We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

DS Record


cassiopee
24/10/2016, 00h34
Merci pour ce retour d'informations, c'est bon à savoir

petitpied
23/10/2016, 21h27
Je me réponds à moi même pour ceux qui seraient dans la même galère que moi.
Après une longue série de messages à discuter avec le support OVH qui ne comprenait rien au problème, je me suis décidé à faire des essais avec un autre domaine "dormant" que j'avais chez eux avant de trouver la solution.
En fait, chez OVH, la gestion des DS Record est mal foutue. Elle fonctionne bien si c'est leur serveur DNS qui fait autorité. Sinon, si c'est un dédié qui fait autorité (ce qui est en général le cas), il faut quand même créer une zone DNS (qui ne sert à rien) si on veut pouvoir renseigner les champs DS Record. Alors que les champs DS Record devraient être gérés comme les champs NS, c'est à dire qu'il devraient pouvoir être renseignés indépendamment de l'existence de la zone DNS chez OVH.

nowwhat
07/10/2016, 15h58
Ah.
Paramétrer DNSSEC pour "remonter légèrement mon score avec mailtester ". Tu parle de de ce mail-tester https://www.mail-tester.com/ ?
Observe https://www.mail-tester.com/web-6hqpj6 - il s'agit d'un des mes domaines - mail.
10 / 10 sans DNSSEC.

Donc 11 / 10 avec DNSSEC !!!!!

Rien compris ....

Puis : paramétrer DNSSEC sur son serveur avec ISPConfig ? Je préfère de loin éditer les deux fichiers config concernant + utiliser les outils de contrôle que bind possède.

Édit : autre chose : j'ai des domaines dot fr ou je pourrait créer et entrer un champs DS (dans le Manager d'OVH concernant ce domaine) - il existe un onglet nommé DS Records.
D'autre, dot fr - dans le même Manager (!) : pas possible => Ça marque "La gestion des DS records n'est pas supportée pour ce domaine".

Le regsitrar de toutes ces domaines, c'est OVH.

Toutes mes domaines ont leur "zone" géré sur mon serveur.

Par exemple :
test-domaine.fr => pas possible d'activer le DNSSEC.
brit-hotel-fumel.fr => possible. (détail : dans le Manager, ce domaine possède un "Zone DNS" qui n'est pas utilisé)
Le tout est dans kg8141-ovh (pas de zone DNS dans le Manager - normal, c'est mon serveur qui gère cette zone).

petitpied
07/10/2016, 00h46
Pour nowhat: C'est mon serveur kimsufi qui gère ma zone DNS. Je pense avoir bien compris le fonctionnement de DNSSEC. C'est galère à faire à la main mais ISPConfig se débrouille bien pour tout mettre en place. Le seul blocage est du côté d'OVH où le manager ne permet pas d'enregistrer les DS Records.
DNSSEC n'est pas absolument nécessaire, mais permet de remonter légèrement mon score avec mailtester qui le vérifie. Et comme ISPConfig le fait tout seul, pourquoi s'en priver ?
Pour BBR: Je ne peux pas cocher cette case parce que mon serveur gère ma zone DNS. Je ne délègue pas sa gestion à OVH.

BBR
06/10/2016, 21h32
Une fois activé, environ 24h plus tard un nslookup donnera quelque chose comme ça (beaucoup moins lisible que sans DNSSEC)
Code:
nslookup -type=any how-to.ovh


