Небольшое количество перенаправленных DNS-запросов заставляет BIND 9 регистрировать такие сообщения, как:
184.in-addr.arpa SOA: got insecure response; parent indicates it should be secure
validating @0x7f93140c0870: 100.64-26.75.195.82.in-addr.arpa PTR: no valid signature found
validating @0x7f93100c8830: www.nbcnews.com A: no valid signature found
validating @0x7f93287f2a00: cabotelecom.com.br NSEC: verify failed due to bad signature (keyid=13661): RRSIG has expired
я я пересылка запросов на сервер, поддерживающий DNSSEC.
Итак: должен ли я заботиться об этом, учитывая, что я ничего не могу с этим поделать? Если да, то жестяная банка Я правда о них делаю?
Цель DNSSEC - повысить аутентичность и целостность ответов на запросы. DNSSEC не может сказать вам, перехватываются ли ваши ответы на запросы, но он может сказать вам, были ли ответы повреждены, подделаны или полностью отсутствуют их подписи. Сообщения, которые вы видите, уведомляют вас о проблемах DNSSEC с полученными ответами (отсутствие подписи, недействительная подпись и т. Д.). Если вы проверяете DNSSEC, эти ответы будут отброшены.
Большинство проблем с проверкой DNSSEC связано с неправильной конфигурацией.
Если рассматриваемый хост является «важным» и вы подозреваете простую неправильную настройку оператором зоны, вы можете обойти проверку специально для этих зон. Похоже, это официальная политика Google: https://developers.google.com/speed/public-dns/faq#gdns_validation_failure
Comcast использует подход к уведомлению владельцев доменов о проблемах с DNSSEC: http://dns.comcast.net