Bonjour,
Après avoir constaté un problème lors du renouvellement de certificats SLL avec Let’s Encrypt, je me suis rendu compte que j’avais un bug incompréhensible avec DNSSEC (qui fait planter le challenge de let's encrypt).
Ce bug n’apparaît que sur une poignée de noms de domaine (3 sur 22).
Les erreurs semblent indiquer une incohérence de signature au niveau du SOA, mais que clairement, je ne comprends pas :
"Une erreur 'Bogus DNSSEC signature' a été obtenue en essayant de vérifier l'ensemble des enregistrements de type "SOA" avec la signature 36504."
"Aucune signature correcte ne signe l'ensemble des enregistrements de type "SOA"."
"Le serveur de noms ns1.une-issue.com/62.210.206.23 répond avec une signature (RRSIG) qui ne peut pas être vérifiée avec la clé (DNSKEY) de tag 36504 correspondante."
"Le serveur de noms nssec.online.net/62.210.16.8 répond avec une signature (RRSIG) qui ne peut pas être vérifiée avec la clé (DNSKEY) de tag 36504 correspondante."
À court d’idées, sur un domaine non critique, j’ai même supprimer les clés DNSSEC de ma zone, le DS Record chez mon registrar, supprimé le domaine sur mon service de DNS Slave, vérifier le fichier zone (qui ne présente pas d’erreur, est très banale et est identique à d’autres domaines non problématiques), remis mon slave, recréé mes clés DNSSEC et remis mes clés DS chez mon registrar (sans oublier de redémarrer bind quand nécessaire).
Le truc bizarre, c’est qu’à la suite de cette procédure, le problème semble réglé pendant quelques minutes, j’arrive sans problème à recréer mes certificats SSL et les outils de diagnostics ne me sortent aucune erreur.
Puis, de nouveau la même erreur, comme si quelque chose se passait mal au niveau de la propagation (ou alors, lors de la tentative de création d’un nouveau certificat SSL ?).
Bref, je sais que ce problème ne provient pas de Let's Encrypt (c'est juste lui qui m'en a informé), mais si quelqu'un à une idée de ce qui provoque ce problème, je suis preneur !
• Résultats DNSViz : mrsoul.org | DNSViz
• Résultats ZoneMaster : Zonemaster
• Résultats Let's Debug (http-01) : Let's Debug
• Résultats Let's Debug (dns-01) : Let's Debug
62.210.206.23 mrsoul.org (domain)
62.210.206.23 ns1.une-issue.com (primary DNS)
62.210.16.8 nssec.online.net (slave DNS)
Debian Stretch 9.13 / Webmin 1.973 / Usermin 1.823 / Virtualmin 6.15 / Certbot 0.28.0 / Bind 9.10