<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Mar 23, 2014 at 12:15 PM, Toke Høiland-Jørgensen <span dir="ltr"><<a href="mailto:toke@toke.dk" target="_blank">toke@toke.dk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">Aaron Wood <<a href="mailto:woody77@gmail.com">woody77@gmail.com</a>> writes:<br>
<br>
> or we find a way to have long-lived dnssec entries.<br>
<br>
</div>Is the timing controllable somehow? I.e. would it be possible to set up<br>
a special domain name with a really long-lived key that could be queried<br>
indefinitely for the IP address of one or more NTP servers, even in the<br>
face of an a wrong clock?</blockquote><div><br></div><div>My understanding (albeit, not a deep one) is that the dnssec keys all have a fairly short expiration, just a few months.  It would be nice if they were longer-lived (in this particular case), but you still have an issue of needing to decide what time is "now", within a reasonable degree, in order to validate the domain.  Alternatively, you assume that you don't care about the timeliness of the entry, for the resolution of ntp server names, and then you have to somehow convey to the resolver that you want a secure lookup, but it's ok if it's expired (or too new, or...), which gets back to some of the earlier parts of this discussion.</div>
<div><br></div><div>-Aaron</div></div></div></div>