<div dir="ltr"><div dir="ltr">On Mon, Sep 16, 2019 at 2:58 PM manu tman <<a href="mailto:chantr4@gmail.com">chantr4@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">On Mon, Sep 16, 2019 at 11:30 AM Shumon Huque <<a href="mailto:shuque@gmail.com" target="_blank">shuque@gmail.com</a>> wrote:</div></div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br>Google Public DNS sends the EDNS Client Subnet option to authority servers that we run, and presumably to those broken servers too. We cannot observe the conversation between Google and the broken sites, but since they resolve, we assume that they might at least have a workaround to retry such sites without ECS (or maybe a dynamically maintained ECS blacklist is in use). Perhaps, a Google Public DNS operator can confirm or disconfirm this.</div></div></blockquote><div dir="auto"><br></div><div dir="auto"><div dir="auto"><div dir="auto">Obviously not for Google Public DNS, but last I remember, they would probe the name servers to see if they support ECS, if they do then they will start sending ECS. Therefore I would assume those misbehaving name sergers are failing the probe test and hence Google Public DNS will not send ECS to them.</div></div></div></div></div></blockquote><div><br></div><div>Ah, thanks Manu.</div><div><br></div><div>I did vaguely recall reading about this, but when I attempted to find a reference earlier I failed. Now that I've typed the right set of search engine keywords, I found the following document which describes Google's ECS criteria:</div><div><br></div><div>    <a href="https://developers.google.com/speed/public-dns/docs/ecs">https://developers.google.com/speed/public-dns/docs/ecs</a></div><div><br></div><div>Mark Andrews writes:</div><div>> ECS is also a white list option because of broken servers and the fact that</div><div>> there are only relatively small numbers of servers that return ECS aware answers.<br></div><div><br></div><div>Yup, that makes sense. I was wondering whether the Flag Day workaround withdrawals had included ECS related changes. I guess, there is still enough brokenness around this feature that probing and whitelisting is still necessary. There is also the (partial) privacy benefit of selective ECS issuance in outbound queries.</div><div><br></div><div>Shumon.</div><div><br></div></div></div>