;; Truncated, retrying in TCP mode.
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
how-to.ovh      rdata_46 = NSEC3PARAM 7 2 0 20161104210913 20161005210913 12644 how-to.ovh. c83tOwn6+IrLtkOaPcFidITXYPlsgGgreZYMp/LjxvF82E/JOxEyAjyl WZjNObzIzhBcRNcPcgdbO0CSBHKe2bdz80vhCl9mMVzVjR6F/yGl08jj qUuw++vfCNQ/KHcUjkPKwMOo/o9ldLo7HzHMl5B1QwToKzcf/tLoPYjc nys=
how-to.ovh      rdata_51 = 1 0 8 FCF65208C86087FD
how-to.ovh      rdata_46 = TXT 7 2 600 20161104210913 20161005210913 12644 how-to.ovh. ty0qNfZJBkHUzwd/b4MkAQ+69aDLZMmZO1zJaJNbtrCdbgOcaT7wekdk /Q8wKdjjChe82RZIFAM8vbBrkq50C0tyH8a9PZYZN7BIeK7oz12YJbFy 5rQyiqEb1M/D/bdDt75u/6rIY5Hq3jewMxxTWcK9mMAAgnw2U1fNy6fn hd8=
how-to.ovh      text = "google-site-verification=41948SradU-o8OZIyrGOBrrT1mQt2IcWoS4clTBrOB4"
how-to.ovh      text = "google-site-verification=6PRSmtZgoOjaQY4j6qjZoRoIGlcE57eSCFcMo3EfMBM"
how-to.ovh      text = "1|www.how-to.ovh"
how-to.ovh      text = "v=spf1 include:mx.ovh.com ip4:91.121.44.191 ~all"
how-to.ovh      rdata_46 = MX 7 2 3600 20161104210913 20161005210913 12644 how-to.ovh. f3wYucARKDXXreGvLi+h0BvsWZVXcedD9ZvWLH0npd/wi3cmcZ5hKVHp ++a2+acNlz97+wnmcxG92OrSjrqMvP3e1x3r7uheLec7rcQRbFhk8mGS RFiv+UORz2SKV6vL2VyNG9Jia6mGmmEYLA4rdCOlr3n2MeSPxdLLkzti 7mw=
how-to.ovh      mail exchanger = 100 mxb.ovh.net.
how-to.ovh      mail exchanger = 1 mx3.ovh.net.
how-to.ovh      mail exchanger = 5 mx4.ovh.net.
how-to.ovh      rdata_46 = NS 7 2 3600 20161104210913 20161005210913 12644 how-to.ovh. t5gobdJyLzKwkBUy2n/n/JzXaKwDt6zzhz5aX80Gqqwyd8OYX/zUC9m6 vE5pYlwDw07bI3g/goWDoC/lVlUuMkjoHlNveOhixPisBHEE2i9p0t+I bnUh1LHMGmRqxwsHp+s0CfZBE0hQ2ctvDX9wS96UgUe0B+c+zE2xEfBQ 0Rs=
how-to.ovh      rdata_46 = SOA 7 2 3600 20161104210913 20161005210913 12644 how-to.ovh. mTDZxsh9C3AWc9nP0biAmlQjDESdLxbLQB6VAwwY9krBhLO0fn5WlNad dODlGwQ2MZ08Lyq0P+q79lOLZTYrbgNUkoiTZ91yy+FWtQiE86SwO+Rv ty2Y65uhXRfVv0TX+e8a0HuqSEVEOPFo/7pybYw/uFokNw6dsCvv83HW A24=
how-to.ovh
        origin = dns109.ovh.net
        mail addr = tech.ovh.net
        serial = 2016100601
        refresh = 86400
        retry = 3600
        expire = 3600000
        minimum = 300
how-to.ovh      rdata_46 = A 7 2 3600 20161104210913 20161005210913 12644 how-to.ovh. jtcsagfIfvNC1qNZ2YbNbF7Nx4Spyv59T7VCPj5vuKWP1e14+Y6ch4fm jpzCQglZtc3u/KUDTUVGd7ZuKh0p9wa+oUq0DHc5xJ0vQKoJFJIxgibP 93nURPithQww+vXUR1bxiuausQk0TY1ng+fsdEcdPjNNZ/Mp1G0WK31i ISg=
Name:   how-to.ovh
Address: 91.121.44.191
how-to.ovh      rdata_46 = DNSKEY 7 2 3600 20161104210913 20161005210913 12644 how-to.ovh. qeSC2r1qZ98XRLazPr253inhrKeO65D9+P8ttHPyvtM7Dm64Sh61Mnik d6oVgkdkfxXHZS0tHaQFPV0obWaoZpv079wGbhd7N/ECSs13oRimmBqq D4AfAO2qVmPz/nRIKMUu5w9gze5POrFAmH4avt9iF6EGXfAYXMpM41el Dh0=
how-to.ovh      rdata_46 = DNSKEY 7 2 3600 20161104210913 20161005210913 17841 how-to.ovh. U8aqi9YNWvHeCWyr+w1FZdNZ5Dn97a+lyaIfBu5a1c+NqIDJ25Zwx3Wv P/VMS+TUqGHK1xDgKbIbSOvyubRgLglI3Sdi51YQ6UO/jbEjUIH0Gx+i 65AFmFxepTTi+O9HBgUeDKnPgJ6CnIsVVgffKVJ2DgQJ07HVOMLxEBTZ 91k=
how-to.ovh      rdata_48 = 257 3 7 AwEAAZq6KVMk0kPYBvSCfJqR2OSQMu7DJkkZEE6zQG0pvjfYO5uf+xAA xoBXkNxkPLJhAQqiw7Uxs9CXH63lMTZMlCOz8C2+C7LNtgn2zHRhPXSD s6o8mVEFAg7O+6mX2DMwYeqcb2GF/KDHN+Sm8TkhqZfTKZZXm7D0u94B V08PxJU3
how-to.ovh      rdata_48 = 256 3 7 AwEAAb9l3S3MoMZcGEExagaKR0ACQ/93Ry31Vqlpr2w5RZwUyCov3aFw 5jDqkBXCZUHrCRgTN5TmRshys43MoI/Br0RHLwF3AZuZ4kPjWaqxGjdv m7lR+xgokt16o1Gx78ZulEI1/b5ZB8REX1qGlix8O2HZkiN1YnjQsIgq 10p4yIfj
how-to.ovh      rdata_46 = DS 8 2 172800 20161125105448 20160926105448 50716 ovh. vMA3WPKDHNNeVcfatDPzU3/uBoU+Ia/BgUNACG04CXl5Q5G9stzFwtP8 HISQVYCKIoBk3V9eqmSq4EAQaZzevyzNUWbjTHiGtWfT95wyf70Kw9pf Ou3kgKZLTuj9DF8V6muqnIeUJWMSIHeCGjwHQ81sSjggLtdGpEerjU7S L8Y=
how-to.ovh      rdata_43 = 17841 7 2 6C95DA3B5CC462ABE1E5AE4EA8DAA1DC7632AA5019186E1E4F1FA8B6 E17220BC
how-to.ovh      nameserver = dns109.ovh.net.
how-to.ovh      nameserver = ns109.ovh.net.

