Networking : DNSSEC validation failing pour un domaine externe

RSS
nath-allard 22/11/2025
RÉSOLU
Retour Répondre
Avatar de nath-allard
nath-allard
Auteur Actif
Avatar de nath-allard
nath-allard
Auteur Actif

yo la team, on a un soucis avec notre resolver DNS local (bind 9) il arrive pas à valider les signatures DNSSEC pour un domaine externe genre example.com. j'ai le message SERVFAIL et validation failure : RRSIG has expired ou no valid DS records. pourtant le domaine est bien signé et les records ont l'air ok quand je les check avec dig sur un resolver public. une idée ?


dig +dnssec example.com @localhost
22/11/2025 à 11:09

5 commentaires

Avatar de bbaudry
bbaudry
Membre Secouriste
Avatar de bbaudry
bbaudry
Membre Secouriste

salut ! la première chose à checker c'est l'heure sur ton serveur DNS. si l'horloge est décalée, tes signatures RRSIG peuvent apparaître comme expirées même si elles ne le sont pas. ntp est ton ami

23/11/2025 à 06:09
Avatar de zbruneau
zbruneau
Membre Actif
Avatar de zbruneau
zbruneau
Membre Actif

et si c'est pas l'heure, vérifie la chaîne de confiance DNSSEC. est-ce que ton resolver a bien le trust anchor (clé racine DNS) à jour ? et est-ce qu'il peut trouver les DS records du TLD chez le registrar et que les ds records correspondent aux ksk du domaine ? c'est un peu un arbre généalogique DNS

24/11/2025 à 01:28
Avatar de suzanne-faivre
suzanne-faivre
Membre Actif
Avatar de suzanne-faivre
suzanne-faivre
Membre Actif

exact ! des fois le registrar ne met pas à jour les DS records quand tu fais une rotation de tes clés DNSSEC, ou y'a une coquille dans le hash. utilise un outil comme dnsviz.net ou le DNSsec validator de zonemaster.net pour voir la chaîne complète et les problèmes potentiels

25/11/2025 à 00:53
Avatar de bbaudry
bbaudry
Membre Secouriste
Avatar de bbaudry
bbaudry
Membre Secouriste

d'acc et dans ta config bind t'es bien en dnssec-validation auto; ? et y'a pas un forwarder en amont qui ne supporte pas DNSSEC ou qui filtre les requêtes DNSSEC ?

25/11/2025 à 20:42
Avatar de nath-allard
nath-allard
Auteur Actif
Avatar de nath-allard
nath-allard
Auteur Actif

c'était l'heure ! bordel j'avais oublié que le serveur avait rebooté sans ntp et l'horloge était complètement à la ramasse. après un sudo ntpdate pool.ntp.org, tout est rentré dans l'ordre. les validations DNSSEC passent niquel. merci la team !

26/11/2025 à 15:41

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire