OVH Community, votre nouvel espace communautaire.

DNSSEC : accès impossible avec certains FAI


leconcombre
11/01/2016, 20h55
Citation Envoyé par lighthammers
Problem regler en demandant au registrar bluehost d'agir au sein de sont departement gestion de domaine et de supprimer le fichier DS ( delegation signer) Record. apres avoir insister et relancer des tickets et session de chat support c'est enfin passer. je laisse ses infos pour les gens qui risque de tomber sur le meme soucis que moi histoire de savoir quoi demander et ou le faire.

Merci a tous ceux qui ont contribuer.
Cool, je t'avais dit d'insister, c'est la clef

lighthammers
11/01/2016, 20h41
Problem regler en demandant au registrar bluehost d'agir au sein de sont departement gestion de domaine et de supprimer le fichier DS ( delegation signer) Record. apres avoir insister et relancer des tickets et session de chat support c'est enfin passer. je laisse ses infos pour les gens qui risque de tomber sur le meme soucis que moi histoire de savoir quoi demander et ou le faire.

Merci a tous ceux qui ont contribuer.

lighthammers
11/01/2016, 09h41
Citation Envoyé par Nowwhat
... et, si simplement ton registar ne pourrait RIEN faire (comme modifier ou supprimer quelque chose dans le zone parent) car ton paramétrage "fait tout planter" ?
Le fait d'avoir deux NS avec le même IP reste un méga erreur .... un erreur qui n'est pas remonté vers toi, mais qui bloque tout tentative de ta part de modification de ta part (et peut être même un niveau au dessus de toi, ton registrar ne pourrait pas valider une nouvelle zone acec deux NS identiques).

Fait en sorte que (par exemple) http://www.dnsinspect.com ne pleur plus. Ça va forcement avancer les choses.
non les name servers sont bon il y'en as 2x different par domaine, le fait d'avoir une seule addresse ip ne pose aucun problem, d'ailleur c'etait configurer sur les 2x ip address du registrar avant et ca ne posais aucun soucis. d'autant plus que le problem on sait ou il se trouve c juste le DS Record qu'il faut delete.

DS record qui est toujours present qu'on peut spot via cette outil par exemple : http://dnssec-debugger.verisignlabs....u-industry.com

il faudrais que ca soit comme pour notre deuxieme domaine qui est natif de chez bhost donc sans DS Record : http://dnssec-debugger.verisignlabs....-industrie.com



Merci en tout cas de ta contribution.

Nowwhat
11/01/2016, 09h21
... et, si simplement ton registar ne pourrait RIEN faire (comme modifier ou supprimer quelque chose dans le zone parent) car ton paramétrage "fait tout planter" ?
Le fait d'avoir deux NS avec le même IP reste un méga erreur .... un erreur qui n'est pas remonté vers toi, mais qui bloque tout tentative de ta part de modification de ta part (et peut être même un niveau au dessus de toi, ton registrar ne pourrait pas valider une nouvelle zone acec deux NS identiques).

Fait en sorte que (par exemple) http://www.dnsinspect.com ne pleur plus. Ça va forcement avancer les choses.

lighthammers
11/01/2016, 07h42
Citation Envoyé par leconcombre
Et pourtant il va falloir que le registar qui a aujourd'hui autorité sur ton nom de domaine supprime ce DS Record.
Il n'y a que eux qui peuvent le faire.
j'ai eu un accees sur le whm (webhost manager) et comme vous le voyez sur le screenshot le DS Record pas possible d'y avoir acceess , on as proceder a un restart dns bind, reset de la zone dns, dns clean up ,...bref rien ne marche.

http://zupimages.net/up/16/02/7gq6.png

http://zupimages.net/viewer.php?id=16/02/7gq6.png

leconcombre
10/01/2016, 22h08
Et pourtant il va falloir que le registar qui a aujourd'hui autorité sur ton nom de domaine supprime ce DS Record.
Il n'y a que eux qui peuvent le faire.

lighthammers
10/01/2016, 21h21
Citation Envoyé par leconcombre
C'est mon nouvel hébergeur qui m'a donné la réponse, donc ça doit être au tien (bluehost) de pouvoir te dire qui c'est.

