<div dir="ltr">I have gone back and read Quad9's description of their service offering.<div><br></div><div><a href="https://www.quad9.net/service/service-addresses-and-features">https://www.quad9.net/service/service-addresses-and-features</a><br></div><div><br></div><div>Their own public description of their service to people who might decide to employ it clearly indicates that their secure services perform and enforce DNSSEC validation.</div><div><br></div><div>That is, at best, a misleading description if not outright false. The service does not properly implement DNSSEC validation according to the DNSSEC protocol standards. Moreover, they have not even properly complied with the informational RFC on negative trust anchors, RFC7646.</div><div><br></div><div><a href="https://tools.ietf.org/html/rfc7646">https://tools.ietf.org/html/rfc7646</a><br></div><div><br></div><div>First, it is supposed to be temporary and domain name specific. In fact, the informational RFC states that technical personnel should ensure it is due to a misconfiguration and not the sort of attack DNSSEC is intended to prevent and that they should make every reasonable attempt to contact the domain owner.</div><div><br></div><div>Instead, Quad9 has silently disabled DNSSEC validation for effectively the entire United States Federal Government, civilian and military, without prominently publishing a notice to that effect in its service description. If citizens of the US are selecting a "secure" DNS service, they should be so informed. It is frankly, not just a lack of transparency. It is dishonest and misleading.</div><div><br></div><div>It's their service and they can do whatever they like. But they need to tell the people using it the truth about the service they are, in fact, providing.</div><div><br></div><div>Scott</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 28, 2021 at 6:52 AM Scott Morizot <<a href="mailto:tmorizot@gmail.com">tmorizot@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">On Sun, Feb 28, 2021 at 3:17 AM Bill Woodcock <<a href="mailto:woody@pch.net" target="_blank">woody@pch.net</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Your experiment is not distributing malware through .GOV or .MIL, therefore you have no reasonable expectation that we, our donors, and our users should absorb the externalized costs of your experiment. <br><br></blockquote><div><br></div><div>I beg your pardon. I am the DNS Architect for the Internal Revenue Service in the Department of Treasury in the US Federal Government. I was not running an experiment. We have had DNSSEC signing for public zones in place since 2011, DNSSEC validation at the perimeter of our recursive infrastructure for all Internet queries, including those for our own public zones, in place since 2012. We have had DNSSEC validation enabled throughout our internal enterprise recursive infrastructure since 2015 and at this juncture have most of our enterprise authoritative DNS DNSSEC signed as well.</div><div><br></div><div>I asked about Quad9 because your publicly posted information asserts you enforce DNSSEC validation. No exceptions are publicly documented yet it appeared that validation was disabled for our primary production second level domain. I was asking if anyone knew why since it appeared Quad9 did enforce DNSSEC validation on other zones like <a href="http://comcast.net" target="_blank">comcast.net</a>.</div><div><br></div><div>It did not occur to me that the Quad9 service had disabled DNSSEC validation for the entire .gov and .mil gTLDs. That definitely needs to be part of your public documentation. Your service DNSSEC validates the parts of Internet DNS you feel like validating.</div><div><br></div><div>Scott</div></div></div>
</blockquote></div>