Comment savoir si ma directive CNAME est incorrecte?

YannG26 · October 11, 2024, 8:49am

Bonjour à vous,

Je travail sur un site web qui se nomme coachaac.com :
Le DNS de ce site paramétré via OVH.
Depuis maintenant 1 mois, j'ai plusieurs CNAME qui ne sont pas joignable sur internet.

Après des échanges avec le support OVH, on me dit que la configuration de mes CNAMEs n'est pas correct par rapport au RFC.
Je suis aller relire le document mais je ne vois pas en quoi il y a une erreur ( d'autant plus que ces CNAMES fonctionnait normalement depuis plus 1 an ).

Sur la capture ci dessus le premier CNAME ne fonctionne pas alors que le second fonctionne parfaitement.
en mode edition Texte ça donne ça :
`_89678940a91c641f3ebc615b794ed651.www IN CNAME _7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws.`

Les autres cas qui ne fonctionnent pas on exactement la même forme avec des sous domaines différents.
Comme vous pouvez le devinez ces CNAMEs sont demandés par AWS et je ne fais que copier/coller ce qu'AWS me dit de mettre dans ma configuration DNS.

Savez vous ce qui cloche ? ou quel outils je pourrais utiliser pour valider ma configuration ?

Merci à vous.

janus57_1 · October 11, 2024, 9:22am

Bonjour,

Votre CNAME en www "fonctionne" mais côté OVH, après une fois arrivé côté AWS là c'est "cassé" si jamais vous devez avoir en retour une IP, cela ne présente que un champ TXT

Du coup cela va dépendre de ce que vous appelez "j'ai plusieurs CNAME qui ne sont pas joignable sur internet"

 :~# dig <a href="_89678940a91c641f3ebc615b794ed651.www.coachaac.com" target="_blank" rel="nofollow">_89678940a91c641f3ebc615b794ed651.www.coachaac.com</a> CNAME @dns200.anycast.me ; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> <a href="_89678940a91c641f3ebc615b794ed651.www.coachaac.com" target="_blank" rel="nofollow">_89678940a91c641f3ebc615b794ed651.www.coachaac.com</a> CNAME @dns200.anycast.me ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50248 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; COOKIE: 155e8a007fc68fcb010000006708ed6d69eb29bdc0cd5bcb (good) ;; QUESTION SECTION: ;<a href="_89678940a91c641f3ebc615b794ed651.www.coachaac.com." target="_blank" rel="nofollow">_89678940a91c641f3ebc615b794ed651.www.coachaac.com.</a> IN CNAME ;; AUTHORITY SECTION: <a href="www.coachaac.com." target="_blank" rel="nofollow">www.coachaac.com.</a> 86400 IN NS ns-237.awsdns-<a href="29.com." target="_blank" rel="nofollow">29.com.</a> <a href="www.coachaac.com." target="_blank" rel="nofollow">www.coachaac.com.</a> 86400 IN NS ns-755.awsdns-<a href="30.net." target="_blank" rel="nofollow">30.net.</a> <a href="www.coachaac.com." target="_blank" rel="nofollow">www.coachaac.com.</a> 86400 IN NS ns-1147.awsdns-<a href="15.org." target="_blank" rel="nofollow">15.org.</a> <a href="www.coachaac.com." target="_blank" rel="nofollow">www.coachaac.com.</a> 86400 IN NS ns-1584.awsdns-06.co.uk. ;; Query time: 4 msec ;; SERVER: 46.105.206.200#53(dns200.anycast.me) (UDP) ;; WHEN: Fri Oct 11 09:18:37 UTC 2024 ;; MSG SIZE rcvd: 247 
 :~# dig _7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws ; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> _7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36701 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;_7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws. IN A ;; AUTHORITY SECTION: smwfzlpyzn.acm-validations.aws. 900 IN SOA ns-356.awsdns-<a href="44.com." target="_blank" rel="nofollow">44.com.</a> awsdns-<a href="hostmaster.amazon.com." target="_blank" rel="nofollow">hostmaster.amazon.com.</a> 1 7200 900 1209600 86400 ;; Query time: 24 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP) ;; WHEN: Fri Oct 11 09:20:30 UTC 2024 ;; MSG SIZE rcvd: 174 
 :~# dig _7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws TXT @ns-356.awsdns-<a href="44.com" target="_blank" rel="nofollow">44.com</a> ; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> _7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws TXT @ns-356.awsdns-<a href="44.com" target="_blank" rel="nofollow">44.com</a> ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26103 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;_7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws. IN TXT ;; ANSWER SECTION: _7f34fc755206d5c943b826aecbcf4c0c.smwfzlpyzn.acm-validations.aws. 10 IN TXT "2896b5c358524a5ab9822b56254eaaba" ;; AUTHORITY SECTION: smwfzlpyzn.acm-validations.aws. 172800 IN NS ns-1471.awsdns-<a href="55.org." target="_blank" rel="nofollow">55.org.</a> smwfzlpyzn.acm-validations.aws. 172800 IN NS ns-1842.awsdns-38.co.uk. smwfzlpyzn.acm-validations.aws. 172800 IN NS ns-356.awsdns-<a href="44.com." target="_blank" rel="nofollow">44.com.</a> smwfzlpyzn.acm-validations.aws. 172800 IN NS ns-568.awsdns-<a href="07.net." target="_blank" rel="nofollow">07.net.</a> ;; Query time: 4 msec ;; SERVER: 2600:9000:5301:6400::1#53(ns-356.awsdns-<a href="44.com" target="_blank" rel="nofollow">44.com</a>) (UDP) ;; WHEN: Fri Oct 11 09:25:03 UTC 2024 ;; MSG SIZE rcvd: 278 

