我的少数转发 DNS 查询导致 BIND 9 记录如下消息:
184.in-addr.arpa SOA: got insecure response; parent indicates it should be secure
validating @0x7f93140c0870: 100.64-26.75.195.82.in-addr.arpa PTR: no valid signature found
validating @0x7f93100c8830: www.nbcnews.com A: no valid signature found
validating @0x7f93287f2a00: cabotelecom.com.br NSEC: verify failed due to bad signature (keyid=13661): RRSIG has expired
我是将查询转发到支持 DNSSEC 的服务器。
那么:既然我对此无能为力,我应该关心这些吗?如果是这样,那该怎么办?能我真的关心他们吗?
答案1
DNSSEC 的目标是为查询响应增加真实性和完整性。DNSSEC 无法告诉您查询响应是否被拦截,但它可以告诉您响应是否已损坏、被篡改或完全缺少签名。您看到的消息通知您收到的响应存在 DNSSEC 问题(缺少签名、签名无效等)。如果您正在验证 DNSSEC,这些回复将被丢弃。
大多数 DNSSEC 验证问题都是由于配置错误造成的。
如果有问题的主机是“重要的”,并且您怀疑区域操作员配置有误,则可以绕过专门针对这些区域的验证。这似乎是 Google 的官方政策:https://developers.google.com/speed/public-dns/faq#gdns_validation_failure
康卡斯特采取以下方式通知域名所有者 DNSSEC 问题:http://dns.comcast.net