<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr" class="gmail_attr">On Sat, Feb 2, 2019 at 8:57 AM Richard Laager via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
About 19% of the world is doing DNSSEC validation, in large part because<br>
apparently 15% of the world is using Google's recursive DNS service.<br>
</blockquote><div><br></div><div>Actually,things are much worse.</div><div><br></div><div>The Google resolver checks for valid DNSSEC, and sets the bit.  However, practically no one contacts Google DNS directly, it is their home router or office gateway that does this.  And these resolvers do not check DNSSEC.  Hence the validation chain is broken.<br></div><div><br></div><div>If you <br></div><div><ol><li>run a resolver locally on your machine; and</li><li>that does no forwarding; and <br></li><li>has validation turned on</li></ol></div><div><div>DNSSEC should work.  You can then set the resolver to not accept non-signed replies (and most of the Internet will break).  <br></div></div><div><br></div><div>Please see: <a href="https://dnssec.vs.uni-due.de/">https://dnssec.vs.uni-due.de/</a>  and <a href="https://en.internet.nl/">https://en.internet.nl/</a></div><div><br></div><div>And, of course, applications such as ntpd will not know if the address resolved was secured with DNSSEC or not. They will, depending on the policy of their resolver, get an answer or not. <br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>
<div dir="ltr"><div><div dir="ltr" class="gmail_signature">-- <br>Sanjeev Gupta<br>+65 98551208     <a href="http://www.linkedin.com/in/ghane" target="_blank">http://www.linkedin.com/in/ghane</a></div></div><br></div></div></div></div></div></div>