Dépannage des problèmes DNSSEC
Résoudre les problèmes courants liés à DNSSEC.
- Les outils utiles que les gens peuvent utiliser pour vérifier leur configuration DNSSEC sont l'outil numérique, l'DNSViz ou l'analyseur DNS de BIND.
- Lors de la communication avec le soutien technique, il est utile d'indiquer si la zone est activée par DNSSEC, quels enregistrements DS parents/enfants existent, creusez les résultats à l'aide de
+dnssecet les résultats de l'utilisation de DNSViz. - Le maintien d'une chaîne de confiance valide est important, car les chaînes de confiance rompues entraînent le marquage des données comme non valides, ce qui peut rendre les domaines et les sous-domaines invisibles pour la vérification des clients. La boiterie de sécurité est lorsqu'une zone parent a un enregistrement DS pointant vers une DNSKEY inexistante. Si tous les enregistrements DS pointent vers des DNSKEY inexistants, la zone enfant est marquée comme non valide.
- Avant de charger des enregistrements DS dans la zone parent, vérifiez que tous les serveurs de noms retournent correctement les enregistrements RRSIG attendus lors de l'interrogation des domaines dans la zone. Si certains serveurs de noms renvoient toujours des réponses d'interrogation non signées alors que les enregistrements DS parents indiquent que les données doivent être signées, la validation des résolveurs ne résoudra pas le nom de domaine.