CF declares wrong NS records and not pass nic.it DNS check


#1

as usual after entering a domain CF it asks me to update the dns for a .IT domain, this time into

lakas.ns.cloudflare.com
marjory.ns.cloudflare.com

but this operation fails the check performed by nic.it because

dig @lakas.ns.cloudflare.com example.com

return others NS records and not as expected
lakas.ns.cloudflare.com
marjory.ns.cloudflare.com

I suspect it’s a generation dns bug (CloudFlare)

probably the error is not highlighted without a thorough check and everything works

the tool available on-line here https://dns-check.nic.it/


#2

Without knowing the .it domain, there isn’t anything the general forum can help with. You’d have to open up a Support ticket: support AT cloudflare DOT com


#3

this is the problem:

$ dig +short @lakas.ns.cloudflare.com NS rovigoindiretta.it
james.ns.cloudflare.com.
pola.ns.cloudflare.com.

shoud be

$ dig +short @lakas.ns.cloudflare.com NS rovigoindiretta.it
lakas.ns.cloudflare.com.
marjory.ns.cloudflare.com.


#4

you can use https://dns-check.nic.it/ also for not .IT domain to check if problem exists in other domains, i.e. .COM domains


#5

Currently, WHOIS and nic.it say your name servers are keliweb.

It sounds like Cloudflare wants you to use lakas and marjory.

But nic.it won’t let you use lakas and marjory? I know this has come up before and it’s a common problem with .it registration. I think at some point, Cloudflare used James and pola for your domain’s NS, but hasn’t flushed it. And because your registrar won’t let you force a name server change, you’re stuck.

I’m going to call on @Matteo since he’s pretty good with this situation.


#6

Thanks for the mention.

Gonna reply in Italian to @alessandro1 if you don’t mind.


Ti cito direttamente @cscharff, che ha detto che a volte capita e che spesso bisogna contattare il supporto perché ci sono delle verifiche che alcuni register di .it e .de non accettano. Se leggi la conversazione dall’altra parte c’è lo stesso problema, se ho capito bene.


#7

Thanks @matteo for quicky reply,
I try to explain it in Italian.

Sono Registrar accreditato per .IT dal 2004 e ho a che fare con server DNS da 15 anni.

CF chiede di impostare dei DNS, non configurati correttamente, in quanto se interrogati restituiscono record NS diversi. Il Registro Italiano ha deciso di fare questo controllo prima di delegare il dominio (non chiedermi perché), trova l’errore e non li delegherà mai.

Il problema esiste, per il punto IT viene semplicemente rilevato dal Registro, ma il problema è di CloudFlare. Se il mio dominio fosse stato un punto COM semplicemente il problema non sarebbe emerso e tutto funzionerebbe portandosi dietro l’errore.

Se cloudflare mi chiede di impostare per il dominio

lakas.ns.cloudflare.com
marjory.ns.cloudflare.com

il seguente comando dovrebbe restituire gli stessi, e invece

$ dig +short @lakas.ns.cloudflare.com NS rovigoindiretta.it
james.ns.cloudflare.com.
pola.ns.cloudflare.com.

lakas AND marjory != james AND pola

Ho provato a cancellare il dominio e reinserirlo ma il risultato non cambia.

Se avete il dubbio che sia un problema del Registro .IT controllate con il tool zonecheck
del registro Francese.

Che restituisce un

Fatal
f: The nameserver list doesn’t match the given one

The given nameserver list (lakas.ns.cloudflare.com, marjory.ns.cloudflare.com) is not consistent with the one retrieved from the zone (james.ns.cloudflare.com, pola.ns.cloudflare.com).

Tra l’altro faccio presente che interrogando james.ns.cloudflare.com, pola.ns.cloudflare.com ricevevo delle risposte per il mio dominio, che ho scoperto sulla mia pelle essere non corrette da cui la decisione di fare revert sui DNS.

