DNSSEC a utiliser avec précaution

Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics


caouic
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 18
Enregistré le: 13 Mai 2015

DNSSEC a utiliser avec précaution

Message le Mer Mai 13, 2015 14:46

Bonjour à toutes et tous,

J'ai eu la désagréable expérience de voir mon site www.legoodnews.fr devenir indisponible suite à l'activation de la fonctionnalité DNSSEC chez mon hébergeur OVH.
C'est surtout les DNS du FAI FREE qui m'ont posé des soucis.
Après avoir désactivé le DNSSEC, après une nouvelle propagation DNS tout est revenu à la normale.

Cette fonctionnalité est pourtant intéressante du fait qu'elle permet une validation de la résolution DNS par échange de clés.
Elle participe ainsi à un web plus sécurisé.

Avez-vous déjà rencontré un comportement similaire avec DNSSEC ?


Bool
WRInaute passionné
WRInaute passionné
 
Messages: 1603
Enregistré le: 26 Fév 2004

Re: DNSSEC a utiliser avec précaution

Message le Mer Mai 13, 2015 15:55

Bonjour,

oui, je ne sais pas si c'est spécifique à OVH, mais en tous cas en activant le DNSSEC chez eux, les sites étaient inaccessibles depuis les iPhone 5 & 6 via le réseau 3G d'Orange.

N'importe quel autre téléphone, y compris iPhone 4, ça marchait.
Ces mêmes téléphones, via un wifi Orange, ça marchait.
Et en désactivant le DNSSEC, ça marche partout.

J'aurais tendance à supposer que certains FAI comme Orange mettent des proxies pourris qui corrompent les packets DNS. Mais ce n'est qu'une supposition...


caouic
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 18
Enregistré le: 13 Mai 2015

Re: DNSSEC a utiliser avec précaution

Message le Mer Mai 13, 2015 16:08

Effectivement, le problème a été complexe à identifier. Car, sur certains terminaux cela fonctionnait.
Cependant, les freebox ne résolvait plus mon site.


caouic
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 18
Enregistré le: 13 Mai 2015

Re: DNSSEC a utiliser avec précaution

Message le Lun Avr 18, 2016 17:31

Salut,
Et rebelote ! :x
Encore une fois, j'ai été obligé de désactiver DNSSEC pour mon site lesgoodnews.fr
Impossible d'y accéder avec la résolution DNS de Free. Après modification avec ceux d'OpenDNS 208.67.222.222 , il fut de nouveau disponible.

Apparemment, il semble être de nouveau disponible, car la propagation sans DNSSEC a été effectuée. :wink:

Je vais attendre un petit moment avant de réactiver DNSSEC et participer de nouveau à un Net plus sûr.


patapon87
WRInaute passionné
WRInaute passionné
 
Messages: 1399
Enregistré le: 12 Jan 2010

Re: DNSSEC a utiliser avec précaution

Message le Lun Avr 18, 2016 22:41

Intéressant ca.....
Vous pensez qu'il vaut mieux les désactiver ?


caouic
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 18
Enregistré le: 13 Mai 2015

Re: DNSSEC a utiliser avec précaution

Message le Lun Juil 18, 2016 7:39

Bonjour,
J'ai réactivé le DNSSEC pour mon nom de domaine.
Les réponses DNS, via le dnscheck de pingdom, sont correctes.
Je n'ai pas remarqué d’inaccessibilité, en particulier chez Free , pour l'instant.

Wait'n see :)


Koxin-L.fr
WRInaute passionné
WRInaute passionné
 
Messages: 1962
Enregistré le: 15 Jan 2012

Re: DNSSEC a utiliser avec précaution

Message le Lun Juil 18, 2016 8:25

En même temps, c’est un protocole bancal, puisque tous les acteurs ne sont pas d'accord sur son utilisation donc des problèmes à la pelle régulièrement.


caouic
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 18
Enregistré le: 13 Mai 2015

Re: DNSSEC a utiliser avec précaution

Message le Lun Juil 18, 2016 8:58

Donc, vous préconisez de ne pas l'utiliser ? :o
C'est dommage, celui-ci, participe pourtant à la sécurisation de l'Internet.

Si je rencontre encore des soucis d'accessibilité, je le désactiverai. :wink:


caouic
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 18
Enregistré le: 13 Mai 2015

Re: DNSSEC a utiliser avec précaution

Message le Ven Aoû 12, 2016 9:15

Bonjour,

De nouveau des problèmes de résolution via les DNS de Free. :x
Avec OpenDNS, pas de problème ...
Je désactive définitivement le DNSSEC pour mon site.

nulinformatique
Nouveau WRInaute
Nouveau WRInaute
 
Messages: 1
Enregistré le: 17 Mai 2016

Re: DNSSEC a utiliser avec précaution

Message le Lun Déc 12, 2016 15:20

Bonjour à tous

Suite même problème et explication de la part d'ovh, si j'ai bien compris :

Lorsque votre domaine est protégé par DNSSEC, le principe c'est que les informations DNS sont "signées"
Hors, la "signature" est distribuée d'une autre manière que l'enregistrement DNS proprement dit.

Et ce qu'il se passe chez Free, c'est que la latence pour le serveur qui délivre la signature est plus longue que le serveur DNS

Du coup, dans mon cas de ce matin :
je change mon DNS de cloudflare à anycast

le DNS free prend en compte le changement de DNS, mais lorsqu'il controle la signature DNSSEC, celle ci n'est pas encore rafraichie, ce qui fait qu'aucun enregistrement n'est délivré (par exemple, si je fais un "dig je-suis-nul-en-informatique.fr" , je n'ai aucun retour alors que le domaine existe depuis longtemps)

Du coup, l'idée serait :
quelques jours avant un changement de DNS, on désactive le DNSSEC,
quelques jours arpès le changement DNS on réactive le DNSSEC,

et ça permet d'éviter la latence du "serveur de signature"

J'espère que ça aidera ceux qui passent par ici pour ce même problème.


Formation recommandée sur ce thème :

Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.

Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.

Lectures recommandées sur ce thème :