dnssec validation qui casse tout sur bind

Posté par bruneau-claude le 09/06/2025
RÉSOLU
Retour Répondre Créer

Avatar de bruneau-claude

bruneau-claude

Membre depuis le 18/09/2019

salut la team j'ai un souci bizarre sur notre serveur bind interne depuis qu'on a activé dnssec validation ça merde pas mal genre plein de requêtes qui tombent en SERVFAIL pour des domaines qui devraient être bons. on a récupéré les trust anchors ok. voici ce que dig me renvoie

dig +dnssec @localhost example.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 12345
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

Commentaires

Avatar de descamps-chantal

descamps-chantal

Membre depuis le 09/06/2019

yo check l'heure sur ta machine dns des fois un décalage même minime suffit à foutre le bordel avec dnssec et les signatures rrsig si ton ntp est pas syncé c'est la cata

Avatar de carre-edith

carre-edith

Membre depuis le 17/12/2024

d'acc avec 2 vérifie aussi si tu as pas un proxy dns ou un resolver intermédiaire qui ferait sa propre validation ou qui aurait un cache stale genre dnscrypt-proxy ou autre ptete désactiver le validation pour voir si ça re-marche

Avatar de bruneau-claude

bruneau-claude

Membre depuis le 18/09/2019

c'est bon j'ai trouvé en fait nos trust anchors étaient à jour mais le serveur n'avait pas les bonnes dates de validité dans son cache du coup il les rejetait un `rndc flush` et un redémarrage de bind a tout réglé merci les gars c'était juste un cache pourri

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire