Il server BIND ha tonnellate di errori "non validi di RRSIG"

Ho un server BIND9 avanzato in esecuzione in LAN e registra centinaia di errori al giorno come:

Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure 

Sembra che i clienti stiano ancora ottenendo risultati, ma questi messaggi stanno riempendo i registri. Linee rilevanti in named.conf :

  forwarders { # Comcast 2001:558:feed::1; 2001:558:feed::2; 75.75.75.75; 75.75.76.76; }; forward only; dnssec-enable yes; dnssec-validation auto; dnssec-lookaside auto; 

Che cosa succede veramente questi errori? È una confusione errata alla mia estremità o Comcast?

  • Bypass DNSSEC per le zone locali Stub
  • Il record PTR e A deve corrispondere?
  • Apache 1 definizione host virtuale ascolta su 2 ips - come?
  • Qual è la procedura di installazione corretta per il server PDNS?
  • Bind9 timeout da LAN, server che ascolta sulla port 53
  • il server non riesce a trovare XXX.in-addr.arpa: NXDOMAIN
  • come veleno NXDOMAIN risponde con un IP specificato in djbdns
  • BIND 9.10 è costantemente ucciso su FreeBSD 10.0 senza spazio di swap
  • One Solution collect form web for “Il server BIND ha tonnellate di errori "non validi di RRSIG"”

    Sembra che i server di Comcast stanno spogliando deliberatamente le firme DNSSEC dalle risposte che ti stanno date, in modo che il tuo server non possa validationre com. (in questo caso) anche se sa che bisogna firmare. Questo non è probabile che provochi problemi direttamente riscontrabili, ma ti lascia apertamente i tuoi utenti per tutti gli attacchi che DNSSEC è stato creato per proteggere.

    Proprio perché Comcast vuole ridurre il livello di sicurezza dovrai chiederle.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.