Administro un par de redes con entre 10 y 30 máquinas y ejecuto un bindservidor de nombres para proporcionar resolución DNS a mis clientes (en lugar de reenviar a Comcast o Google; no me importa anunciar la actividad de Internet de mis usuarios de esa manera). Mi servidor de nombres tiene autoridad para algunas cosas locales y realiza una resolución completa desde la raíz de todo lo demás. En general, esto funciona correctamente, pero incluso después de un nuevo reinicio, bind no tarda mucho en comenzar a registrar got insecure response; parent indicates it should be secureerrores. Creo que esto ocurre cuando se resuelve un nombre nuevo, cuando mi copia bindcomienza a resolverse desde .como .orgo lo que sea.
Todavía no he investigado el protocolo DNS actual ni he empezado tcpdumpa husmear; Espero que alguien pueda decir "tu base de tiempo está fuera de lugar" o algo similar que me salve de la inmersión profunda en DNS. (Tengo NTP en ejecución y creo que los tiempos de mi sistema son lo suficientemente cercanos como para que ese no sea el problema).
¿Existe algún problema común que afecte a los sitios pequeños que ejecutan un servidor de nombres recurrente como este? ¿O existe una buena herramienta para ejecutar en paralelo bindque pueda ayudarme a descubrir por qué bindse queja? Tenga en cuenta que incluso cuando algunos nombres no se resuelven, creo que otros sí lo hacen. Por ejemplo, es posible que tenga un problema con foo.bar.com.lo que se informa como validating .com/SOA: got insecure response, pero gibble.gobble.comse resuelve bien. (El mío bindse ejecuta en un enrutador OpenWRT de fabricación propia, por lo que es algo inconveniente crear nuevas versiones de herramientas, pero si tengo que reconstruir y reinstalar un nuevo sistema, podría hacerlo).
Respuesta1
El mensaje significa que el dominio que está viendo está habilitado para DNSSEC (es decir, el dominio principal tiene un registro DS que apunta al hijo, lo que significa que los registros del hijo deben estar firmados), pero la respuesta no vino con un DNSSEC firma (configuración incorrecta en el dominio) o su servidor de nombres no pudo interpretar la firma DNSSEC (quizás la firma generada con un algoritmo criptográfico que su servidor DNS no puede manejar). Sin un ejemplo específico de un dominio que no se resolvió, no podemos saber cuál.
Puede desactivar la validación DNSSEC, lo que sin duda detendrá los errores (y las fallas en la resolución de nombres), pero desde el punto de vista de la seguridad, no es una buena idea. Si nunca cierras con llave la puerta de entrada de tu casa, tampoco te quedarás afuera ;-) Si la causa de los errores es una mala configuración de DNSSEC en el dominio, obviamente no hay mucho que puedas hacer al respecto (no sé Creo que BIND proporciona una forma de ignorar selectivamente los errores de DNSSEC por dominio, incluso si así lo desea). Si el problema es un algoritmo criptográfico no compatible con su versión de BIND, entonces una actualización de BIND podría ser la única solución.