Problème de validation DNSSEC après migration de zone

Posté par alice21 le 15/05/2024
RÉSOLU
Retour Répondre Créer

Avatar de alice21

alice21

Membre depuis le 26/01/2023

yo la team! on a migré notre zone DNS primaire sur une nouvelle infra cloud et activé DNSSEC mais on a des soucis de validation. nos clients résolvent pas toujours et des outils externes genre dnssec-debugger remontent des erreurs. le DS record est chez le registrar mais j'ai un doute sur la synchro entre la zone et le registrar

# exemple de dig +dnssec qui foire
dig +dnssec monapp.com @1.1.1.1

; <<>> dig 9.16.1-ubuntu <<>> +dnssec monapp.com @1.1.1.1
;; global options: +cmd
;; got answer:
;; ->>header<<- opcode: QUERY, status: SERVFAIL, id: 62232
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
;; QUESTION SECTION:
;monapp.com.                    IN      A

;; Query time: 42 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Ven Fév 23 10:30:00 UTC 2024
;; MSG SIZE  rcvd: 43

Commentaires

Avatar de elise-robin

elise-robin

Membre depuis le 30/11/2019

salut ! servfail c'est souvent un signe que le ksk ou le zsk est pas bon ou que le ds record chez ton registrar pointe sur une clé qui existe plus dans ta zone. t'as vérifié que le ds record publié correspond bien à la clé publique de ton ksk actuel ?

Avatar de uroussel

uroussel

Membre depuis le 25/01/2020

et les TTLs ? si t'as changé tes clés récemment et que le TTL du DS record ou des clés en zone est super élevé ça peut prendre des heures voire plus pour que tout le monde voie le changement. pense à baisser les TTL avant de faire des modifs majeures

Avatar de leon-gimenez

leon-gimenez

Membre depuis le 25/04/2024

aussi check l'heure de tes serveurs DNS. un décalage d'horloge peut faire foirer la validation DNSSEC car les signatures ont une période de validité. un petit `ntpq -p` ou `timedatectl` pour être sûr

Avatar de alice21

alice21

Membre depuis le 26/01/2023

ok le KSK est le même que sur l'ancienne infra j'ai juste importé les clés. les TTLs sont à 3600s. les serveurs sont synchros via NTP. toujours le même souci. j'ai re-publié le DS record chez le registrar au cas où mais ça change rien pour l'instant

Avatar de elise-robin

elise-robin

Membre depuis le 30/11/2019

t'as essayé de vérifier la chaîne de confiance avec `delv`? `delv @your-ns monapp.com` ça te dira si ta zone est bien signée de bout en bout. et `delv @1.1.1.1 monapp.com` pour voir si le resolver peut valider

Avatar de uroussel

uroussel

Membre depuis le 25/01/2020

et ton `RRSIG` pour le SOA, il est là et valide? `dig +dnssec monapp.com SOA` et tu devrais voir le RRSIG. si y'a pas de RRSIG ou qu'il est expiré c'est ton signer qui a un souci

Avatar de alice21

alice21

Membre depuis le 26/01/2023

alors `delv @mon-ns monapp.com` marche niquel. tout est ok. mais `@1.1.1.1` me donne un `bogus`. j'ai l'impression que le DS record n'est pas bon ou pas pris en compte. J'ai revérifié le `keytag` et le `digest` du KSK et les ai comparés avec ce qui est chez le registrar. C'était ça. Le registrar avait enregistré une valeur de digest incorrecte pour le DS record. J'ai corrigé à la main.

Avatar de elise-robin

elise-robin

Membre depuis le 30/11/2019

ah la galère classique du copy-paste entre les interfaces des registrars. content que tu aies trouvé. ça prendra ptete un peu de temps pour propager mais ça devrait aller maintenant

Avatar de alice21

alice21

Membre depuis le 26/01/2023

oui ça commence à résoudre correctement. un grand thx pour l'aide la team ! c'était juste un digest mal copié du ksk pour le ds record

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire