domain-name-system – BIND服务器有很多“无效的RRSIG”错误
发布时间:2020-12-14 23:31:48 所属栏目:资源 来源:网络整理
导读:我在局域网上运行了一个仅向前的BIND9服务器,它每天记录数百个错误,如: Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got
我在局域网上运行了一个仅向前的BIND9服务器,它每天记录数百个错误,如:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure 似乎客户端仍在获得结果,但这些消息正在填满日志. named.conf中的相关行: forwarders { # Comcast 2001:558:feed::1; 2001:558:feed::2; 75.75.75.75; 75.75.76.76; }; forward only; dnssec-enable yes; dnssec-validation auto; dnssec-lookaside auto; 这些错误究竟意味着什么?这是我的结尾还是Comcast的错误配置? 解决方法
看起来Comcast的服务器故意从他们给你的响应中删除DNSSEC签名,因此你的服务器无法验证com. (在这种情况下)即使它知道应该签名.这不太可能导致任何直接明显的问题,它只会让您和您的用户对DNSSEC创建的所有攻击保持开放以防范.
正是为什么康卡斯特想要降低您的安全级别,您将不得不问他们. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |