Проблема следующая - BIND9 возвращает кучу ошибок вида
error (no valid RRSIG) resolving 'amazonaws.coM/DS/IN': 127.0.0.1#57
error (no valid RRSIG) resolving 'googleapis.coM/DS/IN': 127.0.0.1#57
error (no valid RRSIG) resolving 'google.coM/DS/IN': 127.0.0.1#57
error (no valid RRSIG) resolving 'google.coM/DS/IN': 127.0.0.1#55А также пишет
validating @0x7f997c6922b0: com SOA: got insecure response; parent indicates it should be secure
Система Centos 7.4, VM гость. В системе находится bind (слушает 53 порт) и dnscrypt-proxy (слушает 54-57 порты).
Конфиг named.conf
options {
listen-on port 53 {localhost;};
listen-on-v6 port 53 { none; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; };
allow-query-cache {localhost; };
recursion yes;
dnssec-enable yes;
dnssec-validation auto;
//dnssec-lookaside auto;
//forwarders { 8.8.8.8; 8.8.4.4; };
forwarders { 127.0.0.1 port 54; 127.0.0.1 port 55; 127.0.0.1 port 56; 127.0.0.1 port 57;};
auth-nxdomain no;
max-ncache-ttl 0;
/* Path to ISC DLV key */
//bindkeys-file "/etc/named.iscdlv.key";
//managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
DNSCrypt резолверы выбираются случайным образом, но обязательно с поддержкой DNSSEC.
Проблема возникает только с DNSCrypt, гугловские резолверы отрабатывают без проблем.
Куда копать?
