Lun 29 sept 2025, à 09:32, Alarig Le Lay a écrit : > Je vois pas en quoi faut avoir du support en plus pour du DNSSEC en > secondaire. Tu pousses ta zone et le secondaire la sert, c’est pas lui > qui signe, donc il a pas besoin de la parser outre mesure.
Un certain nombre de providers signent les zones à la demande et ne supportent pas de servir une zone déjà signée. C’est le cas par exemple de DNSimple, qui utilise du PowerDNS avec signatures « on-the-fly » : https://support.dnsimple.com/articles/secondary-dns-dnsimple-as-secondary/#requirements Après pour ma part j’ai abandonné le pré-requis DNSSEC : bientôt 30 ans que la techno est là, ça ne prends pas et pour de bonnes raisons IMHO... L’avenir est sûrement plus du côté de DoT / DoH / DoQ mais c’est un autre sujet. :) > Oui mais tu peux pas avoir autant d’ASes distincts que tu veux, si c’est > le même admin derrière ça va casser tout pareil que si tout est sur un > seul AS. > Et sur de l’anycast c’est pas parce que y’a un seul AS que c’est un > problème plus que ça, puisque c’est en îlots (ou alors ils ont vraiment > de la thune à balancer par les fenêtres), et donc le risque de blackhole > complet est égal à celui que tu peux avoir sur plusieurs ASes gérés de > la même façon. Absolument d’accord. Dans nos contrées cette « bonne pratique » a été popularisée par feu le ZoneCheck de l’AFNIC mais n’est pas forcément pertinente. -- Jonathan Leroy --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
