Hallo alle 🙂
es geht um Unbound und das ad-Flag. Eingerichtet habe ich Unbound, wie es im Wiki steht.
Da ich mich ein wenig mit dem Thema befasse, las ich auch, das bei einer erfolgreichen DNSSEC-Validierung, immer mit einem ad-Flag geantwortet werden sollte. Jetzt ist die Validierung, wie sie im Wiki beschrieben ist, bei mir aber erfolgreich. Nur das ad-Flag bleibt aus.
https://wiki.archlinux.org/index.php/Unbound#Testing_validation
$ unbound-host -C /etc/unbound/unbound.conf -v sigok.verteiltesysteme.net
sigok.verteiltesysteme.net has address 134.91.78.139 (secure)
sigok.verteiltesysteme.net has IPv6 address 2001:638:501:8efc::139 (secure)
sigok.verteiltesysteme.net has no mail handler record (secure)
$ unbound-host -C /etc/unbound/unbound.conf -v sigfail.verteiltesysteme.net
Host sigfail.verteiltesysteme.net not found: 2(SERVFAIL). (error)
Host sigfail.verteiltesysteme.net not found: 2(SERVFAIL). (error)
sigfail.verteiltesysteme.net has no mail handler record (secure)
Hier wird nicht exakt das wiedergegeben, was im Wiki steht. Dort steht (BOGUS (security failure)) Ich bekomme ein 2(SERVFAIL). (error).
$ drill sigfail.verteiltesysteme.net
;; ->>HEADER<<- opcode: QUERY, rcode: SERVFAIL, id: 6855
;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; sigfail.verteiltesysteme.net. IN A
;; ANSWER SECTION:
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
;; Query time: 1028 msec
;; SERVER: 127.0.0.1
;; WHEN: Thu Jul 25 12:23:28 2019
;; MSG SIZE rcvd: 46
$ drill sigok.verteiltesysteme.net
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 58780
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; sigok.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 3600 IN A 134.91.78.139
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
;; Query time: 23 msec
;; SERVER: 127.0.0.1
;; WHEN: Thu Jul 25 12:25:00 2019
;; MSG SIZE rcvd: 60
Folgende Testseiten bestätigen mir eine erfolgreiche DNSSEC-Validierung.
http://dnssec.vs.uni-due.de
https://en.internet.nl
https://www.grc.com/dns/dns.htm
Sollte ich mir weiterhin Gedanken machen, oder ist alles in Butter?
Beste Grüße
cappuccino