la Tourmentine

Il y a un mois j'ai mis en place DNSSEC pour sécuriser mes serveurs de noms. Tout c'est bien passé, j'ai même fait un petit script pour signer mes zones après chaque mise à jour.

Sauf que j'avais zappé un truc: l'expiration des clés. Chaque enregistrement reste valable...30 jours. Au bout de cette période les clés sont invalidées (ce qui brise la chaîne), les résolveurs cessent de faire confiance aux serveurs de noms. Les domaines disparaissent donc du réseau...

C'est ce qui est m'est donc arrivé hier soir, et a persisté sans doute un peu toute la journée. Avec l'ensemble des sites aux fraises, et sans doute pas mal de retard de mails.

Du coup je pense que je vais remettre l’expérience DNSSEC à plus tard.

Edit 11/10: DNSSEC is back, avec cette fois des dates d'expiration beaucoup plus lointaines, et surtout du monitoring.