如何检查域名是否使用 DNSSEC?

如何检查域名是否使用 DNSSEC?

DNSSEC 现已部署在一些顶级域名上。但我如何才能知道某个站点/域名是否在使用 DNSSEC?它显示在浏览器中吗?或者是否有任何 Windows 或 Linux 命令可以查看它?或者有相关工具?

答案1

dig [zone] dnskey

这将向您显示区域中是否存在用于验证区域中的 RRset 的所需 DNSKEY RRset。

如果你想查看你的递归服务器是否正在验证该区域,

dig +dnssec [zone] dnskey

这将在出站查询上设置 DO(dnssec OK)位,并导致上游解析器在数据通过验证的情况下在返回数据包上设置 AD(已验证数据)位,并且即使无法验证响应,也会为您提供相关的 RRSIG(如果相关区域已签名)。

你可能想看看我的最后一组幻灯片“6 分钟了解 DNSSEC”演示文稿(大量关于调试 DNSSEC 的内容)。该演示关于部署 DNSSEC 的内容有些过时(您真的应该看看 BIND 9.7 中的好东西),但调试几乎没有变化。

我在 NANOG 50 上也做过一个演讲,关于BIND 9.7 DNSSEC 部署

答案2

我不相信它目前并未显示在浏览器中。

Firefox 有一个扩展也许可以满足您的要求:

或者,也许是这些工具之一?

答案3

在终端上:dig tunnelix.com +dnssec

您需要找到指向 DNSSEC 签名的 RRSIG(RRset 签名)。

示例 1 的答案:tunnelix.com。300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com。Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y+jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw==

否则,请通过在线免费 DNSSEC 检查器验证您的 DNSSEC。 https://dnssec-debugger.verisignlabs.com

有关更多信息,请参阅以下可能有用的链接:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

相关内容