<div dir="ltr"><div class="gmail-m_8805565856470876358gmail_signature"><div dir="ltr"><div>Saludos y disculpas por el retraso, tuve problemas con el envío del correo.</div><div><br></div><div>Gracias por enviar las mediciones! Son muy útiles y las examinaremos en detalle.<br></div><div><div><br style="color:rgb(0,0,0);font-family:HelveticaNeue;font-size:12px"><div>Nuestro objetivo a medio plazo es activar instancias de Quad9 en todos los nodos de PCH en la region, por lo que esperamos que las latencias mejoren con el tiempo.<br><br>En relación a algunos comentarios individuales:<br><br>- Luis, necesitamos enviar servidores a Brasil pero resulta complicado importarlos, así que cualquier colaboración en ese sentido es bienvenida (obrigado!)<br><br>- Alejandro, tenemos nodos en Buenos Aires, Cordoba y Neuquén, y estamos activando el servicio progresivamente.<br><br>- Jordi, todavía no tenemos presencia en Madrid pero esta planeado para el primer trimestre de 2018.<br><br>- Roberto, en cuanto a tu cuestión sobre el dominio reconocido por malware, la realidad es que “creemos” lo que los proveedores de inteligencia nos entregan como amenazas. Algunos sitios quizá no se hayan incluido porque no superan un umbral de confianza y tener demasiados “false positives” podría provocar que los usuarios abandonen la plataforma. Intentamos mantener un equilibrio que entendemos es delicado.<br><br>- Arturo, al respecto de EDNS Client-Subnet, esta es la posición de Quad9:<br><br>"EDNS ECS is a touchy subject, because it does leak some portion of IP address data to remote authoritative servers. Most end users do not know this is happening, nor do they understand the implications, and the implications are subtle. The complexity of the interpretation of this privacy concept makes it a difficult technical topic to address. ECS could be considered “acceptable” by some, but “not acceptable” by others, and since we are a service that has “security” as a primary goal, we opted for the most conservative approach and therefore 9.9.9.9 does not include ECS data. We will have the 9.9.9.11 and 9.9.9.12 options which supply ECS and implement the blocklist. We hope to have our egress IP addresses sorted out more clearly in the coming weeks so that queries emanate from more local IP addresses to end users, thereby making CDNs more able to provide the correct content endpoint answers in their DNS replies.”<br><br>Viene a decir que 9.9.9.9 no incluye ECS, que hay una variante 9.9.9.11 que si incluye ECS y el block list resolviendo parte del problema, y que estamos trabajando en soluciones alternativas para permitir que las CDNs puedan mapear sus respuestas DNS correctamente.<br><div style="color:rgb(0,0,0);font-family:HelveticaNeue;font-size:12px"></div></div></div></div><div><br></div><div>Saludos,</div><div>Gael</div><div><br></div><div><pre style="color:rgb(0,0,0)"><pre style="white-space:pre-wrap"><br></pre><pre style="white-space:pre-wrap"><pre>On Vie Nov 17 12:58:57 BRST 2017 Arturo Servin <<a href="mailto:lacnog%40lacnic.net?Subject=Re%3A%20%5Blacnog%5D%20Quad9%20--%3E%20Servidor%20DNS&In-Reply-To=%3CCALo9H1ZZ%2BHWhYVdMV4rGWvuHawZsoLQsEFeLrqmJHqpdtOku6w%40mail.gmail.com%3E" title="[lacnog] Quad9 --> Servidor DNS" style="font-family:-webkit-standard;white-space:normal" target="_blank">arturo.servin en gmail.com</a>> wrote:</pre></pre></pre><pre style="color:rgb(0,0,0)"><span style="white-space:pre-wrap;font-family:arial,sans-serif"></span>Gael</pre><pre style="color:rgb(0,0,0)">Alguna razon para no soportar EDNS en el seguro?
- Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet
- Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet
La falta de EDNS creo que va a afectar a que el usuario vaya a ver
contenido de baja calidad (mapeado a un punto de egreso no óptimo a si se
usara EDNS) cuando este se sirva con una CDN.
Saludos,
as
On Fri, 17 Nov 2017 at 12:37 Gaël Hernández <<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" style="white-space:pre-wrap" target="_blank">gael en pch.net</a><span style="white-space:pre-wrap">> wrote:
></span><i style="white-space:pre-wrap"> Hola!
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Después de un año en modo piloto, ayer se anunció el lanzamiento del
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> servicio! PCH es uno de los socios del proyecto Quad9, además de IBM y GCA.
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Quad9 tiene su propia personalidad jurídica sin ánimo de lucro, y en PCH
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> estamos orgullosos de proporcionar apoyo operacional.
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Están todos bienvenidos a usarlo y a compartir sus experiencias y dudas
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> con nosotros. Y no duden en contactarme si tienen interés en alojar uno de
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> nuestros equipos en alguno de los puntos neutros de la region!
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Un saludo,
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Gaël
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Sent from my iPhone
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > On 17 Nov 2017, at 01:57, Carlos M. Martinez <<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">carlosm3011 en gmail.com</a>>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> wrote:
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Hola Esteban,
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > La mejor info que encontré está en el propio sitio del proyecto:
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> <a href="https://www.quad9.net/" target="_blank">https://www.quad9.net/</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Si lo van a probar, creo que vale la pena tener en cuenta esta parte:
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > ———
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Is there a service that Quad9 offers that does not have the blocklist or
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> other security?
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > The primary IP address for Quad9 is 9.9.9.9, which includes the
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> blocklist, DNSSEC, and other security features. However, there are
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> alternate IP addresses that the service operates which do not have these
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> security features. These might be useful for testing validation, or to
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> determine if there are false positives in the Quad9 system.
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Note: Use only one of these two addresses. Some networking software may
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> include terminology such as “Secondary DNS Server” in configuration
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> windows; this can be left blank. Putting both 9.9.9.9 and 9.9.9.10 into
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> “primary” and “secondary” fields may result in unsecure results in rare
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> circumstances.
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > ———
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > s2
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Carlos
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> On 17 Nov 2017, at 8:37, Esteban Carisimo wrote:
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> Estimados,
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> Hoy se lanzó el 9.9.9.9 como servidor DNS, ¿alguien escucho algo más de
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> este servicio?. Acá les paso la info que leí
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> <a href="https://www.cyberscoop.com/quad9-dns-service-global-cyber-alliance/" target="_blank">https://www.cyberscoop.com/<wbr>quad9-dns-service-global-<wbr>cyber-alliance/</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> Saludos
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> --
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> Esteban Carisimo
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> Temporarily Visiting Graduate Student at CAIDA
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> PhD student at CoNexDat (UBA-CONICET)
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> <a href="http://cnet.fi.uba.ar/esteban_carisimo/en" target="_blank">http://cnet.fi.uba.ar/esteban_<wbr>carisimo/en</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> ______________________________<wbr>_________________
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> LACNOG mailing list
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">LACNOG en lacnic.net</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> >> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > ______________________________<wbr>_________________
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > LACNOG mailing list
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">LACNOG en lacnic.net</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> > Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap">
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> ______________________________<wbr>_________________
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> LACNOG mailing list
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">LACNOG en lacnic.net</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a>
</i><span style="white-space:pre-wrap">></span><i style="white-space:pre-wrap"> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a>
</i><span style="white-space:pre-wrap">></span></pre></div></div></div>
</div>