2026-06-24 · 12 min de lecture

Votre DNS est un point unique de défaillance. Voici le playbook Multi‑DNS 2026

Par Diogo Hudson Dias
Network engineer in a São Paulo office reviewing DNS failover plans with latency graphs visible on a secondary monitor.

Gratuit n’est pas synonyme de résilient. Bunny vient de rendre le DNS gratuit pour accélérer le web. Très bien. Mais si votre domaine de production tourne toujours chez un seul fournisseur DNS — gratuit ou payant — vous laissez un point unique de défaillance dans l’unique plan de contrôle que chaque requête traverse en premier.

Les pannes DNS sont brutales car elles sont binaires et immédiates : quand votre chemin vers l’autorité se brise, vous n’êtes pas dégradé — vous disparaissez. Si le TTFB de votre page d’accueil augmente de 200 ms, vous continuez à encaisser. Si votre domaine cesse de résoudre pendant 5 minutes, non. Demandez à ceux qui ont traversé le DDoS de Dyn en 2016 ou des blocages récents chez des registrars et autres pannes de fournisseurs. En 2026, avec des agents d’IA qui arrosent vos endpoints et des réseaux mobiles plus instables, votre marge d’erreur DNS est encore plus mince.

Ce post vous propose un playbook multi‑DNS pragmatique et agnostique : quand décider d’y aller, comment le construire (sans colle maison), quels enregistrements et fonctionnalités comptent aujourd’hui (DNSSEC, SVCB/HTTPS, ECH, apex flattening) et comment le tester et l’exploiter comme un SRE, pas comme un hobbyiste.

Why this now: performance is cheap, authority is not

Le passage de Bunny au DNS gratuit s’inscrit dans une tendance plus large : les performances anycast sont devenues un prérequis. Sur un réseau anycast correct, une résolution récursif‑vers‑autoritatif médiane en North America/Europe se situe entre 12 et 25 ms ; in Brazil and Mexico, 35–60 ms est typique. Le problème n’est pas la vitesse brute — c’est le risque de dépendance. Deux modes de défaillance auxquels vous ne pouvez pas échapper avec un seul fournisseur :

  • Pannes côté fournisseur et fuites de routes : Même les réseaux anycast de niveau 1 sont touchés. Un mauvais déploiement, une fuite de routes ou une attaque massive peuvent mettre votre jeu de NS en trou noir dans des régions clés pour vous.
  • Problèmes de compte et de registrar : Identifiants compromis, 2FA désactivée ou incident de facturation peuvent mettre votre zone ou votre registrar en pause. Si vous ne pouvez pas changer rapidement vos NS ou votre DS, vous restez spectateur de vos graphes qui chutent.

En parallèle, la stack évolue. Les enregistrements SVCB/HTTPS pré‑annoncent des indices de protocole (ALPN, H3) et des configurations ECH afin que les clients évitent des allers‑retours supplémentaires. Bien utilisés, cela économise 1 à 2 RTT — soit 30 à 120 ms sur mobile dans le monde réel. Mais tous les fournisseurs n’implémentent pas ces enregistrements de façon homogène, et certains cachent des fonctions derrière des réglages propriétaires. Le multi‑DNS vise autant la redondance que la portabilité des fonctionnalités DNS modernes.

A simple decision gate: do you actually need multi‑DNS?

Adoptez un DNS bi‑fournisseur dès qu’au moins une des conditions suivantes est vraie :

  • Votre coût d’indisponibilité est > 5 000 $ par minute (classique en B2C e‑commerce, fintech ou médias financés par la pub).
  • Audience globale avec un trafic LATAM/APAC significatif (20 %+), où les incidents de routage régionaux sont fréquents.
  • Vous exploitez du multi‑CDN ou des régions actives‑actives et le pilotage se fait via le DNS. Si le DNS tombe, votre logique de routage ne sert plus à rien.
  • La conformité ou l’audit exige une capacité de basculement démontrable des systèmes de « plan de contrôle ».

