moneyslow.com

EDE: 10 (RRSIGs Missing)有关dnssec错误解决办法

dnssec测试方法

dnssec测试方法

DNSSEC(DNS 安全扩展)提供了来源鉴定和数据完整性的扩展,有助于防止 DNS 缓存污染等恶意行为。
该扩展协议需要 DNS 解析服务商先行支持才可生效,不正确设置可能影响域名 DNS 正常解析。

以腾讯云dnspod为例,国内解析正确,国外解析异常,错误提示:

root@panel:~# dig moneyslow.com @8.8.8.8

; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> moneyslow.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 20075
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 10 (RRSIGs Missing): (For moneyslow.com/a)
;; QUESTION SECTION:
;moneyslow.com.                 IN      A

;; Query time: 228 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Tue Oct 15 06:48:17 UTC 2024
;; MSG SIZE  rcvd: 67

绕过dnssec的情况下,解析正确:

root@panel:~# dig moneyslow.com @8.8.8.8 +cd

; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> moneyslow.com @8.8.8.8 +cd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36830
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;moneyslow.com.                 IN      A

;; ANSWER SECTION:
moneyslow.com.          600     IN      A       192.144.134.17

;; Query time: 68 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Tue Oct 15 07:00:59 UTC 2024
;; MSG SIZE  rcvd: 58

可以看到发生了RRSIGs解析找不到错误,事出紧急,+cd的情况下是没问题,先关闭dnssec来解决问题:

在dnspod里,需要查看两个地方:

https://console.cloud.tencent.com/cns

https://console.cloud.tencent.com/domain/all-domain/all

最终发现确实有一条dnssec的签名被添加,删除后,点击同步dnssec:

可进一步观察效果。

从设计上讲,腾讯为什么把ds配置分开两个地方,实在是拉胯,不容易排查问题,文档必须得耐心的看,不然很容易傻逼。

同理,其他dns运营商的情况下,优先查找ds记录的问题,自己找不到,需要尽快联系厂商技术人员进行确认。

Exit mobile version