<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div><span>Great question (Augie) and great feedback (JP).<br></span></div><div><span><br></span></div><div><span>As DNSSEC is adopted, some type of mitigation process will be welcomed.</span></div><div><span>For that reason, I think this is on topic.<br></span></div><div><span><br></span></div><div><br><span></span></div><div><br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; margin-top: 5px; padding-left: 5px;">  <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font size="2" face="Arial"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> Jan-Piet Mens <jpmens.dns@gmail.com><br> <b><span style="font-weight: bold;">To:</span></b>
 bind-users@lists.isc.org <br> <b><span style="font-weight: bold;">Sent:</span></b> Thursday, April 26, 2012 2:51 PM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: Exclude a domain from DNSSEC validation, like Unbound's "domain-insecure".<br> </font> </div> <br>
Augie,<br><br>> Is there a way to exclude a domain from DNSSEC validation, like<br>> Unbound's "domain-insecure"?<br><br>That is regrettably not possible at the moment, at least not in BIND<br>9.9.0.<br><br>The only (quite impracticable) workaround would be to define the zone<br>authoritatively yourself and populate it somehow... (I did say<br>impracticable, didn't I?)<br><br>> For example if a popular site ( say <a target="_blank" href="http://nasa.gov">nasa.gov</a> ) updates their keys<br>> incorrectly so that their domain fails validation, you contact their<br>> admins. and with a high level of confidence you determine this is a<br>> configuration mistake and  not a security breach, you can then<br>> exclude them from DNSSEC validation so your customers can access their<br>> site while they fix their error.<br><br>From a Comcast talk at SATIN 2012 I believe they called that a "negative<br>trust anchor", and IIRC, the
 author wanted to publish a draft of its<br>operation. Haven't seen it yet though, and it's probably off topic as<br>regards BIND.<br><br>        -JP<br>_______________________________________________<br>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br><br>bind-users mailing list<br><a ymailto="mailto:bind-users@lists.isc.org" href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br><a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br><br><br> </div> </div> </blockquote></div>   </div></body></html>