Pro validaci DNSSEC používám Unbound. V základní konfiguraci všechno funguje, jak má, jenže všechny dotazy se řeší rekurzí přímo až od kořenových serverů, což si nemyslím, že by bylo úplně vhodné – obvykle jsem s notebookem v dosahu nějakého rekurzivního DNS serveru, který (s trochou štěstí) ani nestripuje DNSSEC data.
Přidal jsem tedy do konfiguračního souboru konfiguraci pro forwardování:
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4Toto funguje vcelku obstojně. Problém ale nastane, když se mezi forwardery dostane DNSserver, který nepodporuje DNSSEC a navíc DNSSEC data kazí. Očekával bych, že Unbound zkusí ostatní servery (v ideálním případě i přímou cestu, jestliže všechny selžou). Místo toho na provedený dotaz odpoví SRVFAIL.
Dělám něco špatně, nebo je to opravdu takhle navržené?
0 Odpovědí
4628 Zhlédnutí