> Le 29 sept. 2025 à 09:32, Alarig Le Lay via frnog <[email protected]> a écrit : > > On Fri 26 Sep 2025 21:22:05 GMT, Jonathan Leroy wrote: >> C’est compliqué parce qu’il y a peu de fournisseurs qui proposent du >> DNSSEC sur leurs services de NS secondaire, et que quand c’est pris en >> charge c’est uniquement avec une config « hidden master » en général. > > Je vois pas en quoi faut avoir du support en plus pour du DNSSEC en > secondaire. Tu pousses ta zone et le secondaire la sert, c’est pas lui > qui signe, donc il a pas besoin de la parser outre mesure.
C’est un mode de fonctionnement possible, Cloudflare l’explique bien; https://developers.cloudflare.com/dns/zone-setups/zone-transfers/cloudflare-as-secondary/dnssec-for-secondary/ <https://developers.cloudflare.com/dns/zone-setups/zone-transfers/cloudflare-as-secondary/dnssec-for-secondary/> >> En pratique c’est souvent une mauvaise idée : tu as infiniment plus de >> chances de faire tomber tes services en merdant la synchro entre tes >> NS primaires et secondaires que de faire tomber deux AS distincts >> simultanément, si l’administrateur des AS a un minimum de procédures >> en place. > > Oui mais tu peux pas avoir autant d’ASes distincts que tu veux, si c’est > le même admin derrière ça va casser tout pareil que si tout est sur un > seul AS. Dans le cas précis qui a été donné, c’était pire que ça puisque les 2 AS avaient 36236 (NETACTUATE) comme transit unique. Niveau redondance, on a vu un peu mieux :) David --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
