<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 12.06.2021 14:24, Richard T.A. Neal
      wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CWXP123MB4104C2D6F1A82D558D11F0E6B3339@CWXP123MB4104.GBRP123.PROD.OUTLOOK.COM">
      <meta name="Generator" content="Microsoft Word 15 (filtered
        medium)">
      <div class="WordSection1">
        <p class="MsoNormal"><span>Mainsh – I haven’t done any
            experimenting with DOT, but there’s a guide for configuring
            DOH at the following page. It requires BIND 9.17.10 or
            higher (DOH isn’t being backported to BIND 9.16): <a
              href="https://www.isc.org/blogs/doh-talkdns/"
              moz-do-not-send="true">https://www.isc.org/blogs/doh-talkdns/</a></span></p>
        <p class="MsoNormal"><span> </span></p>
        <p class="MsoNormal"><span>Walter – I’m not sure why you’d say
            DOH/DOT is dead and to instead use DNSSEC. DOH/DOT and
            DNSSEC are two completely different things meant for two
            completely different DNS functions – there is no overlap.</span></p>
      </div>
    </blockquote>
    <p>short explanation:</p>
    <p>the requirement for using DOH is to allow HTTPS requests with a
      Host of just an IP,<br>
      which you would rather block;</p>
    <p>and for both DOT and DOH are SSL-certificates with a IP address
      in its SAN, which you also rather reject;</p>
    <p>and the overlap you don't see is the reason why one would use DOT
      or DOH;</p>
    <br>
  </body>
</html>