bind 未验证 dnssec

bind 未验证 dnssec

奇怪。我的 bind 并未验证 dnssec,尽管我已将其配置为验证。根据的版本named -VBIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2具有内置 DLV 密钥的版本。

在 named.conf 中的选项下

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

但是当我查询已知的坏区域时,dig www.dnssec-failed.org @localhost我得到的是 IP 地址,而不是我所期望的失败。有什么想法吗?

答案1

不要问为什么,但我遇到了同样的问题,将 dnssec-validation 选项设置为 auto 而不是 yes 解决了这个问题

答案2

根据参考手册

“dnssec 验证”

[...]

如果设置为“自动”,则启用 DNSSEC 验证,并使用 DNS 根区域的默认信任锚。

如果设置为“是”,则启用 DNSSEC 验证,但必须使用“trusted-keys”或“managed-keys”语句手动配置信任锚。

因此,您必须将其设置为auto模式,或者明确地include "/etc/bind.keys"

答案3

如果设置为“自动”,则启用 DNSSEC 验证,并使用 DNS 根区域的默认信任锚。

使用的默认信任锚来自 bind.keys,默认情况下会预先加载

相关内容