Re: [FRnOG] Re: [TECH] Problème de résolution DNSSEC sur Bind

Wed, 14 Jan 2026 09:14:07 -0800 

Hello,

Pas de problèmes bloquant chez moi non plus.

Fait depuis 2 serveurs, debian 13 à jour, bind.

Cordialement,

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51770
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 043108d565667c84010000006967ce60c051c83224859134 (good)
;; QUESTION SECTION:
;o3iklpp.impervadns.net.                IN      A

;; ANSWER SECTION:
o3iklpp.impervadns.net. 30      IN      A       45.60.198.231
o3iklpp.impervadns.net. 30 IN RRSIG A 8 3 30 20260228000000 20240722000000 56281 impervadns.net. LKWYfhi9oVgJbbenK4CvajDmuLedBULDQw5deOkAXRmq6ukhgFemcmQh TPh4xvbHRW3iGr6bqFHjpDP1NeaPcKgUkKVQUM8poCYb5mHf3BOj8i9e I0S0tLbJ+BeQsJCOMo6M5W7qYG4BDugdkXsIkVcihzAi8M0lNqAquSdL g3w= o3iklpp.impervadns.net. 30 IN RRSIG A 8 3 30 20270106000000 20260106000000 11304 impervadns.net. Gew0DWm8bvqirYa+5CCTHDXzlZd3EjvoSphRNVvIEAZdff0sv4s2oweX 6Q2HxvrQWTxsY2V9Dg3j/DT1QE8rfHbV0AYZTph/nYh5GhDMYRUZ6kIl 2XVfgrrcz3F7ub1+Za4WiKysByAd5k8Tt8cEfYpIPn8aBA5Hg7/hweWw Fw0= 

;; Query time: 16 msec



Le 2026-01-14 17:57, Stephane Bortzmeyer via frnog a écrit :

On Wed, Jan 14, 2026 at 04:18:44PM +0000,
 LENOIR Pierre via frnog <[email protected]> wrote
 a message of 55 lines which said:


Quand nous essayons de les résoudre (type A), nous avons des logs
"broken trust chain", donc de résolution DNSSEC. Ce sont des
résolveurs Bind.


Problème de MTU ? Comme il y a beaucoup de clés et de signatures dans
ces domaines, la réponse à une requête DNSKEY fait 1495 octets, ce qui
peut coincer si vous avez un trou noir dû à une mauvaise configuration
de la taille maximale, ou si votre résolveur ne sait pas réessayer en
TCP.


A priori, le problème ne vient pas (enfin pas que) de chez nous :
lorsque que je teste avec des outils comme DNSVIZ, les deux zones
semblent bien avoir des problèmes de configuration DNSSEC.


Ah non, pas d'accord. DNSviz voit bien le potentiel problème de MTU
mais le reste (sel du NSEC3 non vide) n'est pas grave et n'empêche pas
la résolution.

Un test avec les sondes Atlas ou avec Zonemaster ne montre pas de
problème bloquant, à part chez vous.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à