Bluehost est ton hébergeur. FastDomain est ton registar selon whois point net.
Pour moi, EPAG est mon registar, qui semble pour toi FastDomain. Mon global Registar est, selon le support de mon hébergeur, "TuCows". Mais EPAG fait partie du groupe TuCows, donc pour toi, ça doit être FastDomain ou le groupe auquel il appartient.

C'est peut-être juste une question de filiale etc, mais dans tous les cas, ton hébergeur bluehost doit pouvoir tout te dire et gérer cela avec eux.
c'est quasi impossible de regler ca via chat avec le support technique bluehost. en essayons avec Fastdomain c pareil... ils disent tous un message qui se rapproche de ca : "im sorry but we as a company do not change DS Record, as i said if you would like you can submit a tickt and a higher up may be able to change that but as i said it is unlikely" .

je continue d'insister mais ca deviens laborieux.

leconcombre
10/01/2016, 15h12
C'est mon nouvel hébergeur qui m'a donné la réponse, donc ça doit être au tien (bluehost) de pouvoir te dire qui c'est.

Bluehost est ton hébergeur. FastDomain est ton registar selon whois point net.
Pour moi, EPAG est mon registar, qui semble pour toi FastDomain. Mon global Registar est, selon le support de mon hébergeur, "TuCows". Mais EPAG fait partie du groupe TuCows, donc pour toi, ça doit être FastDomain ou le groupe auquel il appartient.

C'est peut-être juste une question de filiale etc, mais dans tous les cas, ton hébergeur bluehost doit pouvoir tout te dire et gérer cela avec eux.

lighthammers
10/01/2016, 14h47
Citation Envoyé par leconcombre
Le nouvel hébergeur m'avait aussi demandé de reset la zone dns file, mais il faut juste bien insister pour demander la suppression du DS Record par le "global registar".

Bonne chance.
le global registrar dans mon cas c qui ? bluehost ? fastdomain ? iana ?

leconcombre
10/01/2016, 14h41
Le nouvel hébergeur m'avait aussi demandé de reset la zone dns file, mais il faut juste bien insister pour demander la suppression du DS Record par le "global registar".

Bonne chance.

lighthammers
10/01/2016, 13h02
Citation Envoyé par leconcombre
Bonjour,

Le plus simple sera de tapper "universfreebox leconcombre" sur google, puis dernière page du topic.

Il s'agit simplement d'un récap du problème et de sa solution.
Merci beaucoup a vous leconcombre et janus d'avoir participer et aider pour trouver une solution a notre problem, le thread sur universfreebox s'est avéré trés utile. c'est exactement le meme problem que j'ai. bluehost du coup t'envoie dans la gestion zone dns pour reset zone dns file tout seul sur ton cpanel mais ca ne marche pas. car il faut qu'il delete leur DS Record directement de chez le global registrar. bref je retente ma chance au support tech. Souhaitez moi bonne chance.

Note : sinon ovh vue que vous lirez surement ce message, svp faites un effort pour bien finaliser votre boulot en desactivant le DNSSEC au moment de transfert de domaine. car pour votre service support les emails sa repond pas, les tickets sa repond pas. quand on est client ou pas ca ne change pas grand chose sur ces points malheureusement.

leconcombre
10/01/2016, 12h18
Bonjour,

Le plus simple sera de tapper "universfreebox leconcombre" sur google, puis dernière page du topic.

