J'ai effectué un transfert de domaine avec DNSSEC activé vers un opérateur qui ne prend pas en charge DNSSEC. Le premier opérateur n'a pas la possibilité de désactiver DNSSEC, et je n'y ai pas pensé quand même. Et maintenant, j'ai un problème: le transfert a eu lieu jeudi et le domaine à ce jour n'est pas visible dans le monde entier (y compris le DNS de Google). Cela pourrait-il être dû à DNSSEC? Y a-t-il une chance de terminer la propagation dans cette situation?
Cela pourrait-il être dû à DNSSEC?
Oui, mais impossible d’être sûr de ne pas donner le nom de domaine impliqué, pas même le TLD (les règles de transfert et les données DNSSEC changent en fonction du TLD). Le débogage des problèmes liés à DNSSEC dans le DNS est déjà une tâche compliquée lorsque vous avez le nom du domaine endommagé, mais sans celui-ci, cela devient une tâche impossible.
Même "transfert de domaine" n'est pas très clair, la réponse ci-dessous ne sera que des explications génériques couvrant la plupart des cas normaux.
Quel que soit le fournisseur DNS que vous utilisez pour gérer vos serveurs de noms, si vous activez DNSSEC, vous devez comprendre que vous aurez la maintenance continue que quelqu'un devra faire:
les signatures doivent être régénérées uniquement à l'intérieur des serveurs de noms et, pour des raisons de sécurité, il est recommandé de faire pivoter les clés, généralement au bout de quelques mois pour les ZSK.
si vous modifiez également les KSK (encore une fois de bonnes pratiques de sécurité, mais qui comptent généralement en années et non en mois comme une ZSK), cela signifie que vous devrez modifier l'enregistrement DS dans la zone parent, ce qui signifie pour l'instant donner ce DS au bureau d'enregistrement actuel afin qu'il le transmette au registre qui le publie ensuite (d'autres schémas sont en cours de préparation pour essayer d'éviter le bureau d'enregistrement dans ce cas, .DK
et .CH
/.LI
a ou aura bientôt de telles fonctionnalités)
Ce qui précède signifie donc que tout type de changement de fournisseur de DNS peut avoir des conséquences. Il s’agit d’un problème difficile s’il n’est pas réglé au bon rythme et surtout si l’ancien fournisseur ne coopère pas. Il existe des RFC pour des conseils à ce sujet.
Lorsque vous achetez un nom de domaine, vous allez généralement chez un registraire, chargé d'enregistrer des noms de domaine. Ensuite, si vous souhaitez résoudre ce problème, vous avez besoin du service DNS. Les bureaux d'enregistrement sont également souvent des fournisseurs DNS (y compris pour les noms de domaine qui ne sont pas enregistrés avec eux dans certains cas), mais vous pouvez également choisir un fournisseur DNS externe.
Dans ce second cas, la maintenance de DNSSEC est plus compliquée. Si votre registraire est également votre fournisseur DNS et conserve également automatiquement tous les enregistrements DNSSEC, vous aurez moins à vous inquiéter, bien sûr, mais vous mettez également tout dans le même panier, ce qui constitue un compromis pour comprendre.
Lorsqu'un nom de domaine est transféré entre deux bureaux d'enregistrement, , les serveurs de noms utilisés ne sont pas modifiés au moins au niveau du registre.
Cela signifie que, dès que le transfert est terminé, le domaine, maintenant chez un nouveau bureau d'enregistrement, utilise toujours les mêmes serveurs de noms qu'il utilisait avant le transfert, et donc, s'il était présent auparavant, DNSSEC devrait continuer à fonctionner exactement de la même manière. .
