<html><head>
<meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000">...<br>
<br>
Yasuhiro Orange Morishita / 森下泰宏 wrote:
<blockquote cite="mid:20130909.224325.93392428.yasuhiro@jprs.co.jp" 
type="cite">
  <pre wrap="">Paul-san, and folks,

Now we (including me) have known the dangers and limitations,
so should we set max-udp-size to 1220 on every authoritative servers?</pre>
</blockquote>
<pre wrap="">
<span style="font-family: sans-serif;">
for unsigned responses, i think a v6 max-udp-size of 1220 and a v4 max-udp-size of 512 is what's called for. i've not seen an explanation of how dnssec-covered data can be poisoned, even with fragment attacks. orange, can you write RFC 6891-bis?

the messaging that would go out with this is, everybody needs to sign their dns data, and everybody needs to validate, and if you're planning to send large responses then your authority servers must be v6 reachable, and your v4 performance will be low due to tcp.

vixie
</span></pre>
</body></html>