web-dev-qa-db-ja.com

bindはdnssecを検証していません

奇妙な。に設定したのに、バインドがdnssecを検証していません。 named -VによるバージョンはBIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2で、DLVキーが組み込まれています。

Named.confのオプションの下

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

しかし、Dig www.dnssec-failed.org @localhostを実行するなど、既知の不良ゾーンを照会すると、IPアドレスが取得されます。これは、予想していたような失敗ではありません。何かご意見は?

3
Crash Override

理由は聞かないでください、しかし私は同じ問題を抱えていて、dnssec-validationオプションをyesではなくautoに設定すると問題が修正されました

3
Rik

リファレンスマニュアル によると、

「dnssec-validation」

[...]

「自動」に設定すると、DNSSEC検証が有効になり、DNSルートゾーンのデフォルトのトラストアンカーが使用されます。

「yes」に設定すると、DNSSEC検証が有効になりますが、「trusted-keys」または「managed-keys」ステートメントを使用してトラストアンカーを手動で構成する必要があります。

したがって、autoモードに設定するか、明示的にinclude "/etc/bind.keys"

2
user1686

「自動」に設定すると、DNSSEC検証が有効になり、DNSルートゾーンのデフォルトのトラストアンカーが使用されます。

使用されるデフォルトのトラストアンカーはbind.keysからのものであり、デフォルトは箱から出してプリロードされています

0
James Flint