web-dev-qa-db-fra.com

Temps de propagation longs après le transfert d'un nom de domaine et la modification des enregistrements NS sans désactiver DNSSEC

J'ai récemment fait l'erreur de transférer un domaine vers un nouveau registraire et de changer les serveurs de noms sans désactiver DNSSEC sur l'ancien registraire et j'ai donc vu des temps de propagation assez longs.

Est-ce attendu? Et cela fonctionnera-t-il tout seul avec suffisamment de temps ou puis-je faire quelque chose pour résoudre le problème?

2
user101018

Outre le fait qu'il n'y a pas de véritable "propagation" dans le DNS, même si tout le monde le dit (car le flux des modifications n'est pas appliqué de haut en bas, mais les choses sont récupérées à partir des serveurs de noms récursifs "en bas"), tout ce qui se passe dans ce domaine majoritairement orthogonales au cas d'utilisation de DNSSEC ou non.

La modification des serveurs de noms (ce qui peut se produire même sans changer de bureau d'enregistrement) pour un domaine signé DNSSEC est en effet actuellement encore un problème. Il a divers assistants mais pas de solution générique, et est particulièrement difficile si l'opérateur actuel (ancien) des serveurs de noms n'est pas disposé à coopérer.

Vous devez vous rappeler que les enregistrements DNS ont des TTL (ce à quoi les gens font souvent allusion lorsqu'ils parlent de propagation), puis DNSSEC introduit les enregistrements RRSIG qui codent à la fois une heure de début et une heure de fin pour chaque signature spécifique.

Votre question manque de détails exploitables, mais ce qui peut arriver, c'est que les caches récursifs du monde entier ou au moins celui que vous testez ont mis en cache les enregistrements DNSKEY précédents, DS et les enregistrements RRSIG, avec divers TTL. Les TTL sont contrôlé par différentes entités: les TTL sur les serveurs de noms lui-même sont définis par le registre, de même pour DS enregistrements qui vivent uniquement dans le parent, où les TTL sur les enregistrements DNSKEY/RRSIG précédents sont définis par l'opérateur précédent des serveurs de noms car ils vivent dans la zone enfant.

Notez que les problèmes liés aux DNS dans les modifications seront différents des problèmes liés à DNSSEC: si, par exemple, vous ne voyez pas de nouveau contenu (car les caches ont toujours d'anciennes valeurs), vous obtiendrez NXDOMAIN réponses (l'enregistrement n'existe pas), ou l'ancien record précédent avec certains TTL. Mais si vous avez des problèmes liés à DNSSEC, vous obtiendrez SERVFAIL réponses.

puis-je faire quelque chose pour résoudre le problème?

Honnêtement, à ce stade, vous ne décrivez pas votre problème avec suffisamment de détails pour vraiment vous aider. Selon l'étape à laquelle vous vous trouvez, la façon dont les choses sont mises en cache et ce qui échoue exactement, la meilleure solution peut être différente. Si le domaine n'est pas essentiel à la vie, attendre que les choses se règlent est probablement le plan d'action le plus sain/le plus simple.

Autre aide possible (qui pourrait également créer encore plus de problèmes, donc tout dépend de détails que nous ne connaissons pas):

  • revenir aux anciens serveurs de noms pour le moment (afin que vous ayez le temps plus tard de gérer correctement le changement, y compris potentiellement de supprimer DNSSEC avant de changer les choses même si c'est pour le réappliquer plus tard. Une triste façon de faire les choses, mais parfois la seule pratique )
  • que les nouveaux serveurs de noms servent les mêmes enregistrements DNSKEY et RRSIG, au moins jusqu'à ce que les entrées actuelles expirent de tous les caches
  • assurez-vous que l'enregistrement DS est supprimé du côté du registre (pas assez clair dans la description si vous êtes dans ce cas ou non)

Cette page peut vous donner quelques conseils sur la façon de gérer le transfert signé: https://help.dyn.com/transfer-a-dnssec-signed-zone/ Et il y a aussi ce projet de l'IETF qui compile beaucoup de sagesse sur le sujet: https://tools.ietf.org/html/draft-koch-dnsop-dnssec-operator-change-06 en citant son résumé:

La modification de la délégation DNS pour une zone DNS est assez complexe si elle est effectuée par les livres, mais le plus souvent gérée de manière pragmatique dans la pratique opérationnelle actuelle au plus haut niveau avec les registres et les bureaux d'enregistrement. Ce document décrit une procédure de changement de délégation qui maintient la cohérence et la validation sous DNSSEC.

Notez également que certains registres peuvent donner des instructions spécifiques pour des cas comme celui-ci, cela dépend donc du TLD:

  • dans certains registres, les bureaux d'enregistrement doivent être spécifiquement accrédités DNSSEC, et vous ne pouvez pas transférer un domaine compatible DNSSEC vers un bureau d'enregistrement non accrédité DNSSEC
  • dans certains registres (comme .FR), lors d'un transfert, vous devez spécifier si DS enregistrements doivent être conservés ou sauvegardés
  • dans certains registres (comme .NL) vous avez une extension EPP spécifique (keyRelay) pour aider les bureaux d'enregistrement coopérants à échanger les clés nécessaires au transfert correct des domaines activés DNSSEC (mais n'oubliez pas que le problème n'est pas le changement de bureaux d'enregistrement, mais le changement de serveurs de noms qui peut se produire même sans changer de bureau d'enregistrement).
2
Patrick Mevzek