DNSSEC validation fail sur un resolveur maison
Commentaires
Membre depuis le 18/04/2020
yo ! check ton ntp d'abord. si ton serveur est désynchronisé même de quelques secondes les signatures dnssec (rrsig) peuvent sembler invalides car la durée de vie est basée sur le temps. c'est un classique
Membre depuis le 14/01/2024
ouais +1 pour le ntp. aussi assure-toi que tes trust anchors pour la racine sont bien chargées et qu'elles n'ont pas expiré. parfois le process de mise à jour auto peut foirer ou être bloqué par un pare-feu
Membre depuis le 06/12/2024
pas de filtre sur ton firewall qui bloque le port 53 udp vers les serveurs racines ou le tld ? des fois ça arrive que ça passe pour certains mais pas d'autres si les serveurs racines sont pas tous joignables
Membre depuis le 18/04/2020
tu peux aussi tenter un `dig +dnssec +trace example.com @localhost` pour voir où la chaîne de validation casse. ça donne de bonnes infos pour identifier le maillon faible
Membre depuis le 11/12/2020
ok les gars j'ai regardé le ntp et effectivement y'avait un léger drift. j'ai resyncé et relancé bind. ça a réglé le problème pour pas mal de domaines mais pas tous. le `dig +trace` m'a montré que les KSK racines étaient pas à jour en fait, j'ai forcé la mise à jour et là c'est bon tout est validé. thx pour les pistes !
Membre depuis le 18/04/2020
nickel content que ça ait résolu ton souci ! le combo ntp + trust anchors c'est souvent la clé pour dnssec
Membre depuis le 14/01/2024
top ! bon courage avec la sécu dns
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
laine-sylvie
Membre depuis le 11/12/2020
Salut la team ! J'ai monté un resolveur BIND pour nos internes avec DNSSEC activé, et j'ai des soucis de validation. Pour certains domaines ça passe niquel, mais d'autres me renvoient SERVFAIL avec "bogus" dans les logs. J'ai bien les trust anchors à jour via `dnssec-enable yes` et `dnssec-validation auto` mais ça semble pas suffisant. Une idée d'où ça peut venir ?