Si le serveur bind est installé depuis longtemps et que l'on active le support DNSSEC avec les lignes de configuration :

dnssec-enable yes;
// dnssec-validation yes; // NE PAS ACTIVER : non fonctionnel
dnssec-validation auto;

Après un rndc reload, DNSSEC est activé !

Dans les logs si il y a :

no valid RRSIG resolving 'de/DS/IN': 198.41.0.4#53
validating arpa/DS: no valid signature found

c'est que le serveur n'a pas les clés de vérification disponibles. Ces informations sont stockées dans le fichier /var/cache/bind/managed-keys.bind sous la forme d'un champ KEYDATA. Si celui-ci n'est pas disponible, les domaines ne peuvent pas être vérifiés. Lancer la commande service bind9 stop ; rm /var/cache/bind/managed-keys.bind* ; service bind9 start afin de supprimer le vieux cache qui n'a pas de clé KEYDATA et forcer Bind à utiliser ses clés internes.

Vérifier que le serveur vérifie bien :dig @127.0.0.1 www.internet2.edu +dnssec|grep -A1 HEADER renvoie

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42455
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 6, AUTHORITY: 6, ADDITIONAL: 15

avec "status: NOERROR" et le flag "ad" défini.