Il server BIND ha tonnellate di errori "non validi di RRSIG"

Ho un server BIND9 avanzato in esecuzione in LAN e registra centinaia di errori al giorno come:

Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure 

Sembra che i clienti stiano ancora ottenendo risultati, ma questi messaggi stanno riempendo i registri. Linee rilevanti in named.conf :

  forwarders { # Comcast 2001:558:feed::1; 2001:558:feed::2; 75.75.75.75; 75.75.76.76; }; forward only; dnssec-enable yes; dnssec-validation auto; dnssec-lookaside auto; 

Che cosa succede veramente questi errori? È una confusione errata alla mia estremità o Comcast?

One Solution collect form web for “Il server BIND ha tonnellate di errori "non validi di RRSIG"”

Sembra che i server di Comcast stanno spogliando deliberatamente le firme DNSSEC dalle risposte che ti stanno date, in modo che il tuo server non possa validationre com. (in questo caso) anche se sa che bisogna firmare. Questo non è probabile che provochi problemi direttamente riscontrabili, ma ti lascia apertamente i tuoi utenti per tutti gli attacchi che DNSSEC è stato creato per proteggere.

Proprio perché Comcast vuole ridurre il livello di sicurezza dovrai chiederle.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.