Bart Van Loon's questions

Eu tenho feito um esforço para obter o DNSSEC completo no meu sistema com a seguinte configuração:

• dnscrypt-proxyinstalado, funcionando em 127.0.0.1 comrequire_dnssec = true
• execução resolvida pelo systemd, com DNSSEC=yeseDNS=127.0.0.1
• apenas nameserver 127.0.0.1em/etc/resolv.conf
• conectado através do NetworkManager a uma rede WiFi sobre a qual conheço os conjuntos de configuração DHCP 8.8.8.8 e 8.8.8.4 como servidores DNS

/run/systemd/resolve/resolv.conflista 8.8.8.8 e 8.8.8.4 abaixo de 127.0.0.1.

resolvectl statusmostra

DNSSEC setting: yes
DNSSEC supported: yes
Current DNS Server: 127.0.0.1
DNS Servers: 127.0.0.1

na seção Global, mas

 DNSSEC setting: yes
 DNSSEC supported: yes
 Current DNS Server: 8.8.8.8
 DNS Servers: 8.8.8.8
                           8.8.8.4

na seção da minha interface (por quê?).

tcpdumpnão mostra nenhuma atividade no udp:53 ao usar um navegador da Web, dig ou outro uso normal. Isso significa que meu dnscrypt-proxy local está lidando com todas as solicitações de DNS no meu sistema. Também presumo que, devido às definições de configuração mencionadas acima, vou usar o DNSSEC até o fim.

No entanto, de tempos em tempos o diário contém linhas como:

Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN DS: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d2e801s7grwbqs.cloudfront.net IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d2e801s7grwbqs.cloudfront.net IN A: failed-auxiliary

• resolvectl query v.dropbox.comresulta no mesmo erro de validação DNSSEC
• dig v.dropbox.comfunciona muito bem
• dig v.dropbox.com @8.8.8.8também funciona muito bem (é claro, resultando em duas linhas de saída para tcpdump)

Eu também verifiquei https://dnsleaktest.com , que me diz que muitos servidores 172.253.xx estão recebendo uma solicitação para resolver nomes de domínio que eu digito no meu navegador. Esses IPs parecem ser de propriedade do Google.

Então o que isso quer dizer? Existe alguma consulta (não DNSSEC) acontecendo neste sistema?

Quaisquer insights são apreciados!