Мой DNSsec начал давать сбой после обновления портов. Я переустановил Bind как на главном, так и на подчиненном устройстве, но ошибка все еще сохраняется.
35 ;; WE HAVE MATERIAL, WE NOW DO VALIDATION
36 ;; VERIFYING A RRset for www.ex-mailer.com. with DNSKEY:9381: success
37 ;; OK We found DNSKEY (or more) to validate the RRset
38 ;; Now, we are going to validate this DNSKEY by the DS
39 ;; ERROR no DS validates a DNSKEY in the DNSKEY RRset: FAILED
полный вывод копания выход копания
VeriSign говорит, что я готов VeriSign diag
и в журналах привязки ошибок нет.
как мне найти причину этой ошибки и избавиться от нее / восстановить DNSsec?
Обновление: это не устаревший кеш. Запросы из свежих удаленных сетей дают такие же результаты.
Глядя на твою dig +sigchase на выходе мы видим, что KSK (SEP) DNSKEY является:
ex-mailer.com. 86400 IN DNSKEY 257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=
Мы также видим, что DS вы нашли:
ex-mailer.com. 85868 IN DS 30274 8 1 9D12E47AAB1817A5062590188B7FC849FB662CE3
Однако, если я проверю, что DS должно быть для вышеуказанного DNSKEY Я получил:
$ echo "ex-mailer.com. 86400 IN DNSKEY 257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=" | dnssec-dsfromkey -1 -f - ex-mailer.com
ex-mailer.com. IN DS 47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0
Очевидно несоответствие между DS вы посмотрели, и в настоящее время используется KSK.
Что бы это ни стоило, я получаю правильный DS если я сам посмотрю:
$ dig @a.gtld-servers.net ex-mailer.com DS +norec +short
47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0
Похоже, что ключи для ex-mailer.com могли измениться незапланированным образом (без отката контролируемым образом), что оставляет проверяющие серверы преобразователя в плохом состоянии до тех пор, пока не истечет срок хранения кэшированных данных.