Si rien de tout cela ne s’applique et que vous êtes une startup US‑only à moins de 50 M$ de GMV, vous pouvez différer — mais préparez le terrain : DNS as code, DNSSEC activé, verrou registrar et une migration testée vers un second fournisseur en préproduction.

Architectures that work in 2026 (and the ones that don’t)

1) Primary/Secondary with AXFR/IXFR and dual signing

Pattern : Un fournisseur est primaire. Vous publiez la zone chez lui et vous poussez vers un secondaire via AXFR/IXFR over TSIG. Les deux servent votre jeu de NS. Vous activez DNSSEC des deux côtés et publiez plusieurs enregistrements DS chez le registrar (ou utilisez un KSK coordonné).

Avantages : Modèle mental simple ; bon support fournisseur ; surface opérationnelle réduite. Inconvénients : Décalages fonctionnels (p. ex. GEO/checks de santé) et gestion des clés DNSSEC parfois délicate. Certains fournisseurs ne gèrent toujours pas correctement le DNS secondaire signé.

2) Dual‑primary via IaC (the “declare once, render twice” model)

Pattern : Traitez le DNS comme du code. La source de vérité est une spécification de zone unique (Terraform, dnscontrol ou votre générateur). La CI génère et applique sur deux fournisseurs indépendants. Pas de transferts de zone ; les deux sont autoritatifs.

Avantages : Pas de limites AXFR ; plus simple d’assurer la parité fonctionnelle ; pas d’enfermement propriétaire pour les checks de santé. Inconvénients : Exige une bonne couverture de tests pour éviter la dérive ; les APIs diffèrent ; vous devez implémenter votre propre validation et vos garde‑fous de déploiement.

3) Split delegation for complex stacks (use sparingly)

Pattern : Gardez l’apex et l’email (MX/TXT) chez le Fournisseur A ; déléguez app.example.com, api.example.com et media.example.com au Fournisseur B avec leurs propres jeux de NS.

Avantages : Limite le rayon d’explosion et l’accouplement fonctionnel. Inconvénients : Plus bruyant opérationnellement ; ajoute des résolutions NS ; casse les scénarios de basculement naïfs si mal planifié.

À éviter en 2026 : Le basculement propriétaire mono‑fournisseur qui ne s’opère qu’à l’intérieur de leur zone, et tout ce qui nécessite d’abaisser les TTL de l’apex à 30 secondes pour compenser une automatisation fragile. Si votre basculement repose sur des hacks de TTL d’urgence, vous n’avez pas un plan — vous avez un espoir.

The 9 features that actually matter

  • DNSSEC bien fait : ECDSAP256SHA256, rotation automatisée des ZSK, rotation KSK sûre. Double signature multi‑fournisseur avec deux DS publiés chez le registrar idéale. Testez « retrait DS » et « ajout DS » en préproduction avant la prod.
  • DNS secondaire avec DNSSEC : En primaire/secondaire, exigez IXFR + TSIG et validation DNSSEC côté secondaire. Certains fournisseurs ne signent encore qu’en primaire ; insuffisant.
  • Apex CNAME flattening/ANAME : Vous pointerez l’apex vers un CDN/edge. Assurez‑vous que les deux fournisseurs implémentent un flattening compatible avec votre CDN.
  • Enregistrements SVCB/HTTPS : Pré‑annoncez ALPN=h3, alt‑service et la config ECH. Le support Chrome/Firefox est là ; iOS/macOS rattrapent. Mesurez les RTT économisées.
  • Parité IPv6 : Publiez des AAAA. La moitié de vos utilisateurs sont en IPv6 désormais, et certains AS cellulaires le préfèrent. Ne faites pas diverger www de l’apex.
  • Géo/latency steering avec des standards : EDNS Client Subnet est legacy ; les fournisseurs modernes dérivent le routage de la télémétrie des résolveurs. Préférez des politiques de routage bien définies, réplicables entre vendeurs.
  • APIs et limites de débit prévisibles : Vous ferez des changements en masse (rotations DKIM, renouvellements de certificats wildcard). Validez tôt les limites de rafale et le comportement en 429.
  • Indépendance vis‑à‑vis du registrar : Séparez registrar et hébergeur DNS. Verrouillez les domaines, activez le registry lock quand dispo, et stockez les codes d’auth hors ligne.
  • Hooks d’audit : Chaque changement doit alimenter votre SIEM avec des diffs au niveau des enregistrements. Le DNS est critique pour la sécurité ; traitez‑le comme un pare‑feu.

