Nuage éclatant est un enfer sur ce point.
On a des clients qui ont planté leur prod, pour certains des usines à
cause d'un changement de NS chez le registre. Y a aussi le nuage ciel
bleu A... qui fait de même pour la messagerie, mais ils permettent au
moins de pouvoir laisser les dns ailleurs en mode avancé.
Et pour rappel faire transiter ou stocker des flux qui contiennent des
données RGPD par une entreprise américaines c'est interdit depuis l'été
2020 et la fin du Privacy Shield donc en plus c'est illégal.
Le 21/01/2022 à 22:40, ic a écrit :
io,
Ce soir, je vais vous conter l’histoire de Tartempion.
Tartempion est une grosse boite avec plein de $. Tartemption veut un nouveau
site et se dit, j’aime bien l’extention ccTLD .peuh.
Jusque là, tout va bien.
Tartempion enregistre donc tartempion.peuh chez grandi.net.
Jusque là, tout va bien.
Tartempion décide, pour une raison qui nous dépasse, d’activer DNSSEC chez
Grandi.net.
Jusque là, tout va bien.
Quelques années plus tard, Tartempion décide de changer d’hébergeur. Tartempion
délègue les droits sur son domaine sur grandi.net à $hébergeur.
Jusque là, tout va bien.
Tartempion contracte un expert SEO. L’expert SEO décide que pour le site
plaquette de Tartempion, il faut de “l’optimisation d’images™”. Tartempion est
d’accord et souscrit un contract chez nuage éclatant.
Mais Tartempion est cheap. Il veut le forfait le moins cher chez nuage
éclatant. Celui qui nécessite de migrer ses serveurs DNS chez nuage éclatant.
Jusque là, tout va bien.
Pour changer les DNS, il faut d’abord désactiver DNSSEC. Nous sommes à J-10.
grandi.net confirme que DNSSEC est désactivé.
Jusque là, tout va bien.
J-7. La grande bascoule. On change les DNS pour aller chez nuage éclatant.
Le site tombe.
…
…
…
C’est la panique. L’agence ne sait que faire. L’expert SEO est bouche bée. Le
client est furieux. L’hébergeur est circonspect. Que se passe-t-il ? Mais
qu’est-ce donc que cela ? Et surtout, est-ce qu’on a merdé quelque part ?
whois - ok
host - servfail
8.8.8.8 - servfail
1.1.1.1 - servfail
9.9.9.9 - servail
what !?
C’est là que l’hébergeur se dit, si on allait voir sur dnssec analyzer et
dnswiz. Oh. Surprise. Des clefs invalides.
Que faire…
Activer DNSSEC chez nuage éclatant ? Allez… faute de meilleure idée…
Aucun changement.
Enfin presque.
dnsviz montre que maintenant il y a deux signatures sur le domaine, dont une
invalide.
Que faire…
les gros resolvers publics du marché disent toujours que le domaine est mort…
…
…
…
Nouvelle désactivation de DNSSEC sur grandi.net
Aucun changement.
Ticket ouvert chez grandi.net
aucune réponse
relance
relance du client
à J, grandi.net répond enfin. “Nous avons contacté le registre de .peuh, on
attend”
Puis rien.
…
…
…
L’hébergeur se dit, si on tentait un truc de la dernière chance.
L’hébergeur a un vague souvenir “il y a 4 slots de clefs DNSSEC sur un
domaine”… “avec un peu de chance, c’est du FIFO’…
L’hébergeur crée le domaine sur ses serveurs, par chance, il a gardé une copie
du contenu initial de la zone. Il crée deux paires de paires de clefs… 2 KSK et
2 ZSK…
L’hébergeur change les DNS pour pointer sur les siens.
grandi.net passe d’erreurs 500 en erreurs 404. Apparemment .peuh est
récalcitrant. Au bout d’une heure, les DNS sont finalement pris en compte.
La page pour mettre à jour les clefs DNSSEC est toujours en 404. Reload,
refresh, reconnect.
Ça y est, la page est vierge, l’hébergeur peut mettre ses clefs.
Ajout de la première KSK.
La ZSK.
La seconde KSK.
La seconde ZSK.
Attente…
interminable…
refresh de dnsviz…
encore et encore…
Et soudain…
VICTOIRE!!!
Les 4 slots DNSSEC ont été écrasés par des clefs valides.
Hébergeuer 1
“expert” SEO 0
Depuis le début, l’hébergeur leur disait que passait les DNS chez nuage
éclatant était une mauvaise idée…
Qu’adviendra-t-il de “l’optimisation d’images” après 3 jours de downtime…
la suite au prochain épisode.
++ ic
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
