<div dir="auto"><span style="border-color:rgb(0,0,0)"><br></span></div><div dir="auto"><span style="border-color:rgb(0,0,0)">  Run Unbound</span> in "val-override-date: -1" mode at very short term after boot, and once your machine gets good datetime[1], restart Unbound in normal mode. <br></div><div dir="auto"><br></div><div dir="auto">  In this mode, Unbound performs DNSSEC validation without RRSIG expiration check. The only risk you must take here is the possibility of accepting expired signatures.</div><div dir="auto"><br></div><div dir="auto">[1] The next problem is to get datetime by secure method. Your company should run DNS server publishing datetime in signed zone like:</div><div dir="auto">    <a href="http://time.redhat.com">time.redhat.com</a>.  IN TXT "1687842121"</div>