пятница, 23 января 2015 г.

Не работает dnssec-validation в bind9 в Ubuntu Precise

Столкнулся с багом в Ubuntu 12.04 LTS (Ubuntu Precise) - bind9, настроенный в качестве кеширующего dns, не может резолвить некоторые хосты. При этом в лог падает ошибка вида:

named[10137]: validating @0x7fa7cc019410: mail.frogger.nl A: got insecure response; parent indicates it should be secure
named[10137]: error (insecurity proof failed) resolving 'mail.frogger.nl/A/IN': 66.96.80.194#53
named[10137]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53
named[10137]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 82.192.67.204#53

Проверка этого хоста на DNSSEC Analizer не показала никаких проблем. Если верить гуглу - я не одинок и проблема возникает с резолвингом хостов, где используется комбинация wildcard (*.frogger.nl, под который и попадает mail.frogger.nl) и DNSSEC. Соответствующие баг репорты открыты в Ubuntu #1203976 и Debian #690569.

В качестве затычки пока выключил валидацию dnssec:

options {
    dnssec-validation no; //was "dnssec-validation auto;"
}

Я пробовал сравнивать работу bind9 одинаковой версии (1:9.8.1.dfsg.P1-4) в Ubuntu и Debian: в Debian хост резолвится, а в Ubuntu - нет. Сравнение исходников пакета из Ubuntu и Debian не показывает никакой разницы. Пересборка пакета для Ubuntu тоже не улучшила ситуацию...

Возможно кто-то знает, почему один и тот же пакет bind9 по-разному ведет себя в Debian и Ubuntu?

Комментариев нет:

Отправить комментарий