Usage de DNSSEC

Bonjour.

Je voudrais donc utiliser les DNS de CF pour un site hébergé chez LWS (sinon, que ferais-je ici ?)

Donc :

  1. j’inscris mon site,
  2. je récupère les noms des DNS de CF,
  3. avant de changer, je désactive DNSSEC chez LWS,
  4. enfin, je change les DNS de LWS pour ceux de CF.

Là, surprise : impossible d’activer DNSSEC chez CF, ou plutôt : DNSSEC est actif entre le client et CF mais inactif entre CF et LWS. Pourquoi ? Parce que chez LWS il n’y a aucun moyen de renseigner ces fameux champs DS que fournit CF. Je leur ai demandé, nib, nada… Et c’est LWS qui incite à aller chez CF !

À quoi bon changer alors si c’est pour passer d’une connexion sûre à une connexion bâtarde ? D’autant qu’au bout d’un moment, CF, probablement lassé d’attendre, désactive complètement DNSSEC (même entre ses DNS et le client).

Ai-je été clair ? (J’espère…)

La question finale, la voici : est-il indispensable d’activer DNSSEC ?

Je vous remercie pour votre sagacité. La mienne est en défaut, là…

J’ajoute que si des utilisateurs de CF hébergés chez LWS passent par là (si tant est qu’il y en ait…), je suis preneur, qu’ils laissent leurs commentaires.

Comment ont-ils procédé, pour ceux qui auraient réussi à activer DNSSEC ?

Bonjour @pmcr-cf

Merci pour le feedback. Ca pourra aider d’autres utilisateurs de LWS.

La question finale, la voici : est-il indispensable d’activer DNSSEC ?

Non il n’est pas indispensable d’activer DNSSEC. C’est “juste” recommandé.

Par exemple un grand nombre de domaines de notre gouvernement ne l’ont pas activé (tu peux tester rapidement avec https://dnssec-analyzer.verisignlabs.com/).

Une piste si tu souhaites l’implémenter : DNSSEC c’est entre le registrar et le serveur DNS autoritaire. Tu pourrais conserver ton hebergement LWS et changer de registrar (en choisir un qui supporte un DNSSEC externe, je connais gandi mais il doit y en avoir beaucoup d’autre).

Merci

Tobias

Grand merci pour la réponse.

C’est étrange, au moment où j’ai vu qu’une réponse était apportée sur ce forum, j’étais sur le site de… Gandi. Et je viens justement de consulter une carte du déploiement de DNSSEC ; en effet, il n’y aurait qu’un peu plus de 30% des sites en France avec DNSSEC.

Reste à faire un choix : les DNS de CF sans DNSSEC ou ceux de LWS avec.

Pour LWS, le service « après-vente »; si j’ose dire, est mal foutu (sans accabler ceux qui y bossent). Ils recommandent CF sans préciser que les champs DS sont inaccessibles et, donc, DNSSEC inutlisable en dehors de leurs DNS. Mieux, ils ne préviennent jamais de bien désactiver DNSSEC avant de changer les DNS. Résultat : une première tentative chez CF a foiré parce que j’avais gardé DNSSEC chez LWS, d’où gros bazar.

Dernière chose : lors de mon second essai, comme je l’ai précisé au début de ce fil, DNSSEC s’était bien activé entre CF et le client, tout en restant inactif entre CF et LWS (et pour cause). Pourquoi CF a-t-il désactivé l’ensemble au bout d’un moment ? Il y a pourtant une option (je ne me rappelle plus le nom) qui permet ce genre de config. Ou aurais-je mal compris ?

Bonjour,

Reste à faire un choix : les DNS de CF sans DNSSEC ou ceux de LWS avec.

Tu as aussi l’option : conserver l’hebergement chez LWS et changer de registrar, pour pouvoir activer DNSSEC de Cloudflare
C’est le point 2 ici : DNSSEC · Cloudflare DNS docs

Pourquoi CF a-t-il désactivé l’ensemble au bout d’un moment ?

Sur le sujet précis de DNSSEC il n’y a a ma connaissance pas de désactivation automatique mais peut etre qu’apres quelques jour d’echec d’activation Cloudflare abandonne ?!

Merci

Re.

J’ai demandé le transfert du domaine chez Netim. L’hébergement est très satisfaisant chez LWS, dommage qu’ils n’acceptent pas DNSSEC depuis des DNS externes.

Après renseignements (via l’aide de Netim et avec un conseiller), Netim accepte bien DNSSEC depuis tout DNS, y compris externe. Il suffit de leur communiquer les infos générées par CF et ils ajoutent eux-mêmes les champs DS. Peu importe que ce soit eux qui le fassent, du moment que c’est fait…

J’attends le transfert. Une fois effectif, dans un premier temps je serai sur les DNS de Netim puis j’inscrirai mon domaine chez CF et je changerai les DNS de Netim pour ceux de CF. Enfin, j’activerai DNSSEC depuis CF et je pourrai leur envoyer ces fameux champs DS qu’ils complèteront.