<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 25, 2019, 1:30 PM John Levine <<a href="mailto:johnl@iecc.com">johnl@iecc.com</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> You are right, if you can compromise a registrar that permits DNSSEC to be disabled (without notification/confirmation to POCs<br>
> etc), then you only have a limited period (max of DS TTL) of protection for those resolvers that have already cached the DS.<br>
<br>
As far as I can tell, that's roughly all of them.  If you have the<br>
credentials to log in and change the NS, you can change or remove the<br>
DS, too.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">And, that wouldn't change in the nearest future, because the concept of "hostile pinning" as it was present with HTTPS Public Key Pinning could also be ported to DNSSEC this way.</div><div dir="auto"><br></div><div dir="auto">"Hostile signing"... doesn't that sound scary.</div><div dir="auto"><br></div><div dir="auto">--</div><div dir="auto">Töma</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>