dnssec validation KO sur resos locaux ptete un souci de root hints
Posté par
william-perrier
le 15/07/2024
RÉSOLU
Membre depuis le 08/12/2023
yo la team on a un souci avec notre infra dns interne c'est basé sur bind et depuis qques jours les validations dnssec foirent pour certains domaines genre .gov ou .mil. on a l'impression que c'est lié aux root hints ou ptete à la configuration des trust anchors. les résolveurs publics eux ça marche nickel donc c'est bien notre truc interne. des idées de où regarder en premier ?
# exemple de log dns (simplifié)
dnssec: warning: managed-keys-zone: unable to fetch DS set for '.' from 192.0.2.1#53: file not found
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
catherine52
Membre depuis le 30/06/2024
salut. vérifie tes managed-keys.conf et le named.conf si t'as pas des vieux root keys qui traînent ou un problème de permission pour bind d'écrire dedans pour la mise à jour des KSK (key-signing key). ça arrive souvent après un upgrade de bind ou si le serveur a pas accès à internet pour les maj.
claude-paul
Membre depuis le 19/06/2024
grave ce que dit user2. aussi regarde la date système de ton serveur dns. si elle est pas synchro avec ntp ça peut faire foirer la validation dnssec parce que les signatures sont hors période de validité. un petit ntpdate ou chrony -qg pour resynchro si besoin.
william-perrier
Membre depuis le 08/12/2023
ok je check les permissions et la conf des managed-keys.conf. la date système est ok c'est synchro ntp ça c'est bon.
catherine52
Membre depuis le 30/06/2024
t'as testé avec dig +dnssec sur un domaine qui foire pour voir la chaîne de validation et où ça casse ? ça donne des indices précis sur le maillon faible. genre si c'est la zone root ou un tld ou direct le domaine final.
claude-paul
Membre depuis le 19/06/2024
et une autre chose les firewall. t'as pas un fw qui bloque le port 53 udp ou tcp (pour les zones transfers) entre ton serveur et les root servers ou les tld ? même si le peering est up des fois y'a des règles subtiles.
william-perrier
Membre depuis le 08/12/2023
bon j'ai diggé à fond et c'était bien les permissions sur /var/cache/bind pour la managed-keys. bind pouvait pas écrire sa key nouvelle génération. après un chown bind:bind et un restart tout est rentré dans l'ordre. thx pour les pistes les gars !