<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Am 31.08.15 um 15:06 schrieb Joshua
      Cranmer 🐧:<br>
    </div>
    <blockquote cite="mid:55E4513A.9030203@gmail.com" type="cite">
      <pre wrap="">On 8/30/2015 3:32 AM, Nomis101 wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">If we are talking about secure email, a question I long asked myselfe
is, why is mozilla not finishing the implementation of DNSSEC/DANE?
There are only half-ready patches on Bugzilla. There are some email
servers supporting this allready [1].
</pre>
      </blockquote>
      <pre wrap="">
<a class="moz-txt-link-rfc2396E" href="https://www.imperialviolet.org/2015/01/17/notdane.html"><https://www.imperialviolet.org/2015/01/17/notdane.html></a> (written by a 
Chrome developer, but still more or less the same arguments apply). 
Basically:
1. DNSSEC uses 1024-bit RSA everywhere, where browsers/CAs are trying to 
rip that out.
2. DNSSEC still has some problems getting to clients in certain networks 
(primarily mobile ones is my understanding).
3. Given #2, requiring DANE records to validate SSL certificates is 
untenable to roll out. The other security gains from DANE are rather 
suspect--it's vulnerable to downgrade attack, pinning is already 
possible in HTTP, and DNS is rather poorly audited compared to most CAs.

</pre>
    </blockquote>
    OK, thanks for the informative link. But on the other hand, <i>with
      DPRIVE and DANE and DNSSEC </i><i>you're creating the next
      generation of DNS step by step</i> [1]<br>
    <br>
    [1] <a class="moz-txt-link-freetext"
href="https://gist.github.com/mnot/382aca0b23b6bf082116#scale-of-pervasive-monitoring">https://gist.github.com/mnot/382aca0b23b6bf082116#scale-of-pervasive-monitoring</a>
  </body>
</html>