A
в
/var/log/messages
куча DNSSEC validating с руганью вокруг dlv.isc.orgdlv.isc.org DNSKEY: verify failed due to bad signature (keyid=19297): RRSIG has expiredАвторитативный+ресолвер BIND 9.8.2rc1-RedHat-9.8.2-0.68.rc1.el6_10.3 на CentOS release 6.10 (Final)
dlv.isc.org DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for 'dlv.isc.org'
dlv.isc.org DNSKEY: please check the 'trusted-keys' for 'dlv.isc.org' in named.conf.
dlv.isc.org SOA: got insecure response; parent indicates it should be secure
dlv.isc.org DNSKEY: got insecure response; parent indicates it should be secure
решил удалением строчки
dnssec-lookaside auto;
из
/etc/named.conf
что интересно, BIND 9.11.4 с такой же строчкой продолжил молотить