<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The ., org. keys are not going to grow multiple year expiries, so we need our<br>

own thing to cache.  One could cache the DNSKEY for <a href="http://bufferbloat.net" target="_blank">bufferbloat.net</a> along<br>
with the root zone keys... then lookup <a href="http://ntp.bufferbloat.net" target="_blank">ntp.bufferbloat.net</a>. It would have to<br>
return a A/AAAA records, because chasing a CNAME into <a href="http://ntp.org" target="_blank">ntp.org</a> would fail to<br>
validate.<br>
<div class=""><br>
    > of the entry, for the resolution of ntp server names, and then you have to<br>
    > somehow convey to the resolver that you want a secure lookup, but it's ok if<br>
    > it's expired (or too new, or...), which gets back to some of the earlier parts<br>
    > of this discussion.<br>
<br>
</div>Bingo.</blockquote><div><br></div><div>That would scale well for CeroWRT, but doesn't seem like it would scale well for general-use (OpenWRT).  Or rather, the use of <a href="http://bufferbloat.net">bufferbloat.net</a> wouldn't scale well.  But OpenWRT might be able to do the same with it's key, and have it's own <a href="http://ntp.openwrt.org">ntp.openwrt.org</a> which resolves into the general ntp pool.</div>
<div><br></div><div>-Aaron </div></div></div></div>