<div dir="ltr"><div>Oh well It was just stray thought;)</div>Thanks for the link to Olaf Gudmundsson's interesting blog.<div>I was aware that  PowerDNS allows one to synthersize signed nxdomain replies.</div><div>I still think there must be a more elegant method out there that doesn't involve keeping the private key on the shop floor.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 28, 2016 at 1:02 PM, Tony Finch <span dir="ltr"><<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Florian Weimer <<a href="mailto:fw@deneb.enyo.de">fw@deneb.enyo.de</a>> wrote:<br>
><br>
> Doesn't the NSEC3 opt-out mechanism achieve pretty much something like<br>
> this?<br>
<br>
</span>It can give you a smaller zone if you have lots of unsigned delegations,<br>
but it doesn't reduce the size of the zone if all the actual records are<br>
signed, and it doesn't reduce the size of negative replies since you have<br>
to send an opt-out proof.<br>
<br>
Unsigned NXDOMAINs are a marvellous DoS mechanism :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
Tony.<br>
--<br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a>  -  I xn--zr8h punycode<br>
Wight, Portland, Plymouth: East 5 to 7. Moderate or rough. Mainly fair, but<br>
showers at first. Moderate or good.<br>
</font></span></blockquote></div><br></div>