7 commentaires
yo ! check ton ntp d'abord. si ton serveur est désynchronisé même de quelques secondes les signatures dnssec (rrsig) peuvent sembler invalides car la durée de vie est basée sur le temps. c'est un classique
tu peux aussi tenter un dig +dnssec +trace example.com @localhost pour voir où la chaîne de validation casse. ça donne de bonnes infos pour identifier le maillon faible
ok les gars j'ai regardé le ntp et effectivement y'avait un léger drift. j'ai resyncé et relancé bind. ça a réglé le problème pour pas mal de domaines mais pas tous. le dig +trace m'a montré que les KSK racines étaient pas à jour en fait, j'ai forcé la mise à jour et là c'est bon tout est validé. thx pour les pistes !
nickel content que ça ait résolu ton souci ! le combo ntp + trust anchors c'est souvent la clé pour dnssec
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut la team ! J'ai monté un resolveur BIND pour nos internes avec DNSSEC activé, et j'ai des soucis de validation. Pour certains domaines ça passe niquel, mais d'autres me renvoient SERVFAIL avec "bogus" dans les logs. J'ai bien les trust anchors à jour via
dnssec-enable yesetdnssec-validation automais ça semble pas suffisant. Une idée d'où ça peut venir ?