<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Dec 8, 2021 at 6:35 AM Niels Bakker <niels=<a href="mailto:nanog@bakker.net">nanog@bakker.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">* <a href="mailto:darkdevil@darkdevil.dk" target="_blank">darkdevil@darkdevil.dk</a> (Arne Jensen) [Wed 08 Dec 2021, 15:23 CET]:<br>
>To me, that part of it also points towards a broken implementation at <br>
>CloudFlare, letting a bogus (insecure) responses take effect anyway.<br>
<br>
Or they prefer allowing people to visit websites over punishing <br>
system administrators for operational failures that less secure (read: <br>
nonvalidating) ISPs wouldn't inflict on their customers.<br>
<br>
It's been quite common for DNSSEC-enabled recursors to add overrides <br>
for outaged domains in situations like this.</blockquote><div dir="auto"><br></div><div dir="auto">It’s quite common for DNSSEC to fail at spectacular scale </div><div dir="auto"><br></div><div dir="auto">It is also common for DNSSEC to be weaponized in colossal ddos attacks. </div><div dir="auto"><br></div><div dir="auto">What’s uncommon? Attacks that DNSSEC is intended to solve. </div><div dir="auto"><br></div><div dir="auto">Don’t wait for the rfc. </div><div dir="auto"><br></div><div dir="auto">You dont need a weatheman. </div><div dir="auto"><br></div><div dir="auto">DNSSEC is considered harmful on the internet</div><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)" dir="auto"><br>
<br>
It looks like the error has been mitigated, by the way, so this manual <br>
override may not even have happened.<br>
<br>
<br>
        -- Niels.<br>
</blockquote></div></div>