DNSSEC et résolveur local problèmes de validation

Posté par alain-louis le 07/05/2024
RÉSOLU
Retour Répondre Créer

Avatar de alain-louis

alain-louis

Membre depuis le 25/01/2023

yo la team

on a mis en place du dnssec sur nos zones publiques c'est validé partout sur les outils en ligne. mais nos serveurs internes (ubuntu server avec bind9 configuré en résolveur récursif) ont du mal à valider les requêtes. des sites comme cloudflare youtube ou google marchent nickel par contre nos propres domaines ne passent pas la validation. j'ai 

servfail
et 
RRSIG signature verification failed
dans les logs de bind. une idée ?

# named.conf.options sur nos serveurs
options {
    directory "/var/cache/bind";
    recursion yes;
    allow-recursion { any; };
    dnssec-enable yes;
    dnssec-validation auto;
    listen-on { any; };
};

Commentaires

Avatar de vincent63

vincent63

Membre depuis le 02/06/2020

salut

t'as bien importé les clés racine dnssec (DS records) pour tes zones dans le registre de ton nom de domaine ? si les DS sont pas là ou sont incorrects tes résolveurs pourront pas chainer la confiance jusqu'à ta zone et la validation échouera

Avatar de jourdan-andre

jourdan-andre

Membre depuis le 03/04/2019

aussi check l'heure de tes serveurs bind. si l'heure est désynchronisée même de quelques minutes les signatures RRSIG peuvent être interprétées comme invalides. le ntp c'est critique pour dnssec

Avatar de alain-louis

alain-louis

Membre depuis le 25/01/2023

les ds records sont bien en place et validés par l'outil de notre registrar. ntp est nickel aussi les serveurs sont synchro. c'est vraiment juste nos domaines qui posent problème les autres passent

Avatar de vincent63

vincent63

Membre depuis le 02/06/2020

ok bizarre. quand tu dis "nos domaines" c'est ceux où tu as mis en place dnssec ? t'as vérifié les dates de début/fin de validité des RRSIG générées par ton outil de signature ? des fois il y a un décalage entre l'heure de génération et l'heure système sur les résolveurs

Avatar de gbonnin

gbonnin

Membre depuis le 29/04/2024

et t'as pas un firewall quelque part qui bloquerait les requêtes pour les DNSKEY ou les NSEC/NSEC3 ? des fois certains firewalls font du dns inspection et ça peut casser la chaîne de confiance

Avatar de jourdan-andre

jourdan-andre

Membre depuis le 03/04/2019

dernière piste regarde la taille de tes réponses DNS. si tes records RRSIG ou NSEC sont trop gros ils peuvent dépasser la taille UDP classique et si tu as pas de EDNS0 correctement configuré ou un firewall qui bloque TCP port 53 ça peut poser problème

Avatar de alain-louis

alain-louis

Membre depuis le 25/01/2023

bon j'ai revérifié les signatures et en fait notre générateur de clés DNSSEC avait un bug sur la rotation automatique il avait pas mis à jour le dernier RRSIG pour une de nos zones. du coup les résolveurs voyaient une signature périmée. corrigé ça et tout est rentré dans l'ordre. merci les gars pour le coup de main

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire