<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Tony Finch wrote:
<blockquote
 cite="mid:alpine.LSU.2.00.1002251242010.16971@hermes-2.csi.cam.ac.uk"
 type="cite">
  <pre wrap="">On Thu, 25 Feb 2010, Stephane Bortzmeyer wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap=""><a class="moz-txt-link-freetext" href="http://blog.opendns.com/2010/02/23/opendns-dnscurve/">http://blog.opendns.com/2010/02/23/opendns-dnscurve/</a>

    </pre>
    <blockquote type="cite">
      <pre wrap="">High traffic DNS servers can't handle signing every response packet,
so they need to pre-compute signatures. This limits how companies like
Akamai and Google or projects like the NTP Pool can use DNS for global
load balancing and routing users to their nearest servers.
      </pre>
    </blockquote>
  </blockquote>
  <pre wrap=""><!---->
I don't see why these kinds of special DNS servers can't sign all the
possible RRsets they might return offline.
  </pre>
</blockquote>
<br>
How would people implement something like whoami.ultradns.net using
DNSSEC? I ask this seriously because pre-signing seems to be the catch
all answer for the more dynamic things people want to do with DNS, but
I don't believe people understand how poorly that scales.<br>
<br>
<br>
</body>
</html>