io, Ce soir, je vais vous conter l’histoire de Tartempion.
Tartempion est une grosse boite avec plein de $. Tartemption veut un nouveau site et se dit, j’aime bien l’extention ccTLD .peuh. Jusque là, tout va bien. Tartempion enregistre donc tartempion.peuh chez grandi.net. Jusque là, tout va bien. Tartempion décide, pour une raison qui nous dépasse, d’activer DNSSEC chez Grandi.net. Jusque là, tout va bien. Quelques années plus tard, Tartempion décide de changer d’hébergeur. Tartempion délègue les droits sur son domaine sur grandi.net à $hébergeur. Jusque là, tout va bien. Tartempion contracte un expert SEO. L’expert SEO décide que pour le site plaquette de Tartempion, il faut de “l’optimisation d’images™”. Tartempion est d’accord et souscrit un contract chez nuage éclatant. Mais Tartempion est cheap. Il veut le forfait le moins cher chez nuage éclatant. Celui qui nécessite de migrer ses serveurs DNS chez nuage éclatant. Jusque là, tout va bien. Pour changer les DNS, il faut d’abord désactiver DNSSEC. Nous sommes à J-10. grandi.net confirme que DNSSEC est désactivé. Jusque là, tout va bien. J-7. La grande bascoule. On change les DNS pour aller chez nuage éclatant. Le site tombe. … … … C’est la panique. L’agence ne sait que faire. L’expert SEO est bouche bée. Le client est furieux. L’hébergeur est circonspect. Que se passe-t-il ? Mais qu’est-ce donc que cela ? Et surtout, est-ce qu’on a merdé quelque part ? whois - ok host - servfail 8.8.8.8 - servfail 1.1.1.1 - servfail 9.9.9.9 - servail what !? C’est là que l’hébergeur se dit, si on allait voir sur dnssec analyzer et dnswiz. Oh. Surprise. Des clefs invalides. Que faire… Activer DNSSEC chez nuage éclatant ? Allez… faute de meilleure idée… Aucun changement. Enfin presque. dnsviz montre que maintenant il y a deux signatures sur le domaine, dont une invalide. Que faire… les gros resolvers publics du marché disent toujours que le domaine est mort… … … … Nouvelle désactivation de DNSSEC sur grandi.net Aucun changement. Ticket ouvert chez grandi.net aucune réponse relance relance du client à J, grandi.net répond enfin. “Nous avons contacté le registre de .peuh, on attend” Puis rien. … … … L’hébergeur se dit, si on tentait un truc de la dernière chance. L’hébergeur a un vague souvenir “il y a 4 slots de clefs DNSSEC sur un domaine”… “avec un peu de chance, c’est du FIFO’… L’hébergeur crée le domaine sur ses serveurs, par chance, il a gardé une copie du contenu initial de la zone. Il crée deux paires de paires de clefs… 2 KSK et 2 ZSK… L’hébergeur change les DNS pour pointer sur les siens. grandi.net passe d’erreurs 500 en erreurs 404. Apparemment .peuh est récalcitrant. Au bout d’une heure, les DNS sont finalement pris en compte. La page pour mettre à jour les clefs DNSSEC est toujours en 404. Reload, refresh, reconnect. Ça y est, la page est vierge, l’hébergeur peut mettre ses clefs. Ajout de la première KSK. La ZSK. La seconde KSK. La seconde ZSK. Attente… interminable… refresh de dnsviz… encore et encore… Et soudain… VICTOIRE!!! Les 4 slots DNSSEC ont été écrasés par des clefs valides. Hébergeuer 1 “expert” SEO 0 Depuis le début, l’hébergeur leur disait que passait les DNS chez nuage éclatant était une mauvaise idée… Qu’adviendra-t-il de “l’optimisation d’images” après 3 jours de downtime… la suite au prochain épisode. ++ ic --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
