J'ai désactivé DNSSEC sur un de mes domaines en vue de préparer sont transfert ailleurs. Habituellement, ça mouline "Désactivation en cours" pendant au moins 24 hrs mais cette fois-ci j'ai été agréablement surpris qu'au bout de qqs heures le statut était déjà passé en "Désactivé". J'ai donc initié le transfert depuis le nouveau registrar sauf qu'au bout de quelques heures le DNS ne répond plus rien… Or que pendant la période de transfert (env. 1 semaine pour un .com) l'ancien DNS devrait continuer à répondre bien sûr. Le lendemain c'est pire, ça ne répond plus depuis presque tout les DNS et après des recherches, je constate qu'il reste un enregistrement DS présent sur le domaine (or que DNSSEC désactivé mais cela a visiblement foiré, j'aurai dû m’inquiéter que c'était trop rapide…). Avec un :
`dig @a.gtld-servers.net domaine.com DS`
je vois effectivement le DS restant et là plus possible d'y toucher… J'ai ouvert un ticket avec le support bien entendu mais cela n'avance pas trop depuis hier… Je suis habituellement content de mes nombreux services chez OVHCloud car je peux tout faire moi-même en manger ou API mais là c'est bloqué complet. Et quand on a besoin de support, c'est difficile à obtenir de l'aide… Sur demande du support j'ai annulé le transfert en cours pour ne pas accumuler les soucis et depuis en attente d'intervention… Quasi 3 jours de perdu déjà pour un souci qui aurait dû être détecté pour le robot de DNSSEC et/ou de transfert.
Quelqu'un a eu une expérience similaire avec un DS orphelin ?
Bonjour,
Quelqu'un sur le forum à déjà eu ce soucis, la seule solution qu'il a eu à été de transférer le domaine.
Cordialement, janus57
Bonjour @janus57. Arf, ce n'est pas très rassurant… J'ai justement annulé le transfert sur demande du support pour qu'ils puissent rectifier le DS fantôme… Mais si la zone parente a toujours la signature qui n'a pas lieu d'y être, après le transfert ça risque toujours de mal fonctionner non ? Ou sinon réinitialiser la zone DNS pour le reconstruire ? (ce serait rapide, j'ai toutes les infos dans une sauvegarde). Mais est ce que ce sera suffisant pour virer le faux DNSSEC upstream ??
Bonjour,
après le transfert ça risque toujours de mal fonctionner non ?
Non car le nouveau registre va prendre la main pour y inscrire ces serveurs DNS donc il va forcément modifier ou supprimer la clé DS.
Cordialement, janus57
Oui, vous avez sûrement raison @janus57 , mais pour un .com ça dure 6~7 jours. Du coup, je me suis inspiré de cette conversation :
https://community.ovh.com/t/Site-inaccessible-8-jours-apr%C3%A8s-changement-DNS-probl%C3%A8me-DNSSEC/62764/4
et j'ai fait les étapes 1, 2 et 3 (de votre propre recommandation dans ce post) et le DNS recommence à répondre maintenant. Je vais attendre et bien laisser mariner que tout soit redevenu stable pour tenter de faire la suite. Mais au moins ça permet de retrouver un environnement fonctionnel. Tjrs pas de retour du support OVH pour aider mais bon, c'est malheureusement sans surprise vraiment.