11.23 License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
11.24 End of Life . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
11.25 Thank You . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
12 DNSSEC Guide 363
12.1 Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
12.2 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
12.3 Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
12.4 Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
12.5 Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
12.6 Basic DNSSEC Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
12.7 Advanced Discussions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
12.8 Recipes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
12.9 Commonly Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
13 A Brief History of the DNS and BIND 447
14 General DNS Reference Information 449
14.1 Requests for Comment (RFCs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
14.2 Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
14.3 Internet Drafts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
15 Manual Pages 455
15.1 arpaname - translate IP addresses to the corresponding ARPA names . . . . . . . . . . . . . . . . . . 455
15.2 ddns-confgen - TSIG key generation tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
15.3 delv - DNS lookup and validation utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
15.4 dig - DNS lookup utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
15.5 dnssec-cds - change DS records for a child zone based on CDS/CDNSKEY . . . . . . . . . . . . . . . 471
15.6 dnssec-dsfromkey - DNSSEC DS RR generation tool . . . . . . . . . . . . . . . . . . . . . . . . . . 474
15.7 dnssec-importkey - import DNSKEY records from external systems so they can be managed . . . . . . 476
15.8 dnssec-keyfromlabel - DNSSEC key generation tool . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
15.9 dnssec-keygen: DNSSEC key generation tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
15.10 dnssec-revoke - set the REVOKED bit on a DNSSEC key . . . . . . . . . . . . . . . . . . . . . . . . 485
15.11 dnssec-settime: set the key timing metadata for a DNSSEC key . . . . . . . . . . . . . . . . . . . . . 486
15.12 dnssec-signzone - DNSSEC zone signing tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
15.13 dnssec-verify - DNSSEC zone verication tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
15.14 dnstap-read - print dnstap data in human-readable form . . . . . . . . . . . . . . . . . . . . . . . . . 496
15.15 lter-aaaa.so - lter AAAA in DNS responses when A is present . . . . . . . . . . . . . . . . . . . . 497
15.16 host - DNS lookup utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
15.17 mdig - DNS pipelined lookup utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
15.18 named-checkconf - named conguration le syntax checking tool . . . . . . . . . . . . . . . . . . . . 505
15.19 named-checkzone - zone le validation tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
15.20 named-compilezone - zone le converting tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
15.21 named-journalprint - print zone journal in human-readable form . . . . . . . . . . . . . . . . . . . . 512
15.22 named-nzd2nzf - convert an NZD database to NZF text format . . . . . . . . . . . . . . . . . . . . . 513
15.23 named-rrchecker - syntax checker for individual DNS resource records . . . . . . . . . . . . . . . . . 513
15.24 named.conf - conguration le for named . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
15.25 named - Internet domain name server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
15.26 nsec3hash - generate NSEC3 hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
15.27 nslookup - query Internet name servers interactively . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
15.28 nsupdate - dynamic DNS update utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
15.29 rndc-confgen - rndc key generation tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
15.30 rndc.conf - rndc conguration le . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
15.31 rndc - name server control utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
15.32 tsig-keygen - TSIG key generation tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
iii
