我在局域网上运行一个只能转发的BIND9服务器,每天都会logging数百个错误,如下所示:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure 看起来客户仍然在获得结果,但这些消息正在填满日志。 named.conf相关行:
forwarders { # Comcast 2001:558:feed::1; 2001:558:feed::2; 75.75.75.75; 75.75.76.76; }; forward only; dnssec-enable yes; dnssec-validation auto; dnssec-lookaside auto;
这些错误究竟意味着什么呢? 这是我的目标或康卡斯特的configuration错误吗?
看起来Comcast的服务器故意从他们提供的响应中删除DNSSEC签名,所以你的服务器不能validationcom. (在这种情况下),即使它知道应该签名。 这不太可能引起任何直接引起注意的问题,这只会让您和您的用户对DNSSEC创build的所有攻击保持开放。
确切地说,为什么康卡斯特想要降低您的安全级别,您将不得不问他们。