
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<TITLE>Re: [OpenID] OpenID as a PKI facilitator</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->


<P><FONT SIZE=2>I thought that as well, but verified that with one of the authors of some of the DNSSEC RFCs before sending my note.<BR>

<BR>

--David<BR>

<BR>

<BR>

&nbsp;-----Original Message-----<BR>

From: &nbsp; Dick Hardt [<A HREF="mailto:dick@sxip.com">mailto:dick@sxip.com</A>]<BR>

Sent:&nbsp;&nbsp; Friday, April 06, 2007 05:42 PM Pacific Standard Time<BR>

To:&nbsp;&nbsp;&nbsp;&nbsp; Recordon, David<BR>

Cc:&nbsp;&nbsp;&nbsp;&nbsp; Nic James Ferrier; OpenID General<BR>

Subject:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Re: [OpenID] OpenID as a PKI facilitator<BR>

<BR>

Agreed that DNSSEC would require access to DNS records.<BR>

<BR>

I would imagine that the user level key would be a DNS record rather&nbsp;<BR>

then each user have a separate zone.<BR>

<BR>

-- Dick<BR>

<BR>

On 6-Apr-07, at 2:43 PM, Recordon, David wrote:<BR>

<BR>

&gt; DNSSEC also requires access to the DNS records to change versus&nbsp;<BR>

&gt; hosting<BR>

&gt; a key via your existing application.&nbsp; In addition, DNSSEC requires a<BR>

&gt; different zone file for each signing key, meaning the overhead of DNS<BR>

&gt; server management also increase.&nbsp; As used today, a wildcard DNS entry<BR>

&gt; such as *.pip.verisignlabs.com would no longer be useful for each&nbsp;<BR>

&gt; user,<BR>

&gt; rather each user would have to have a separate entry with a unique key<BR>

&gt; in a unique zone.&nbsp; I thus think that while this may seem like a great<BR>

&gt; solution, the deployment headaches would make it impractical.<BR>

&gt;<BR>

&gt; --David<BR>

&gt;<BR>

&gt; -----Original Message-----<BR>

&gt; From: general-bounces@openid.net [<A HREF="mailto:general-">mailto:general-</A><BR>

&gt; bounces@openid.net] On<BR>

&gt; Behalf Of Nic James Ferrier<BR>

&gt; Sent: Friday, April 06, 2007 1:43 PM<BR>

&gt; To: Dick Hardt<BR>

&gt; Cc: OpenID General<BR>

&gt; Subject: Re: [OpenID] OpenID as a PKI facilitator<BR>

&gt;<BR>

&gt; Dick Hardt &lt;dick@sxip.com&gt; writes:<BR>

&gt;<BR>

&gt;&gt; DNSSEC is another potential way for a global PKI to be deployed.<BR>

&gt;<BR>

&gt; I love DNSSEC as a solution. It rocks.<BR>

&gt;<BR>

&gt; Trouble is, it's another of those solutions that's going to take a&nbsp;<BR>

&gt; long<BR>

&gt; time to get out there.<BR>

&gt;<BR>

&gt; When I talk to colleagues about DNSSEC they are mostly uninterested.<BR>

&gt;<BR>

&gt; Pity.<BR>

&gt;<BR>

&gt;<BR>

&gt; --<BR>

&gt; Nic Ferrier<BR>

&gt; <A HREF="http://www.tapsellferrier.co.uk">http://www.tapsellferrier.co.uk</A><BR>

&gt; _______________________________________________<BR>

&gt; general mailing list<BR>

&gt; general@openid.net<BR>

&gt; <A HREF="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</A><BR>

&gt;<BR>

&gt;<BR>

<BR>

</FONT>

</P>


</BODY>

</HTML>