Cet addon semble buggé, il vaut mieux utiliser ça : https://www.dnssec-validator.cz/

laster13 A priori la valeur de la variable "$expiration_date" est trop grande, un warning sur zonemaster

Oui j'avais déjà vu ça, 6 mois c'est trop pour zonemaster.

laster13 Au final ton script est vraiment super et je souhaiterais adapter mon tuto avec si tu es d'accord de manière à pouvoir le garder disponible avant qu'il se noie parmi les autres posts. Si tu es ok pour déverrouiller le tuto

Je l'ai déverrouillé. Donc au final, les topics de discussions ne servent à rien si on déverrouille les tutos @Magicalex @hydrog3n @BXT

laster13 Reste plus qu'à trouver un moyen de renouveler automatiquement les clés ZSK et KSK mais surtout de pouvoir incrémenter le fingerprint auprès de Gandi sans avoir a le faire manuellement .. peut être avec l'Api livedns de gandi, je vais creuser ..

ça semble possible : https://doc.rpc.gandi.net/domain/faq.html#dnssec

laster13 Plutôt que de rentrer le fingerprint dans gandi, ne peut on pas tout simplement mettre un enregistrement (je sais pas quoi) dans le fichier de zone qui ferait le boulot ?

Non c'est pas possible, il n'y a que le registrar qui peut modifier la zone parent, et heureusement c'est un peu le coeur du fonctionnement de DNSSEC, c'est une chaine de confiance.

Hardware Merci, j'ai terminé j'aurai pu inclure la modif dans le fil de discussion, sur l'instant j'y ai pas pensé.

Ne serait-il pas possible d'autoriser l’accès au tuto verrouillé qu'à l'auteur lui même de manière à faciliter les éventuelles mises à jours. Je reconnais que pour les admins ça peut vite devenir une usine à gaz si tout le monde vous sollicite pour des modifs.

D'autant que si l'on déverrouille tous les tutos et que des posts viennent s'incrémenter derrière, il ne sera plus possible d'éditer

Hardware c'est pas parce que les topics sont déverrouillé que les membres peuvent poster à la suite des topics. Y a quelque mois j'ai changé les autorisations pour ne pas devoir verrouiller tous les tutos à chaque fois.
Je sais pas si je suis clair

Magicalex Nickel, je m'en souvenais plus

J'ai une petite infra DNS (4 serveurs, primaire/esclave1 en Bind9 auto-hébergé et esclave2/3 en offre dns secondaire OVH/afraid) et j'utilise pour le moment Certbot en certonly et webroot.
Je suis en train de voir pour déployer DNSSEC (avec openDNSSEC pour le renouvellement automatique des clés).
Je me suis dit que ça pourrais aussi être intéressant de permettre d'utiliser le DNS pour les certificats de Let's Encrypt (notamment par ce que c'est le seul moyen viable actuellement pour les wildcard) du coup le plugin certbot-dns-rfc2136 (mise a jours via DNS Dynamique) + ACL Bind9 peut faire un combo intéressant (peut être un tuto à venir, intéressant pour ceux qui gèrent leur serveur(s) DNS).
@Hardware si tu veut filer un coup de mains

laster13 Pas vraiment puis que je suis en Bind9/openNSSEC sous LXC avec des noms de domaines pris chez Infomaniak ! Y'as peut être des chose à récupérer mais pas sur ! (Je pense partir sur de la mise a jour via un client Dynamic DNS sur le serveur Web, ce qui permet d'être universel vis à vis du serveur DNS (qu'il soit sur la même machine ou non).
Mais merci pour l'intention ! (d'ailleurs si tu veut suivre mes avancé pour qu'on fasse le tuto ensemble hésite pas plus on est de fou plus on rit !)
Je pense proposer au passage une mise à jour de ton tuto Bind9 DNSSEC @Hardware avec openDNSSEC pour automatiser la signature des zones.