Estou usando o BIND 9.18.28-0ubuntu0.24.04.1-Ubuntu para atender zonas assinadas por DNSSEC, mas quando atualizo uma zona, o serial SOA da zona assinada não se relaciona com o SOA não assinado.
Após a última atualização, meu arquivo de zona para a zona assinada tem o serial SOA 2024081200, mas a versão assinada da zona tem o serial 2024040710.
Se eu fizer uma alteração no arquivo de zona e alterar o serial SOA para 2024081301 e recarregar o Bind, o serial assinado muda para 2024040711.
Parece que não importa quais mudanças eu faça, o serial para a zona assinada é incrementado apenas em um. Quero que ele use o serial do arquivo de zona não assinado como a nova base para o serial assinado (incrementando-o em um quando as chaves são rotacionadas).
A zona está configurada assim
zone "example.com" IN {
type primary;
file "/var/cache/bind/zones/example.com";
dnssec-policy default;
inline-signing yes;
};
E minha política dnssec se parece com isso
dnssec-policy standard {
dnskey-ttl 600;
keys {
ksk lifetime P365D algorithm ecdsap256sha256;
zsk lifetime P60D algorithm ecdsap256sha256;
};
max-zone-ttl P1D;
parent-ds-ttl PT1H;
parent-propagation-delay PT1H;
publish-safety PT1H;
retire-safety PT1H;
signatures-refresh P5D;
signatures-validity P14D;
signatures-validity-dnskey P14D;
zone-propagation-delay PT5M;
};
O que estou perdendo?