Authoritative answers can be found from:
how-to.ovh      nameserver = ns109.ovh.net.
how-to.ovh      nameserver = dns109.ovh.net.
avec un domaine sans DNSSEC
Code:
nslookup -type=any mondomainetest.ovh


Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
mondomainetest.ovh      text = "v=spf1 include:mx.ovh.com ~all"
Name:   mondomainetest.ovh
Address: 5.135.35.162
mondomainetest.ovh      mail exchanger = 100 mxb.ovh.net.
mondomainetest.ovh      mail exchanger = 1 mx1.ovh.net.
mondomainetest.ovh      mail exchanger = 5 mx2.ovh.net.
mondomainetest.ovh
        origin = dns111.ovh.net
        mail addr = tech.ovh.net
        serial = 2016020400
        refresh = 86400
        retry = 3600
        expire = 3600000
        minimum = 300
mondomainetest.ovh      nameserver = dns111.ovh.net.
mondomainetest.ovh      nameserver = ns111.ovh.net.

Authoritative answers can be found from:

BBR
06/10/2016, 21h02
pas besoin de se prendre la tête, suffit de cocher la case sur le manager ovh du domaine et rien d'autre à faire


nowwhat
06/10/2016, 20h57
Bonjour,

Ça fait quelques années que j’avais 'équipé' un des mes domaines avec ce DNSSEC, juste pour voir si pourrait arriver. De mémoire, avec un domaine sur un Mutu. Ça fonctionné.
Mais finalement, je me suis dit : "tout ça pour quoi faire en fait ?"

Juste une question avant de démarrer : pourquoi t'as besoin de ce DNSSEC ?

Et tu la gère toi sur ton serveur avec bind ?
Ou vace le Manager de OVH ? => https://www.ovh.co.uk/g609.secure-yo...in-with-dnssec !

Je te conseille de chercher le doc (le vrai doc, pas d'un site XYZ quelconque) chez les auteurs de 'bind'. La source, quoi. Ca commence ici : https://users.isc.org/~jreed/dnssec-...sec-guide.html - bon courage.

Ceci est plus 'trache' mais pourait t'aider https://www.howtoforge.com/configuri...e-ubuntu-11.10

Si t'as pas vraiment bien compris ce que c'est, tous ce qui se cache derrière le concept DNS, reste loin de DNSSEC. Ca va aussi bien fonctionner, avec un mega casse tête en moins.

P : si t'as réussi à faire quelque chose, pour l'oublier quelque jours après ... et bien, t'as trouvé une bonne raison déjà

petitpied
06/10/2016, 14h38
Bonjour
Je suis en train d'installer un site sur mon serveur kimsufi avec ISPConfig. Tout fonctionne à peu près, mais je n'arrive pas à activer DNSSEC.
Mon domaine est chez OVH, et je n'arrive pas à trouver à quel endroit je dois saisir les clés de la DS Record.
L'onglet "DS Record" est grisé dans le manager OVH, avec un commentaire du genre "Pas de gestion du DS Record".
Pas trouvé non plus où entrer ces clés dans le manager Kimsufi, dans l'onglet DNS.
Le pire est que j'avais réussi à le faire il y a quelques jours pour un autre domaine (desinvolte.fr) chez OVH, mais je ne me souviens plus comment.
Si quelqu'un peut m'aider...