bind不验证dnssec

Question

真奇怪。我的绑定没有验证dnssec，即使我将它配置为。named -V的版本是BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2，它有一个内置的DLV密钥.

在named.conf中的选项

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

但是当我查询一个已知的坏区域，比如执行dig www.dnssec-failed.org @localhost时，我会得到IP地址--而不是我所期望的失败。有什么想法吗？

Answer 1

不要问为什么，但我有相同的问题，并将dnssec-验证选项设置为auto，而不是yes，解决了问题。

Answer 2

根据参考手册的说法

如果...设置为"auto"，则启用DNSSEC验证，并使用DNS根区域的默认信任锚点。如果设置为“是”，则启用DNSSEC验证，但必须使用“可信-键”或“托管-键”语句手动配置信任锚点。

因此，必须将其设置为auto模式，或显式设置为include "/etc/bind.keys"。

Answer 3

如果设置为"auto"，则启用DNSSEC验证，并使用DNS根区域的默认信任锚点。

所使用的默认信任锚点来自bind.keys，默认值将从框外预加载。