<div dir="ltr">On Thu, Oct 3, 2013 at 2:54 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@cypherpunks.ca" target="_blank">paul@cypherpunks.ca</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You are why we can't have nice things :P<br>
<br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
We had enough Sitewinders. With DNSSEC on the endnode, your lies won't<br>
be believed anway. What you are trying is wrong, bad and broken.<br>
<br></blockquote><br>This might be a fair statement in the right context.  But it was taken out of context--because I really didn't provide any.  Not that I need to justify my question, but since you brought it up, what I am looking to do is decrease the risk of DNS resolution failures resulting from a namespace transition by creating a fallback from the old to the new namespace.  For some definite period of time after the change, an NXDOMAIN in the old namespace would result in a synthesized CNAME pointing to the same name in the new namespace.  Anyway, there might not be an easy way to to do it, and we might just have to lose our safety net, but I wanted to ask users on the list if there's some obscure configuration that might be helpful.<br>
<br>If it's not already clear from my development of DNSSEC helper tools (e.g., DNSViz), I'm an advocate of secure DNS. :)<br><br></div><div class="gmail_quote">Cheers,<br></div><div class="gmail_quote"><div>Casey<br>
</div></div></div></div>