<div dir="ltr">Hello Evan,<div><br></div><div>Thanks you so much for answering my questions. Inline my comments.</div><div><br></div><div>

<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:12.8px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">But why do you need your application to contain a recursive resolver?</span>

<br></div><div><br></div><div><font color="#9900ff">1. Assume if I use an external recursive resolver and if that resolver does not support DNSSEC, how can I validate the signature? </font></div><div><font color="#9900ff"><br></font></div><div><font color="#9900ff">2. If I use an external resolver and if a hacker sits in between my system and the external resolver, will it detect ?</font></div><div><font color="#9900ff"><br></font></div><div><font color="#9900ff">3. When the external resolver resolve a query and when it response back to the client , will it strip off the signatures? I assume the validation is already done at the recursive resolver. </font></div><div><font color="#9900ff"><br></font></div><div><font color="#9900ff">4. Can I integrate dnsmasq option with my client application? Any reference.</font></div><div><font color="#9900ff"><br></font></div><div><font color="#9900ff">Thanks once again for your help and time.</font></div><div><font color="#9900ff"><br></font></div><div><font color="#9900ff">Rgds</font></div><div><font color="#9900ff">Simon</font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 13, 2018 at 1:11 PM, Evan Hunt <span dir="ltr"><<a href="mailto:each@isc.org" target="_blank">each@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Feb 13, 2018 at 12:42:26PM -0800, SIMON BABY wrote:<br>
> My requirement is to implement only the recursive resolve and validation<br>
> part of the DNSSEC in my client application. Our CPU and memory are very<br>
> limited. So I am not sure I can go and use BIND 9.<br>
<br>
</span>But why do you need your application to contain a recursive resolver?<br>
<br>
I can understand why you'd want a built-in validator, but you don't need<br>
to do full recursive resolution for that; you can send queries to an<br>
external resolver and then validate the responses.<br>
<span class=""><br>
> With BIND 9, can I integrate the library in my application to send queries<br>
> and validate the answer in my client code itself. Can you please point if<br>
> any sample code.<br>
<br>
</span>If you're content to do as I suggested above - send queries to an external<br>
resolver, validate the responses - then see the command 'delv' in the<br>
BIND 9 source tree; it does that.<br>
<br>
Implementing a full resolver with a library is possible in BIND 9.12,<br>
in which we spun off a lot of the name server code into a new libns<br>
library.  I can't point you to any sample code other than named itself,<br>
though.<br>
<br>
Given what you said about limited CPU and memory, I can't really recommand<br>
either solution. I'd probably just use dnsmasq and turn on its DNSSEC<br>
validation option.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Evan Hunt -- <a href="mailto:each@isc.org">each@isc.org</a><br>
Internet Systems Consortium, Inc.<br>
</div></div></blockquote></div><br></div>