Aller au contenu


Photo

DNSSEC et Bind9 sur serveur Squeeze


  • Veuillez vous connecter pour répondre
1 réponse à ce sujet

#1 Nicolaaas

Nicolaaas

    Korbenaute

  • Membres
  • PipPip
  • 190 messages

Posté 19 January 2013 - 15:48

Bonjour à tous,
Je tente d'implémenter un resolver DNSSEC sur mon serveur afin de valider les clés DKIM des mails que je reçois.
J'ai configuré mon resolv.conf pour aller demander à bind9 de résoudre les requêtes.

/etc/resolv.conf
nameserver 127.0.0.1

/etc/bind/named.conf.options
options {
	 directory "/var/cache/bind";
	 forwarders {
			 213.186.33.99;
	 };
	 auth-nxdomain no; # conform to RFC1035
	 listen-on-v6 { ::1; };
	 listen-on { 127.0.0.1; };
	 dnssec-enable yes;
	 dnssec-validation yes;
	 dnssec-lookaside auto;
	 allow-recursion { 127.0.0.1; };
};

managed-keys {
[.....]
}

Les requêtes avec dig utilisent bien DNSSEC et me donnent un SERVFAIL quand il faut :
dig www.dnssec-failed.org +dnssec
; <<>> DiG 9.7.3 <<>> www.dnssec-failed.org +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 37976
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org.		 IN	 A
;; Query time: 3 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jan 19 15:40:46 2013
;; MSG SIZE rcvd: 50

Seulement voilà, j'ai l'impression que le système en lui-même n'utilise pas DNSSEC car je peux toujours pinger ce domaine :
ping www.dnssec-failed.org
PING www.dnssec-failed.org.fr (94.23.128.152) 56(84) bytes of data.
64 bytes from 94.23.128.152: icmp_req=1 ttl=123 time=4.71 ms
...

Est-ce un comportement normal ?

#2 Nicolaaas

Nicolaaas

    Korbenaute

  • Membres
  • PipPip
  • 190 messages

Posté 23 January 2013 - 21:30

Et bien, j'ai l'impression que DNSSEC ne passionne pas les foules :)