Networking : DNSSEC validation failing pour un domaine externe
Commentaires
salut ! la première chose à checker c'est l'heure sur ton serveur DNS. si l'horloge est décalée, tes signatures RRSIG peuvent apparaître comme expirées même si elles ne le sont pas. ntp est ton ami
et si c'est pas l'heure, vérifie la chaîne de confiance DNSSEC. est-ce que ton resolver a bien le trust anchor (clé racine DNS) à jour ? et est-ce qu'il peut trouver les DS records du TLD chez le registrar et que les ds records correspondent aux ksk du domaine ? c'est un peu un arbre généalogique DNS
exact ! des fois le registrar ne met pas à jour les DS records quand tu fais une rotation de tes clés DNSSEC, ou y'a une coquille dans le hash. utilise un outil comme dnsviz.net ou le DNSsec validator de zonemaster.net pour voir la chaîne complète et les problèmes potentiels
d'acc et dans ta config bind t'es bien en dnssec-validation auto; ? et y'a pas un forwarder en amont qui ne supporte pas DNSSEC ou qui filtre les requêtes DNSSEC ?
c'était l'heure ! bordel j'avais oublié que le serveur avait rebooté sans ntp et l'horloge était complètement à la ramasse. après un sudo ntpdate pool.ntp.org, tout est rentré dans l'ordre. les validations DNSSEC passent niquel. merci la team !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
nath-allard
Membre depuis le 09/04/2019actif
yo la team, on a un soucis avec notre resolver
DNSlocal (bind 9) il arrive pas à valider les signaturesDNSSEC pour un domaine externe genreexample.com. j'ai le messageSERVFAILetvalidation failure: RRSIG has expired ouno valid DS records. pourtant le domaine est bien signé et les records ont l'air ok quand je les check avecdigsur un resolver public. une idée ?