Performance: where the real gains are in 2026

Sur mobile moderne, les allers‑retours sont l’ennemi. SVCB/HTTPS vous permet de précharger les détails de protocole pour aller directement en H3 ou sélectionner le bon Alt‑Svc sans essai/erreur. En pratique, on observe :

  • 1–2 RTT économisés sur des chargements à froid quand l’enregistrement HTTPS est honoré, soit 30–120 ms gagnés en conditions 4G/5G.
  • 5–15 % de TTFB en moins sur la première requête quand c’est combiné à un autoritatif anycast et un CDN qui respecte vos indices.
  • 20–40 ms de résolution p50 en moins pour les utilisateurs in Brazil, Colombia et Mexico en passant d’un DNS unique US‑centric à deux réseaux anycast avec des PoP régionaux.

Ce ne sont pas des chiffres fantaisistes. Mesurez avant/après avec des sondes synthétiques à São Paulo, Bogotá, Mexico City et Miami. Si 20–30 % de votre revenu passe par LATAM, vous verrez l’impact.

The implementation blueprint (90 days, low drama)

Day 0–15: pick providers and make DNS code‑defined

  • Choisissez deux fournisseurs qui couvrent vos indispensables : double signature DNSSEC, apex flattening, SVCB/HTTPS, APIs utilisables, et soit un DNS secondaire robuste soit des providers Terraform solides. Combinaisons vues en production : Route 53 + Cloudflare, DNS Made Easy + Bunny, NS1 + Azure DNS. Ce n’est pas une recommandation ; juste un indice de compatibilité.
  • Mettez en place un dépôt de zone (Terraform ou dnscontrol). Déclarez tous les enregistrements, y compris email (SPF, DKIM), TXT de vérification (Google, Apple) et challenges ACME.
  • Écrivez un validateur de zone qui échoue la CI si des ensembles d’enregistrements divergent entre fournisseurs (comparaisons insensibles à la casse, politiques de TTL identiques quand pertinent).

Day 16–45: sign, sync, and stage

  • Activez DNSSEC des deux côtés, générez KSK/ZSK et publiez les DS de préproduction chez votre registrar de préproduction. Exercez un roulement de KSK.
  • Choisissez votre topologie : En primaire/secondaire, activez AXFR/IXFR avec TSIG et validez la signature côté secondaire. En double primaire, connectez la CI pour appliquer chez les deux fournisseurs avec des sous‑ensembles canaris d’enregistrements.
  • Publiez SVCB/HTTPS et AAAA en préproduction. Vérifiez que les clients (Chrome/Firefox/Safari) les honorent. Mesurez les RTT gagnées et la réutilisation des connexions.
  • Faites des tests de charge et de chaos : Contrôles synthétiques depuis 10+ points de vue (US/EU/LATAM/APAC) pendant 7 jours. Injectez des tests négatifs : NXDOMAIN, SERVFAIL, RRSIG expiré et DS périmé pour vérifier le déclenchement des alertes.

Day 46–75: production cutover without breaking SEO or email

  • Ajoutez le second jeu de NS en production tout en gardant le premier. En double signature, publiez les deux DS. Sinon, coordonnez une fenêtre d’échange de KSK avec une période d’observation de 48 heures.
  • Restez conservateur sur les TTL là où ça compte : 300–600 secondes pour les enregistrements applicatifs/CDN, 3600–86400 pour MX, DKIM et TXT de vérification. Réglez le cache négatif SOA (MINIMUM) à 300–600 pour qu’une bourde DNS ne pollue pas les caches des heures durant.
  • Flattening de l’apex avec soin : Vérifiez que les ANAME/flattening des deux fournisseurs produisent les mêmes A/AAAA pour votre edge CDN au p95 monde.
  • Surveillez la délivrabilité GSuite/Microsoft 365 pendant 72 heures après changements MX/DKIM. Les outils Postmaster détecteront plus vite que vos clients.

