更新 freebsd10.1 后 Bind9.10 中出现 DNSsec 错误

更新 freebsd10.1 后 Bind9.10 中出现 DNSsec 错误

端口更新后,我的 DNSsec 开始出现故障。我已在主服务器和从服务器上重新安装了 Bind,但错误仍然存​​在。

35  ;; WE HAVE MATERIAL, WE NOW DO VALIDATION
36  ;; VERIFYING A RRset for www.ex-mailer.com. with DNSKEY:9381: success
37  ;; OK We found DNSKEY (or more) to validate the RRset
38  ;; Now, we are going to validate this DNSKEY by the DS
39  ;; ERROR no DS validates a DNSKEY in the DNSKEY RRset: FAILED

完成挖掘输出 挖掘输出

VeriSign 说我可以开始了 VeriSign 诊断

并且绑定日志中没有错误。

我如何找到导致此错误的原因并消除它/恢复我的 DNSsec?

更新:这不是陈旧的缓存。来自新远程网络的查询会获得相同的结果。

答案1

查看您的dig +sigchase输出,我们可以看到 KSK(SEP)DNSKEY是:

ex-mailer.com.          86400   IN      DNSKEY  257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=

我们还可以看到DS您找到的是:

ex-mailer.com.          85868   IN      DS      30274 8 1 9D12E47AAB1817A5062590188B7FC849FB662CE3

但是,如果我检查DS上面的内容,DNSKEY我会得到:

$ echo "ex-mailer.com.          86400   IN      DNSKEY  257 3 8 AwEAAaer0hZ5wLS++AsZyIEea+hqFzH4VKCWtFrLIUIqPU368szAfq9q 58adbqXjbizWGVimZEhVgDdUbl+TI3hQQ8eppOpX5yPr49XNv3AP6IbT pUlXAEXUjb6DsTONKciWHxo8r0Es7KL/SJSWmd3aTqtMeIrxb2SSFRmH upy034CKgrniidBv2VVI1pGsvLIDn3HYWMHqUas81iDv8EJ6c1HYiVUf w+37kfFZtj4pUmFQwwZ5yfi8pECPwLV5QImsnT3QGV2sYGP0sDWgGpz+ Sbv3+fs2u1o5AzD5nB7FeTotSdl31J0BKNpOT3gIG3JvkCaRziqqkCnL 7p+5t4+1dqE=" | dnssec-dsfromkey -1 -f - ex-mailer.com
ex-mailer.com. IN DS 47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0

DS您查找到的和当前使用的 KSK显然不匹配。

不管怎样,DS如果我自己查一下,就会得到正确的结果:

$ dig @a.gtld-servers.net ex-mailer.com DS +norec +short
47569 8 1 42665F3D9A532B16A8E5AD9564AF9936AC93F7A0

看起来密钥ex-mailer.com可能以某种非计划的方式发生了改变(没有以受控的方式翻转),这会导致验证解析器服务器处于不良状态,直到缓存数据过期。

相关内容