<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Dec 9, 2021 at 1:07 AM Arne Jensen <<a href="mailto:darkdevil@darkdevil.dk">darkdevil@darkdevil.dk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">Den 08-12-2021 kl. 15:32 skrev Niels Bakker:<br>
> * <a href="mailto:darkdevil@darkdevil.dk" target="_blank">darkdevil@darkdevil.dk</a> (Arne Jensen) [Wed 08 Dec 2021, 15:23 CET]:<br>
>> To me, that part of it also points towards a broken implementation at <br>
>> CloudFlare, letting a bogus (insecure) responses take effect anyway.<br>
><br>
> Or they prefer allowing people to visit websites over punishing system <br>
> administrators for operational failures that less secure (read: <br>
> nonvalidating) ISPs wouldn't inflict on their customers.<br>
I find it hard to believe that CloudFlare would do such though, however, <br>
while such kind of things could indeed be the cause, I'm personally <br>
going towards "Rather safe, than sorry".<br>
><br>
> It's been quite common for DNSSEC-enabled recursors to add overrides <br>
> for outaged domains in situations like this.<br>
<br>
Unfortunately, yes, overrides are too common for many different things. <br>
Time for them (the overrides) to die completely.<br>
</blockquote><div dir="auto"><br></div><div dir="auto">Or accept that dnssec has always been dead since it never solved a problem, but created a lot of problems. </div><div dir="auto"><br></div><div dir="auto">Just saying, facts are on my side. Check the number of times dnssec caused an outage. Then check the number of hacks prevented by dnssec. Literally 0. </div><div dir="auto"><br></div><div dir="auto">Be sure to note the time Netnod got hacked because the perps… turned off dnssec…</div><div dir="auto"><br><div dir="auto"><a href="https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/">https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/</a></div></div><div dir="auto"><br></div><div dir="auto">Look, i dont have anything personal against dnssec. Just as much as any droid, i love</div><div dir="auto"><br></div><div dir="auto">1. 3rd rate crypto</div><div dir="auto"><br></div><div dir="auto">2. Many enabled RCEs</div><div dir="auto"><br></div><div dir="auto">3. Complex architectures , doubly complex operational procedure</div><div dir="auto"><br></div><div dir="auto">4. Government managed CAs and then related procurement requirements</div><div dir="auto"><br></div><div dir="auto">But, the thing i dont like is the massive ddos it creates. Those huge records are really not acceptable into today’s dns environment. </div><div dir="auto"><br></div><div dir="auto">Please stop enabling dnssec on your domain folks, you are going to have outage, your security is worse off, and you feeding the vendor / hacker ddos death spiral</div><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><br>
><br>
> It looks like the error has been mitigated, by the way, so this manual <br>
> override may not even have happened.<br>
<br>
+1.<br>
<br>
-- <br>
Med venlig hilsen / Kind regards,<br>
Arne Jensen<br>
<br>
</blockquote></div></div>