<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><div>Hi guys,</div><div><br></div><div>I've been lurking for a while, and figured I'd stick my neck out, and see what happens...</div><div><br></div><div>One thing I often see in security-discussions, is CAs and DNSSEC being discussed as two completely different - almost competing - beasts. In my opinion, that seems to quickly lead to underestimating some of the advantages of DNSSEC. </div><div><br></div>For the sake of discussion, let me present the following argument (a bit simplified, but the point should be clear):<div><br><div>1. CA-validation is built on DNS, which is insecure. </div><div><br style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">2. DNSSEC secures DNS, but only for competent users. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">3. Trustworthy CAs are competent users. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">4. Thus DNSSEC secures CA-validation. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">5. With more secure CA-validation, every user benefits, including those with no DNSSEC-support. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">6. Therefore DNSSEC can bring significant advantages to all users, even before widespread deployment of DNSSEC itself. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Summed up; DNSSEC doesn't depend on widespread deployment to provide security gains. As long as you have deployed working DNSSEC - and the CAs use it - there are significant benefits. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Taking a higher level look at things, you could divide deployment into phases:</div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Phase #1 - You deployed DNSSEC, nobody else cares. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Even here, there are significant advatages. You could hardcode keys for your own domain to not rely on or depend on root-keys. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Almost every ops or devops organisation I've been involved with have some kind of infrastructre-domain. A domain separate from the company-domain, mostly used for infrastructure. If you secure that with DNSSEC and add DANE/TLSA, as well as SSHFP-records, you've significantly boosted your internal security. Way too many admins get the habit of blindly accepting ssh-fingerprints, but you could automate the validation with DNSSEC/SSHFP, and have people actually be alert to issues. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Phase #2 - You deployed DNSSEC, security-concious people start to care. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">See top-note about CAs. You'd also start seeing advatages elsewhere, but perhaps mostly for s2s-communication, https and smtp. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Phase #3 - You deployed DNSSEC, it's starting to become a "thing"</div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">ISPs might start deploying validating resolvers, which isn't as good as local validation, but a lot better than no validation. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">OS-vendors (Linux distros, perhaps even Apple and Mocrosoft?) might start thinking about having local caching resolvers validate by default. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Adoption of DANE for SMTP might start to pick up, perhaps biggest boost for email-security yet. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Phase #4 - Widespread deployment</div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Champaigne-drinking etc. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">And you get the advantages of no longer relying on just CAs, but have DNSSEC as well. For secure sites, you'd need to both break the CA-security, and DNSSEC-security as well, in order to spoof the server. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">What I really like here, is that the authentication-mechanisms are so differet. CAs will inspect things in a direction towards you (DNS, email, and so on) while DNSSEC is more of a "push" thing. You run and upload the keys. You can't simply use the same attacks (spoofed DNS to fake control over the domain to the CA), to compromise both paths. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">(Simplified, if you loose control over your registrar-account, some of the same attacks would apply). </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">The core of the point I'm tryin to make are these two things:</div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">A. DNSSEC and CAs are complementary, and CA-validation can benefit significantly from DNSSEC. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">B. Advantages of DNSSEC doesn't depend on widespread adoption of both DNSSEC and DANE, for HTTPS and/or SMTP. There are gains to be had from day one. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">As for the quality of DNSSEC vs. DNSCure etc, I'd rather see DNSSEC deployed, than wait forever for DNSCurve. You don't have to agree with me though. </div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; ">Terje Elde</div><div style="font-family: Noteworthy; font-size: 18px; font-weight: bold; line-height: 24px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(130, 98, 83, 0.0976563); -webkit-composition-frame-color: rgba(191, 107, 82, 0.496094); -webkit-text-size-adjust: none; "><br></div></div></div></div></body></html>