Domain-Name-System

BIND 伺服器有大量“沒有有效的 RRSIG”錯誤

  • January 11, 2021

我有一個在 LAN 上執行的只轉發 BIND9 伺服器,它每天記錄數百個錯誤,例如:

Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure

客戶端似乎仍在獲得結果,但這些消息正在填滿日誌。中的相關行named.conf

   forwarders {
           # Comcast
           2001:558:feed::1;
           2001:558:feed::2;
           75.75.75.75;
           75.75.76.76;
   };
   forward only;

   dnssec-enable yes;
   dnssec-validation auto;
   dnssec-lookaside auto;

這些錯誤真正意味著正在發生什麼?這是我的配置錯誤還是康卡斯特的配置錯誤?

看起來 Comcast 的伺服器故意從他們給你的響應中去除 DNSSEC 簽名,所以你的伺服器無法驗證com.(在這種情況下),即使它知道應該簽名。這不太可能導致任何直接明顯的問題,它只會讓您和您的使用者對 DNSSEC 旨在防禦的所有攻擊敞開大門。

康卡斯特為什麼要降低您的安全級別,您必須詢問他們。

我得到了類似的錯誤/var/log/syslog

no valid RRSIG resolvingbroken trust chain resolving

在中添加以下參數後/etc/bind/named.conf/options,問題就消失了

dnssec-enable yes;
dnssec-validation yes;

引用自:https://serverfault.com/questions/717775