我最近将我的 DNS 解析器切换为systemd-resolved,以便开始利用可用的 DNSSEC。我的配置是:
[Resolve]
DNS=8.8.8.8 8.8.4.4
DNSOverTLS=yes
(包括注释掉的默认值DNSSEC=allow-downgrade)
对于大多数站点来说,一切似乎都很好,无论是否启用 DNSSEC。但是,有时我会访问无法解析的网站:
$ resolvectl query savannah.gnu.org
savannah.gnu.org: resolve call failed: DNSSEC validation failed: failed-auxiliary
$ resolvectl query keys.mailvelope.com
keys.mailvelope.com: resolve call failed: DNSSEC validation failed: failed-auxiliary
$ resolvectl query d1dkupr86d302v.cloudfront.net
d1dkupr86d302v.cloudfront.net: resolve call failed: DNSSEC validation failed: failed-auxiliary
我试图通过DNSSEC 分析器(用于 savannah.gnu.org)验证这一点。但是,我确实很难理解结果。我真的看不出它与不启用 DNSSEC 的任何其他域有何不同。
我的问题是:DNSSEC 是否经常被破坏,或者 systemd-resolved 在这里做错了什么?