Il s'agit simplement d'un récap du problème et de sa solution.

janus57
10/01/2016, 12h02
Citation Envoyé par leconcombre
Merci. En effet, il y a quelques liens et des explications sur le sujet car j'ai eu le même soucis, désormais résolu.
Et il faut en effet que le nouveau registar supprime le DS Record, c'est ce qu'à fait le nouveau hébergeur de mon site qui ne fonctionnait pas pour cause de DNSSEC invalidé.
Bonjour,

donc c'est bien au nouveau registrar de le faire (possible de mettre le lien sans que cela apparait comme un lien, genre www[point]ovh[point]com/fr) ??

Car cela me parait bizarre qu'un ancien registrar est accès au configuration DNSSEC si il n'a plus le contrôle du domaine, c'est une "faille" de sécurité dans le principe de DNSSEC.

Cordialement, janus57

leconcombre
10/01/2016, 02h29
Citation Envoyé par janus57
Bonjour,

vos messages passe surement en modération (car présence de liens ou autre facteurs).

Cordialement, janus57
Merci. En effet, il y a quelques liens et des explications sur le sujet car j'ai eu le même soucis, désormais résolu.
Et il faut en effet que le nouveau registar supprime le DS Record, c'est ce qu'à fait le nouveau hébergeur de mon site qui ne fonctionnait pas pour cause de DNSSEC invalidé.

janus57
10/01/2016, 01h09
Citation Envoyé par leconcombre
Heu... Peut-on me dire ( au moins en privé ), pourquoi l'on supprime mes posts s'il vous plaît ?
Bonjour,

vos messages passe surement en modération (car présence de liens ou autre facteurs).

Cordialement, janus57

lighthammers
09/01/2016, 23h48
Citation Envoyé par janus57
Bonjour,


OVH n'a plus autorité sur votre domaine, vous devez voir ça avec bluehost

Cordialement, janus57
sisi ovh peut faire quelque chose sur ce cas si vous avez bien pris la peine de lire le message en entier. surtout la partie en anglais. il sagit d'une action qui doit etre entrepris par l'ancien registrar etant donner qu'il ne l'as pas fait avant le transfert comme ca devais l'etre.

leconcombre
09/01/2016, 23h36
Heu... Peut-on me dire ( au moins en privé ), pourquoi l'on supprime mes posts s'il vous plaît ?

leconcombre
09/01/2016, 23h23
J'ai posté un message mais il ne semble pas validé par la modération...?

Tu peux regarder ce lien, il y a les explications sur le dernier message, j'ai eu le même problème.
http://forum.universfreebox.com/view...r=asc&start=30

Et en effet, c'est à ton nouveau registar de supprimer le DS Record.

janus57
09/01/2016, 22h53
Bonjour,

root@janus57-beta:~# whois lahlou-industry.com | grep -i registrar
with many different competing registrars. Go to http://www.internic.net
Registrar: FASTDOMAIN, INC.
Sponsoring Registrar IANA ID: 1154
registrar's sponsorship of the domain name registration in the registry is
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.
Registrars.
Registrar WHOIS Server: whois.bluehost.com
Registrar URL: http://www.bluehost.com/
Registrar Registration Expiration Date: 2017-01-18T20:05:11Z
Registrar: FastDomain Inc.
Registrar IANA ID: 1154
Registrar Abuse Contact Email: abuse@bluehost.com
Registrar Abuse Contact Phone: +1 801 765 9400
OVH n'a plus autorité sur votre domaine, vous devez voir ça avec bluehost

Cordialement, janus57

lighthammers
09/01/2016, 21h03
Citation Envoyé par mferon
Bonjour,

Effectivement, le domaine a été transféré depuis chez nous sans que le DNSSEC ait été désactivé au prealable.
Du coup, la validation DNSSEC est cassée entre les DNS du registre et tes DNS.

Etant donné que nous ne sommes plus registrar du domaine, nous ne pouvons plus rien faire... Il faut que tu demandes à ton nouveau registrar de supprimer le DS record présent chez le registre, ce qui desactivera le DNSSEC.

