笔记：Sunrise DNS over TLS, sunset DNSSEC?

https://blog.apnic.net/2018/08/17/sunrise-dns-over-tls-sunset-dnssec/

这篇可以说过分乐观了。

DoT更可能是终端<->公共递归上的主动优化，递归<->权威估计该干嘛还是干嘛。

而DNSSEC的问题，也不是加个TLS就能救的：一是对运维的知识要求略高，就算有第三方权威解析平台傻瓜化也难以推广；二是递归验证失败的处理策略还不像BGPSEC一样相对可控；其他DDoS风险啥的就不用再重复了。