DNSSEC-Checker
Prüfen Sie, ob eine Domain mit DNSSEC signiert ist und korrekt validiert.
DNSSEC fügt DNS-Einträgen kryptografische Signaturen hinzu, um zu verhindern, dass sie gefälscht werden (Cache Poisoning, Spoofing). Dieses Tool fragt einen validierenden Resolver ab und teilt Ihnen mit, ob die Domain DNSSEC-Schlüssel (DNSKEY) veröffentlicht und ob die Vertrauenskette validiert (AD-Flag).
FAQ zu DNSSEC
DNSSEC (DNS Security Extensions) ist eine Reihe von Erweiterungen, die DNS-Antworten kryptografische Signaturen hinzufügt. Damit können Sie verifizieren, dass eine Antwort wirklich von der legitimen Domain stammt und während der Übertragung nicht manipuliert wurde.
AD (Authenticated Data) ist ein Bit, das ein validierender Resolver setzt, wenn er die gesamte DNSSEC-Kette der Domain erfolgreich verifiziert hat. Ist es gesetzt, ist die Antwort authentisch und wurde nicht gefälscht.
Der DNSKEY-Eintrag enthält den öffentlichen Schlüssel, der zum Signieren der Einträge der Zone verwendet wird. Wenn eine Domain keinen DNSKEY veröffentlicht, hat sie kein DNSSEC aktiviert.
Meist wegen abgelaufener RRSIG-Signaturen oder eines falschen oder fehlenden DS-Eintrags beim übergeordneten Server (TLD). In diesem «bogus»-Zustand weisen validierende Resolver die Antworten zurück, wodurch die Domain unerreichbar werden kann.
Bereit, Ihr DNS zu verbessern?
Wählen Sie den besten kostenlosen DNS-Server für Ihre Bedürfnisse und konfigurieren Sie ihn in wenigen Minuten.