奇怪的。我的绑定未验证 dnssec,即使我将其配置为也是如此。根据的版本named -V具有BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2内置的 DLV 密钥。
在 named.conf 的选项下
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
但是当我查询一个已知的坏区时,就像dig www.dnssec-failed.org @localhost我得到 IP 地址一样——而不是像我预期的那样失败。有什么想法吗?
不要问为什么,但我遇到了同样的问题,将 dnssec-validation 选项设置为 auto 而不是 yes 解决了这个问题
根据参考手册,
因此,您必须将其设置为
auto模式,或者明确地设置为include "/etc/bind.keys"。如果设置为“自动”,则启用 DNSSEC 验证,并使用 DNS 根区域的默认信任锚。
使用的默认信任锚来自 bind.keys,默认值是开箱即用的