dnssec validation qui casse tout sur bind

RSS
bruneau-claude 09/06/2025
RÉSOLU
Retour Répondre
Avatar de bruneau-claude
bruneau-claude
Auteur Actif
Avatar de bruneau-claude
bruneau-claude
Auteur Actif

salut la team j'ai un souci bizarre sur notre serveur bind interne depuis qu'on a activé dnssec validation ça merde pas mal genre plein de requêtes qui tombent en SERVFAIL pour des domaines qui devraient être bons. on a récupéré les trust anchors ok. voici ce que dig me renvoie

dig +dnssec @localhost example.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 12345
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
09/06/2025 à 11:10

3 commentaires

Avatar de descamps-chantal
descamps-chantal
Membre
Avatar de descamps-chantal
descamps-chantal
Membre

yo check l'heure sur ta machine dns des fois un décalage même minime suffit à foutre le bordel avec dnssec et les signatures rrsig si ton ntp est pas syncé c'est la cata

10/06/2025 à 05:25
Avatar de carre-edith
carre-edith
Membre Actif Rédacteur
Avatar de carre-edith
carre-edith
Membre Actif Rédacteur

d'acc avec 2 vérifie aussi si tu as pas un proxy dns ou un resolver intermédiaire qui ferait sa propre validation ou qui aurait un cache stale genre dnscrypt-proxy ou autre ptete désactiver le validation pour voir si ça re-marche

11/06/2025 à 03:35
Avatar de bruneau-claude
bruneau-claude
Auteur Actif
Avatar de bruneau-claude
bruneau-claude
Auteur Actif

c'est bon j'ai trouvé en fait nos trust anchors étaient à jour mais le serveur n'avait pas les bonnes dates de validité dans son cache du coup il les rejetait un rndc flush et un redémarrage de bind a tout réglé merci les gars c'était juste un cache pourri

Modifié le 23/05/2026 à 16:20

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire