cominfra/infra-generale
cominfra
/
infra-generale
8
1
Fork 0
Code Issues 31 Pull Requests Activity

DNSSEC : vérifier signatures DS/KSK #172

New Issue
Closed
opened 2024-04-02 21:00:48 +02:00 by neox · 12 comments
neox commented 2024-04-02 21:00:48 +02:00
Owner
Copy Link

Cron récurrent :

New KSK needs DS seen and/or old KSK needs inactivate/remove for zone a-lec.org
New KSK needs DS seen and/or old KSK needs inactivate/remove for zone libre-en-communs.org
New KSK needs DS seen and/or old KSK needs inactivate/remove for zone chalec.org

Cron récurrent : > New KSK needs DS seen and/or old KSK needs inactivate/remove for zone a-lec.org > New KSK needs DS seen and/or old KSK needs inactivate/remove for zone libre-en-communs.org > New KSK needs DS seen and/or old KSK needs inactivate/remove for zone chalec.org
neox added the
bogue
vie privée/sécurité
 labels 2024-04-02 21:00:48 +02:00
lpoujoulat commented 2024-04-02 21:05:22 +02:00
Owner
Copy Link

https://mxtoolbox.com/emailhealth/a-lec.org/
Host Result
Status Warning smtp mail.a-lec.org Reverse DNS does not match SMTP Banner information More Info
Status Warning dns a-lec.org At least one name server failed to respond in a timely manner information More Info
Status Warning dns a-lec.org Local NS list does not match Parent NS list information More Info
Status Warning dns a-lec.org SOA Serial Number Format is Invalid information More Info
Status Warning dns a-lec.org SOA Refresh Value is outside of the recommended range information More Info
Status Warning dns a-lec.org SOA Expire Value out of recommended range

https://mxtoolbox.com/emailhealth/a-lec.org/ Host Result Status Warning smtp mail.a-lec.org Reverse DNS does not match SMTP Banner information More Info Status Warning dns a-lec.org At least one name server failed to respond in a timely manner information More Info Status Warning dns a-lec.org Local NS list does not match Parent NS list information More Info Status Warning dns a-lec.org SOA Serial Number Format is Invalid information More Info Status Warning dns a-lec.org SOA Refresh Value is outside of the recommended range information More Info Status Warning dns a-lec.org SOA Expire Value out of recommended range
neox commented 2024-04-02 21:06:49 +02:00
Author
Owner
Copy Link

Vu ici également : https://dnsviz.net/d/a-lec.org/dnssec/

Vu ici également : https://dnsviz.net/d/a-lec.org/dnssec/
neox commented 2024-04-02 21:09:40 +02:00
Author
Owner
Copy Link

Status Warning dns a-lec.org Local NS list does not match Parent NS list information More Info
Penser à recréer NS1 !

> Status Warning dns a-lec.org Local NS list does not match Parent NS list information More Info Penser à recréer NS1 !
neox commented 2024-04-08 18:31:06 +02:00
Author
Owner
Copy Link

ns1 est recréé mais constatation que les DS côté OVH sont mauvaises. Tentative de corriger ça en cours

ns1 est recréé mais constatation que les DS côté OVH sont mauvaises. Tentative de corriger ça en cours
neox added the
en cours
 label 2024-04-08 18:31:11 +02:00
neox commented 2024-04-10 10:44:16 +02:00
Author
Owner
Copy Link

Ticket ouvert côté OVH suite à impossibilité de changer les DS (erreur de l'interface) :

https://help.ovhcloud.com/csm?id=csm_ticket&table=sn_customerservice_case&sys_id=4a11d8206d2142501e11b7ef098308e3

Ticket ouvert côté OVH suite à impossibilité de changer les DS (erreur de l'interface) : https://help.ovhcloud.com/csm?id=csm_ticket&table=sn_customerservice_case&sys_id=4a11d8206d2142501e11b7ef098308e3
neox commented 2024-04-10 10:49:06 +02:00
Author
Owner
Copy Link

Bonjour,

Nous vous invitons à prendre connaissance du nouveau commentaire apporté à votre demande d'assistance :

Bonjour Monsieur Bourmault,

Je fais suite à notre échange via livechat de ce jour concernant votre difficulté à modifier vos enregistrements DNS.

Comme vu ensemble, votre demande a été escaladée en interne.

Nous revenons vers vous dans les plus brefs délais à ce sujet.

Je vous souhaite une belle journée.

Cordialement,
Héléna L.
L'équipe OVHcloud

> Bonjour, > > Nous vous invitons à prendre connaissance du nouveau commentaire apporté à votre demande d'assistance : > > Bonjour Monsieur Bourmault, > > Je fais suite à notre échange via livechat de ce jour concernant votre difficulté à modifier vos enregistrements DNS. > > Comme vu ensemble, votre demande a été escaladée en interne. > > Nous revenons vers vous dans les plus brefs délais à ce sujet. > > Je vous souhaite une belle journée. > > Cordialement, > Héléna L. > L'équipe OVHcloud
neox commented 2024-04-11 11:51:18 +02:00
Author
Owner
Copy Link

Bonjour Monsieur Bourmault,

Je reviens vers vous au sujet de vos enregistrements DS.

