9 commentaires
salut ! servfail c'est souvent un signe que le ksk ou le zsk est pas bon ou que le ds record chez ton registrar pointe sur une clé qui existe plus dans ta zone. t'as vérifié que le ds record publié correspond bien à la clé publique de ton ksk actuel ?
et les TTLs ? si t'as changé tes clés récemment et que le TTL du DS record ou des clés en zone est super élevé ça peut prendre des heures voire plus pour que tout le monde voie le changement. pense à baisser les TTL avant de faire des modifs majeures
aussi check l'heure de tes serveurs DNS. un décalage d'horloge peut faire foirer la validation DNSSEC car les signatures ont une période de validité. un petit ntpq -p ou timedatectl pour être sûr
t'as essayé de vérifier la chaîne de confiance avec delv? delv @your-ns monapp.com ça te dira si ta zone est bien signée de bout en bout. et delv @1.1.1.1 monapp.com pour voir si le resolver peut valider
alors delv @mon-ns monapp.com marche niquel. tout est ok. mais @1.1.1.1 me donne un bogus. j'ai l'impression que le DS record n'est pas bon ou pas pris en compte. J'ai revérifié le keytag et le digest du KSK et les ai comparés avec ce qui est chez le registrar. C'était ça. Le registrar avait enregistré une valeur de digest incorrecte pour le DS record. J'ai corrigé à la main.
ah la galère classique du copy-paste entre les interfaces des registrars. content que tu aies trouvé. ça prendra ptete un peu de temps pour propager mais ça devrait aller maintenant
Laisser une réponse
Vous devez être connecté pour poster un message !
yo la team! on a migré notre zone DNS primaire sur une nouvelle infra cloud et activé DNSSEC mais on a des soucis de validation. nos clients résolvent pas toujours et des outils externes genre dnssec-debugger remontent des erreurs. le DS record est chez le registrar mais j'ai un doute sur la synchro entre la zone et le registrar