Como posso verificar se um domínio usa DNSSEC?

13

O DNSSEC foi implantado em alguns domínios principais agora. Mas como eu poderia ver se um site / domínio está usando o DNSSEC? É mostrado no navegador? ou existe algum comando do windows ou linux para vê-lo? ou uma ferramenta para isso?

    
por Jonas 04.11.2010 / 12:37

2 respostas

15

dig [zone] dnskey

Isso mostrará se há o RRset DNSKEY requerido na zona que será usada para validar os RRsets na zona.

Se você quiser ver se o seu servidor recursivo está validando a zona,

dig +dnssec [zone] dnskey

Isso definirá o bit DO (dnssec OK) na consulta de saída e fará com que o resolvedor upstream configure o bit AD (dados autenticados) no pacote de retorno se os dados forem validados e também fornecerá os RRSIGs relacionados (se a zona em questão é assinada), mesmo que não seja capaz de validar a resposta.

Você pode querer dar uma olhada no último grupo de slides no meu "DNSSEC em 6 Minutos "apresentação (muito sobre a depuração de DNSSEC). Essa apresentação é um pouco extensa sobre a implementação do DNSSEC (você deve realmente olhar para o BIND 9.7 para as coisas boas), mas a depuração mudou pouco.

Também há uma apresentação que fiz no NANOG 50 sobre a implantação do BIND 9.7 DNSSEC .

    
por 05.11.2010 / 02:20
3

Eu não acredito que seja mostrado atualmente no navegador.

Existe uma extensão para o firefox que pode fazer o que você quer:

alternativamente, talvez uma dessas ferramentas?

por 04.11.2010 / 12:53