Pourriez-vous je vous prie désactiver le DNSSEC côté OVHcloud ?

Pour ce faire, vous pouvez suivre notre guide : https://help.ovhcloud.com/csm/fr-dns-secure-domain-dnssec?id=kb_article_view&sysparm_article=KB0051643#etape-2-gerer-le-dnssec-de-son-nom-de-domaine

Concernant la clé KSK, pouvez-vous m'indiquer laquelle vous souhaitez utiliser ? Nous en voyons actuellement deux.

Ces éléments nous permettront de poursuivre nos analyses concernant votre demande.

Vous remerciant par avance, je souhaite une belle journée.

> Bonjour Monsieur Bourmault, > > Je reviens vers vous au sujet de vos enregistrements DS. > > Pourriez-vous je vous prie désactiver le DNSSEC côté OVHcloud ? > > Pour ce faire, vous pouvez suivre notre guide : https://help.ovhcloud.com/csm/fr-dns-secure-domain-dnssec?id=kb_article_view&sysparm_article=KB0051643#etape-2-gerer-le-dnssec-de-son-nom-de-domaine > > Concernant la clé KSK, pouvez-vous m'indiquer laquelle vous souhaitez utiliser ? Nous en voyons actuellement deux. > > Ces éléments nous permettront de poursuivre nos analyses concernant votre demande. > > Vous remerciant par avance, je souhaite une belle journée.
neox commented 2024-04-11 11:51:44 +02:00
Author
Owner
Copy Link

Ma réponse :

Ok, je désactive DNSSEC pour les trois domaines. Les KSK des domaines sont :

libre-en-communs.org. IN DNSKEY 257 3 8 AwEAAdG8DXe4YCF/ymqyB5bbSPCIn8/C306Jztt8CfJEG3LuCNjs9Kfj IPZFRJpoJRAKk94KgjBpKVWzvIsvco04NOO/gTEjliBzyIk1fchb17yP IRBqyl5neMwdIhz0hjuQLrh0b6ZZyjr8GOBRp6BDktiirQ0rnJm4uGZi 2gkFRN0k9OvFST9debDtY+vAG3v70cg9Oj6Z55TgiCVPjyx+0baJX6M/ a4Y0lixhiF90lxSnNx3A9BBXntGbs3KzqKXQPR8ijT92AH6Z+uA0Yv8R x45xh1K/Ew3ps7fSIcy9kkiO+jxWx+9IyNiyMDceuV95bOYzJ6hCeMDs 2mDGdRM=

chalec.org. IN DNSKEY 257 3 8 AwEAAbzO5DNzhjQq7TUYvbOq6fNOZSdHrIqZOi2p/htPLTcz5w6dsOca /L2wTpiSEXBvMY8pJ7e73UDFXjq3ff2RPS3igC2HzVdeZ8JbzHT1nzx9 gG79I6RTsmLTQD+cUp5glRH5cbjIQWt/mw8UPVp6i6iiC/EkAifJkYqU gt30OXsE5WzxW2AokcBVbj19t9kCwsx4y0LCZCrxvOO7sFHg2r6ciVr4 ZEx/9ta+fpFLn+8sV2ENFLcbb711BMbeID51ZEOmwawxq8ikYstdp+em GeZHIiq3ZNVHHvBl9iDk95GUTTs77jk4s94bMSrAsTINtgfqNzNc7FMB xoliPBE=

a-lec.org. IN DNSKEY 257 3 8 AwEAAcKfjz5lebwHxq1DuT4zcQw/H/coS5bFWgovubasvS3rMlpv3JxG enCCUcgaflkJrWRN9bID70qwJTq6MHi3BPkTXxIZE9dX0FjzSFsD0tD0 iwMIk93KPNxBVMP+SJJrljya5N1ysIL0ITM5LtcpANhj+f7nFdNs6ZTd cZEnlIg/nKzWTAsAVYLol+LEeUuxk8EmeQ+XXOWpNeWR0Ud38ZQZkVX0 NZ8GRm81xS5+dKRfquJWooBWaHZLkPaCFGOnqnF0hFiUOC8RvybM+B9w C8v31JLHMaiThFeD8iCtv606WalHdZ6HyzJvEYODieHZ0LMF+auTeIbI 13REpS8=

