On Wed, Jan 14, 2026 at 04:18:44PM +0000, LENOIR Pierre via frnog <[email protected]> wrote a message of 55 lines which said:
> Quand nous essayons de les résoudre (type A), nous avons des logs > "broken trust chain", donc de résolution DNSSEC. Ce sont des > résolveurs Bind. Problème de MTU ? Comme il y a beaucoup de clés et de signatures dans ces domaines, la réponse à une requête DNSKEY fait 1495 octets, ce qui peut coincer si vous avez un trou noir dû à une mauvaise configuration de la taille maximale, ou si votre résolveur ne sait pas réessayer en TCP. > A priori, le problème ne vient pas (enfin pas que) de chez nous : > lorsque que je teste avec des outils comme DNSVIZ, les deux zones > semblent bien avoir des problèmes de configuration DNSSEC. Ah non, pas d'accord. DNSviz voit bien le potentiel problème de MTU mais le reste (sel du NSEC3 non vide) n'est pas grave et n'empêche pas la résolution. Un test avec les sondes Atlas ou avec Zonemaster ne montre pas de problème bloquant, à part chez vous. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
