奇怪。我的 bind 并未验证 dnssec,尽管我已将其配置为验证。根据的版本named -V
是BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2
具有内置 DLV 密钥的版本。
在 named.conf 中的选项下
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
但是当我查询已知的坏区域时,dig www.dnssec-failed.org @localhost
我得到的是 IP 地址,而不是我所期望的失败。有什么想法吗?
答案1
不要问为什么,但我遇到了同样的问题,将 dnssec-validation 选项设置为 auto 而不是 yes 解决了这个问题
答案2
根据参考手册,
“dnssec 验证”
[...]
如果设置为“自动”,则启用 DNSSEC 验证,并使用 DNS 根区域的默认信任锚。
如果设置为“是”,则启用 DNSSEC 验证,但必须使用“trusted-keys”或“managed-keys”语句手动配置信任锚。
因此,您必须将其设置为auto
模式,或者明确地include "/etc/bind.keys"
。
答案3
如果设置为“自动”,则启用 DNSSEC 验证,并使用 DNS 根区域的默认信任锚。
使用的默认信任锚来自 bind.keys,默认情况下会预先加载