Par contre Nowwhat a aussi raison sur le fait que la configuration de tes DNS est completement bancale...
- Incoherence entre les DNS definis chez le registre et ceux defini dans ta zone.
- Un DNS defini chez le registre (ns.lahlou-industrie.com) qui n'a pas d'adresse ip...
- Dans la zone des serveur DNS (lahlou-industrie.com), il y a une incoherence entre tes glues et les informations renvoyées par tes serveurs...

En esperant avoir repondu a tes questions.

Bon courage pour fixer tout ça
re bonjour monsieur, aprés avoir réviser et check tout de notre cote comme de notre registrar et constater que tout les visiteurs utilisant dns google 8.8.8.8 sont dans l'incapacité d'accéder a notre site web. on as trouver la réponse dans la section troubleshooting des serveurs google dns voici le message d'origine :

"DNSSEC failure often happens after a zone has switched from a hosting service that supports DNSSEC to one that does not support DNSSEC. If the previous hosting service did not remove the DS records from the parent zone (.com for example.com), and the new hosting service is unable to add the DNSKEY records to the child zone (example.com), Google Public DNS cannot validate the zone and returns SERVFAIL. The solution is to ask the previous hosting service to remove those obsolete DS records."


Ceci renvoie la balle de votre cote, veuillez svp avoir l'obligeance d'effacer le records DS obsolete de notre nom de domaine lahlou-industry.com

leconcombre
09/01/2016, 17h23
Bonjour, je me permets de mettre à la suite un message posé sur plusieurs forums allant dans le sens du soucis de DS Record/DNSSEC posant problème pour certains sites.


Bonjour,

Ceci est un récapitulatif du sujet ayant été résolu avec l'aide de différentes personnes sur différents forums, je remercie grandement chaque personne y ayant contribué, en espérant que ça en aide d'autres.

Situation et symptôme :
Nom de domaine en .fr enregistré chez OVH, puis transféré chez Siteground.
Site inaccessible pour certains utilisateurs Free essentiellement (pas tous les utilisateurs Free) + d'autres FAI potentiels. [/color]
Différents messages à l'écran selon différents navigateurs : Adresse introuvable - Page Web inaccessible DNS_PROBE_FINISHED_NXDOMAIN
...

Cause :
DNSSEC est activé dès l'enregistrement du nom de domaine en passant par OVH. Il n'est pas désactivé automatiquement lors du transfert, ce qui engendre un DNSSEC actif sur le site mais non valide.

Problèmes rencontrés :
OVH ne peut pas désactiver le DNSSEC qu'il a mis en place car il n'est plus le registar.
Le nouvel hébergeur regarde de son côté et voit qu'il n'a pas activé le DNSSEC, il vous répond donc que le DNSSEC n'est pas le problème car non activé.

Solutions :
- Demandé au nouvel hébergeur de contacter son global registar et de supprimer le DS Record (Delegation Signer. Enregistrement DNS qui correspond à l’empreinte de la partie publique d’une clé). Cela aura pour effet de désactiver le DNSSEC non valide.
- S'il n'y a pas de problème lié à un transfert de nom de domaine, désactiver le DNSSEC pouvant causer problème tout de même et réaliser les tests ci-dessous.

Vérifications à effectuer :

1/ Pour firefox, installer https://addons.mozilla.org/fr/firefo...sec-validator/
Pour Chrome, installer https://chrome.google.com/webstore/d...fgejphmokchdbo
Cela vous permettra de voir si un DNSSEC est activé sur votre site et si la signature est valide ou corrompue.

A gauche DNSSEC non valide (quand le site n'est pas affiché chez certains freenautes)
A droite après suppression du DS Record et donc du DNSSEC (site accessible chez tout le monde)



2/ Réaliser un test sur http://dnssec-debugger.verisignlabs.com
Cela vous permettra de vérifier si un DS Record est actif sur votre domaine, cela même si votre nouvel hébergeur vous dit qu'il n'a pas activé le DNSSEC.

A gauche avec 1 DS Record (quand le site n'est pas affiché chez certains freenautes)
A droite après suppression du DS Record et donc du DNSSEC (site accessible chez tout le monde)




3/ Vérifier avec un DIG sur http://www.kloth.net/services/dig.php

A gauche : Test avec DNS de Google (rend le site inaccessible chez certains Freenautes, comme les DNS de Free)
Remarquer sur l'image le "status: SERVFAIL"
A droite : Test avec DNS OpenDNS (rend le site accessible comme pour ceux qui n'ont pas le soucis)
Remarquer sur l'image le "status: NOERROR"

(Une fois le DS Record et donc le DNSSEC supprimé, le SERFAIL doit se mettre en NOERROR avec les DNS de Google et de Free.)




Liens utiles et topics en parlant :

http://forum.webrankinfo.com/dnssec-...n-t180704.html
https://forum.ovh.com/showthread.php...ains-FAI/page2
https://forum.ovh.com/showthread.php...ghlight=dnssec
https://support.cloudflare.com/hc/en...or-CloudFlare-
http://www.aduf.org/viewtopic.php?t=...0d859e25183196
http://forum.universfreebox.com/view...er=asc&start=0
http://www.afnic.fr/data/divers/publ...ec-2010-09.pdf
http://www.commentcamarche.net/faq/1...neufbox-de-sfr

leconcombre
09/01/2016, 17h21
Bonjour, je me permets de mettre à la suite un message posé sur d'autres forum sur le sujet, allant dans le sens du soucis de DS Record/DNSSEC posant problème pour certains sites.


Bonjour,

Ceci est un récapitulatif du sujet ayant été résolu avec l'aide de différentes personnes sur différents forums, je remercie grandement chaque personne y ayant contribué, en espérant que ça en aide d'autres.

Situation et symptôme :
Nom de domaine en .fr enregistré chez OVH, puis transféré chez Siteground.
Site inaccessible pour certains utilisateurs Free essentiellement (pas tous les utilisateurs Free) + d'autres FAI potentiels. [/color]
Différents messages à l'écran selon différents navigateurs : Adresse introuvable - Page Web inaccessible DNS_PROBE_FINISHED_NXDOMAIN
...

Cause :
DNSSEC est activé dès l'enregistrement du nom de domaine en passant par OVH. Il n'est pas désactivé automatiquement lors du transfert, ce qui engendre un DNSSEC actif sur le site mais non valide.

Problèmes rencontrés :
OVH ne peut pas désactiver le DNSSEC qu'il a mis en place car il n'est plus le registar.
Le nouvel hébergeur regarde de son côté et voit qu'il n'a pas activé le DNSSEC, il vous répond donc que le DNSSEC n'est pas le problème car non activé.

Solutions :
- Demandé au nouvel hébergeur de contacter son global registar et de supprimer le DS Record (Delegation Signer. Enregistrement DNS qui correspond à l’empreinte de la partie publique d’une clé). Cela aura pour effet de désactiver le DNSSEC non valide.
- S'il n'y a pas de problème lié à un transfert de nom de domaine, désactiver le DNSSEC pouvant causer problème tout de même et réaliser les tests ci-dessous.

Vérifications à effectuer :

1/ Pour firefox, installer https://addons.mozilla.org/fr/firefo...sec-validator/
Pour Chrome, installer https://chrome.google.com/webstore/d...fgejphmokchdbo
Cela vous permettra de voir si un DNSSEC est activé sur votre site et si la signature est valide ou corrompue.

A gauche DNSSEC non valide (quand le site n'est pas affiché chez certains freenautes)
A droite après suppression du DS Record et donc du DNSSEC (site accessible chez tout le monde)



2/ Réaliser un test sur http://dnssec-debugger.verisignlabs.com
Cela vous permettra de vérifier si un DS Record est actif sur votre domaine, cela même si votre nouvel hébergeur vous dit qu'il n'a pas activé le DNSSEC.

