[dns-esp] Problema de dnssec en slack.com

Hugo Salgado hsalgado en nic.cl
Lun Nov 29 15:48:52 -03 2021


Hola, que tal.
Quería compartirles el excelente reporte de daños que preparó
la gente de Slack, a propósito del problema que tuvieron a fines
de septiembre cuando estuvieron dando SERVFAIL por varias horas:

  https://slack.engineering/what-happened-during-slacks-dnssec-rollout/

Lamentablemente y pese a todas sus pruebas, se toparon con un bug en
la implementación de DNSSEC de AWS Route 53, y al intentar hacer
rollback cometieron un error grave: retiraron el DS en el padre (.com),
pero sacaron de inmediato las llaves y firmas de slack.com, sin esperar
el TTL !!

Hay varias conclusiones valiosas que salen de acá. De estos errores y
de su excelente post-mortem se aprende mucho.

Saludos,

Hugo

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20211129/9035f274/attachment.sig>


Más información sobre la lista de distribución dns-esp