Salut all,
Depuis plusieurs mois j'utilise DNSSEC sur tous mes domaines.
Histoire d'apprendre, j'ai commencé à changer (== roll-over ou rotate) mes "ZSK".
J’utilise mon propre serveur DNS (BIND 9.9.5-9+deb8u15-Debian (Extended Support Version)) et quelques DNS esclaves, dont un sur un VPS chez OVH, le hyper lent snds2.ovh.net et afraid.org.
Vu que ma version de "bind" permet la gestion quasi automatique de l'introduction d'une nouvelle clé ZSK et KSK, je me suis dit, après plusieurs rotations d’un ZSK : je suis prêt pour la rotation d'un clé KSK (essaie de trouver un tuto qui explique la rotation d’un KSK … même Google reste muet).
La situation.
Il y a une semaine, une situation stable avec le KSK « 16579 » : http://dnsviz.net/d/kroeb.me/WoEmMw/dnssec/
Puis, j'ai introduit un nouveau KSK « 21250 » : http://dnsviz.net/d/kroeb.me/WoGLkQ/dnssec/
J'ai laissé tout ça bien poiroter (disons 2 x le TTL + une journée de marche), et j'ai ajouté la clé dans la gestion des clés DS dans le Manager d'OVH de mon nom de domaine : http://dnsviz.net/d/kroeb.me/WoGMHQ/dnssec/
J'ai, exceptionnellement, paramétré des délais ultra court (genre quelques jours), la rotation arrive : http://dnsviz.net/d/kroeb.me/WoNQyw/dnssec/
Puis, depuis ce matin, mon 'bind' ne charge plus la clé « 16579 », car hors usage / expired : http://dnsviz.net/d/kroeb.me/WotIvw/dnssec/
Alors, je me suis dit : go Manager d'OVH et supprimer ce clé DS "16579", pour que seul la "21250 " reste.
Mais non, le Manager ne permet pas de supprimer un clé DS (parmi plusieurs) - j'ai bien cliquer sur "la poubelle" (je supprime le « 16579 » - le « 21250 » reste) mais impossible de Valider ensuite.
Ok, même pas peur, je go le OVH API, mais là :
Question : peut-on supprimer un (1) enregistrement DS dans le Manager ou avec l’API ?? Je souhaite supprimer la référence d'un clé KSK qui est KO car expiré.
Je comprends que la rotation d'un ZSK dans une zone DNSSEC est déjà pure rocket science et que la rotation d'un KSK n'est pas du tout l’occupation de tout le monde (même notre DNS root "." le fait qu'une fois toutes les deux trois années – la dernière a commencé octobre 2017 et a fait trembler toutes les admins DNS au monde) mais quand même, faut bien s’entrainer, non ? ;)
Alors, OVH, what's up ? Je le laisse là-bas, ce clé DS « 16579 » (ça ne me gêne pas) ? Ce n’est pas nécessaire de le supprimer ? J'ai loupé quelque chose ? Il s’en va toute seule ?
PS : Le DNSSEC donne entre autres accès au TLSA, une fin mélange d’un cert de (par exemple) Letsenscrypt et DNSSEC.