DNSSEC a utiliser avec précaution

caouic

Nouveau WRInaute
Bonjour à toutes et tous,

J'ai eu la désagréable expérience de voir mon site www.legoodnews.fr devenir indisponible suite à l'activation de la fonctionnalité DNSSEC chez mon hébergeur OVH.
C'est surtout les DNS du FAI FREE qui m'ont posé des soucis.
Après avoir désactivé le DNSSEC, après une nouvelle propagation DNS tout est revenu à la normale.

Cette fonctionnalité est pourtant intéressante du fait qu'elle permet une validation de la résolution DNS par échange de clés.
Elle participe ainsi à un web plus sécurisé.

Avez-vous déjà rencontré un comportement similaire avec DNSSEC ?
 

Bool

WRInaute passionné
Bonjour,

oui, je ne sais pas si c'est spécifique à OVH, mais en tous cas en activant le DNSSEC chez eux, les sites étaient inaccessibles depuis les iPhone 5 & 6 via le réseau 3G d'Orange.

N'importe quel autre téléphone, y compris iPhone 4, ça marchait.
Ces mêmes téléphones, via un wifi Orange, ça marchait.
Et en désactivant le DNSSEC, ça marche partout.

J'aurais tendance à supposer que certains FAI comme Orange mettent des proxies pourris qui corrompent les packets DNS. Mais ce n'est qu'une supposition...
 

caouic

Nouveau WRInaute
Effectivement, le problème a été complexe à identifier. Car, sur certains terminaux cela fonctionnait.
Cependant, les freebox ne résolvait plus mon site.
 

caouic

Nouveau WRInaute
Salut,
Et rebelote ! :x
Encore une fois, j'ai été obligé de désactiver DNSSEC pour mon site lesgoodnews.fr
Impossible d'y accéder avec la résolution DNS de Free. Après modification avec ceux d'OpenDNS 208.67.222.222 , il fut de nouveau disponible.

Apparemment, il semble être de nouveau disponible, car la propagation sans DNSSEC a été effectuée. :wink:

Je vais attendre un petit moment avant de réactiver DNSSEC et participer de nouveau à un Net plus sûr.
 

caouic

Nouveau WRInaute
Bonjour,
J'ai réactivé le DNSSEC pour mon nom de domaine.
Les réponses DNS, via le dnscheck de pingdom, sont correctes.
Je n'ai pas remarqué d’inaccessibilité, en particulier chez Free , pour l'instant.

Wait'n see :)
 

Koxin-L.fr

WRInaute passionné
En même temps, c’est un protocole bancal, puisque tous les acteurs ne sont pas d'accord sur son utilisation donc des problèmes à la pelle régulièrement.
 

caouic

Nouveau WRInaute
Donc, vous préconisez de ne pas l'utiliser ? :eek:
C'est dommage, celui-ci, participe pourtant à la sécurisation de l'Internet.

Si je rencontre encore des soucis d'accessibilité, je le désactiverai. :wink:
 

caouic

Nouveau WRInaute
Bonjour,

De nouveau des problèmes de résolution via les DNS de Free. :x
Avec OpenDNS, pas de problème ...
Je désactive définitivement le DNSSEC pour mon site.
 

nulinformatique

Nouveau WRInaute
Bonjour à tous

Suite même problème et explication de la part d'ovh, si j'ai bien compris :

Lorsque votre domaine est protégé par DNSSEC, le principe c'est que les informations DNS sont "signées"
Hors, la "signature" est distribuée d'une autre manière que l'enregistrement DNS proprement dit.

Et ce qu'il se passe chez Free, c'est que la latence pour le serveur qui délivre la signature est plus longue que le serveur DNS

Du coup, dans mon cas de ce matin :
je change mon DNS de cloudflare à anycast

le DNS free prend en compte le changement de DNS, mais lorsqu'il controle la signature DNSSEC, celle ci n'est pas encore rafraichie, ce qui fait qu'aucun enregistrement n'est délivré (par exemple, si je fais un "dig je-suis-nul-en-informatique.fr" , je n'ai aucun retour alors que le domaine existe depuis longtemps)

Du coup, l'idée serait :
quelques jours avant un changement de DNS, on désactive le DNSSEC,
quelques jours arpès le changement DNS on réactive le DNSSEC,

et ça permet d'éviter la latence du "serveur de signature"

J'espère que ça aidera ceux qui passent par ici pour ce même problème.
 

Discussions similaires

Haut