dnssec validation failed partout meme pour google.com c'est quoi le bordel

salut check l'heure de tes serveurs c'est souvent un problème d'horloge qui est pas synchro. si le temps est trop décalé la validation dnssec échoue car les signatures rrsig sont hors période de validité. un bon ntp genre chrony ça aide grave

ouais et vois aussi si tes fichiers de clés de confiance (root hints ou trust anchors) sont à jour. si unbound a pas les bonnes clés pour valider la racine bah tout merde. y'a eu un rollover de KSK récemment tu as mis à jour

l'heure est niquel syncro avec ntp. les trust anchors j'ai vérifié ça semble ok on les update via un cron regulier. le KSK rollover c bon on l'a géré. mais le problème persiste c bizarre

t'as pas un firewall qui bloque le port 53 udp ou tcp des fois sur une source inattendue ? ou un souci de mtu avec des réponses dnssec qui sont plus grosses que d'habitude genre avec edns

check aussi tes logs unbound en mode verbeux (log-level: 2 ou 3). ça peut te donner des indices genre "bad signature" ou "expired signature" ou "no DS record". un `unbound-control log_open` pour voir les logs en direct

ok les logs en mode verbeux c'est une mine d'or. j'ai "bad signature" partout. et y'a un truc sur `zone file corrupted`. je vais faire un `unbound-checkconf` et relancer. ptete un fichier corrompu en effet ou une mise à jour qui a foiré

ah la la corrompu c'est pas bon du tout. une restau d'une vieille conf propre peut-être si `checkconf` sort rien d'évident. bon courage

c'était bien un fichier de zone corrompu qui avait été déployé par erreur sur la prod suite à un merge foireux. après un revert et un redéploiement propre, tout est rentré dans l'ordre. merci les gars pour le coup de main c'était bien relou