dnssec validation KO sur resos locaux ptete un souci de root hints
Commentaires
salut. vérifie tes managed-keys.conf et le named.conf si t'as pas des vieux root keys qui traînent ou un problème de permission pour bind d'écrire dedans pour la mise à jour des KSK (key-signing key). ça arrive souvent après un upgrade de bind ou si le serveur a pas accès à internet pour les maj.
grave ce que dit user2. aussi regarde la date système de ton serveur dns. si elle est pas synchro avec ntp ça peut faire foirer la validation dnssec parce que les signatures sont hors période de validité. un petit ntpdate ou chrony -qg pour resynchro si besoin.
ok je check les permissions et la conf des managed-keys.conf. la date système est ok c'est synchro ntp ça c'est bon.
t'as testé avec dig +dnssec sur un domaine qui foire pour voir la chaîne de validation et où ça casse ? ça donne des indices précis sur le maillon faible. genre si c'est la zone root ou un tld ou direct le domaine final.
et une autre chose les firewall. t'as pas un fw qui bloque le port 53 udp ou tcp (pour les zones transfers) entre ton serveur et les root servers ou les tld ? même si le peering est up des fois y'a des règles subtiles.
bon j'ai diggé à fond et c'était bien les permissions sur /var/cache/bind pour la managed-keys. bind pouvait pas écrire sa key nouvelle génération. après un chown bind:bind et un restart tout est rentré dans l'ordre. thx pour les pistes les gars !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
william-perrier
Membre depuis le 20/07/2019actif
yo la team on a un souci avec notre infra dns interne c'est basé sur bind et depuis qques jours les validations dnssec foirent pour certains domaines genre .gov ou .mil. on a l'impression que c'est lié aux root hints ou ptete à la configuration des trust anchors. les résolveurs publics eux ça marche nickel donc c'est bien notre truc interne. des idées de où regarder en premier ?