A gauche avec 1 DS Record (quand le site n'est pas affiché chez certains freenautes)
A droite après suppression du DS Record et donc du DNSSEC (site accessible chez tout le monde)




3/ Vérifier avec un DIG sur http://www.kloth.net/services/dig.php

A gauche : Test avec DNS de Google (rend le site inaccessible chez certains Freenautes, comme les DNS de Free)
Remarquer sur l'image le "status: SERVFAIL"
A droite : Test avec DNS OpenDNS (rend le site accessible comme pour ceux qui n'ont pas le soucis)
Remarquer sur l'image le "status: NOERROR"

(Une fois le DS Record et donc le DNSSEC supprimé, le SERFAIL doit se mettre en NOERROR avec les DNS de Google et de Free.)




Liens utiles et topics en parlant :

http://forum.webrankinfo.com/dnssec-...n-t180704.html
https://forum.ovh.com/showthread.php...ains-FAI/page2
https://forum.ovh.com/showthread.php...ghlight=dnssec
https://support.cloudflare.com/hc/en...or-CloudFlare-
http://www.aduf.org/viewtopic.php?t=...0d859e25183196
http://forum.universfreebox.com/view...er=asc&start=0
http://www.afnic.fr/data/divers/publ...ec-2010-09.pdf
http://www.commentcamarche.net/faq/1...neufbox-de-sfr

mferon
07/01/2016, 10h45
Bonjour,

Effectivement, le domaine a été transféré depuis chez nous sans que le DNSSEC ait été désactivé au prealable.
Du coup, la validation DNSSEC est cassée entre les DNS du registre et tes DNS.

Etant donné que nous ne sommes plus registrar du domaine, nous ne pouvons plus rien faire... Il faut que tu demandes à ton nouveau registrar de supprimer le DS record présent chez le registre, ce qui desactivera le DNSSEC.

Par contre Nowwhat a aussi raison sur le fait que la configuration de tes DNS est completement bancale...
- Incoherence entre les DNS definis chez le registre et ceux defini dans ta zone.
- Un DNS defini chez le registre (ns.lahlou-industrie.com) qui n'a pas d'adresse ip...
- Dans la zone des serveur DNS (lahlou-industrie.com), il y a une incoherence entre tes glues et les informations renvoyées par tes serveurs...

En esperant avoir repondu a tes questions.

Bon courage pour fixer tout ça

lighthammers
07/01/2016, 00h40
Citation Envoyé par Nowwhat
Deux questions:
qui est ton DNS ? (et la t'as un mega erreur déjà ! : Test ton domaine avec http://www.dnsinspect.com ..... et constate que t'as de quoi "réparer" avant même de REVER de DNSSEC)
le registrar est OVH ?? (sinon .... ils sont pour rien ....)

Info : tes deux DNS (ns1.lahlou-industry.com et ns2.lahlou-industry.com ) pointe vers le même IP !!!! C''est bien, mais la, tu viens de casser un des principes de l'Internet qui nous dit : Faut pas faire ça.

Solution : Visite http://www.dnsinspect.com et fille lui ton domaine.
Paramètre ton DNS pour qu'il affiche un "A".
Pense a autre chose après ....

Exemple : http://www.dnsinspect.com/kroeb.me/1452119576

PS:
Ton domaine n'est pas chez OVH ...
Ton serveur n'est pas chez OVH ....
Dit moi ou je me trompe ....
bonsoir a vous ,

alors pour le registrar du nom de domaine c'etait ovh mais on as transférer vers bluehost. et la meme apres avoir ajuster les options de notre nom de domaine ca ne marche pas. beaucoup de visiteurs de certains FAI n'arrive pas a accéder a notre site web. "page web inaccessible".

lighthammers
07/01/2016, 00h15
Citation Envoyé par Nowwhat
Deux questions:
qui est ton DNS ? (et la t'as un mega erreur déjà ! : Test ton domaine avec http://www.dnsinspect.com ..... et constate que t'as de quoi "réparer" avant même de REVER de DNSSEC)
le registrar est OVH ?? (sinon .... ils sont pour rien ....)

