DNSSEC 现已部署在一些顶级域名上。但我如何才能知道某个站点/域名是否在使用 DNSSEC?它显示在浏览器中吗?或者是否有任何 Windows 或 Linux 命令可以查看它?或者有相关工具?
答案1
dig [zone] dnskey
这将向您显示区域中是否存在用于验证区域中的 RRset 的所需 DNSKEY RRset。
如果你想查看你的递归服务器是否正在验证该区域,
dig +dnssec [zone] dnskey
这将在出站查询上设置 DO(dnssec OK)位,并导致上游解析器在数据通过验证的情况下在返回数据包上设置 AD(已验证数据)位,并且即使无法验证响应,也会为您提供相关的 RRSIG(如果相关区域已签名)。
你可能想看看我的最后一组幻灯片“6 分钟了解 DNSSEC”演示文稿(大量关于调试 DNSSEC 的内容)。该演示关于部署 DNSSEC 的内容有些过时(您真的应该看看 BIND 9.7 中的好东西),但调试几乎没有变化。
我在 NANOG 50 上也做过一个演讲,关于BIND 9.7 DNSSEC 部署。
答案2
我不相信它目前并未显示在浏览器中。
Firefox 有一个扩展也许可以满足您的要求:
或者,也许是这些工具之一?
答案3
在终端上:dig tunnelix.com +dnssec
您需要找到指向 DNSSEC 签名的 RRSIG(RRset 签名)。
示例 1 的答案:tunnelix.com。300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com。Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y+jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw==
否则,请通过在线免费 DNSSEC 检查器验证您的 DNSSEC。 https://dnssec-debugger.verisignlabs.com
有关更多信息,请参阅以下可能有用的链接: