Hola, que tal.
Quería compartirles el excelente reporte de daños que preparó
la gente de Slack, a propósito del problema que tuvieron a fines
de septiembre cuando estuvieron dando SERVFAIL por varias horas:
https://slack.engineering/what-happened-during-slacks-dnssec-rollout/
Lamentablemente y pese a todas sus pruebas, se toparon con un bug en
la implementación de DNSSEC de AWS Route 53, y al intentar hacer
rollback cometieron un error grave: retiraron el DS en el padre (.com),
pero sacaron de inmediato las llaves y firmas de slack.com, sin esperar
el TTL !!
Hay varias conclusiones valiosas que salen de acá. De estos errores y
de su excelente post-mortem se aprende mucho.
Saludos,
Hugo