Avec des mises en garde:
si votre fournisseur DNS était votre ancien registraire à partir duquel vous venez de transférer, en fonction du contrat que vous avez signé, il peut ou non arrêter de fournir le service DNS de votre domaine à un deuxième registraire. Même dans ce cas, les bons registraires continueront au moins de fournir un service pendant quelques jours, afin que vous ayez le temps de basculer correctement. Si vous vous trouvez dans une situation où le service DNS est immédiatement coupé après le transfert, vous vous retrouverez bientôt dans un monde de douleur.
si vous avez demandé à votre nouveau bureau d'enregistrement de changer les serveurs de noms pendant le transfert, il devrait effectuer l'opération immédiatement après la fin du transfert. Mais si les nouveaux serveurs de noms ne sont pas configurés exactement comme les anciens, y compris ce qui est lié à DNSSEC et spécialement aux enregistrements DNSKEY
, alors dès que les serveurs de noms auront été modifiés, votre domaine apparaîtra (peut) être cassé pour valider les résolveurs cela produira NXDOMAIN
pour votre domaine car ils verront l'enregistrement DS
dans la zone parente mais aucun enregistrement DNSKEY
dans les serveurs de noms
Maintenant, c’est là que cela dépend beaucoup des TLD.
Avec certains registres, chaque registraire doit être certifié ou au moins vérifié pour DNSSEC et le registre interdira les transferts d'un registre DNSSEC activé à un registre non compatible DNSSEC.
Certains registres peuvent interdire les transferts de domaines activés par DNSSEC (dans ce cas, vous devez d'abord effacer DNSSEC pour revenir au cas non sécurisé, puis transférer, puis remettre en place DNSSEC).
Certains registres peuvent supprimer les enregistrements liés à DNSSEC (c’est-à-dire l’enregistrement DS
dans leur zone (registre)) pendant le transfert, en particulier si le nouveau bureau d’enregistrement n’a pas activé DNSSEC ou n’a pas utilisé un commutateur spécifique demandant à conserver DNSSEC. enregistrements pendant les transferts.
Il existe une extension EPP spécifique pour faciliter le transfert des domaines activés par DNSSEC: mappage de relais de clés pour le protocole de provisioning extensible Cependant:
.NL
Ce qui crée de nombreuses conditions pas souvent trouvées.
Bien que tout le monde l'utilise dans le contexte DNS, c'est faux. Le DNS n'est pas top-down: quand un changement se produit dans une zone, cela ne se répercute pas sur tous les résolveurs récursifs (une tâche impossible de toute façon). Au contraire, les serveurs de noms récursifs commenceront à connaître le changement à un moment donné, selon le contenu de leur cache et les valeurs TTL (Time To Live). C'est pourquoi les changements peuvent apparaître immédiatement, ou après des heures ou des jours, en fonction de la façon dont vous testez, de ce que vous avez déjà testé et de l'endroit où vous l'avez testé.
Vous mentionnez les serveurs DNS Google, qui indique exactement ce qu'il ne faut pas faire: en cas de changements DNS, vous devez d'abord interroger les serveurs de noms faisant autorité (à partir de la zone parent) pour vérifier s'ils ont les valeurs attendues. Ce n’est qu’à partir de ce moment-là que vous pourrez commencer à fouiller dans différentes méthodes récursives publiques, mais rappelez-vous qu’il existe un monde en dehors de Google. Vous pouvez donc également utiliser 1.1.1.1
(CloudFlare), 9.9.9.9
(IBM + PCH), 80.80.80.80
(Freenom) ou 64.6.64.6
(VeriSign), parmi beaucoup d'autres et selon l'entité à laquelle vous décidez d'envoyer vos données. Vous pouvez également commencer par utiliser vos propres serveurs de noms récursifs locaux, soit sur votre propre ordinateur, sur votre réseau local ou sur le réseau de votre fournisseur de services Internet.
Vous avez également des outils de dépannage en ligne:
DNSKEY
maintenant. Première action pour résoudre le problème: allez au registraire et supprimez le matériel DNSSEC (l'enregistrement DS
) pour avoir le temps de configurer à nouveau correctement les serveurs de noms.DS
a été supprimé par registre ou par un nouveau bureau d'enregistrement. Votre domaine devrait alors toujours être résolu correctement, mais vous n'êtes plus protégé par DNSSEC. Première action pour résoudre le problème: revérifiez que votre registraire gère DNSSEC (ce qui signifie simplement être capable d'envoyer des enregistrements DS
au registre) et demandez à votre fournisseur DNS d'activer à nouveau DNSSEC sur votre domaine.