<div dir="ltr"><div>Does that mean that the problem is not with my network?</div><div><br></div><div>I don't know how to compile the latest build of unbound for Pihole using RaspberryOS (Debian)</div><div><br></div><div><br></div><div>Thanks for the info.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 31 Dec 2020 at 23:39, Havard Eidnes <<a href="mailto:he@uninett.no">he@uninett.no</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> Using Unbound 1.9.0 on Raspberry Pi with Pihole.<br>
><br>
> Since two days ago I cannot access .<a href="http://co.il" rel="noreferrer" target="_blank">co.il</a> domains, such as <a href="http://hwzone.co.il" rel="noreferrer" target="_blank">hwzone.co.il</a> or<br>
> <a href="http://ynet.co.il" rel="noreferrer" target="_blank">ynet.co.il</a>.<br>
<br>
The analysis tool at <a href="https://dnsviz.net/" rel="noreferrer" target="_blank">https://dnsviz.net/</a> seems to indicate there's a<br>
problem with the DNSSEC setup for both .IL and .<a href="http://CO.IL" rel="noreferrer" target="_blank">CO.IL</a>, ref.<br>
<br>
<a href="https://dnsviz.net/d/hwzone.co.il/dnssec/" rel="noreferrer" target="_blank">https://dnsviz.net/d/hwzone.co.il/dnssec/</a><br>
<br>
The recurring message seems to be that e.g. the DNSKEY RRset for .IL<br>
includes a key with algorithm 13 (ECDSAP256SHA256), but no<br>
corresponding RRSIG can be found, and the same for the .<a href="http://CO.IL" rel="noreferrer" target="_blank">CO.IL</a> domain.<br>
<br>
Whether that should be a fatal error is another matter, it probably<br>
should not, as long as there exists other keys where there exists a<br>
matching RRSIG.  Newer unbound (e.g. 1.12.0) does not make this a<br>
fatal error, and resolves those names just fine.<br>
<br>
Regards,<br>
<br>
- Håvard<br>
</blockquote></div>