Bonjour à toutes et à tous,
Je suis titulaire du nom de domaine servfail.fr, obtenu chez OVH, et qui me sert de bac à sable pour tester une infrastructure DNS autohébergée. La zone correspondante est signée avec DNSSEC par mes propres soins, avec une KSK et une ZSK.
J’ai constaté l’anomalie suivante : lors d’une rotation de KSK, lorsque je mets à jour le jeu d’enregistrements DS en passant par l’API d’OVH, je constate que ce changement n’est pas atomique. Je m’attendais en effet à ce que dans la zone `fr`, l’ancien enregistrement DS soit remplacé par le nouveau.
Or, ce qui se passe réellement, c’est que l’opération se fait en deux temps :
* d’abord, l’enregistrement DS de l’ancienne KSK est supprimée, laissant le jeu d’enregistrements DS pour servfail.fr vierge ;
* puis, seulement 24 h plus tard (à moins que je demande l’accélération de l’opération), le nouvel enregistrement DS est publié.
Cette façon de faire pose problème : sans enregistrements DS pour `servfail.fr` dans la zone parente (`fr`), un résolveur validant ne tiendra pas compte des signatures des jeux enregistrements au sein de la zone `servfail.fr`. Cette méthotde introduit donc une fenêtre de temps pendant laquelle la zone n’est plus protégée par DNSSEC.
Or il n’y a aucune raison de faire cela : ma rotation de KSK emploie la méthode « KSK double », consistant à signer la ZSK avec l’ancienne et la nouvelle KSK simultanément. Une seule opération sur le jeu d’enregistrements DS doit donc suffire.
D’où mes questions :
* Ce comportement est-il documenté ? Je n’ai trouvé aucune ressource dans le centre d’aide, ni dans la documentation de l’API, qui explique que les changements de jeux d’enregistrements DS se déroulent ainsi.
* Serait-il possible d’éviter de passer par l’état « zone non signée » lors d’une modification du jeu d’enregistrements DS ?
Bien cordialement,