Ronny Seffner ronny@seffner.de (Fr 26 Jul 2013 18:33:47 CEST):
Ist 'dnssec-validation' im bind an und betrachtet man die Validierung wie eine SSL-Zertifikatskette, so muss sich der Server zuerst den Key von der root Zone (TLD?) holen. In meinem Fall gibt es aber ".box" gar nicht. Die DNSSEC Implemetierung ist nun (vielleicht zu Recht) so empfindlich, dass sie nur "hier hast du den Key" (DS/DLV) oder "DNSSEC mache ich nicht" akzeptiert. Ein "die zone gibt es nicht" führt zu "Fehlvalidation".
Ich habe also flink lokal die zone box angelegt, in der ich für die Subzone fritz den NS auf das remote Tunnelende setze. Nun gehts auch mit aktiviertem 'dnssec-validation'.
Bestimmt hätte man für die Erklärung treffendere und korrekte Begriffe gefunden.
Vielleicht so:
Wenn die Parent-Zone nicht existiert, wird das als Bruch in der Signierungskette behandelt und die DNSSec-Validierung schlägt fehl.
Dazu muss die angefragte (Kind)-Zone keine Merkmals von DNSSec aufweisen, denn nur die Parent-Zone geniesst das Vertrauen, zu entscheiden, in der Kind-Zone Signaturen vorhanden sein müssten.
Irgendwie logisch, oder?
Sonst könnte der Betreiber meines DNS-Forwarders z.B. so tun, als wenn „.“ nicht existiert und die Antworten auf alle anderen Anfragen faken. Damit würde für mich „das Internet funktionieren“, aber ich wäre um die Möglickeit der DNS-Validierung gebracht.
Vermutlich geht es nicht zwingend um die Root-Zone, sondern um die Trust-Anchors. Bis dorthin wird der Bind die Kette nach oben verfolgen wollen.
Ich denke (das heisst, ich weiss es nicht genau!), man kann für einzelne Zonen ausdrücklich die Validierung ausschalten.