Было:  
в /var/log/messages куча DNSSEC validating с руганью вокруг  dlv.isc.org

dlv.isc.org DNSKEY: verify failed due to bad signature (keyid=19297): RRSIG has expired
dlv.isc.org DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for 'dlv.isc.org'
dlv.isc.org DNSKEY: please check the 'trusted-keys' for 'dlv.isc.org' in named.conf.
dlv.isc.org SOA: got insecure response; parent indicates it should be secure
dlv.isc.org DNSKEY: got insecure response; parent indicates it should be secure

Авторитативный+ресолвер BIND 9.8.2rc1-RedHat-9.8.2-0.68.rc1.el6_10.3 на CentOS release 6.10 (Final)

решил удалением строчки
dnssec-lookaside auto;
из /etc/named.conf

что интересно, BIND 9.11.4 с такой же строчкой продолжил молотить

а вас двоих ЛОР покусал? днс говорю сломались, а вы мне "не пользуйся днсами". Классика

и ещё не пользуйся Странанеймтелекомом в качестве провайдера, они все априори говно

о, спасибо. а мужики-то видать не в курсе

там забыли обновить ключ в домене dlv.isc.org и почему-то определенные версии бинда переклинило, хотя этот механизм депрекейтед и непонятно как он воообще повлиял на остальные нормальные зоны

более того, ISC заявляли, что директива dnssec-lookaside auto; - хармлесс

дада, но как всегда в каких-то версих был баг

https://www.mail-archive.com/bind-users@lists.isc.org/msg28626.html
и
https://www.mail-archive.com/bind-users@lists.isc.org/msg28624.html

не найду, где, но это гуглится