não pergunte porquê, mas tive o mesmo problema e defini a opção dnssec-validation como auto em vez de sim corrigir o problema
Estranho. Minha ligação não está validando o dnssec, embora eu tenha configurado para. Versão de acordo com named -V é BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2 que possui uma chave DLV incorporada.
Em opções no named.conf
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
Mas quando eu consultar uma zona ruim conhecida, como dig www.dnssec-failed.org @localhost , obtenho endereços IP - não uma falha como eu esperava. Alguma idéia?
De acordo com o manual de referência ,
"dnssec-validation"
[...]
If set to "auto", DNSSEC validation is enabled, and a default trust-anchor for the DNS root zone is used.
If set to "yes", DNSSEC validation is enabled, but a trust anchor must be manually configured using a "trusted-keys" or "managed-keys" statement.
Portanto, você deve defini-lo como auto mode ou explicitamente include "/etc/bind.keys" .
Se definido como "auto", a validação do DNSSEC é ativada e uma âncora de confiança padrão para a zona de raiz do DNS é usada.
a âncora de confiança padrão usada é de bind.keys, um padrão é pré-carregado fora da caixa