Merci pour les tests. Effectivement, cela semble donc bien un problème de mon côté. Je vais creuser la piste du MTU. Merci !
Cordialement, Pierre LENOIR Département IIP – Service IISR SIGMA Informatique 8 rue Newton, BP 4127, 44241 La Chapelle sur Erdre Cedex tel : 02 40 37 14 00 -----Message d'origine----- De : [email protected] <[email protected]> Envoyé : mercredi 14 janvier 2026 18:13 À : Stephane Bortzmeyer <[email protected]> Cc : LENOIR Pierre <[email protected]>; [email protected] Objet : Re: [FRnOG] Re: [TECH] Problème de résolution DNSSEC sur Bind Hello, Pas de problèmes bloquant chez moi non plus. Fait depuis 2 serveurs, debian 13 à jour, bind. Cordialement, ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51770 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 1232 ; COOKIE: 043108d565667c84010000006967ce60c051c83224859134 (good) ;; QUESTION SECTION: ;o3iklpp.impervadns.net. IN A ;; ANSWER SECTION: o3iklpp.impervadns.net. 30 IN A 45.60.198.231 o3iklpp.impervadns.net. 30 IN RRSIG A 8 3 30 20260228000000 20240722000000 56281 impervadns.net. LKWYfhi9oVgJbbenK4CvajDmuLedBULDQw5deOkAXRmq6ukhgFemcmQh TPh4xvbHRW3iGr6bqFHjpDP1NeaPcKgUkKVQUM8poCYb5mHf3BOj8i9e I0S0tLbJ+BeQsJCOMo6M5W7qYG4BDugdkXsIkVcihzAi8M0lNqAquSdL g3w= o3iklpp.impervadns.net. 30 IN RRSIG A 8 3 30 20270106000000 20260106000000 11304 impervadns.net. Gew0DWm8bvqirYa+5CCTHDXzlZd3EjvoSphRNVvIEAZdff0sv4s2oweX 6Q2HxvrQWTxsY2V9Dg3j/DT1QE8rfHbV0AYZTph/nYh5GhDMYRUZ6kIl 2XVfgrrcz3F7ub1+Za4WiKysByAd5k8Tt8cEfYpIPn8aBA5Hg7/hweWw Fw0= ;; Query time: 16 msec Le 2026-01-14 17:57, Stephane Bortzmeyer via frnog a écrit : > On Wed, Jan 14, 2026 at 04:18:44PM +0000, LENOIR Pierre via frnog > <[email protected]> wrote a message of 55 lines which said: > >> Quand nous essayons de les résoudre (type A), nous avons des logs >> "broken trust chain", donc de résolution DNSSEC. Ce sont des >> résolveurs Bind. > > Problème de MTU ? Comme il y a beaucoup de clés et de signatures dans > ces domaines, la réponse à une requête DNSKEY fait 1495 octets, ce qui > peut coincer si vous avez un trou noir dû à une mauvaise configuration > de la taille maximale, ou si votre résolveur ne sait pas réessayer en > TCP. > >> A priori, le problème ne vient pas (enfin pas que) de chez nous : >> lorsque que je teste avec des outils comme DNSVIZ, les deux zones >> semblent bien avoir des problèmes de configuration DNSSEC. > > Ah non, pas d'accord. DNSviz voit bien le potentiel problème de MTU > mais le reste (sel du NSEC3 non vide) n'est pas grave et n'empêche pas > la résolution. > > Un test avec les sondes Atlas ou avec Zonemaster ne montre pas de > problème bloquant, à part chez vous. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ Ce message, y compris son contenu, est établi à l'intention exclusive de ses destinataires et peut contenir des Informations Confidentielles soumises à certaines obligations de confidentialité et de non divulgation. Si vous avez reçu ce message par erreur, toute utilisation, publication, diffusion, reproduction même partielle est strictement interdite et nous vous demandons de le supprimer immédiatement de vos systèmes informatiques et d’en informer son expéditeur. Les idées et opinions présentées dans ce message sont celles de son auteur et ne représentent pas nécessairement celles de SIGMA INFORMATIQUE. La sécurité de ce message ne pouvant être garantie sur l’Internet, SIGMA INFORMATIQUE ne peut être tenue responsable de toute perte, altération ou interception de son contenu. This message, including its content, is intended solely for its recipients and may contain Confidential Information subject to confidentiality and non-disclosure obligations. If you have received this message by mistake, any use, disclosure, copy or delivery of it or any part of it is strictly forbidden and you are requested to delete it immediately from your computer systems and notify the sender. The views and opinions expressed in this message are those of the author and do not necessarily represent those of SIGMA INFORMATIQUE. The security of this message cannot be guaranteed on the Internet and SIGMA INFORMATIQUE shall not be held liable for any loss, alteration or interception of its content. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
