
<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>>于2018年1月17日周三 下午11:09写道：<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

<br>

> On Jan 17, 2018, at 2:12 AM, Lanlan Pan <<a href="mailto:abbypan@gmail.com" target="_blank">abbypan@gmail.com</a>> wrote:<br>

><br>

> With the OPT-OUT bit set in the NSEC3PARAM record, insecure<br>

> delegations and associated empty non-terminals are excluded<br>

> from the NSEC3 chain.  Insecure delegations (NS without DS)<br>

> are not protected by DNSSEC signatures when the OPT-OUT bit<br>

> is used.<br>

><br>

> Maybe these 4 scenario:<br>

> (1) strong (whole zone): NSEC3 + not OptOut, Iterations + salt  periodly update<br>

><br>

> (2) relative(whole zone): NSEC3 + not OptOut，Iterations + salt update with KSK/ZSK roll<br>

><br>

> (3) partly (x% secure delegation) : NSEC3 + OptOut，Iterations + salt update with KSK/ZSK roll<br>

><br>

> (4) simple (x% secure delegation): NSEC3 + OptOut，Iterations = 0, empty salt (such as verisign's .com)<br>

<br>

Yes, some operators who know *exactly* what they're doing are using opt-out<br>

correctly.  My answer above is for the rest of the world.  Your 4 scenarios<br>

look reasonable, I would also add a case with empty salt and yet no opt-out,<br>

with all signing incremental (even across KSK/ZSK rolls).<br></blockquote><div><br></div><div>Yes, these are in theory.</div><div><br></div><div>Real world is few DNSSEC deployment, and hard to imagine that many operators will know what is NSEC3.<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

--<br>

        Viktor.<br>

<br>

<br>

_______________________________________________<br>

dns-operations mailing list<br>

<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operationsdns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>

dns-operations</a> mailing list<br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>

</blockquote></div></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">致礼  Best Regards<br><br>潘蓝兰  Pan Lanlan<br></div></div>