Spero di essere stato chiaro, se mi dite dove sbaglio avete delle birre pagate nel pub più vicino :wink:

Alessandro De Zorzi


#10

Hi @sdayman and @matteo for the reply,
my last messages hidden (Due spam?)

anyway, in short:

@sdayman right, I am stuck due a incorrect configuration of namesarever proposed

the error not appears for .COM domains of others TLD not perform a NS record check

dig +short @lakas.ns.cloudflare.com NS rovigoindiretta.it

shoud rerutn

lakas.ns.cloudflare.com.
marjory.ns.cloudflare.com.

and not

james.ns.cloudflare.com.
pola.ns.cloudflare.com.

this is not a Italian Registry issue, see also zonecheck tools

HTH
Alessandro

PS someone in CF can fix the DNS zone for rovigoindiretta.it

PSS

@mattep ci sono 3 milioni di domini .IT, a CloudFlare interessa aggredire questo mercato? Dal mio punto di vista l’errore è di configurazione dei dns proposti, errore che non si palesa per top level domain che non fanno controlli sui record NS, quindi se avevo un .COM l’errore non era bloccante ma esisteva comunque


#11

Credo che questo problema avvenga quando il dominio è già stato registrato su Cloudflare da un altro account. A questo punto Cloudflare serve le prime impostazioni (da qualsiasi dei suoi NS, dato che alla fin fine sono la stessa cosa) a meno che non veda i DNS delegati ad altri di un altro account, ma il registrar .it non delega se non verifica la risposta corretta e quindi siamo in un loop infinito.

Ho registrato più di un dominio .it, tutti per la prima volta, senza nessun problema. Cloudflare ha ragione se non risponde con i dati aggiornati prima di verificare che il dominio sia effettivamente di tuo possesso. Creerebbe problemi seri all’eventuale proprietario e sarebbe un modo per fare un attacco e rendere un sito irraggiungibile.

Devi contattare il supporto nella pagina del supporto (support.cloudflare.com) o mandare una mail dalla mail del tuo account a support[@]cloudflare[.]com


@sdayman use the translate button, it works beautifully.


#12

grazie @matteo per la risposta

non escludo che il dominio sia stato registrato su Cloudflare da un altro account (anche se non era in uso), ma credo che se così fosse avrei ricevuto un avviso, come mi è già capitato usando le API

il ticket lo ho già aperto ma chi mi risponde usa template preconfigurati che in sostanza dicondo che devo impostare i DNS

scusa lo sfogo, ma ho a che fare con i server DNS da 15 anni e vorrei che un problema chiaro e segnalato sia preso con la dovuta attenzione facendo escalation a qualcuno che possa risolverlo


#13

Non credo che Cloudflare avvisi se il dominio viene registrato nuovamente.

La prima e spesso anche la seconda risposta sono template spesso e volentieri. Manda un collegamento a questa conversazione se serve.

Prevedo anche che il problema della lingua ci possa essere, dato che deduco non sia la tua lingua principale.

Qui non è un problema di DNS, ma un problema di sicurezza del dominio dovuto a una problematica causata da un registrar italiano che si comporta diversamente dallo standard internazionale.


#14

@matteo ho fatto un test via API e il risultato è il seguente:

{"request":{"act":"full_zone_set"},"response":{"act":"full_zone_set","zone_name":"rovigoindiretta.it","jumpstart":true,"msg":"Have the user set their nameservers on their registrar to brad.ns.cloudflare.com, val.ns.cloudflare.com respectively to complete the zone signup process"},"result":"success","msg":null}

questo vuol dire che utenti diversi possono richiedere attivazione di zone per lo stesso dominio, causando oltre a possibili collisioni una risposta errata dei server DNS, trovo veramente strano che nessuno se ne sia mai accorto prima

per quanto riguarda la lingua, il mio Inglese non è buono, tuttavia i comandi dig dovrebbero essere chiari,mi dispiace contraddirti ma interrogando i DNS forniti da CloduFlare relativamente ai record NS (non sto parlando dei record A o altri tipi di record) non è congruente

Fai un test tu stesso da un tool (Francese) come http://zonecheck.org/
inserisci il dominio “rovigoindiretta.it” e DNS richiesti

val.ns.cloudflare.com
brad.ns.cloudflare.com

e otterrai l’errore

Fatal
f: The nameserver list doesn't match the given one

    The given nameserver list (brad.ns.cloudflare.com, val.ns.cloudflare.com) is not consistent with the one retrieved from the zone (james.ns.cloudflare.com, pola.ns.cloudflare.com).

