Faire oublier une ou plusieurs clés DNSSEC à un serveur faisant autorité sur un domaine
Bonjour !
Comment faire oublier une ou plusieurs clés DNSSEC à un serveur faisant autorité sur un domaine ?
J'ai implémenté DNSSEC sur un certain nombre de domaines de mon serveur en galérant un peu au départ, hors il se trouve que un seul d'entre eux s'est retrouvé affublé de clés que j'avais créées lors de mes tests, bien entendu comme un idiot j'ai effacé les clés en questions ce qui fait que je ne peux leur affecter une expiration via les outils named/bind9... Par exemple avec dnssec-settime
J'ai essayé rndc delzone, j'ai essayé d'incrémenter le serial de la zone, d'effacer la zone signée, de recharger bind9, de redémarrer named (ce qui a été efficace semble-t-il pour certaines zones en erreur)
mais pour le domaine en question j'ai toujours 2 clés voire plus, dont deux rsasha souvent, qui se sont propagées avant que j'arrive à la bonne configuration, mais rendent le dnssec bogus sans que j'arrive à mettre à jour le serveur qui relaie les dns.
pourtant si je fais un dig +dnssec domain.tld @localhost, j'ai le bon jeu de clés à savoir une en ecdsa.
si je fais dig +dnssec domain.tld @sdns2.ovh.net, je n'ai pas le bon jeu de clés, il y reste toujours des clés que je n'ai plus sur le serveur.
Quelqu'un a-t-il un conseil avisé ?
Sinon j'ai vu que les dites clés expirent vers le 15 juin, suis-je contraint d'attendre jusque-là ?
Vont-elles expirer sans qu'un rollover se produise ?
Désolé c'est nouveau pour moi DNS SEC.
Répondre avec citation
Partager