<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <br>
    <br>
    <div class="moz-cite-prefix">On 6/2/21 11:07, Jeroen Massar via
      NANOG wrote:<br>
      <br>
    </div>
    <blockquote type="cite"
      cite="mid:9FC883AD-2076-4DDF-8071-F69ECA381C7B@massar.ch">
      <pre class="moz-quote-pre" wrap="">
As for solutions: better education, more improvements to the tools & making it easier. CDS records already help a lot. But we might also need to improve recovery mechanisms, as f-ups are made, and you don't want to be off this Internet thing for too long.</pre>
    </blockquote>
    <br>
    I think DNSSEC implementation needs to be made less scary for folk
    who are apprehensive, and broken down into two steps, where step 1
    is most emphasized:<br>
    <ul>
      <li>Enable DNSSEC on your resolvers. Does not require you to sign
        your zones. Does not require you to read up on what it takes to
        sign and maintain your zones. Does not require you to worry and
        test for the next 60 days whether DNSSEC will break your e-mail
        delivery, e.t.c.:</li>
    </ul>
    <p>             dnssec-enable yes;<br>
                   dnssec-validation auto;</p>
    <p>        Done! Two lines (BIND, in this case), and off you go.</p>
    <ul>
      <li>Step 2 - take your time cluing up on getting your zone signed,
        and being part of the solution toward a more secure Internet. No
        pressure, at your pace.</li>
    </ul>
    <p>Mark.<br>
    </p>
    <br>
    <br>
  </body>
</html>