DNSSEC validation fail sporadiquement sur EKS

hello t'as checké la config de ton CoreDNS ? Des fois c'est un souci de trust-anchor ou de timeout pour la validation DNSSEC. Le cache aussi peut être trop court et ça force des revalidations fréquentes qui foirent.

et les résolveurs amont que CoreDNS utilise ? si c des serveurs publics ça peut avoir des soucis de stabilité ou de capacité. surtout si eux-mêmes ont du mal avec la validation ou sont lents à répondre.

oui exactement. la latence entre CoreDNS et les serveurs de validation DNSSEC peut être un facteur. si y a trop de délai ou des paquets perdus, ça fait rater la validation et CoreDNS renvoie un SERVFAIL.

ok je vais plonger dans les logs de coredns voir ce qu'il dit et je vais vérifier la config des forwarders. on utilise 8.8.8.8 et 8.8.4.4 en amont pour le moment. c'est ptete ça le souci.

8.8.8.8 c'est pas toujours le top pour la validation DNSSEC surtout si t'es loin géographiquement ça introduit de la latence. essaye un resolver local ou un d'AWS (genre .2 sur ton VPC) si tu veux plus de stabilité pour les résolutions.

et si t'as des load balancers ou des proxys devant CoreDNS, assure qu'ils gèrent bien les gros paquets UDP. la validation DNSSEC peut demander des réponses DNS plus grosses que la moyenne et ça peut être fragmenté/droppé.

c'était bien CoreDNS ! on avait une config de cache qui était trop agressive, ça purgeait les clés DNSSEC trop vite. j'ai ajusté le TTL du cache à 1 heure pour les enregistrements critiques et depuis c'est nickel, plus d'erreurs. merci à tous pour les pistes !