<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 28, 2017 at 4:21 PM, Paul Hoffman <span dir="ltr"><<a href="mailto:phoffman@proper.com" target="_blank">phoffman@proper.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 28 Feb 2017, at 11:35, Stephane Bortzmeyer wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
So, which public resolvers have DNS-over-TLS? Cisco OpenDNS uses the<br>
non-standard DNScrypt and, for the others (Google, Verisign,<br>
Yandex...), I find nothing. Isn't it time to push them to add this<br>
feature?<br>
</blockquote>
<br></span>
Another way to ask is: how can we encourage some/many of the public resolvers to do so? Is there someone on this list from the part of Verisign that runs 64.6.64.6 or from Comodo 8.26.56.26? It could look very forward-looking of a public resolver to do this, for example.</blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">There are two issues, both of which I brought up at the start of DPRIV:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">1) Must be supported by browsers.</div><div class="gmail_default" style="font-size:small">2) Protocol MUST be entirely state free</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">If you want a protocol to be deployed, you need to solicit input from the people who you need for deployment and take notice of it. DNS over anything TCP is not going to measure up.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">At this point TCP Fast start is irrelevant as well. I can't see that gaining widespread deployment with QUIC in the works.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">If we were to deploy a standards based scheme, it would probably need to be DNS over QUIC.</div><div class="gmail_default" style="font-size:small"><br></div></div><div><br></div><div><div class="gmail_default" style="font-size:small">​Another problem the IETF suffers from at the moment is that a proposal that is small enough to be acceptable for IETF process is often smaller than the minimum deployable feature size.</div></div></div></div></div>