Follow

Rigolo, mon résolveur DNS a arrêté de fonctionner normalement d'un coup ~17h. Des erreurs de DNSSEC partout dans les logs, sans que j'ai rien changé dans la conf.

Si j'enlève dnssec-lookaside auto; tout remarche comme il faut.

Rigolo, j'ai pas été le seul à avoir des soucis de dnssec à cause du lookaside au même moment. Des trucs qui ont expirés dans bind.keys ou dlv.isc.org qui aurait cessé de répondre ?

Show thread

Bon ben c'est pas la fin de dlv.isc.org, c'est juste des soucis techniques : twitter.com/ISCdotORG/status/1

C'est quand même rigolo de maintenir un truc aussi longtemps juste parce que des tocards comme moi ont des confs complètement désuètes.

Show thread

@wxcafe Espionner du DNSSEC ça a l'air vraiment utile ^_^

@kaerhon Le DNS est mouillé par défaut, DNSSEC est là pour les exceptions.
@wxcafe

@wxcafe Si je me souviens vaguement des confs bind9 enlever cette option ne rend pas plus facile le poisonning.
De toute façon DNSSEC Lookaside Validation a été abandonné je crois. Je dois avoir cette option depuis le début pour avoir suivi une doc' pas à jour.

@wxcafe C'était pour quand la racine était pas signé, ça permettait de faire partir le processus de validation depuis ailleurs.

La doc actuelle de bind9 dit :

The ISC-provided DLV service at dlv.isc.org, has been shut down. The dnssec-lookaside auto; configuration option, which set named up to use ISC DLV with minimal configuration, has accordingly been removed.

Du coup je comprends pas pourquoi l'enlever vient résoudre mon problème.

Peut-être les clefs qu'il y a dans /var/bind9/chroot/etc/bind/bind.keys qui ont expirées, flemme de creuser plus. Toute façon fallait enlever cette option.

Sign in to participate in the conversation
Mastodon Opportun.e

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!