<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Sep 7, 2013 at 9:50 PM, John Gilmore <span dir="ltr"><<a href="mailto:gnu@toad.com" target="_blank">gnu@toad.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">> >> First, DNSSEC does not provide confidentiality.  Given that, it's not<br>
> >> clear to me why the NSA would try to stop or slow its deployment.<br>
<br>
</div>DNSSEC authenticates keys that can be used to bootstrap<br>
confidentiality.  And it does so in a globally distributed, high<br>
performance, high reliability database that is still without peer in<br>
the world.<br>
<br>
It was never clear to me why DNSSEC took so long to deploy, though<br>
there was one major moment at an IETF in which a member of the IESG<br>
told me point blank that Jim Bidzos had made himself so hated that the<br>
IETF would never approve a standard that required the use of the RSA<br>
algorithm -- even despite a signed blanket license for use of RSA for<br>
DNSSEC, and despite the expiration of the patent.  I</blockquote><div><br></div><div>No, that part is untrue. I sat at the table with Jeff Schiller and Burt Kaliski when Burt pitched S/MIME at the IETF. He was Chief Scientist of RSA Labs at the time.</div>
<div><br></div><div>Jim did go after Phil Z. over PGP initially. But Phil Z. was violating the patent at the time. That led to RSAREF and the MIT version of PGP. </div><div><br></div><div><br></div><div>DNSSEC was (and is) a mess as a standard because it is an attempt to retrofit a directory designed around some very tight network constraints and with a very poor architecture to make it into a PKI.</div>
<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
PS: My long-standing domain registrar (<a href="http://enom.com" target="_blank">enom.com</a>) STILL doesn't support<br>
DNSSEC records -- which is why <a href="http://toad.com" target="_blank">toad.com</a> doesn't have DNSSEC<br>
protection.  Can anybody recommend a good, cheap, reliable domain<br>
registrar who DOES update their software to support standards from ten<br>
years ago?</blockquote></div><div><br></div><div>The Registrars are pure marketing operations. Other than GoDaddy which implemented DNSSEC because they are trying to sell the business and more tech looks kewl during due diligence, there is not a market demand for DNSSEC.</div>
<div><br></div><div>One problem is that the Registrars almost invariably sell DNS registrations at cost or at a loss and make the money up on value added products. In particular SSL certificates.</div><div><br></div><div>
<br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>