<div dir="ltr"><div dir="ltr">On Mon, Sep 16, 2019 at 6:15 PM Mark Andrews <<a href="mailto:marka@isc.org">marka@isc.org</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> On 17 Sep 2019, at 4:21 am, Shumon Huque <<a href="mailto:shuque@gmail.com" target="_blank">shuque@gmail.com</a>> wrote:<br>
> <br></blockquote><div>[...] </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> The proportion of these sites in comparison to the total population of zones that our resolvers talk to, is small, but not trivial. We have attempted to contact the zone owners in question as we discover them, pointing them to the various DNS compliance testing tools/sites. But this was getting to be burdensome enough that we ended up turning off outbound cookies ("send-cookie no;" in the global options).<br>
<br>
Do you have actual discover rates?<br>
Did they slow over time?<br>
Did you install server specific server clauses for those servers?<br>
Did you go back and re-test the servers after a while?<br>
Would you be willing to list the broken servers publicly?<br></blockquote><div><br></div><div>Last time I checked with our resolver operator team, we had detected roughly ~ 50 failing zones.</div><div><br></div><div>We've only had the new code deployed for a few weeks, and we turned off cookies a few days after the initial failure reports, since people were yelling at us -- so I don't think we were able to observe trends over time. However, we do know that a small number of them were responsive to our reports and managed to fix themselves (don't know the details of the fixes, but I imagine code upgrades or firewall fixes etc). And we haven't gone back to recheck the original list - but we should probably do that.</div><div><br></div><div>We didn't install server specific clauses to selectively disable cookies, since the number of zones (multiplied by their server count) likely exceeded the operational cycles the resolver team were willing to spend on that effort.</div><div><br></div><div>I intentionally didn't publish the list of broken zones/servers in my original note, since they are our customers, and I didn't want to give the impression we were trying to publicly shame them. However, we might be willing to share the list with you or  your ISC colleagues privately - let me check with some colleagues and get back to you about that.</div><div><br></div><div>Thanks!</div><div>Shumon Huque</div><div><br></div></div></div>