[dns-esp] Problema de dnssec en slack.com

Hola, que tal. Quería compartirles el excelente reporte de daños que preparó la gente de Slack, a propósito del problema que tuvieron a fines de septiembre cuando estuvieron dando SERVFAIL por varias horas:

https://slack.engineering/what-happened-during-slacks-dnssec-rollout/

Lamentablemente y pese a todas sus pruebas, se toparon con un bug en la implementación de DNSSEC de AWS Route 53, y al intentar hacer rollback cometieron un error grave: retiraron el DS en el padre (.com), pero sacaron de inmediato las llaves y firmas de slack.com, sin esperar el TTL !!

Hay varias conclusiones valiosas que salen de acá. De estos errores y de su excelente post-mortem se aprende mucho.

Saludos,

Hugo