Trovo frustrante che al momento ci sia la presunzione che il problema non sia di cloudflare, quando la risposta si può desumere oggettivamente da un comando

dig @NS_FORNITO_DA_CF NS example.com

Alessandro


#15

forse non è chiaro, il controllo non lo fa un Registar, ma il Registro Italiano delegato per il ccTLD che gestisce 3 milioni di domini, puoi fare una verifica dal tool on-line https://dns-check.nic.it/

Alessandro


#16

Rispondo a entrambi i messaggi assieme.

Lo sanno che può capitare quello che dici, proprio per quello è strutturato così.

Se due persone, tu ed io, registriamo su Cloudflare lo stesso dominio ci vengono dati due indirizzi dei NS diversi (sempre diversi, non ricordo se 51 nomi di uomini + 50 di donne). Il primo che registra il dominio diventa autoritario per Cloudflare e serve quei record, ma se il dominio cambia i suoi NS su quelli dell’altro cambia e impedisce che ci possa essere un’appropriazione indebita del dominio.

Non conta nulla che ora Cloudflare serva i NS di un’altra persona, appena tu cambi i NS del dominio capiscono che l’altra non ha autorità su questa cosa e lo bloccano.

Il problema è che il NIC italiano (l’ho chiamato registrar, ma quello è alla fine) controlla questa cosa e nel caso di domini su più account la verifica fallisce. Se registri un dominio nuovo non ci sono problemi, ma in alcuni casi, come questo, ci sono dei problemi quindi dicono di contattare il supporto per risolvere perché in Cloudflare dovranno fare o una verifica manuale o ti resettano i record serviti così da permettere la registrazione automatica.

Non c’è nessuna presunzione (io non lavoro nemmeno per Cloudflare), ma c’è la certezza che non sia un problema di Cloudflare, ha sempre funzionato così, non sei l’unico a cui è capito ed è sempre stato risolto così.

Se hai problemi a farti capire dal supporto quello è un’altra cosa. Traduci con Google Translate piuttosto. Capita a volte che chi è dall’altra parte prenda per utente non esperto una persona che sa di cosa stia parlando perché magari si è spiegato male, specialmente se utente gratuito che non porta nessun guadagno, ma generano tante richieste di assistenza.


#17

@matteo grazie per la risposta e la pazienza, dimmi come secondo te posso risolvere, visto che sono in un vicolo ceco, dal momento che i DNS che CloudFlare impone il Registro Italiano non li delegherà mai


#18

l’unica cosa che mi viene in mente è adottare una soluzione basta su cNAME

per la questione verifica dei nameserver rimango dell’idea che quelli che sono proposti non sono RFC compliant


#19

La migliore soluzione è aspettare di avere una risposta dal supporto. Posso chiedere se uno degli admin qui può darti una mano. Riesci a dirmi il numero del ticket di supporto?


Hey @ryan or @cscharff , would you mind taking a look at @alessandro1’s issue with rovigoindiretta.it? He is waiting on a reply on the support ticket, but has some problems with the english language and they seem to not be helping him. Read the previous posts (any issue with the translation contact me without problems) for a background on the issue.


#20

@matteo è il 1556658

ho scritto come da te suggerito, se mi resettato tutte lo zone e parto da soluzione pulita può essere risolutivo, però devono dirmi se devo cancellare il dominio prima (cosa che ho già fatto pagando altri 20 USD)


#21

Grazie.

Non dovrebbe servire cancellare il dominio. Se c’è stato un doppio addebito diglielo che te lo dovrebbero stornare (ammesso che non lo facciano già comunque). Nel caso aggiungilo prima con free, poi appena funzionante fai upgrade.


For @ryan and @cscharff: support ticket 1556658.


#22

@rovigoindiretta I believe this should now pass the check at the registrar. The issue was as you described @matteo and I hit the server with a small hammer to sort it out.

Cordiali saluti,

Chris