domain-name-system – BIND服务器有很多“无效的RRSIG”错误

前端之家收集整理的这篇文章主要介绍了domain-name-system – BIND服务器有很多“无效的RRSIG”错误前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在局域网上运行了一个仅向前的BIND9服务器,它每天记录数百个错误,如:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure

似乎客户端仍在获得结果,但这些消息正在填满日志. named.conf中的相关行:

forwarders {
            # Comcast
            2001:558:Feed::1;
            2001:558:Feed::2;
            75.75.75.75;
            75.75.76.76;
    };
    forward only;

    dnssec-enable yes;
    dnssec-validation auto;
    dnssec-lookaside auto;

这些错误究竟意味着什么?这是我的结尾还是Comcast的错误配置?

解决方法

看起来Comcast的服务器故意从他们给你的响应中删除DNSSEC签名,因此你的服务器无法验证com. (在这种情况下)即使它知道应该签名.这不太可能导致任何直接明显的问题,它只会让您和您的用户对DNSSEC创建的所有攻击保持开放以防范.

正是为什么康卡斯特想要降低您的安全级别,您将不得不问他们.

猜你在找的HTML相关文章