Странный. Моя привязка не проверяет dnssec, хотя я ее настроил. Версия согласно named -V
является BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2
который имеет встроенный ключ DLV.
Под опциями в named.conf
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
Но когда я запрашиваю известную плохую зону, например, делаю dig www.dnssec-failed.org @localhost
Я получаю IP-адреса - это не ошибка, как я ожидал. Есть предположения?
не спрашивайте почему, но у меня была такая же проблема, и установка параметра dnssec-validation на auto вместо yes устранила проблему
Согласно справочное руководство,
"dnssec-проверка"
[...]
Если установлено значение «auto», проверка DNSSEC включена и используется якорь доверия по умолчанию для корневой зоны DNS.
Если установлено значение «да», проверка DNSSEC включена, но якорь доверия должен быть настроен вручную с помощью оператора «доверенные ключи» или «управляемые ключи».
Следовательно, вы должны либо установить его на auto
режим или явно include "/etc/bind.keys"
.
Если установлено значение «auto», проверка DNSSEC включена и используется якорь доверия по умолчанию для корневой зоны DNS.
по умолчанию используется якорь доверия из bind.keys, значение по умолчанию предварительно загружается из коробки