DNSSEC et résolveur local problèmes de validation

RSS
alain-louis 07/05/2024
RÉSOLU
Retour Répondre
Avatar de alain-louis
alain-louis
Auteur Actif Secouriste
Avatar de alain-louis
alain-louis
Auteur Actif Secouriste

yo la team

on a mis en place du dnssec sur nos zones publiques c'est validé partout sur les outils en ligne. mais nos serveurs internes (ubuntu server avec bind9 configuré en résolveur récursif) ont du mal à valider les requêtes. des sites comme cloudflare youtube ou google marchent nickel par contre nos propres domaines ne passent pas la validation. j'ai 

servfail
et 
RRSIG signature verification failed
dans les logs de bind. une idée ?

# named.conf.options sur nos serveurs
options {
    directory "/var/cache/bind";
    recursion yes;
    allow-recursion { any; };
    dnssec-enable yes;
    dnssec-validation auto;
    listen-on { any; };
};
07/05/2024 à 07:34

7 commentaires

Avatar de vincent63
vincent63
Membre Actif
Avatar de vincent63
vincent63
Membre Actif

salut

t'as bien importé les clés racine dnssec (DS records) pour tes zones dans le registre de ton nom de domaine ? si les DS sont pas là ou sont incorrects tes résolveurs pourront pas chainer la confiance jusqu'à ta zone et la validation échouera

08/05/2024 à 01:49
Avatar de jourdan-andre
jourdan-andre
Membre Actif Secouriste
Avatar de jourdan-andre
jourdan-andre
Membre Actif Secouriste

aussi check l'heure de tes serveurs bind. si l'heure est désynchronisée même de quelques minutes les signatures RRSIG peuvent être interprétées comme invalides. le ntp c'est critique pour dnssec

08/05/2024 à 23:34
Avatar de alain-louis
alain-louis
Auteur Actif Secouriste
Avatar de alain-louis
alain-louis
Auteur Actif Secouriste

les ds records sont bien en place et validés par l'outil de notre registrar. ntp est nickel aussi les serveurs sont synchro. c'est vraiment juste nos domaines qui posent problème les autres passent

09/05/2024 à 22:51
Avatar de vincent63
vincent63
Membre Actif
Avatar de vincent63
vincent63
Membre Actif

ok bizarre. quand tu dis "nos domaines" c'est ceux où tu as mis en place dnssec ? t'as vérifié les dates de début/fin de validité des RRSIG générées par ton outil de signature ? des fois il y a un décalage entre l'heure de génération et l'heure système sur les résolveurs

10/05/2024 à 19:54
Avatar de gbonnin
gbonnin
Membre Actif
Avatar de gbonnin
gbonnin
Membre Actif

et t'as pas un firewall quelque part qui bloquerait les requêtes pour les DNSKEY ou les NSEC/NSEC3 ? des fois certains firewalls font du dns inspection et ça peut casser la chaîne de confiance

11/05/2024 à 19:28
Avatar de jourdan-andre
jourdan-andre
Membre Actif Secouriste
Avatar de jourdan-andre
jourdan-andre
Membre Actif Secouriste

dernière piste regarde la taille de tes réponses DNS. si tes records RRSIG ou NSEC sont trop gros ils peuvent dépasser la taille UDP classique et si tu as pas de EDNS0 correctement configuré ou un firewall qui bloque TCP port 53 ça peut poser problème

12/05/2024 à 16:50
Avatar de alain-louis
alain-louis
Auteur Actif Secouriste
Avatar de alain-louis
alain-louis
Auteur Actif Secouriste

bon j'ai revérifié les signatures et en fait notre générateur de clés DNSSEC avait un bug sur la rotation automatique il avait pas mis à jour le dernier RRSIG pour une de nos zones. du coup les résolveurs voyaient une signature périmée. corrigé ça et tout est rentré dans l'ordre. merci les gars pour le coup de main

13/05/2024 à 13:00

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire