Messages: 18

Enregistré le: 13 Mai 2015

Message le Mer Mai 13, 2015 15:46

Bonjour à toutes et tous,

J'ai eu la désagréable expérience de voir mon site www.legoodnews.fr devenir indisponible suite à l'activation de la fonctionnalité DNSSEC chez mon hébergeur OVH.
C'est surtout les DNS du FAI FREE qui m'ont posé des soucis.
Après avoir désactivé le DNSSEC, après une nouvelle propagation DNS tout est revenu à la normale.

Cette fonctionnalité est pourtant intéressante du fait qu'elle permet une validation de la résolution DNS par échange de clés.
Elle participe ainsi à un web plus sécurisé.

Avez-vous déjà rencontré un comportement similaire avec DNSSEC ?
Haut
9 Réponses
Messages: 1604

Enregistré le: 26 Fév 2004

Message le Mer Mai 13, 2015 16:55

Bonjour,

oui, je ne sais pas si c'est spécifique à OVH, mais en tous cas en activant le DNSSEC chez eux, les sites étaient inaccessibles depuis les iPhone 5 & 6 via le réseau 3G d'Orange.

N'importe quel autre téléphone, y compris iPhone 4, ça marchait.
Ces mêmes téléphones, via un wifi Orange, ça marchait.
Et en désactivant le DNSSEC, ça marche partout.

J'aurais tendance à supposer que certains FAI comme Orange mettent des proxies pourris qui corrompent les packets DNS. Mais ce n'est qu'une supposition...
Haut
Messages: 18

Enregistré le: 13 Mai 2015

Message le Mer Mai 13, 2015 17:08

Effectivement, le problème a été complexe à identifier. Car, sur certains terminaux cela fonctionnait.
Cependant, les freebox ne résolvait plus mon site.
Haut
Messages: 18

Enregistré le: 13 Mai 2015

Message le Lun Avr 18, 2016 18:31

Salut,
Et rebelote ! :x
Encore une fois, j'ai été obligé de désactiver DNSSEC pour mon site lesgoodnews.fr
Impossible d'y accéder avec la résolution DNS de Free. Après modification avec ceux d'OpenDNS 208.67.222.222 , il fut de nouveau disponible.

Apparemment, il semble être de nouveau disponible, car la propagation sans DNSSEC a été effectuée. :wink:

Je vais attendre un petit moment avant de réactiver DNSSEC et participer de nouveau à un Net plus sûr.
Haut
Messages: 1402

Enregistré le: 12 Jan 2010

Message le Lun Avr 18, 2016 23:41

Intéressant ca.....
Vous pensez qu'il vaut mieux les désactiver ?
Haut
Messages: 18

Enregistré le: 13 Mai 2015

Message le Lun Juil 18, 2016 8:39

Bonjour,
J'ai réactivé le DNSSEC pour mon nom de domaine.
Les réponses DNS, via le dnscheck de pingdom, sont correctes.
Je n'ai pas remarqué d’inaccessibilité, en particulier chez Free , pour l'instant.

Wait'n see :)
Haut
Messages: 1966

Enregistré le: 15 Jan 2012

Message le Lun Juil 18, 2016 9:25

En même temps, c’est un protocole bancal, puisque tous les acteurs ne sont pas d'accord sur son utilisation donc des problèmes à la pelle régulièrement.
Haut
Messages: 18

Enregistré le: 13 Mai 2015

Message le Lun Juil 18, 2016 9:58

Donc, vous préconisez de ne pas l'utiliser ? :o
C'est dommage, celui-ci, participe pourtant à la sécurisation de l'Internet.

Si je rencontre encore des soucis d'accessibilité, je le désactiverai. :wink:
Haut
Messages: 18

Enregistré le: 13 Mai 2015

Message le Ven Aoû 12, 2016 10:15

Bonjour,

De nouveau des problèmes de résolution via les DNS de Free. :x
Avec OpenDNS, pas de problème ...
Je désactive définitivement le DNSSEC pour mon site.
Haut
Messages: 1

Enregistré le: 17 Mai 2016

Message le Lun Déc 12, 2016 16:20

Bonjour à tous

Suite même problème et explication de la part d'ovh, si j'ai bien compris :

Lorsque votre domaine est protégé par DNSSEC, le principe c'est que les informations DNS sont "signées"
Hors, la "signature" est distribuée d'une autre manière que l'enregistrement DNS proprement dit.

Et ce qu'il se passe chez Free, c'est que la latence pour le serveur qui délivre la signature est plus longue que le serveur DNS

Du coup, dans mon cas de ce matin :
je change mon DNS de cloudflare à anycast

le DNS free prend en compte le changement de DNS, mais lorsqu'il controle la signature DNSSEC, celle ci n'est pas encore rafraichie, ce qui fait qu'aucun enregistrement n'est délivré (par exemple, si je fais un "dig je-suis-nul-en-informatique.fr" , je n'ai aucun retour alors que le domaine existe depuis longtemps)

Du coup, l'idée serait :
quelques jours avant un changement de DNS, on désactive le DNSSEC,
quelques jours arpès le changement DNS on réactive le DNSSEC,

et ça permet d'éviter la latence du "serveur de signature"

J'espère que ça aidera ceux qui passent par ici pour ce même problème.
Haut