<div dir="ltr"><div>Hi,</div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Sep 24, 2025 at 2:16 AM Jeroen Massar via dns-operations <<a href="mailto:dns-operations@dns-oarc.net">dns-operations@dns-oarc.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> On 24 Sep 2025, at 00:00, Ondřej Surý <<a href="mailto:ondrej@sury.org" target="_blank">ondrej@sury.org</a>> wrote:<br>
> [..]<br>
> FTR distributing the DNS among multiple TLDs does not increase resiliency. In fact, I believe<br>
> using direct in-domain nameservers is the best option instead of this madness. I have an old<br>
> blogpost on this I might revive and put somewhere again.<br>
<br>
Yep, agree.<br>
<br>
(TLDR: Hierarchical DNS means spreading NS to other TLDs does not help resilience but makes it more fragile ;)<br>
<br>
The joke is that if a TLD of a domain breaks then there is no way to find the NS (even with the NS outside of the broken TLD) anyway, irrelevant in how many TLDs the NS are distributed. Hence it just makes things more fragile as that chance of a TLD breaking goes up</blockquote><div><br></div><div></div><div>Where we're talking about the nameservers for one single domain, say <a href="http://example.com">example.com</a>, I agree.   If the domain is under COM, you already have that TLD as an SPoF, so ideally you might as well use it for the nameserver too.</div><div><br></div><div>For a DNS provider who hosts customer domains across thousands of TLDs though, it's more complicated.   If the customer is using <a href="http://example.org">example.org</a>, putting all of that customer's nameservers on e.g. com would expose them to failures of a second TLD.   In principle, giving that customer four glued nameservers on the TLD of their domain would be optimal, but that's very practically difficult.   Not sure about this one, but many providers (my employer included) offer guaranteed static nameserver IPs, allowing customers to set up "white label nameservers", in-zone.  But the extra work involved is such that most DNS customers wouldn't even understand it, let alone attempt it.   So, using multiple TLDs for a DNS provider is recognition that one can't guess what TLD the customer domain may use, so you don't want to commit them to any one single TLD for their nameservers.  Outages/impairments of the big TLDs are rare, but they do happen.</div><div><br></div><div>Gavin </div><div><br></div><div><br></div><div> </div></div></div>