On 26/06/2023 18:48, Laurent Barme wrote:
Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :
Bonjour la liste,
C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut
changer quand vous avez des dysfonctionnements.
Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un
retour d'expérience comme exemple :
Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de
domaine se prend une erreur SSL d'emblée (le serveur n'est même pas
sollicité)
Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle
d'un serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est
derrière un reverse-proxy ? Si non comment est-ce que le client peut
avoir une erreur TLS si le serveur n'est jamais atteint ?
depuis un mobile via la 4G (quelque soit le navigateur
utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même
mobile, toujours en 4G, un autre site sur le même serveur fonctionne
pourtant sans souci. Le blocage se produit sur le réseau Orange et
Bouygues mais pas sur Free ni en WiFi (via une ADSL).
La cause était une IPv6 aussi définie pour le nom de domaine alors que
le serveur n’était pas configuré pour accepter les connexions IPv6.
Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en
a une déclarée… évidemment ça coince.
Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.
La solution aura été de simplement supprimer l'entrée AAAA de la zone
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6
aurait considérablement agrandi la surface d'attaques possibles.
Et un problème humain ! Si le serveur n'accepte pas l'IPv6,
l'administrateur n'aurait jamais du renseigner de AAAA dans la zone !
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
