Moin, hier sind doch auch ein paar Leute dabei, die sich auskennen.
Ich habe lokal systemd-resolved am Start. Der macht ja auch
DNSSec-Validation.
Funktioniert auch:
$ systemd-resolve -t mx schlittermann.de
schlittermann.de IN MX 80 ssl.schlittermann.de -- link: wlp4s0
schlittermann.de IN MX 90 hh.schlittermann.de -- link: wlp4s0
schlittermann.de IN MX 99 tigger.schlittermann.de -- link: wlp4s0
-- Information acquired via protocol DNS in 4.4ms.
-- Data is authenticated: yes
Der resolvd lauscht zusätzlich auf 127.0.0.53 Port 53
dig @127.0.0.53 mx schlittermann.de +qr
liefert mir erstmal die Antwort, aber ohne AD Bit. Obwohl ich danach
gefragt habe:
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @127.0.0.53 mx schlittermann.de +qr
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61040
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
-----------------^^
In der Antwort fehlt es dann:
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61040
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
-------------------^^^^
Ein anderer validierender Resolver liefert sofort das AD Bit. (Leicht zu
testen mit dig @1.1.1.1 …)
Wenn ich dem Dig jetzt das DNSSEC Flag mitgebe, was für mich eigentlich
bedeutet „Hey, Server, ich bitte schicke mir die DNSSEC Daten“, dann
bekomme ich bei der Kommunikation mit dem systemd-resolved das AD bit,
aber keine DNSSEC Datensätze. Bei der Kommunikation mit z.B. 1.1.1.1
bekomme ich die DNSSEC Datensätze, wie ich es erwartet hätte.
Was ist hier los?
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
signature.asc
Description: PGP signature
