Ошибка DNSsec в Bind9.10 после обновления freebsd10.1

Question

Ошибка DNSsec в Bind9.10 после обновления freebsd10.1

Мой DNSsec начал сбой после обновления портов. Я переустановил Bind на ведущем и ведомом устройствах, но ошибка все еще сохраняется.

35  ;; WE HAVE MATERIAL, WE NOW DO VALIDATION
36  ;; VERIFYING A RRset for www.ex-mailer.com. with DNSKEY:9381: success
37  ;; OK We found DNSKEY (or more) to validate the RRset
38  ;; Now, we are going to validate this DNSKEY by the DS
39  ;; ERROR no DS validates a DNSKEY in the DNSKEY RRset: FAILED

полный копать вывод копать вывод

VeriSign говорит, что я хорошо, чтобы пойти VeriSign Diag

и нет ошибок в журналах привязки.

как мне найти причину этой ошибки и избавиться от нее / восстановить мой DNSsec?

Обновление: это не устаревший кеш. Запросы из свежих удаленных сетей получают те же результаты.

0

domain-name-system bind freebsd dmarc dnssec

Источник

nix 05 июн '15 в 17:29

1 ответ

Другие вопросы по тегам domain-name-system bind freebsd dmarc dnssec

Håkan Lindqvist 05 июн '15 в 17:58 2015-06-05 17:58 · Answer 1 · 2015-06-05 17:58

Глядя на ваш dig +sigchase На выходе видно, что КСК (СЭП) DNSKEY является:

ex-mailer.com.          86400   IN      DNSKEY  257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=

Мы также можем видеть, что DS Вы нашли было:

ex-mailer.com.          85868   IN      DS      30274 8 1 9D12E47AAB1817A5062590188B7FC849FB662CE3

Однако, если я проверю, что DS должно быть для выше DNSKEY Я получил:

$ echo "ex-mailer.com.          86400   IN      DNSKEY  257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=" | dnssec-dsfromkey -1 -f - ex-mailer.com
ex-mailer.com. IN DS 47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0

Там явно несоответствие между DS Вы посмотрели вверх и KSK в настоящее время используется.

За что он стоит, я получаю правильное DS если я сам посмотрю

$ dig @a.gtld-servers.net ex-mailer.com DS +norec +short
47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0

Похоже, что ключи для ex-mailer.com могло измениться каким-то незапланированным образом (не подвергаться контролируемому переключению), что приводит к тому, что проверяющие серверы остаются в плохом состоянии до истечения срока действия кэшированных данных.