<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 27, 2020, 20:52 Steve Crocker <<a href="mailto:steve@shinkuro.com">steve@shinkuro.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="color:rgb(80,0,80)"><div><p class="MsoNormal">Folks,</p><p class="MsoNormal"><br></p><p class="MsoNormal">I am organizing a panel session within the DNSSEC Workshop during the upcoming ICANN meeting in Cancún in March on the subject of DNSSEC provisioning.  There are two related but somewhat distinct topics.  One is the update of the DS record when the DNS provider rolls the key.  The other is how multiple DNS providers coordinate when each is signing the zone.  Various proposals exist to solve each of these problems, but none has been fully accepted, and each suffers from a gap in the provisioning process.</p><p class="MsoNormal"><br></p><p class="MsoNormal">Depending on who is on the panel and we can cover either both topics or just the first topic.  I also intend to organize a session on these topics in Paris in May at the ICANN Global Domains Division Summitt and/or the DNS Symposium.  Also, the <a href="mailto:dnssec-provisioning@shinkuro.com" target="_blank" rel="noreferrer">dnssec-provisioning@shinkuro.com</a> mailing list is specific devoted to these two topics.</p><p class="MsoNormal"><br></p><p class="MsoNormal">Please let me know if you're interested in participating and if you have a position on how to address these problems.</p><p class="MsoNormal"><br></p><p class="MsoNormal"><u><b>Details</b></u></p><p class="MsoNormal"><u></u></p><p class="MsoNormal"><br></p><p class="MsoNormal">What is the path forward for automating solutions to these two provisioning problems?  Are new protocols needed?  What changes are required of registrars, DNS providers and/or registries? </p></div><div><p class="MsoNormal"><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">With respect to updating DS records, the solution space is basically a two by two matrix, with a subordinate third dimension:<u></u><u></u></p></div></span><div><span style="color:rgb(80,0,80)"><ul type="disc" style="margin-bottom:0in"><li class="MsoNormal" style="margin-left:15px">Are new DS records pushed upward, i.e. is the transmission initiated by the DNS provider, or are new DS records pulled upward by the registry or registrar?<br><br><u></u><u></u></li><li class="MsoNormal" style="margin-left:15px">Is the registry or the registrar involved on the upper end of the transmission?</li></ul><div><p class="MsoNormal"><br></p><p class="MsoNormal">The subordinate third dimension is whether the KSK, DS or both are communicated.</p><p class="MsoNormal"><br></p><p class="MsoNormal">The solution in RFC 8078 is the pull/registry solution with support for both KSK and DS.  It was developed by a couple of DNS providers and is on the IETF standards track, but, so far as I can tell, is being adopted by a relatively few ccTLDs and is not gaining any traction within the gTLD community.  In contrast, GoDaddy has suggested its Domain Connect software could be extended to allow a push/registrar solution for DS updates.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></span><div><p class="MsoNormal">With respect to coordination among multiple DNS providers, Shumon Huque, et al's Internet-Draft  <a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__tools.ietf.org_html_draft-2Dietf-2Ddnsop-2Dmulti-2Dprovider-2Ddnssec-2D01&d=DwMFaQ&c=FmY1u3PJp6wrcrwll3mSVzgfkbPSS6sJms7xcl4I5cM&r=_qSa12UaM5Nl6sbpmBZnYyeUu-qJt2ubgQJechcqldM&m=zQDYr_jJSOyuDOEF5tU7f-JhexPBRkY5Clkb6Rn9m3s&s=eH4Q6Yxg9dNg2IRqEmEWewca-7dYhKmHKbAZyCP7yHg&e=" target="_blank" rel="noreferrer">https://tools.ietf.org/html/draft-ietf-dnsop-multi-provider-dnssec-01 [tools.ietf.org]</a> sets for a scheme for multiple DNS providers to coordinate cross-signing of the same zone when it's served from multiple providers.<u></u><u></u></p></div><span style="color:rgb(80,0,80)"><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I have both a general and a specific interest in this.  The general interest is in seeing some sort of solution be adopted in order to facilitate smoother operation and greater adoption of DNSSEC.  My specific interest is a guess that if the registrant could add the names of his DNS providers into the registration details, it would make both of these coordination processes much easier.</p></div></span></div></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">On the point immediately above:</div><div dir="auto"></div><div dir="auto"></div><div dir="auto"><br></div><div dir="auto">I am a Registrant, with five or six of my own domain names under a "Reseller" account which manages only these few accounts. I have found creation of various  DNS/Mx records, some in the Domain Control panel, and some in the Web hosting control panel to be tasks that are not 'user-friendly' for the average Registrant. Besides, with a view to avoid errors that might interfere with the site's functionality, I have always found it convenient to ask the Master reseller to create / update all necessary records. </div><div dir="auto"><br></div><div dir="auto">Is there a way of making these tasks expected of the Registrant to be as easy as ordering icecream from an online icecream vendor? Or come up with an alternate method of enabling the non-technical Registrant (for this purpose, over 90% of the global Internet users) to maintain and announce their DNS records as good as an advanced expert does?</div><div dir="auto"><br></div><div dir="auto">Sivasubramanian M</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><span style="color:rgb(80,0,80)"><div><p class="MsoNormal"><br></p><p class="MsoNormal">Thanks,</p><p class="MsoNormal"><br></p><p class="MsoNormal">Steve Crocker</p></div></span></div></div>

<p></p>

-- <br>
You received this message because you are subscribed to the Google Groups "DNSSEC Provisioning" group.<br>
To unsubscribe from this group and stop receiving emails from it, send an email to <a href="mailto:dnssec-provisioning+unsubscribe@shinkuro.com" target="_blank" rel="noreferrer">dnssec-provisioning+unsubscribe@shinkuro.com</a>.<br>
To view this discussion on the web visit <a href="https://groups.google.com/a/shinkuro.com/d/msgid/dnssec-provisioning/CABf5zvLpW6MYR-oeAEw9wjxg9AmUGh3hRN3%3D8NuCRezamGXCRg%40mail.gmail.com?utm_medium=email&utm_source=footer" target="_blank" rel="noreferrer">https://groups.google.com/a/shinkuro.com/d/msgid/dnssec-provisioning/CABf5zvLpW6MYR-oeAEw9wjxg9AmUGh3hRN3%3D8NuCRezamGXCRg%40mail.gmail.com</a>.<br>
</blockquote></div></div></div>