Rathorian Mais pour être tout à fait honnête, visuellement je vois pas les 2 zones que tu me dis sur DNSVIZ, pourrais-tu me dire exactement à quel endroit on voit les 2 zones ?
Ici : 
J'ai pris l'analyse du 2017-09-08 07:32:30 UTC avant que tu corriges le problème : http://dnsviz.net/d/rathorian.fr/WbJHjg/dnssec/
Sur la capture d'écran tu peux voir que le résultat est en double, les 2 serveurs autoritaires renvoient 2 résultats différents (inception/expiration) donc on peut en conclure que 2 deux zones existent à 2 endroits différents.
Oui ça fait beaucoup de 2.
En tout cas, sans dnsviz c'est difficile de se rendre compte du soucis. Pour voir le problème, il faut que tu utilises un résolveur DNSSEC (Unbound en local ou Google DNS par exemple) et que ton pc interroge le secondaire plutôt que le primaire. Si ça arrive, tu verras une belle erreur de résolution DNS sur ton navigateur une fois la zone expirée.
Pour tester, tu peux utiliser une commande comme celle-ci avec un cronjob :
dig rathorian.fr SOA +nocmd +noall +dnssec +comments @IP_DU_SECONDAIRE | grep -E 'flags:.*ad.*;'
Si tu as le flag ad ça veut dire que la signature DNSSEC du SOA est bonne et que la zone est toujours valide sur le serveur autoritaire secondaire et donc par conséquent que le tranfert AXFR a bien fonctionné.
J'espère que c'est plus clair 😉
