O servidor BIND tem toneladas de erros “no RRSIG válidos”

Navegue suas respostas
3

Eu tenho um servidor BIND9 somente para encaminhamento em execução na LAN e ele registra centenas de erros por dia, como: 

Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure

Parece que os clientes ainda estão obtendo resultados, mas essas mensagens estão preenchendo os registros. Linhas relevantes em named.conf : 

    forwarders {
            # Comcast
            2001:558:feed::1;
            2001:558:feed::2;
            75.75.75.75;
            75.75.76.76;
    };
    forward only;

    dnssec-enable yes;
    dnssec-validation auto;
    dnssec-lookaside auto;

O que esses erros realmente significam está acontecendo? Isso é um erro de configuração do meu jeito ou da Comcast?

    
por jmw 30.08.2015 / 04:51

1 resposta

4

Parece que os servidores da Comcast estão deliberadamente retirando as assinaturas DNSSEC das respostas que estão dando a você, portanto, seu servidor não pode validar com. (neste caso), mesmo sabendo que um deve ser assinado. É improvável que isso cause problemas diretamente visíveis, apenas deixa você e seus usuários bem abertos para todos os ataques contra os quais o DNSSEC foi criado para proteção.

Exatamente por que a Comcast deseja reduzir seu nível de segurança, você terá que perguntar a eles.

    
por 30.08.2015 / 10:09

Tags

w3wp / asp.net Alto uso de memória - Isso é problemático? Sal - Qual é a diferença entre Rejeitado e Negado?