RFC 9103: DNS Zone Transfer over TLS
Traditionnellement, le transfert d'une zone #DNS depuis le serveur maitre vers ses esclaves se fait en clair. Si l'authentification et l'intégrité sont protégées, par exemple par #TSIG, le transfert en clair ne fournit pas de confidentialité. Ce RFC normalise un transfert de zones sur TLS, #XoT (zone transfer over TLS).
@bortzmeyer On peut forcer XoT sur NSD mais ça se fait sur le serveur secondaire
On définit la clé avec :
tls-auth:
name: nom-tls
auth-domain-name: adn-du-serveur-principal
Puis dans les réglages de la zone :
zone:
...
request-xfr: AXFR 2001:db8::853 <tsig ou NOKEY> nom-tls
NSD fera automatiquement la bascule en TLS après l'envoi du SOA
@Shaft
Ah, alors on cotise avec encore plus de joie !
Stéphane Bortzmeyer
John Shaft (ジョン・シャフト) ✅
.: Tonton Mollo 
:.