domain-name-system – BIND服务器有很多“无效的RRSIG”错误

我在局域网上运行了一个仅向前的BIND9服务器,它每天记录数百个错误,如：

Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure

似乎客户端仍在获得结果,但这些消息正在填满日志. named.conf中的相关行：

forwarders {
            # Comcast
            2001:558:Feed::1;
            2001:558:Feed::2;
            75.75.75.75;
            75.75.76.76;
    };
    forward only;

    dnssec-enable yes;
    dnssec-validation auto;
    dnssec-lookaside auto;

这些错误究竟意味着什么？这是我的结尾还是Comcast的错误配置？

解决方法

看起来Comcast的服务器故意从他们给你的响应中删除DNSSEC签名,因此你的服务器无法验证com. (在这种情况下)即使它知道应该签名.这不太可能导致任何直接明显的问题,它只会让您和您的用户对DNSSEC创建的所有攻击保持开放以防范.

正是为什么康卡斯特想要降低您的安全级别,您将不得不问他们.

domain-name-system – BIND服务器有很多“无效的RRSIG”错误

解决方法

相关文章