Day 76–90: operationalize

  • Accès et authent : Clés matérielles pour les admins DNS, accès de courte durée (1–8 h) et fenêtres de changement. Registrar lock et registry lock activés. Codes d’authentification de domaine stockés hors ligne.
  • Runbooks : Une page pour retirer/ajouter DS, une pour retirer/ajouter NS, une pour désactiver un ensemble d’enregistrements défectueux. Actions bornées à 15 minutes. Exercez‑les trimestriellement.
  • Observabilité : Suivez le p95 de temps de lookup par région (cibles : < 50 ms US/EU, < 80 ms LATAM), la disponibilité DNS (99,99 %+) et le taux d’échec des requêtes signées (< 0,1 %). Alertez sur l’expiration des RRSIG et les incohérences DS/RRSIG.

Records that bite teams (and how to tame them)

  • Encombrement SPF/DKIM : Les lookups SPF sont limités à 10. Réduisez les include. Les clés DKIM tournent trimestriellement ; automatisez via IaC et testez le mail sortant avant bascule.
  • Challenges ACME pour certificats wildcard : Si votre AC utilise DNS‑01, votre IaC doit créer et nettoyer les TXT _acme-challenge de façon atomique chez les deux fournisseurs. Des TXT périmés causent souvent des échecs de renouvellement.
  • Dérives entre apex et www : Si vous publiez SVCB/HTTPS sur www, reflétez‑les à l’apex (ou inversement). Une dérive annule les gains des indices de protocole.
  • Checks de santé : Préférez des checks externes (les vôtres ou tiers neutres) pilotant des bascules d’enregistrements simples. N’ancrez pas votre stratégie sur la logique propriétaire d’un seul vendeur.

Security: DNS is now part of your zero‑trust perimeter

  • Preuve de changement : Chaque changement DNS doit produire un diff structuré (qui, quand, avant/après) envoyé à votre SIEM. Conservez 1 an.
  • Hygiène des clés TSIG : Faites tourner les clés TSIG AXFR tous les 90 jours. Stockez‑les dans un gestionnaire de secrets, jamais en clair dans la CI.
  • Les compromissions de registrar sont réelles : Utilisez le registry lock quand disponible (Verisign pour .com), qui exige une approbation humaine hors bande pour les changements NS/DS. Oui, c’est plus lent. C’est le but.

Costs and trade‑offs (be honest with yourself)

Le DNS moderne est bon marché… jusqu’à ce qu’il ne le soit plus :

  • Usage : Le prix « commodité » est d’environ 0,40–0,60 $ par million de requêtes chez les hyperscalers ; les politiques géo/latence peuvent multiplier par 2–3 pour ces enregistrements. Les plus petits fournisseurs vendent des paliers ($30–$300/mois) avec des quotas généreux.
  • Temps humain : Prévoyez 4–6 h ingénieur/mois pour garder un DNS bi‑fournisseur en bonne santé (revues, rotations, tests). Le premier trimestre de mise en place coûte 20–30 heures.
  • Gratuit vs payant : Le gratuit (comme chez Bunny) est excellent pour la perf et une seconde jambe. Mais ne présumez jamais des SLAs de support sur du gratuit. Équilibrez avec un fournisseur offrant des SLAs explicites et des canaux d’escalade.

Le bénéfice est quantifiable. Si votre revenu moyen est de 8 000 $/minute et que le double DNS évite une panne totale de résolution de 20 minutes par an, cela protège 160 000 $. Votre facture DNS annuelle et le temps ingénieur n’en représenteront qu’une fraction.

