<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 6, 2017 at 3:33 AM, Marat Khalili <span dir="ltr"><<a href="mailto:mkh@rqc.ru" target="_blank">mkh@rqc.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <p><span class="">
      </span></p><blockquote type="cite">
        <div style="font-size:small">There are two
          issues, both of which I brought up at the start of DPRIV:</div>
        <div style="font-size:small"><br>
        </div>
        <div style="font-size:small">1) Must be
          supported by browsers.</div>
        <div style="font-size:small">2) Protocol
          MUST be entirely state free</div>
        <div style="font-size:small"><br>
        </div>
        <div style="font-size:small">If you want a
          protocol to be deployed, you need to solicit input from the
          people who you need for deployment and take notice of it. DNS
          over anything TCP is not going to measure up.</div>
      </blockquote>
      DNS-over-TLS in public resolvers would be very useful for
      small-scale DNS repeaters in corporations and ISPs. They usually
      connect to few public resolvers and can easily keep these
      connections alive. Persistent TCP connections place much lighter
      burden on firewalls than UDP requests, so there might be overall
      performance gain on both sides.<br>
    <p></p>
    <p>QUIK, SCTP and similar future technologies can be even better,
      but are obviously not ready for deployment here and now. TLS is.</p></div></blockquote><div><div class="gmail_default" style="font-size:small">​No. TLS is not ready for deployment because the protocol model for TLS (and for that matter DTLS) is not compatible with running a large public resolver.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I find it rather astonishing that no lessons were learned from DANE. The DPRIV group was told what was required to deploy and the advice was rejected in favor of using TLS 'for speed of deployment'.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">What they meant was ease of implementation which is a different and much less difficult problem.​</div><br></div><div> </div></div></div></div>