<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial"><div>Hi all,</div><div><br></div><div>    We used bind to do the DNSSEC , DYNAMIC ZONES , AND AUTOMATIC SIGNING. </div><div>    But at last week we found that there is just one 'RRSIG<span style="white-space: pre;">    </span>NSEC3' record is illegality(No correct RSASHA256 signature) signed by bind.</div><div>        dnssec-verify -o XXX -E pkcs11 XXX.txt.signed</div><div>        Loading zone 'XXX' from file 'XXX.txt.signed'</div><div>        Verifying the zone using the following algorithms: RSASHA256.</div><div>        No correct RSASHA256 signature for 4AAPP98J0Q8VUG1BSQDH22IS8SURC8M6.XXX NSEC3</div><div>        The zone is not fully signed for the following algorithms: RSASHA256.</div><div>        dnssec-verify: fatal: DNSSEC completeness test failed.</div><div><br></div><div>    This error record as below:</div><div>4AAPP98J0Q8VUG1BSQDH22IS8SURC8M6.XXX.<span style="white-space:pre">     </span>3600<span style="white-space:pre"> </span>IN<span style="white-space:pre">   </span>RRSIG<span style="white-space:pre">        </span>NSEC3 8 2 3600 20170925080748 20170911074409 55399 XXX. AAAAAAAJ0lYBXu+DKpPARWqucXHr2hmUm5nGeKzcEg8L+n2Cb0APyG4UvNBYZ3lPzmSVRLw77NsGypPoMG23ovRMhhsmKg2uORh65ikucL072HksSbTNRn5/RPqw8sCD8RiCMrLj+wj5xFhqAa8Xk3UZMEMFK2jWROOT4LKDRhs=</div><div><br></div><div>    Our zone configure as below :</div><div><div>{       </div><div>        dnssec-enable yes;</div><div>        dnssec-validation yes;</div></div><div>        type master;</div><div>        update-check-ksk yes;</div><div>        dnssec-dnskey-kskonly yes;</div><div>        auto-dnssec maintain;</div><div>        sig-validity-interval 14 5;</div><div>        dnssec-update-mode maintain;</div><div>        serial-update-method increment;</div><div>}</div><div>    We used bind with below version :</div><div><div>        named -V</div><div>        BIND 9.10.5 <id:feb005b></div><div>        running on Linux x86_64 2.6.32-696.3.2.el6.x86_64 #1 SMP Tue Jun 20 01:26:55 UTC 2017</div><div>        built by make with 'CC=gcc -m64' '--enable-threads' '--with-openssl=/opt/pkcs11/usr' '--with-pkcs11=/usr/local/lib/pkcs11.so' '--prefix=/usr/local/bind-9.10.5'</div><div>        compiled by GCC 4.4.7 20120313 (Red Hat 4.4.7-18)</div><div>        compiled with OpenSSL version: OpenSSL 1.0.2h  3 May 2016</div><div>        linked to OpenSSL version: OpenSSL 1.0.2h  3 May 2016</div><div>        compiled with libxml2 version: 2.7.6</div><div>        linked to libxml2 version: 20706</div></div><div><br></div><div>    Is this a known issue?</div><div>    Did we have fixed this ? </div><div>    We have tried to manual correct this record ,but didn't find the right way.</div><div>        We tried remove this RRSIG but get REFUSED log as below:</div><div>            updating zone 'XXX/IN': update failed: explicit RRSIG updates are currently not supported in secure zones except at the apex (REFUSED)</div><div>        We tried remove this NSEC3 but get REFUSED log as below:</div><div>            updating zone 'XXX/IN': update failed: explicit NSEC3 updates are not allowed in secure zones (REFUSED)</div><div><br></div><div>    How to correct this invalid record?</div><div>    Could anybody give us some help? We will be very appreciate.</div><div>    Thank you very much.</div><div><br></div><div>Best regards,</div><div>Dean</div><div><br></div><div><br></div></div><br><br><span title="neteasefooter"><p> </p></span>