less数我转发的DNS查询会导致BIND 9logging消息,如:
184.in-addr.arpa SOA: got insecure response; parent indicates it should be secure validating @0x7f93140c0870: 100.64-26.75.195.82.in-addr.arpa PTR: no valid signature found validating @0x7f93100c8830: www.nbcnews.com A: no valid signature found validating @0x7f93287f2a00: cabotelecom.com.br NSEC: verify failed due to bad signature (keyid=13661): RRSIG has expired 我将查询转发到支持DNSSEC的服务器。
所以:我应该关心这些,鉴于我没有办法对他们做任何事情吗? 如果是的话,我真的可以做些什么呢?
DNSSEC的目标是为查询响应添加真实性和完整性。 DNSSEC无法告诉您您的查询响应是否被拦截,但它可以告诉您响应是否已被破坏,被篡改或完全丢失了其签名。 您看到的消息正在通知您DNSSEC问题与收到的答复(缺乏签名,签名无效等)。 如果您正在validationDNSSEC,则这些回复将被丢弃。
大多数DNSSECvalidation问题是由于configuration错误造成的。
如果他们的主机是“重要的”,并且您怀疑区域操作员的简单configuration错误,则可以绕过专门针对这些区域的validation。 这似乎是Google的官方政策: https : //developers.google.com/speed/public-dns/faq#gdns_validation_failure
Comcast采取通知域名所有者DNSSEC问题的方法: http : //dns.comcast.net