DNSSEC a utiliser avec précaution

Discussion dans 'Administration d'un site Web' créé par caouic, 13 Mai 2015.

  1. caouic
    caouic Nouveau WRInaute
    Inscrit:
    13 Mai 2015
    Messages:
    17
    J'aime reçus:
    0
    Bonjour à toutes et tous,

    J'ai eu la désagréable expérience de voir mon site www.legoodnews.fr devenir indisponible suite à l'activation de la fonctionnalité DNSSEC chez mon hébergeur OVH.
    C'est surtout les DNS du FAI FREE qui m'ont posé des soucis.
    Après avoir désactivé le DNSSEC, après une nouvelle propagation DNS tout est revenu à la normale.

    Cette fonctionnalité est pourtant intéressante du fait qu'elle permet une validation de la résolution DNS par échange de clés.
    Elle participe ainsi à un web plus sécurisé.

    Avez-vous déjà rencontré un comportement similaire avec DNSSEC ?
     
  2. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 549
    J'aime reçus:
    0
    Bonjour,

    oui, je ne sais pas si c'est spécifique à OVH, mais en tous cas en activant le DNSSEC chez eux, les sites étaient inaccessibles depuis les iPhone 5 & 6 via le réseau 3G d'Orange.

    N'importe quel autre téléphone, y compris iPhone 4, ça marchait.
    Ces mêmes téléphones, via un wifi Orange, ça marchait.
    Et en désactivant le DNSSEC, ça marche partout.

    J'aurais tendance à supposer que certains FAI comme Orange mettent des proxies pourris qui corrompent les packets DNS. Mais ce n'est qu'une supposition...
     
  3. caouic
    caouic Nouveau WRInaute
    Inscrit:
    13 Mai 2015
    Messages:
    17
    J'aime reçus:
    0
    Effectivement, le problème a été complexe à identifier. Car, sur certains terminaux cela fonctionnait.
    Cependant, les freebox ne résolvait plus mon site.
     
  4. caouic
    caouic Nouveau WRInaute
    Inscrit:
    13 Mai 2015
    Messages:
    17
    J'aime reçus:
    0
    Salut,
    Et rebelote ! :x
    Encore une fois, j'ai été obligé de désactiver DNSSEC pour mon site lesgoodnews.fr
    Impossible d'y accéder avec la résolution DNS de Free. Après modification avec ceux d'OpenDNS 208.67.222.222 , il fut de nouveau disponible.

    Apparemment, il semble être de nouveau disponible, car la propagation sans DNSSEC a été effectuée. :wink:

    Je vais attendre un petit moment avant de réactiver DNSSEC et participer de nouveau à un Net plus sûr.
     
  5. patapon87
    patapon87 WRInaute passionné
    Inscrit:
    12 Janvier 2010
    Messages:
    1 169
    J'aime reçus:
    0
    Intéressant ca.....
    Vous pensez qu'il vaut mieux les désactiver ?
     
  6. caouic
    caouic Nouveau WRInaute
    Inscrit:
    13 Mai 2015
    Messages:
    17
    J'aime reçus:
    0
    Bonjour,
    J'ai réactivé le DNSSEC pour mon nom de domaine.
    Les réponses DNS, via le dnscheck de pingdom, sont correctes.
    Je n'ai pas remarqué d’inaccessibilité, en particulier chez Free , pour l'instant.

    Wait'n see :)
     
  7. Koxin-L.fr
    Koxin-L.fr WRInaute passionné
    Inscrit:
    15 Janvier 2012
    Messages:
    1 909
    J'aime reçus:
    8
    En même temps, c’est un protocole bancal, puisque tous les acteurs ne sont pas d'accord sur son utilisation donc des problèmes à la pelle régulièrement.
     
  8. caouic
    caouic Nouveau WRInaute
    Inscrit:
    13 Mai 2015
    Messages:
    17
    J'aime reçus:
    0
    Donc, vous préconisez de ne pas l'utiliser ? :eek:
    C'est dommage, celui-ci, participe pourtant à la sécurisation de l'Internet.

    Si je rencontre encore des soucis d'accessibilité, je le désactiverai. :wink:
     
  9. caouic
    caouic Nouveau WRInaute
    Inscrit:
    13 Mai 2015
    Messages:
    17
    J'aime reçus:
    0
    Bonjour,

    De nouveau des problèmes de résolution via les DNS de Free. :x
    Avec OpenDNS, pas de problème ...
    Je désactive définitivement le DNSSEC pour mon site.
     
  10. nulinformatique
    nulinformatique Nouveau WRInaute
    Inscrit:
    17 Mai 2016
    Messages:
    1
    J'aime reçus:
    0
    Bonjour à tous

    Suite même problème et explication de la part d'ovh, si j'ai bien compris :

    Lorsque votre domaine est protégé par DNSSEC, le principe c'est que les informations DNS sont "signées"
    Hors, la "signature" est distribuée d'une autre manière que l'enregistrement DNS proprement dit.

    Et ce qu'il se passe chez Free, c'est que la latence pour le serveur qui délivre la signature est plus longue que le serveur DNS

    Du coup, dans mon cas de ce matin :
    je change mon DNS de cloudflare à anycast

    le DNS free prend en compte le changement de DNS, mais lorsqu'il controle la signature DNSSEC, celle ci n'est pas encore rafraichie, ce qui fait qu'aucun enregistrement n'est délivré (par exemple, si je fais un "dig je-suis-nul-en-informatique.fr" , je n'ai aucun retour alors que le domaine existe depuis longtemps)

    Du coup, l'idée serait :
    quelques jours avant un changement de DNS, on désactive le DNSSEC,
    quelques jours arpès le changement DNS on réactive le DNSSEC,

    et ça permet d'éviter la latence du "serveur de signature"

    J'espère que ça aidera ceux qui passent par ici pour ce même problème.
     
Chargement...
Similar Threads - DNSSEC utiliser précaution Forum Date
Quel tutorial pour Softhsm2 et Opendnssec ? Administration d'un site Web 10 Juillet 2018
Utiliser un sitemap pour un site de 20 pages? Référencement Google 12 Novembre 2018
Comment utiliser la balise <link rel="amphtml" / mode expert Crawl et indexation Google, sitemaps 25 Octobre 2018
Yoast SEO : pourquoi continuer à l'utiliser ? Référencement Google 22 Juin 2018
Quelle solution de forum utiliser pour migration phpbbseo ? Demandes d'avis et de conseils sur vos sites 11 Mars 2018
En 2018, Google n'utilisera plus la méthode de crawl AJAX basée sur _escaped_fragment_ Référencement Google 5 Décembre 2017
Utiliser sous-domaine comme site principal, bonne ou mauvaise idée ? Débuter en référencement 19 Octobre 2017
Comment utiliser array_map si une seule checkbox est cochée ? Développement d'un site Web ou d'une appli mobile 14 Mars 2017
11 techniques avancées pour réutiliser un vieux contenu Référencement Google 12 Janvier 2017
Est-ce un tort d'utiliser un .fr si notre site est rédiger en Anglais Référencement international (langues, pays) 11 Décembre 2016
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice