dnssec validation failed partout meme pour google.com c'est quoi le bordel

RSS
thibault-dominique 23/11/2025
RÉSOLU
Retour Répondre
Avatar de thibault-dominique
thibault-dominique
Auteur Actif
Avatar de thibault-dominique
thibault-dominique
Auteur Actif

yo la commu ! on a un gros soucis nos resolvers dns internes ils se mettent à chier partout validation failed pour presque tous les domaines même google.com et 8.8.8.8. c arrivé d'un coup sans qu'on touche à rien on est sur unbound. vous avez déjà vu ça ? je suis à deux doigts de débrancher le dnssec.


dig @localhost google.com +dnssec

; <<>> DiG 9.16.1-Ubuntu <<>> @localhost google.com +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 34567
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
;; QUESTION SECTION:
;google.com.                    IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Feb 27 10:30:00 UTC 2024
;; MSG SIZE  rcvd: 41
23/11/2025 à 05:19

8 commentaires

Avatar de zoe87
zoe87
Membre Actif
Avatar de zoe87
zoe87
Membre Actif

salut check l'heure de tes serveurs c'est souvent un problème d'horloge qui est pas synchro. si le temps est trop décalé la validation dnssec échoue car les signatures rrsig sont hors période de validité. un bon ntp genre chrony ça aide grave

24/11/2025 à 00:02
Avatar de agnes03
agnes03
Membre Actif Rédacteur
Avatar de agnes03
agnes03
Membre Actif Rédacteur

ouais et vois aussi si tes fichiers de clés de confiance (root hints ou trust anchors) sont à jour. si unbound a pas les bonnes clés pour valider la racine bah tout merde. y'a eu un rollover de KSK récemment tu as mis à jour

24/11/2025 à 18:43
Avatar de thibault-dominique
thibault-dominique
Auteur Actif
Avatar de thibault-dominique
thibault-dominique
Auteur Actif

l'heure est niquel syncro avec ntp. les trust anchors j'ai vérifié ça semble ok on les update via un cron regulier. le KSK rollover c bon on l'a géré. mais le problème persiste c bizarre

25/11/2025 à 16:28
Avatar de zoe87
zoe87
Membre Actif
Avatar de zoe87
zoe87
Membre Actif

t'as pas un firewall qui bloque le port 53 udp ou tcp des fois sur une source inattendue ? ou un souci de mtu avec des réponses dnssec qui sont plus grosses que d'habitude genre avec edns

26/11/2025 à 14:17
Avatar de lucie-perret
lucie-perret
Membre Actif
Avatar de lucie-perret
lucie-perret
Membre Actif

check aussi tes logs unbound en mode verbeux (log-level: 2 ou 3). ça peut te donner des indices genre "bad signature" ou "expired signature" ou "no DS record". un unbound-control log_open pour voir les logs en direct

Modifié le 23/05/2026 à 16:20
Avatar de thibault-dominique
thibault-dominique
Auteur Actif
Avatar de thibault-dominique
thibault-dominique
Auteur Actif

ok les logs en mode verbeux c'est une mine d'or. j'ai "bad signature" partout. et y'a un truc sur zone file corrupted. je vais faire un unbound-checkconf et relancer. ptete un fichier corrompu en effet ou une mise à jour qui a foiré

Modifié le 23/05/2026 à 16:20
Avatar de zoe87
zoe87
Membre Actif
Avatar de zoe87
zoe87
Membre Actif

ah la la corrompu c'est pas bon du tout. une restau d'une vieille conf propre peut-être si checkconf sort rien d'évident. bon courage

Modifié le 23/05/2026 à 16:20
Avatar de thibault-dominique
thibault-dominique
Auteur Actif
Avatar de thibault-dominique
thibault-dominique
Auteur Actif

c'était bien un fichier de zone corrompu qui avait été déployé par erreur sur la prod suite à un merge foireux. après un revert et un redéploiement propre, tout est rentré dans l'ordre. merci les gars pour le coup de main c'était bien relou

30/11/2025 à 07:26

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire