On Fri 26 Sep 2025 21:22:05 GMT, Jonathan Leroy wrote: > C’est compliqué parce qu’il y a peu de fournisseurs qui proposent du > DNSSEC sur leurs services de NS secondaire, et que quand c’est pris en > charge c’est uniquement avec une config « hidden master » en général.
Je vois pas en quoi faut avoir du support en plus pour du DNSSEC en secondaire. Tu pousses ta zone et le secondaire la sert, c’est pas lui qui signe, donc il a pas besoin de la parser outre mesure. > En pratique c’est souvent une mauvaise idée : tu as infiniment plus de > chances de faire tomber tes services en merdant la synchro entre tes > NS primaires et secondaires que de faire tomber deux AS distincts > simultanément, si l’administrateur des AS a un minimum de procédures > en place. Oui mais tu peux pas avoir autant d’ASes distincts que tu veux, si c’est le même admin derrière ça va casser tout pareil que si tout est sur un seul AS. Et sur de l’anycast c’est pas parce que y’a un seul AS que c’est un problème plus que ça, puisque c’est en îlots (ou alors ils ont vraiment de la thune à balancer par les fenêtres), et donc le risque de blackhole complet est égal à celui que tu peux avoir sur plusieurs ASes gérés de la même façon. > Après comme toujours, la question c’est surtout de savoir combien te > coûtes 1h de coupure de services. Si la réponse n’est pas « plusieurs > milliers d’euros », y’a plus important à gérer. Ça clairement :) -- Alarig --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
