Sujet :
Networking : <code>DNS</code>SEC validation failing pour un domaine externe
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 03/10/2024
yo la team, on a un soucis avec notre resolver DNS local (bind 9) il arrive pas à valider les signatures DNSSEC pour un domaine externe genre example.com. j'ai le message SERVFAIL et validation failure ou no valid DS records. pourtant le domaine est bien signé et les records ont l'air ok quand je les check avec dig sur un resolver public. une idée ?
dig +dnssec example.com @localhost
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
bbaudry
Membre depuis le 06/12/2024
salut ! la première chose à checker c'est l'heure sur ton serveur
DNS. si l'horloge est décalée, tes signaturesRRSIGpeuvent apparaître comme expirées même si elles ne le sont pas.ntpest ton amizbruneau
Membre depuis le 11/04/2024
et si c'est pas l'heure, vérifie la chaîne de confiance
DNSSEC. est-ce que ton resolver a bien letrust anchor(clé racineDNS) à jour ? et est-ce qu'il peut trouver lesDS recordsdu TLD chez le registrar et que lesds recordscorrespondent auxkskdu domaine ? c'est un peu un arbre généalogiqueDNSsuzanne-faivre
Membre depuis le 15/08/2024
exact ! des fois le registrar ne met pas à jour les
DS recordsquand tu fais une rotation de tes clésDNSSEC, ou y'a une coquille dans lehash. utilise un outil commednsviz.netou leDNSsec validator dezonemaster.netpour voir la chaîne complète et les problèmes potentielsbbaudry
Membre depuis le 06/12/2024
d'acc et dans ta config
bindt'es bien endnssec-validation auto;? et y'a pas unforwarderen amont qui ne supporte pasDNSSEC ou qui filtre les requêtesDNSSEC ?nath-allard
Membre depuis le 03/10/2024
c'était l'heure ! bordel j'avais oublié que le serveur avait rebooté sans
ntpet l'horloge était complètement à la ramasse. après unsudo ntpdate pool.ntp.org, tout est rentré dans l'ordre. les validationsDNSSEC passent niquel. merci la team !