Назад | Перейти на главную страницу

привязка не проверяет dnssec

Странный. Моя привязка не проверяет dnssec, хотя я ее настроил. Версия согласно named -V является BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2 который имеет встроенный ключ DLV.

Под опциями в named.conf

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

Но когда я запрашиваю известную плохую зону, например, делаю dig www.dnssec-failed.org @localhost Я получаю IP-адреса - это не ошибка, как я ожидал. Есть предположения?

не спрашивайте почему, но у меня была такая же проблема, и установка параметра dnssec-validation на auto вместо yes устранила проблему

Согласно справочное руководство,

"dnssec-проверка"

[...]

Если установлено значение «auto», проверка DNSSEC включена и используется якорь доверия по умолчанию для корневой зоны DNS.

Если установлено значение «да», проверка DNSSEC включена, но якорь доверия должен быть настроен вручную с помощью оператора «доверенные ключи» или «управляемые ключи».

Следовательно, вы должны либо установить его на auto режим или явно include "/etc/bind.keys".

Если установлено значение «auto», проверка DNSSEC включена и используется якорь доверия по умолчанию для корневой зоны DNS.

по умолчанию используется якорь доверия из bind.keys, значение по умолчанию предварительно загружается из коробки