How to test failover without lighting production on fire

  • Servir du périmé par conception : Choisissez un enregistrement anodin (staging-echo.yourdomain.com) avec TTL=300 et retournez‑le chez le Fournisseur A uniquement. Vérifiez que 50 % des résolveurs récursifs continuent de résoudre via le Fournisseur B aux moments attendus.
  • Exercices de mise en trou noir des NS : Mettez temporairement en null‑route les NS d’un fournisseur dans vos agents de test synthétiques pour vérifier que la disponibilité reste à 100 % via l’autre.
  • DNSSEC break glass : Sur une zone non exposée client, laissez expirer un RRSIG et observez les alertes. Entraînez‑vous à retirer puis ré‑ajouter DS chez le registrar.
  • Indices de protocole : Retirez HTTPS/SVCB chez un fournisseur pendant 24 h. Mesurez la régression de TTFB quand les clients tombent sur ce jeu de NS. Vous quantifierez la valeur d’une synchronisation stricte des indices de protocole.

Regional reality check: Brazil and LATAM aren’t edge cases

Si 20–30 % de votre trafic est en LATAM, traitez le DNS régional en première classe :

  • Choisissez des fournisseurs avec des PoP à São Paulo, Santiago, Bogotá et Mexico City. C’est un gain de 20–40 ms p50 sur la résolution face à des empreintes anycast uniquement US.
  • Testez depuis de vrais AS d’ISP, pas seulement des régions cloud. Vivo, Claro, TIM, Telmex et Tigo n’ont pas les mêmes appairages qu’AWS/GCP.
  • Publiez des AAAA IPv6 partout. De nombreux AS mobiles in Brazil préfèrent l’IPv6. N’handicapez pas ces utilisateurs avec des bascules v4.

A word on AI agents and DNS load

Le trafic des agents a tendance à arriver en pics et depuis des AS variés que vous n’aviez pas anticipés. C’est bon pour le business et mauvais pour des configs DNS naïves. Surveillez le volume de requêtes autour des lancements de modèles ou des campagnes marketing. Assurez‑vous que les limites par zone et par seconde de vos fournisseurs ne vous étranglent pas. Le préchargement du cache avec des enregistrements à faible volatilité est votre allié ; n’abaissez pas les TTL à 30 secondes pour « rester agile ». L’agilité appartient à la CI, pas aux résolveurs.

Bottom line

Rendre le DNS plus rapide (et moins cher) est bienvenu. Mais ces gains de performance n’adressent pas le risque fondamental de plan de contrôle qu’implique un fournisseur unique. Le multi‑DNS en 2026 n’a rien d’exotique. Avec une double signature DNSSEC, SVCB/HTTPS, une parité de flattening à l’apex et une bonne IaC, vous pouvez réduire un risque de panne à sept chiffres pour quelques centaines de dollars par mois et quelques heures de SRE.

Key Takeaways

  • Adoptez un DNS bi‑fournisseur si votre coût d’indispo est > 5 k$/min, si vous exploitez du multi‑CDN/active‑active, ou si 20 %+ de vos utilisateurs sont hors US.
  • Choisissez des fournisseurs qui supportent la double signature DNSSEC, l’apex flattening, SVCB/HTTPS, des APIs sensées, et du DNS secondaire ou un Terraform robuste.
  • Utilisez soit un modèle primaire/secondaire avec AXFR/IXFR+TSIG, soit un double primaire via IaC. Évitez les basculements propriétaires mono‑vendeur.
  • Gardez des TTL raisonnables : 300–600 s pour app/CDN, 1–24 h pour MX/DKIM. Réglez le cache négatif SOA à 300–600.
  • Mesurez les gains réels : 1–2 RTT économisés avec HTTPS/SVCB (30–120 ms sur mobile), 20–40 ms de p50 en moins en LATAM avec du double anycast.
  • Opérationnalisez : clés matérielles, registrar/registry lock, validation en CI, et exercices trimestriels (trou noir NS, ajout/retrait DS).
  • Comptez 4–6 h ingénieur/mois pour faire tourner le multi‑DNS ; le premier trimestre coûte 20–30 h. L’incident évité le rembourse plusieurs fois.

Ready to scale your engineering team?

Tell us about your project and we'll get back to you within 24 hours.

Start a conversation