Info : tes deux DNS (ns1.lahlou-industry.com et ns2.lahlou-industry.com ) pointe vers le même IP !!!! C''est bien, mais la, tu viens de casser un des principes de l'Internet qui nous dit : Faut pas faire ça.

Solution : Visite http://www.dnsinspect.com et fille lui ton domaine.
Paramètre ton DNS pour qu'il affiche un "A".
Pense a autre chose après ....

Exemple : http://www.dnsinspect.com/kroeb.me/1452119576

PS:
Ton domaine n'est pas chez OVH ...
Ton serveur n'est pas chez OVH ....
Dit moi ou je me trompe ....
oui comme expliquer sur mon message plus haut j'ai fait un transfert du nom de domaine concerner www.lahlou-industry.com de chez ovh a bluehost. et c depuis que les soucis ont commencer.

Nowwhat
06/01/2016, 23h31
Citation Envoyé par lighthammers
on avais notre nom de domaine chez vous a ovh mais une fois qu'on l'avais migré sur bluehost on as accés impossible avec certains FAI pour notre site web www.lahlou-industry.com le problem est toujours de votre ressort il me semble et on aimerais avoir votre assistance pour le regler dans les plus bref delais car ca dure depuis plusieurs semaines.
Deux questions:
qui est ton DNS ? (et la t'as un mega erreur déjà ! : Test ton domaine avec http://www.dnsinspect.com ..... et constate que t'as de quoi "réparer" avant même de REVER de DNSSEC)
le registrar est OVH ?? (sinon .... ils sont pour rien ....)

Info : tes deux DNS (ns1.lahlou-industry.com et ns2.lahlou-industry.com ) pointe vers le même IP !!!! C''est bien, mais la, tu viens de casser un des principes de l'Internet qui nous dit : Faut pas faire ça.

Solution : Visite http://www.dnsinspect.com et fille lui ton domaine.
Paramètre ton DNS pour qu'il affiche un "A".
Pense a autre chose après ....

Exemple : http://www.dnsinspect.com/kroeb.me/1452119576

PS:
Ton domaine n'est pas chez OVH ...
Ton serveur n'est pas chez OVH ....
Dit moi ou je me trompe ....

lighthammers
06/01/2016, 21h50
Bonjour a vous ,

on avais notre nom de domaine chez vous a ovh mais une fois qu'on l'avais migré sur bluehost on as accés impossible avec certains FAI pour notre site web www.lahlou-industry.com le problem est toujours de votre ressort il me semble et on aimerais avoir votre assistance pour le regler dans les plus bref delais car ca dure depuis plusieurs semaines.

Merci.

oli_v_ier
17/12/2015, 17h47
Citation Envoyé par mferon
J'ai lancé une mise a jour de ta zone sur nos serveurs (action qui est faite a chaque fois que tu fais une modification dans le manager) qui a fixé le probleme, ton site devrait etre accessible sans probleme depuis partout Désolé pour le dérangement.
Merci, ça fonctionne à nouveau.

Le SAV via le forum plus efficace que le SAV du Manager. Je note .

Nowwhat
17/12/2015, 16h02
Citation Envoyé par mferon
....,
En fait, concernant Free, c'est tout l'inverse C'est parce que leurs resolvers font la verification DNSSEC (Tout comme ceux de Google) que certains sites sont inaccessibles depuis leur reseau.
.....
Alors la ...
Merci de votre réponse.
Un soucis de glueware entre le Manager (interface client) et votre DNS ....
Ok, pourquoi pas.

Free mérite un point de ma part.

Citation Envoyé par mferon
mais il existe d'autres alternatives, et pour les plus motivés vous pouvez meme creer les votres.....
Un SYS + bind ne fait que ça pour moi ....

