something that would help them understand all the layers of trust and encryption involved in a DNSSEC signed resolution vs one which is unsigned, it would probably drive adoption harder.   </div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">This is not easy to do because for many websites, there can be dozens of domains involved in the painting of a page or loading of a mobile app that occur.  Fonts, JS Libs, CSS, pixel trackers, ads, web3 blockchain stuff (*cough*), CDN - before you know it there are a heck of a lot of DNS resolutions to factor into what you'd show the user, in a way that is a clean UX.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">The C-Suite would be more inclined to fund projects that they can wrap their heads around in a manner like this.  Otherwise we tech-folk are just speaking "beep-boop" techie lingo to them in an attempt to justify spending on new gizmos when we mention DNSSEC.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">DNS just quietly runs and does its delivery _stuff_ without much attention except for 404 errors for most folks.  DNS is not unlike plumbing or electricity in homes - people just know when it is broken, otherwise, not much attention to the details of it.</div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:garamond,serif;font-size:large;color:rgb(0,0,0)">-J</div></div></div>