У меня есть сервер BIND9 только для пересылки, работающий в локальной сети, и он регистрирует сотни ошибок в день, например:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure
Похоже, клиенты все еще получают результаты, но эти сообщения заполняют журналы. Соответствующие строки в named.conf
:
forwarders {
# Comcast
2001:558:feed::1;
2001:558:feed::2;
75.75.75.75;
75.75.76.76;
};
forward only;
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;
Что означают эти ошибки действительно значит происходит? Это неправильная конфигурация на моей стороне или на стороне Comcast?
Похоже, что серверы Comcast намеренно удаляют подписи DNSSEC из ответов, которые они вам дают, поэтому ваш сервер не может проверить com.
(в этом случае), даже если он знает, что нужно подписать. Это вряд ли вызовет какие-либо непосредственно заметные проблемы, это просто оставляет вас и ваших пользователей широко открытыми для всех атак, от которых был создан DNSSEC.
Вы должны спросить их, почему именно Comcast хочет снизить уровень вашей безопасности.