Donc soit votre entrée AWS est fausse soit il y a un problème de leur côté.

Cordialement, janus57

fritz2cat · October 11, 2024, 9:54am

Depuis maintenant 1 mois, j'ai plusieurs CNAME qui ne sont pas joignable sur internet.

Je vais poser la question autrement:

Ces 4 enregistrements NS placés chez OVH, c'est vraiment ce qui vous a été demandé ?

~# dig www.coachaac.com ns @ns200.anycast.me
;; AUTHORITY SECTION:
www.coachaac.com. 86400 IN NS ns-237.awsdns-29.com.
www.coachaac.com. 86400 IN NS ns-755.awsdns-30.net.
www.coachaac.com. 86400 IN NS ns-1147.awsdns-15.org.
www.coachaac.com. 86400 IN NS ns-1584.awsdns-06.co.uk.

YannG26 · October 11, 2024, 10:43am

Merci pour votre réponse.
Pour vérifier que c'était correct j'ai utilisé des outils "DNS Lookup" comme dnschecker.org ou mxtoolbox.com/SuperTool.aspx
AWS ce sert de ces enregistrements pour faire une validation DNS et généré un certificat. J'imagine bien qu'une réponse TXT leur suffit.
Pour les 4 enregistrements NS , je vais les vérifier. Je sais que c'est toujours pas 4 qu'ils arrivent et que le site répond correctement.

les CNAMEs que je dis "ne pas être joignable" sont tous des CNAMEs utilisés pour généré des certificats. Tous le reste fonctionne correctement. Et même ça ne touche que quelques certificats et pas tous .

Cordialement,

janus57_1 · October 11, 2024, 10:46am

Bonjour,

Postez complètement votre zone DNS, ce sera plus simple pour vérifier s'il y a des problèmes.

Cordialement, janus57

YannG26 · October 11, 2024, 11:04am

Merci Janus57,

J'ai relancé le processus de regénération des certificats sur AWS et cette fois ci ( apres des 10aines d'essais ces dernieres semaines) ça passe.
Je ne saurais pas pourquoi ça fonction maintenant ( moi je n'ai rien changé) mais ça a été résolus et c'est l'essentiel.
J'imagine que mes Tickets coté OVH et AWS y sont pour quelque chose.

Cordialement,

janus57_1 · October 11, 2024, 11:40am

Bonjour,

indiquez quand même votre zone DNS, car vous avez peut être fait quelque chose de pas bon du tout et qui fonctionne de manière aléatoire.

Cordialement, janus57