Как я могу проверить, использует ли домен DNSSEC?
DNSSEC была развернута на некоторых topdomains сейчас. Но как я могу узнать, использует ли сайт / домен DNSSEC? Это отображается в браузере? или есть команда windows или linux, чтобы увидеть это? или инструмент для этого?
3 ответа
dig [zone] dnskey
Это покажет вам, есть ли в зоне RRset DNSKEY, который будет использоваться для проверки RRsets в зоне.
Если вы хотите проверить, проверяет ли ваш рекурсивный сервер зону,
dig +dnssec [zone] dnskey
Это установит бит DO (dnssec OK) в исходящем запросе и заставит преобразователь восходящего потока установить бит AD (аутентифицированные данные) в возвращаемом пакете, если данные проверены, а также предоставит вам соответствующие RRSIG (если зона в вопрос подписан), даже если он не может подтвердить ответ.
Возможно, вы захотите взглянуть на последнюю группу слайдов в моей презентации "DNSSEC за 6 минут" (много об отладке DNSSEC). Эта презентация немного длинна в развертывании DNSSEC (вам действительно стоит взглянуть на BIND 9.7 для хорошего), но отладка мало изменилась.
В NANOG 50 я также представил презентацию о развертывании DNSSEC в BIND 9.7 .
Я не верю, что это в настоящее время отображается в браузере.
У Firefox есть расширение, которое может делать то, что вы хотите:
в качестве альтернативы, может быть, один из этих инструментов?
На терминале: копать tunnelix.com +dnssec
Вам нужно найти RRSIG (подпись RRset), которая указывает на подпись DNSSEC.
Ответ из Примера1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y+jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw==
В противном случае, проверьте свой DNSSEC через бесплатную онлайн-проверку DNSSEC. https://dnssec-debugger.verisignlabs.com/
Для получения дополнительной информации обратитесь к этим ссылкам, которые могут быть полезны: