Dépannage des problèmes DNSSEC
Résolvez les problèmes courants liés à DNSSEC.
- Les outils utiles que les utilisateurs peuvent utiliser pour vérifier leur configuration DNSSEC sont l'outil Dig, DNSViz ou l'analyseur DNS de BIND.
- Lorsque vous contactez le support technique, il est utile d'indiquer si la zone est activée pour DNSSEC, quels enregistrements DS parent/enfant existent, extraire les résultats à l'aide de
+dnssecet les résultats de l'utilisation de DNSViz. - Le maintien d'une chaîne de confiance valide est important car les chaînes de confiance rompues entraînent le marquage des données comme non valides, ce qui peut rendre les domaines et les sous-domaines invisibles pour la vérification des clients. La boiterie de sécurité est quand une zone parent a un enregistrement DS pointant vers un DNSKEY inexistant. Si tous les enregistrements DS pointent vers des DNSKEY inexistants, la zone enfant est marquée comme non valide.
- Avant de charger des enregistrements DS dans la zone parent, vérifiez que tous les serveurs de noms renvoient correctement les enregistrements RRSIG attendus lors de l'interrogation des domaines de la zone. Si certains serveurs de noms renvoient toujours des réponses de requête non signées alors que les enregistrements DS parent indiquent que les données doivent être signées, la validation des résolveurs ne résoudra pas le nom de domaine.