Ma réponse : > > Ok, je désactive DNSSEC pour les trois domaines. Les KSK des domaines sont : > > libre-en-communs.org. IN DNSKEY 257 3 8 AwEAAdG8DXe4YCF/ymqyB5bbSPCIn8/C306Jztt8CfJEG3LuCNjs9Kfj IPZFRJpoJRAKk94KgjBpKVWzvIsvco04NOO/gTEjliBzyIk1fchb17yP IRBqyl5neMwdIhz0hjuQLrh0b6ZZyjr8GOBRp6BDktiirQ0rnJm4uGZi 2gkFRN0k9OvFST9debDtY+vAG3v70cg9Oj6Z55TgiCVPjyx+0baJX6M/ a4Y0lixhiF90lxSnNx3A9BBXntGbs3KzqKXQPR8ijT92AH6Z+uA0Yv8R x45xh1K/Ew3ps7fSIcy9kkiO+jxWx+9IyNiyMDceuV95bOYzJ6hCeMDs 2mDGdRM= > > chalec.org. IN DNSKEY 257 3 8 AwEAAbzO5DNzhjQq7TUYvbOq6fNOZSdHrIqZOi2p/htPLTcz5w6dsOca /L2wTpiSEXBvMY8pJ7e73UDFXjq3ff2RPS3igC2HzVdeZ8JbzHT1nzx9 gG79I6RTsmLTQD+cUp5glRH5cbjIQWt/mw8UPVp6i6iiC/EkAifJkYqU gt30OXsE5WzxW2AokcBVbj19t9kCwsx4y0LCZCrxvOO7sFHg2r6ciVr4 ZEx/9ta+fpFLn+8sV2ENFLcbb711BMbeID51ZEOmwawxq8ikYstdp+em GeZHIiq3ZNVHHvBl9iDk95GUTTs77jk4s94bMSrAsTINtgfqNzNc7FMB xoliPBE= > > a-lec.org. IN DNSKEY 257 3 8 AwEAAcKfjz5lebwHxq1DuT4zcQw/H/coS5bFWgovubasvS3rMlpv3JxG enCCUcgaflkJrWRN9bID70qwJTq6MHi3BPkTXxIZE9dX0FjzSFsD0tD0 iwMIk93KPNxBVMP+SJJrljya5N1ysIL0ITM5LtcpANhj+f7nFdNs6ZTd cZEnlIg/nKzWTAsAVYLol+LEeUuxk8EmeQ+XXOWpNeWR0Ud38ZQZkVX0 NZ8GRm81xS5+dKRfquJWooBWaHZLkPaCFGOnqnF0hFiUOC8RvybM+B9w C8v31JLHMaiThFeD8iCtv606WalHdZ6HyzJvEYODieHZ0LMF+auTeIbI 13REpS8=
neox commented 2024-04-24 15:34:35 +02:00
Author
Owner
Copy Link

Problème résolu : BIND9 génère des espaces dans le hash que l'interface d'OVH ne traite pas, faisant échouer la vérification du hash.

Problème résolu : BIND9 génère des espaces dans le hash que l'interface d'OVH ne traite pas, faisant échouer la vérification du hash.
neox commented 2024-04-24 15:35:45 +02:00
Author
Owner
Copy Link

Regénération des clés KSK effectuées et envoi à OVH pour :

  • libre-en-communs.org
  • a-lec.org
  • chalec.org
  • miaoulec.org
Regénération des clés KSK effectuées et envoi à OVH pour : - [x] libre-en-communs.org - [x] a-lec.org - [x] chalec.org - [x] miaoulec.org
neox commented 2024-04-24 15:39:06 +02:00
Author
Owner
Copy Link

Ça semble OK pour libre-en-communs.org

image

Ça semble OK pour libre-en-communs.org ![image](/attachments/2ec838dc-dc58-41f6-836e-52383f192726)
image.png
114 KiB
neox commented 2024-04-26 09:43:45 +02:00
Author
Owner
Copy Link

Toutes les zones sont OK

Toutes les zones sont OK
neox added
résolu
 and removed
en cours
 labels 2024-04-26 09:43:54 +02:00
neox closed this issue 2024-06-06 10:39:44 +02:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
main
Labels
Clear labels   
suivi
  
adhésion

concerne une nouvelle inscription

  
amont

Ce problème a été signalé au projet amont

  
bloqué

Des raisons extérieures au ticket empêchent son avancement

  
bogue

Il s'agit d'un problème empêchant le bon fonctionnement d'un service

  
déploiement

Concerne le déploiement d'un nouveau projet

  
en cours

Actuellement traité

  
FSDG/RYF/libre

Touche au sujet de l'amélioration de l'état de liberté de l'infrastructure

  
matériel

Tâche ou problème liée à du matériel informatique

  
planifié

planifié/décidé lors d'une réunion ou une discussion de la commission

  
radiation

Concerne la radiation d'une personne

  
rejeté

Non résolvable car inrésolvable, faux problème ou autre raison

  
résolu

Tâche terminée ou problème résolu

  
suivi

   
vie privée/sécurité

Touche à des sujets sensibles et donc prioritaire

No Label
suivi
adhésion
amont
bloqué
bogue
déploiement
en cours
FSDG/RYF/libre
matériel
planifié
radiation
rejeté
résolu
suivi
vie privée/sécurité
Milestone
Clear milestone
No items
No Milestone
Assignees
Clear assignees
No Assignees
2 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: cominfra/infra-generale#172
No description provided.
Delete Branch "%!s(<nil>)"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?