<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">This part of the discussion probably should move to the dnsop wg thread for the draft. I will send some comments there.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 27, 2023 at 5:36 PM Shumon Huque <<a href="mailto:shuque@gmail.com">shuque@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">On Tue, Mar 28, 2023 at 6:19 AM Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org" target="_blank">ietf-dane@dukhovni.org</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
A possibly inconvenient question, just to make sure we're not ignoring<br>
the obvious sceptical position:<br>
<br>
* How compelling are compact lies?<br>
<br>
The reason to ask is that both the original and now modified protocols<br>
involve non-trivial complexity, and would have resolvers responding<br>
differently to queries with the DO bit set (tell them the truth) vs.<br>
queries that don't request validated answers (unmask the lie).<br>
<br>
The savings vs. actual by-the-book NSEC responses appear to be a 2x<br>
reduction in the number of signatures to compute (the SOA RRSIG is<br>
presumably easily cached) and a 1.5x reduction in the number of<br>
signatures to transmit (SOA + 1 NSEC, vs. SOA + 2 NSEC).<br>
<br>
Do the CPU and packet size reductions justify the additional protocol<br>
complexity?<br></blockquote><div><br></div><div>That's a reasonable question, and perhaps best directed to the originators of the scheme at Cloudflare. I don't know if there have been any measurement studies or analyses of the cost benefits vs by-the-book DNSSEC. There are currently 3 large commercial DNS providers that have had it deployed for a while now, so I suspect that it is here to stay.</div></div></div></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><div>Note that one other provider (UltraDNS) does support traditional NSEC White "Lies" that give by-the-book DNSSEC proofs for NXDOMAIN, so apparently they are bearing the additional costs just fine.</div><div><br></div><div>One other point -- without the additional rcode substitution schemes under discussion, Compact Answers can cause additional work for authority servers, since NODATA responses may lead to follow-on queries by DNS client applications (e.g. the common AAAA followed by A pattern). So, the per-response crypt & size reductions need to also be weighed against the cost of these additional queries.</div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">The draft should also specify desired behavior for queries for the new NXNAME RR type at the auth and at the resolver.</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><div>Shumon.</div><div><br></div></div></div>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>