BINDサーバーに「有効なRRSIGがありません」エラーが大量に発生する
私はLAN上で実行している転送専用のBIND9サーバーを持っており、次のような1日あたり数百のエラーをログに記録します。
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure
クライアントはまだ結果を得ているようですが、これらのメッセージはログでいっぱいになっています。 named.confの関連行:
forwarders {
# Comcast
2001:558:feed::1;
2001:558:feed::2;
75.75.75.75;
75.75.76.76;
};
forward only;
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;
これらのエラーは何ですか本当に何が起こっているのですか?これは私の側またはコムキャストの設定ミスですか?
Comcastのサーバーが提供する応答から故意にDNSSEC署名を取り除いているように見えるため、サーバーはcom.(この場合)は、署名する必要があることがわかっています。これが直接目に見える問題を引き起こす可能性は低く、DNSSECが保護するために作成されたすべての攻撃に対して、あなたとユーザーは自由に対処できます。
Comcastがセキュリティのレベルを下げたい理由は何ですか?.