<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi,<div><br></div><div>I'm trying to deploy an unbound installation in Ubuntu 16.04, but with no success enabling DNSSEC.</div><div><br></div><div># Configuration (unbound.conf):</div><div><br></div><div>=============================================</div><div><br></div><div><div>server:</div><div><br></div><div># DNSSEC anchor key</div><div>trust-anchor-file: "/var/lib/unbound/root.key"</div><div><br></div><div># Root Servers information</div><div>root-hints: "/var/lib/unbound/root.hints"</div><div><br></div><div># interfaces serving DNS</div><div>interface: 0.0.0.0</div><div>interface: ::0</div><div><br></div><div># access control</div><div>access-control: x.x.x.x/21 allow</div><div>access-control: <a href="http://100.64.0.0/10">100.64.0.0/10</a> allow</div><div>access-control: <a href="http://10.0.0.0/8">10.0.0.0/8</a> allow</div><div>access-control: <a href="http://172.16.0.0/12">172.16.0.0/12</a> allow</div><div>access-control: <a href="http://192.168.0.0/16">192.168.0.0/16</a> allow</div><div><br></div><div># more options</div><div>hide-identity: yes</div><div>hide-version: yes</div><div>do-ip4: yes</div><div>do-ip6: yes</div><div>do-udp: yes</div><div>do-tcp: no</div><div><br></div><div># remote control</div><div>remote-control:</div><div>control-enable: yes</div><div>control-interface: 127.0.0.1</div><div>control-port: 953</div><div>server-key-file: "/etc/unbound/unbound_server.key"</div><div>server-cert-file: "/etc/unbound/unbound_server.pem"</div><div>control-key-file: "/etc/unbound/unbound_control.key"</div><div>control-cert-file: "/etc/unbound/unbound_control.pem"</div><div><br></div></div><div><br></div><div>=======================</div><div><br></div><div># Root Key and Root Hints:</div><div><br></div><div><div>"/var/lib/unbound/root.key" has "<a href="https://nlnetlabs.nl/downloads/unbound/root-11sep-11oct.key">https://nlnetlabs.nl/downloads/unbound/root-11sep-11oct.key</a>" content<br></div><div><br></div><div>"/var/lib/unbound/root.hints" has "<a href="ftp://ftp.internic.net/domain/named.cache">ftp://ftp.internic.net/domain/named.cache</a>" content<br></div></div><div><br></div><div>======================</div><div><br></div><div># Results:</div><div><br></div><div>when trust-anchor-file: "/var/lib/unbound/root.key" is inactive (commented), all sites are resolved correctly, but with no DNSSEC support (<a href="http://rootcanary.org/test.html">rootcanary.org/test.html</a> show only yellow padlocks)</div><div><br></div><div><br></div><div>when trust-anchor-file: "/var/lib/unbound/root.key" is active (uncommented), all .org domains aren't resolved (other domains are resolved correctly):<br></div><div><br></div><div># Sites that are not resolved:</div><div><a href="http://fire.org">fire.org</a><br></div><div><a href="http://rootcanary.org">rootcanary.org</a></div><div><a href="http://under-linux.org">under-linux.org</a></div><div><a href="http://telegram.org">telegram.org</a></div><div><br></div><div><br></div><div>What can I try to solve this?</div></div></div></div></div></div></div></div></div></div></div></div>