bindはdnssecを検証していません
奇妙な。に設定したのに、バインドがdnssecを検証していません。 named -VによるバージョンはBIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2で、DLVキーが組み込まれています。
Named.confのオプションの下
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
しかし、Dig www.dnssec-failed.org @localhostを実行するなど、既知の不良ゾーンを照会すると、IPアドレスが取得されます。これは、予想していたような失敗ではありません。何かご意見は?
理由は聞かないでください、しかし私は同じ問題を抱えていて、dnssec-validationオプションをyesではなくautoに設定すると問題が修正されました
リファレンスマニュアル によると、
「dnssec-validation」
[...]
「自動」に設定すると、DNSSEC検証が有効になり、DNSルートゾーンのデフォルトのトラストアンカーが使用されます。
「yes」に設定すると、DNSSEC検証が有効になりますが、「trusted-keys」または「managed-keys」ステートメントを使用してトラストアンカーを手動で構成する必要があります。
したがって、autoモードに設定するか、明示的にinclude "/etc/bind.keys"。
「自動」に設定すると、DNSSEC検証が有効になり、DNSルートゾーンのデフォルトのトラストアンカーが使用されます。
使用されるデフォルトのトラストアンカーはbind.keysからのものであり、デフォルトは箱から出してプリロードされています