Expired DNSSEC signatures disrupt 26 African TLDs

• Un problème technique dans l'un des serveurs de noms faisant autorité d'Afrinic a provoqué l'expiration des signatures DNSSEC, perturbant 26 TLD africains, dont le.mg de Madagascar. Le problème a été signalé pour la première fois le 8 novembre, bien qu'il ait commencé le 29 octobre 2024.
• Les sondes RIPE Atlas ont révélé qu'une seule instance du serveur anycast, identifiée comme s01-ns2.pkl, servait des données obsolètes. Afrinic a mis le serveur hors ligne pour résoudre le problème, soulignant les défis de la surveillance des systèmes anycast.

Ce qui s'est passé

Fin octobre 2024, un problème technique important a perturbé 26 domaines de premier niveau (TLD) africains. L'un de leurs serveurs de noms faisant autorité, géré par Afrinic, a fourni des données obsolètes, les signatures DNSSEC (Domain Name System Security Extensions) étant signalées comme expirées. Ce problème a été détecté pour la première fois le 8 novembre, bien qu'il ait commencé le 29 octobre, provoquant des résolutions DNS incohérentes pour les utilisateurs du TLD.mg (Madagascar). Voir aussi: Registre des membres disparaissant de l'AfriNIC.

Lire aussi: Jugement de la Cour suprême sur AFRINIC: les nouveaux membres sans droits, élections d'ici juin 2025
Lire aussi: Exploration de la gestion mondiale du spectre au WRS-24

Une analyse plus approfondie a révélé que tous les serveurs n'étaient pas affectés. En réalité, une instance spécifique du serveur de noms anycast ns-mg.afrinic.net exécutait des données obsolètes. Les mesures des sondes RIPE Atlas ont montré une divergence claire: alors que la plupart des serveurs rapportaient des données à jour, une minorité reposait encore sur des informations périmées. Cette instance de serveur, identifiée par le NSID s01-ns2.pkl, a contribué aux retards de propagation des mises à jour sur plusieurs TLD. Voir aussi: AfriNIC: disparition du registre des membres.

Afrinic a finalement résolu le problème en mettant hors ligne l'instance problématique. Cependant, ce problème a soulevé des questions sur la surveillance et le dépannage des systèmes distribués, en particulier ceux critiques pour l'infrastructure Internet. Voir aussi: Alejandro Fernandez.

Pourquoi c'est important

Cet incident met en lumière une vulnérabilité clé de l'infrastructure Internet: les serveurs peuvent sembler opérationnels tout en fournissant des données obsolètes ou incorrectes. Pour les domaines utilisant DNSSEC, les signatures expirées exposent les utilisateurs à des risques potentiels, tels que l'échec de la résolution de requêtes valides ou la rencontre de réponses de données invalides. Voir aussi: Aldo Garcia.

Le serveur affecté hébergeait non seulement le.mg, mais aussi 25 autres TLD africains, amplifiant l'ampleur du problème. Bien que l'action rapide d'Afrinic ait atténué les dégâts supplémentaires, ce cas souligne la nécessité de systèmes de surveillance robustes garantissant à la fois la disponibilité et l'exactitude des données. Voir aussi: Alcymer Vieira.

De plus, cette situation démontre les défis de l'anycast, une technique largement utilisée qui renforce la résilience du DNS en acheminant les requêtes vers des instances géographiquement distribuées. Si l'anycast renforce la robustesse du DNS, il complique également la détection et le débogage des problèmes, comme cela a été évident ici. Des outils comme RIPE Atlas s'avèrent précieux pour identifier de telles anomalies, mais comme le montre ce cas, des vérifications proactives de la fraîcheur des données restent essentielles pour garantir des opérations DNS transparentes. Voir aussi: Alcides Cremonezi.