<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Tue, Jan 22, 2013 at 2:32 PM, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
In message <<a href="mailto:CA%2Bfq9b-ym5w%2BNDXzZNDZWNnqk-V29S19eNB_myJBK-JRGBj9Wg@mail.gmail.com">CA+fq9b-ym5w+NDXzZNDZWNnqk-V29S19eNB_myJBK-JRGBj9Wg@mail.gmail.com</a>>, Augie Schwer wri<br>
tes:<br>
<div class="im">><br>
> Would measuring the number of SERVFAIL entries in the "query-errors"<br>
> category be a good indicator of what impact enabling DNSSEC has?</div></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><span style="color:rgb(34,34,34)">DNSSEC is like wearing a seatbelt.  99.99% of the time it has no</span><br>
</div>
impact.  And like a seatbelt it can save you (reject spoofed answers)<br>
or hinder you (lookups fail due to the zone not being re-signed)<br>
on rare occasions.<br></blockquote></div><div class="gmail_extra"><br></div><div class="gmail_extra" style>That makes sense to me; I was looking for a way to quantify the affect enabling DNSSEC validation in a Bind server.</div>
<div class="gmail_extra" style><br></div><div class="gmail_extra" style>Measuring SERVFAILs seems to be a good proxy to measure DNSSEC's impact.</div><div class="gmail_extra" style><br></div><div class="gmail_extra" style>
Thanks for the reply.</div><br clear="all"><div><br></div>-- <br>Augie Schwer    -    Augie@Schwer.us    -    <a href="http://schwer.us" target="_blank">http://schwer.us</a><br>
</div></div>