Citation Envoyé par mferon
En esperant avoir repondu à vos questions.
Merci de ton franchise et la rapidité de cette réponse !

mferon
17/12/2015, 15h52
Bonjour,

En fait, concernant Free, c'est tout l'inverse C'est parce que leurs resolvers font la verification DNSSEC (Tout comme ceux de Google) que certains sites sont inaccessibles depuis leur reseau.
Pour ton cas, il y a eu un probleme lors de la recuperation des clés de signature de notre coté, ce qui a fait qu'on a deployé sur nos DNS une version non signée de ta zone. Elle n'etait donc pas valide pour le DNSSEC, d'ou l'indisponiblité depuis certain reseau.

J'ai lancé une mise a jour de ta zone sur nos serveurs (action qui est faite a chaque fois que tu fais une modification dans le manager) qui a fixé le probleme, ton site devrait etre accessible sans probleme depuis partout Désolé pour le dérangement.

Desactiver le DNSSEC peut etre une solution pour eviter que ça ne se reproduise pas, mais ce cas ne devrait pas arriver, je vais voir si on peut modifier nos scripts de deploiement pour eviter de publier une zone non signée alors qu'elle devrait l'etre.

Concernant le choix des serveurs DNS, effectivement ceux de Google doivent servir à sortir des stats, mais il existe d'autres alternatives, et pour les plus motivés vous pouvez meme creer les votres. Ceux de ton FAI font bien le boulot, mais peuvent alterer la neutralité du net (DNS menteurs, decision de justice...), tout est une question de choix

En esperant avoir repondu à vos questions.

Nowwhat
17/12/2015, 15h00
Citation Envoyé par oli_v_ier
.....l'accès est impossible pour ceux qui ont Free comme FAI.
Reste qu'une solution : arrêter le DNSSEC.
Il est impossible pour OVH de changer le concept (norme RFC) de leur DNS (tout Internet est basé sur le DNS) car un FAI refuse de supporte la norme.

Free 'pense' souvent que tout est free .... la série des conséquences lié a ce phénomène est longue (pense au peering vers OVH, vers Youtube, pense à l'offre d'un carte SIM sans couverture 3G .......) pour leur clients.

Citation Envoyé par oli_v_ier
Mais étant donné que les DNS de Google ne fonctionnent pas non plus, ça me semble très louche. Le problème vient peut-être plutôt d'OVH.
Moi perso, je ne vais pas demander à Google de me fournir des services DNS .... Pourquoi faire ? Ceux de mon FAI le fait très bien.
Si en plus il faut que je fille mes requêtes à Google (gratuit, cert, mais mes stats seront utilisé pour mieux conseiller leur vendeurs auprès les grandes groupes pour meiux vendre ..... de la pub), non, merci.

Sache que OVH a reçu "le droit" d'être registrar aussi (pense à leur propre domaine extension .ovh) ce qui me démontre que coté gestion (de leur) DNS ils savent faire.

sympatik
17/12/2015, 14h26
Bonjour !
Si Free ne supporte pas le DNSSEC, cela enlève tout intérêt à ce système.
Je n'ai pas de solution, mais cela m'a fait penser à cet article :
http://www.bortzmeyer.org/free-noblogs-dnssec.html

oli_v_ier
17/12/2015, 13h51
Bonjour,

Je suis sur un hébergement mutualisé, offre PRO, le domaine est randonner-leger.org .
Depuis que je suis passé à DNSSEC, l'accès est impossible pour ceux qui ont Free comme FAI. Quand ils basculent sur les DNS d'OpenDNS ça fonctionne, mais les DNS Google ne marchent pas non plus.

OVH m'a répondu :
Cela est du au fait que depuis ce fournisseur d'accès de nombreux domaines utilisant le service DNSSEC ne sont pas pris en compte.
Vous pouvez pour cela désactiver le service DNSSEC depuis votre espace client.
La désactivation est effective sous 24 heures.
Mais étant donné que les DNS de Google ne fonctionnent pas non plus, ça me semble très louche. Le problème vient peut-être plutôt d'OVH.

Quel est votre avis ?