<div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote">On Sat, Nov 6, 2021 at 9:35 AM Phillip Hallam-Baker <<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="gmail_quote">On Sat, Nov 6, 2021 at 12:22 AM Manu Bretelle <<a href="mailto:chantr4@gmail.com" target="_blank">chantr4@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="gmail_quote">Hi all,<br><br>Based on <a href="https://root-servers.org/" target="_blank">https://root-servers.org/</a>, there are a few root servers operated from Mainland China.<br><br><div>How do we ensure that those are not advertised outside of China so DNS answers are not poisoned by the GFW?</div></div></div></blockquote><br>You can't.<br><br><div><div class="gmail_quote"><div style="font-size:small">All you can do is to authenticate the data and reject invalid responses.</div></div></div></div></div></blockquote><br>Thanks Philip,<br><br>I do understand, but there is still a long way to go before this happens globally based on <a href="https://stats.labs.apnic.net/dnssec/" target="_blank">https://stats.labs.apnic.net/dnssec/</a> it is roughly 30% of resolvers validating.<br> <br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="gmail_quote"><br><div><div class="gmail_quote"><div><div style="font-size:small">I am getting heartily sick of all this fearmongering about China. One of the chief fearmongers who was largely responsible for coining the phrase 'yellow peril' was Kaiser Wilhelm II who after telling Europe how China was going to invade Europe for decades went and invaded Europe himself starting WWI.</div></div></div></div></div></div></blockquote><br>It is not my intent to discuss this on this forum.<br><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="gmail_quote"><br><br>If the DNS protocol were sane the root zone would be published as a notarized, chained append only log. Every DNS resolver would obtain a list of updates to that log either directly or indirectly. There would be no root server to poison or DDoS.<br><br><div><div class="gmail_quote"><div style="font-size:small">But the DNS protocol is not sane and is not going to be changed. Not least because the organizations that run root servers are rather pleased about the prestige it brings to them.</div></div></div></div></div></blockquote><br>There is probably a lot that can be done, that could have been done better.... but as you certainly know, the DNS ecosystem being that widely distributed by totally independent systems is extremely slow to migrate. And while addressing the problem in the long run is definitely something valuable, I wonder how we could prevent the problem in its current state.<br><br>Manu<br><div><div class="gmail_quote"><div> </div></div></div>
</div></div>